Научная статья на тему 'Задача объектного моделирования системы управления информационной безопасностью'

Задача объектного моделирования системы управления информационной безопасностью Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
191
56
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Черемушкин Дмитрий Владимирович

В работе представлена постановка задачи объектного моделирования системы управления информационной безопасностью (СУИБ), обоснована ее актуальность и новизна, обозначен подход к ее решению, базирующийся на линейке международных стандартов управления информационной безопасностью ISO/IEC 2700x. Приводятся результаты сравнительного анализа методик и инструментальных средств объектного моделирования, обосновывается их выбор для решения поставленной задачи. На основе анализа стандартов линейки предложена последовательность включения стандартов в модель.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Черемушкин Дмитрий Владимирович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Задача объектного моделирования системы управления информационной безопасностью»

ЗАДАЧА ОБЪЕКТНОГО МОДЕЛИРОВАНИЯ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Д.В. Черемушкин Научный руководитель - к. т.н., доцент А.В. Любимов

В работе представлена постановка задачи объектного моделирования системы управления информационной безопасностью (СУИБ), обоснована ее актуальность и новизна, обозначен подход к ее решению, базирующийся на линейке международных стандартов управления информационной безопасностью ISO/IEC 2700x. Приводятся результаты сравнительного анализа методик и инструментальных средств объектного моделирования, обосновывается их выбор для решения поставленной задачи. На основе анализа стандартов линейки предложена последовательность включения стандартов в модель.

Введение

В современном мире достижение эффективности и экономической выгодности в различных сферах деятельности невозможно без правовой регламентации процессов, составляющих эту деятельность, и обязанностей субъектов, в ней задействованных. Особенную актуальность правила, регламенты и стандарты приобретают в областях, связанных с риском нанесения того или иного ущерба. Одной из таких областей, имеющих в настоящее время важнейшее значение, является управление информационной безопасностью.

Международный опыт в сфере управления информационной безопасностью находит свое отражение в семействе стандартов ISO/IEC 2700x. Эта линейка стандартов описывает вопросы построения и функционирования системы управления информационной безопасностью (СУИБ) в организации и разрабатывается Международной организацией по стандартизации (ИСО, ISO) и Международной электротехнической комиссией (МЭК, IEC). В данную линейку входят как уже принятые, так и находящиеся в разработке стандарты.

(1) ISO/IEC 27000 содержит обзор, состояние, отношения и словарь международных стандартов, составляющих семейство.

(2) ISO/IEC 27001 - сертификационный стандарт - устанавливает требования к созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и улучшению документированной СУИБ в контексте бизнес-рисков организации. Он определяет требования по применению средств управления безопасностью с учетом потребностей отдельных организаций.

(3) ISO/IEC 27002 - переименованный стандарт ISO/IEC 17799:2005 - включает рекомендации по управлению информационной безопасностью, предназначенные для сотрудников, ответственных за создание, внедрение и поддержку мер, обеспечивающих безопасность в организации.

(4) ISO/IEC 27003 предоставляет практическое руководство по руководство по созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и улучшению СУИБ в соответствии с требованиями стандарта ISO/IEC 27001:2005.

(5) ISO/IEC 27004 содержит спецификацию и руководство по использованию методов измерения эффективности СУИБ.

(6) ISO/IEC 27005 предназначен для определения основных факторов информационного риска и подходов к его оценке и обработке.

(7) ISO/IEC 27006 описывает аккредитационные требования к сторонам, проводящим аудит и сертификацию СУИБ.

(8) ISO/IEC 27007 содержит руководство по проведению аудита СУИБ.

Указанное семейство стандартов является развитием британских стандартов BS 7799-1, BS 7799-2 и BS 7799-3, согласованных с положениями серии международных стандартов ISO/IEC 13335.

Каждый стандарт явно или неявно содержит некоторую методологию, т.е. концептуальную модель своей предметной области (содержание и связь основных понятий) в совокупности с моделью постановки проблем и их решения.

Для знания и понимания стандартов, их эффективного практического применения, сравнения и согласования с другими нормативными документами особое значение приобретает формализованное и наглядное представление такой методологии.

В связи со сказанным актуальной задачей является разработка связной системы объектных моделей стандартов линейки КОЛЕС 2700х. Объектом моделирования является общий контекст безопасности организации, описанный в указанном семействе стандартов. Под общим контекстом безопасности понимается совокупность основных принципов, сущностей, процессов и их взаимосвязей, обеспечивающих или непосредственно связанных с обеспечением информационной безопасности. Объектная модель отражает содержание и связь статических (относительно постоянных во времени) понятий предметной области.

Первые отечественные результаты, относящиеся к объектному моделированию стандартов, представлены в работах [1, 2]. В них исследуется возможность объектного моделирования методологии оценки безопасности информационных технологий, основанной на международном стандарте ИСО/МЭК 15408 «Критерии оценки безопасности информационных технологий» (Общие Критерии) [3] по методике ЦМЬ. В рамках указанных исследований были построены: объектная модель общего контекста безопасности (ОКБ) по Общим Критериям (версия 2.2); объектная модель угрозы по Общим Критериям; объектная модель контекста угрозы по Общим Критериям. Накопленный опыт использовался, в том числе, при написании настоящей работы, а разработанные модели могут применяться для сравнения подходов, изложенных в различных линейках международных стандартов в области безопасных информационных технологий.

Для достижения поставленной цели - разработки объектной модели общего контекста безопасности организации в соответствии с семейством международных стандартов 18О/1ЕС 2700х - необходимо решить следующие задачи:

(1) выбрать методику и инструментарий моделирования;

(2) выбрать стандарт линейки, с общей точки зрения описывающий основное назначение СУИБ, ее место в организации и основные этапы построения и функционирования, рассматриваемый в первую очередь;

(3) определить общие свойства будущей модели - точку зрения, границы и глубину моделирования;

(4) провести анализ и отразить результаты в модели;

(5) дополнять и развивать модель с привлечением других стандартов линейки.

Первые две задачи подробно рассматриваются в настоящей статье.

Основная часть

При выборе методики моделирования к ней предъявлялись следующие требования:

• обязательная стандартизация на международном уровне;

• наличие стандартизованного метода анализа предметной области (желательно);

• наличие в той или иной мере формализованного синтаксиса, имеющего графическое представление;

• наличие системы семантических правил;

• возможность расширения набора элементов языка моделирования и набора графических примитивов;

• наличие инструментальных средств поддержки, доступных непрофессиональному (в области моделирования) пользователю;

• наличие методической поддержки.

В результате сравнительного анализа трех методик объектного моделирования в плане перечисленных требований была выбрана методика UML 1.4/2.0.

В качестве альтернатив рассматривались методики ERD (IDEF1X) и OA (IDEF5). Существенным недостатком первой методики по сравнению с выбранной являются меньшие возможности по представлению отношений между сущностями, а второй -отсутствие средств моделирования процессов. Кроме того, обе эти методики не предусматривают расширение набора элементов и графических примитивов.

Для построения модели по конкретной методике могут использоваться различные инструментальные средства. Выбор инструментального средства моделирования в настоящей работе осуществлялся на основе ряда критериев:

• невысокие требования к ресурсам ПК, приемлемая производительность на ПК 2-3-летней давности;

• удобство использования, доступность непрофессиональному пользователю;

• наличие в открытом доступе наиболее распространенных расширений набора элементов и графических примитивов;

• наличие подробной документации;

• наличие функций формирования отчетов по моделям и возможность настройки таких функций, предпочтительно наличие изменяемых шаблонов отчетов.

С учетом перечисленных критериев были рассмотрены следующие средства UML-моделирования:

• Rational Rose 2000 Enterprise;

• Objecteering/UML;

• Magic Draw;

• Sprax Enterprise Architect;

• Visual UML;

• Case Ace;

• CaseMap;

• Casemaker Totem.

В результате проведенного анализа указанных средств выбор был остановлен на Sprax Enterprise Architect (версия 6.5.0.805) как на наиболее удовлетворяющем всей совокупности критериев кандидате.

Конечной практической целью линейки стандартов ISO/IEC 2700x является построение и сопровождение системы управления информационной безопасностью в конкретных организациях. Наиболее всесторонне этот процесс представлен в стандарте ISO/IEC 27001:2005 «Information technology - Security techniques - Information security management systems - Requirements» (русскоязычное название: «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования») [4]. Он был принят в 2005 г. со статусом международного стандарта и описывает спецификацию СУИБ организации, включая обязательные требования к её созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и улучшению, необходимые для сертификации. Поэтому этот стандарт выбран в качестве базового при построении модели. В силу же неопределенности всех понятий методологии в одном стандарте и имеющих место выявленных недоработок стандарта, в ходе работы появилась необходимость использования как других стандартов линейки, так и опосредованных стандартов в областях управления риском, управления качеством и управления экологией:

(a) Проект международного стандарта ISO/IEC 2nd CD 27000:2007 «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Основные положения и словарь» (англоязычный оригинал) [5];

(b) Международный стандарт ISO/IEC 17799:2005 «Информационные технологии -Методы обеспечения безопасности - Практические правила управления информационной безопасностью» (англоязычный оригинал) [6];

(c) Международный стандарт ISO 9000:2005 «Системы управления качеством - Основные положения и словарь» (англоязычный оригинал) [7];

(d) Международный стандарт ISO 14001:2005 «Системы управления экологией - Требования и руководство по использованию» (англоязычный оригинал) [8];

(e) Государственный стандарт РФ ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» [9].

Возможность международной сертификация по стандарту ISO/IEC 27001:2005, принятого при построении модели в качестве основного, расширяет сферу применения результирующей модели.

В работе рассматривается англоязычная версия стандарта ISO/IEC 27001:2005, модель также является англоязычной. Причинами такого решения явились следующие обстоятельства.

• ГОСТ Р ИСО/МЭК 27001 — Государственный стандарт РФ, аналогичный международному стандарту ISO/IEC 27001:2005, - на начальный момент только разрабатывался, он должен быть принят в 2008 году. В открытых источниках проект готовящегося Государственного стандарта найти не удалось.

• Доступные русскоязычные версии стандарта характеризуются недостаточно хорошим качеством перевода и вызывают нарекания у ведущих специалистов в данной области.

В будущем предполагается согласовать терминологии международного стандарта ISO/IEC 27001:2005 и готовящегося к принятию ГОСТ Р ИСО/МЭК 27001, что позволит построить аналогичную русскоязычную модель.

Заключение

В рамках работы, описанной в данной статье, были решены следующие задачи:

(1) рассмотрено семейство международных стандартов по управлению информационной безопасностью ISO/IEC 2700x;

(2) обоснована актуальность формализованного представления методологии, содержащейся в указанной линейке стандартов;

(3) проанализированы существующие работы в данной области;

(4) поставлена задача объектного моделирования общего контекста безопасности организации по семейству стандартов ISO/IEC 2700x;

(5) выполнен обзор методик и инструментальных средств моделирования, осуществлен их выбор;

(6) выбран стандарт, рассматриваемый при моделировании в качестве базового.

Литература

1. Любимов А.В. Структурное моделирование угрозы ИТ в контексте методологии Общих Критериев // Труды X-й международной конференции «Теория и технология программирования и защиты информации», Санкт-Петербург, 18 мая 2006 г. - сс. 36-39.

2. Любимов А.В., Зайцев О.Е., Суханов А.В. Подходы к структурному моделированию основных компонентов безопасности ИТ «Общих критериев» // Труды XI-й международной конференции «Теория и технология программирования и защиты информации», Санкт-Петербург, 18 мая 2007 г. - сс. 57-60.

3. ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. - Госстандарт России, Москва, 2002.

4. ISO/IEC 27001:2005 «Information technology - Security techniques - Information security management systems — Requirements».

5. ISO/IEC 2nd Committee Draft 27000:2007 «Information technology - Security techniques - Information security management systems - Overview and vocabulary».

6. ISO/IEC 17799:2005 «Information technology - Security techniques - Code of practice for information security management».

7. ISO 9000:2005 «Quality management systems - Fundamentals and vocabulary».

8. ISO 14001:2004 «Environmental management systems - Requirements with guidance for use».

9. ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения».

i Надоели баннеры? Вы всегда можете отключить рекламу.