ЗАДАЧА ОБЪЕКТНОГО МОДЕЛИРОВАНИЯ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Д.В. Черемушкин Научный руководитель - к. т.н., доцент А.В. Любимов
В работе представлена постановка задачи объектного моделирования системы управления информационной безопасностью (СУИБ), обоснована ее актуальность и новизна, обозначен подход к ее решению, базирующийся на линейке международных стандартов управления информационной безопасностью ISO/IEC 2700x. Приводятся результаты сравнительного анализа методик и инструментальных средств объектного моделирования, обосновывается их выбор для решения поставленной задачи. На основе анализа стандартов линейки предложена последовательность включения стандартов в модель.
Введение
В современном мире достижение эффективности и экономической выгодности в различных сферах деятельности невозможно без правовой регламентации процессов, составляющих эту деятельность, и обязанностей субъектов, в ней задействованных. Особенную актуальность правила, регламенты и стандарты приобретают в областях, связанных с риском нанесения того или иного ущерба. Одной из таких областей, имеющих в настоящее время важнейшее значение, является управление информационной безопасностью.
Международный опыт в сфере управления информационной безопасностью находит свое отражение в семействе стандартов ISO/IEC 2700x. Эта линейка стандартов описывает вопросы построения и функционирования системы управления информационной безопасностью (СУИБ) в организации и разрабатывается Международной организацией по стандартизации (ИСО, ISO) и Международной электротехнической комиссией (МЭК, IEC). В данную линейку входят как уже принятые, так и находящиеся в разработке стандарты.
(1) ISO/IEC 27000 содержит обзор, состояние, отношения и словарь международных стандартов, составляющих семейство.
(2) ISO/IEC 27001 - сертификационный стандарт - устанавливает требования к созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и улучшению документированной СУИБ в контексте бизнес-рисков организации. Он определяет требования по применению средств управления безопасностью с учетом потребностей отдельных организаций.
(3) ISO/IEC 27002 - переименованный стандарт ISO/IEC 17799:2005 - включает рекомендации по управлению информационной безопасностью, предназначенные для сотрудников, ответственных за создание, внедрение и поддержку мер, обеспечивающих безопасность в организации.
(4) ISO/IEC 27003 предоставляет практическое руководство по руководство по созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и улучшению СУИБ в соответствии с требованиями стандарта ISO/IEC 27001:2005.
(5) ISO/IEC 27004 содержит спецификацию и руководство по использованию методов измерения эффективности СУИБ.
(6) ISO/IEC 27005 предназначен для определения основных факторов информационного риска и подходов к его оценке и обработке.
(7) ISO/IEC 27006 описывает аккредитационные требования к сторонам, проводящим аудит и сертификацию СУИБ.
(8) ISO/IEC 27007 содержит руководство по проведению аудита СУИБ.
Указанное семейство стандартов является развитием британских стандартов BS 7799-1, BS 7799-2 и BS 7799-3, согласованных с положениями серии международных стандартов ISO/IEC 13335.
Каждый стандарт явно или неявно содержит некоторую методологию, т.е. концептуальную модель своей предметной области (содержание и связь основных понятий) в совокупности с моделью постановки проблем и их решения.
Для знания и понимания стандартов, их эффективного практического применения, сравнения и согласования с другими нормативными документами особое значение приобретает формализованное и наглядное представление такой методологии.
В связи со сказанным актуальной задачей является разработка связной системы объектных моделей стандартов линейки КОЛЕС 2700х. Объектом моделирования является общий контекст безопасности организации, описанный в указанном семействе стандартов. Под общим контекстом безопасности понимается совокупность основных принципов, сущностей, процессов и их взаимосвязей, обеспечивающих или непосредственно связанных с обеспечением информационной безопасности. Объектная модель отражает содержание и связь статических (относительно постоянных во времени) понятий предметной области.
Первые отечественные результаты, относящиеся к объектному моделированию стандартов, представлены в работах [1, 2]. В них исследуется возможность объектного моделирования методологии оценки безопасности информационных технологий, основанной на международном стандарте ИСО/МЭК 15408 «Критерии оценки безопасности информационных технологий» (Общие Критерии) [3] по методике ЦМЬ. В рамках указанных исследований были построены: объектная модель общего контекста безопасности (ОКБ) по Общим Критериям (версия 2.2); объектная модель угрозы по Общим Критериям; объектная модель контекста угрозы по Общим Критериям. Накопленный опыт использовался, в том числе, при написании настоящей работы, а разработанные модели могут применяться для сравнения подходов, изложенных в различных линейках международных стандартов в области безопасных информационных технологий.
Для достижения поставленной цели - разработки объектной модели общего контекста безопасности организации в соответствии с семейством международных стандартов 18О/1ЕС 2700х - необходимо решить следующие задачи:
(1) выбрать методику и инструментарий моделирования;
(2) выбрать стандарт линейки, с общей точки зрения описывающий основное назначение СУИБ, ее место в организации и основные этапы построения и функционирования, рассматриваемый в первую очередь;
(3) определить общие свойства будущей модели - точку зрения, границы и глубину моделирования;
(4) провести анализ и отразить результаты в модели;
(5) дополнять и развивать модель с привлечением других стандартов линейки.
Первые две задачи подробно рассматриваются в настоящей статье.
Основная часть
При выборе методики моделирования к ней предъявлялись следующие требования:
• обязательная стандартизация на международном уровне;
• наличие стандартизованного метода анализа предметной области (желательно);
• наличие в той или иной мере формализованного синтаксиса, имеющего графическое представление;
• наличие системы семантических правил;
• возможность расширения набора элементов языка моделирования и набора графических примитивов;
• наличие инструментальных средств поддержки, доступных непрофессиональному (в области моделирования) пользователю;
• наличие методической поддержки.
В результате сравнительного анализа трех методик объектного моделирования в плане перечисленных требований была выбрана методика UML 1.4/2.0.
В качестве альтернатив рассматривались методики ERD (IDEF1X) и OA (IDEF5). Существенным недостатком первой методики по сравнению с выбранной являются меньшие возможности по представлению отношений между сущностями, а второй -отсутствие средств моделирования процессов. Кроме того, обе эти методики не предусматривают расширение набора элементов и графических примитивов.
Для построения модели по конкретной методике могут использоваться различные инструментальные средства. Выбор инструментального средства моделирования в настоящей работе осуществлялся на основе ряда критериев:
• невысокие требования к ресурсам ПК, приемлемая производительность на ПК 2-3-летней давности;
• удобство использования, доступность непрофессиональному пользователю;
• наличие в открытом доступе наиболее распространенных расширений набора элементов и графических примитивов;
• наличие подробной документации;
• наличие функций формирования отчетов по моделям и возможность настройки таких функций, предпочтительно наличие изменяемых шаблонов отчетов.
С учетом перечисленных критериев были рассмотрены следующие средства UML-моделирования:
• Rational Rose 2000 Enterprise;
• Objecteering/UML;
• Magic Draw;
• Sprax Enterprise Architect;
• Visual UML;
• Case Ace;
• CaseMap;
• Casemaker Totem.
В результате проведенного анализа указанных средств выбор был остановлен на Sprax Enterprise Architect (версия 6.5.0.805) как на наиболее удовлетворяющем всей совокупности критериев кандидате.
Конечной практической целью линейки стандартов ISO/IEC 2700x является построение и сопровождение системы управления информационной безопасностью в конкретных организациях. Наиболее всесторонне этот процесс представлен в стандарте ISO/IEC 27001:2005 «Information technology - Security techniques - Information security management systems - Requirements» (русскоязычное название: «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования») [4]. Он был принят в 2005 г. со статусом международного стандарта и описывает спецификацию СУИБ организации, включая обязательные требования к её созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и улучшению, необходимые для сертификации. Поэтому этот стандарт выбран в качестве базового при построении модели. В силу же неопределенности всех понятий методологии в одном стандарте и имеющих место выявленных недоработок стандарта, в ходе работы появилась необходимость использования как других стандартов линейки, так и опосредованных стандартов в областях управления риском, управления качеством и управления экологией:
(a) Проект международного стандарта ISO/IEC 2nd CD 27000:2007 «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Основные положения и словарь» (англоязычный оригинал) [5];
(b) Международный стандарт ISO/IEC 17799:2005 «Информационные технологии -Методы обеспечения безопасности - Практические правила управления информационной безопасностью» (англоязычный оригинал) [6];
(c) Международный стандарт ISO 9000:2005 «Системы управления качеством - Основные положения и словарь» (англоязычный оригинал) [7];
(d) Международный стандарт ISO 14001:2005 «Системы управления экологией - Требования и руководство по использованию» (англоязычный оригинал) [8];
(e) Государственный стандарт РФ ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» [9].
Возможность международной сертификация по стандарту ISO/IEC 27001:2005, принятого при построении модели в качестве основного, расширяет сферу применения результирующей модели.
В работе рассматривается англоязычная версия стандарта ISO/IEC 27001:2005, модель также является англоязычной. Причинами такого решения явились следующие обстоятельства.
• ГОСТ Р ИСО/МЭК 27001 — Государственный стандарт РФ, аналогичный международному стандарту ISO/IEC 27001:2005, - на начальный момент только разрабатывался, он должен быть принят в 2008 году. В открытых источниках проект готовящегося Государственного стандарта найти не удалось.
• Доступные русскоязычные версии стандарта характеризуются недостаточно хорошим качеством перевода и вызывают нарекания у ведущих специалистов в данной области.
В будущем предполагается согласовать терминологии международного стандарта ISO/IEC 27001:2005 и готовящегося к принятию ГОСТ Р ИСО/МЭК 27001, что позволит построить аналогичную русскоязычную модель.
Заключение
В рамках работы, описанной в данной статье, были решены следующие задачи:
(1) рассмотрено семейство международных стандартов по управлению информационной безопасностью ISO/IEC 2700x;
(2) обоснована актуальность формализованного представления методологии, содержащейся в указанной линейке стандартов;
(3) проанализированы существующие работы в данной области;
(4) поставлена задача объектного моделирования общего контекста безопасности организации по семейству стандартов ISO/IEC 2700x;
(5) выполнен обзор методик и инструментальных средств моделирования, осуществлен их выбор;
(6) выбран стандарт, рассматриваемый при моделировании в качестве базового.
Литература
1. Любимов А.В. Структурное моделирование угрозы ИТ в контексте методологии Общих Критериев // Труды X-й международной конференции «Теория и технология программирования и защиты информации», Санкт-Петербург, 18 мая 2006 г. - сс. 36-39.
2. Любимов А.В., Зайцев О.Е., Суханов А.В. Подходы к структурному моделированию основных компонентов безопасности ИТ «Общих критериев» // Труды XI-й международной конференции «Теория и технология программирования и защиты информации», Санкт-Петербург, 18 мая 2007 г. - сс. 57-60.
3. ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. - Госстандарт России, Москва, 2002.
4. ISO/IEC 27001:2005 «Information technology - Security techniques - Information security management systems — Requirements».
5. ISO/IEC 2nd Committee Draft 27000:2007 «Information technology - Security techniques - Information security management systems - Overview and vocabulary».
6. ISO/IEC 17799:2005 «Information technology - Security techniques - Code of practice for information security management».
7. ISO 9000:2005 «Quality management systems - Fundamentals and vocabulary».
8. ISO 14001:2004 «Environmental management systems - Requirements with guidance for use».
9. ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения».