2_3_2008
.pdfи для оценки реализованности этих критериев |
со свободой в различных ее проявлениях (сво- |
|||
в государстве. |
бода исповедовать любую религию, свобода |
|||
|
При этом в расчет брались утверждебыть хозяином собственной жизни, свобода |
|||
ния с факторной нагрузкой выше 0,65 бал- |
передвиженияпостранеит.д.).Одновременно |
|||
лов. Факторная нагрузка отражает, насколько |
с этим в данный фактор вошли утверждения, |
|||
каждая из шкал дескрипторов содержит в себе |
связанные с материальным благосостоянием, |
|||
некий базисный смысл. Следует отметить, что |
а также социальной защищенностью. Склейка |
|||
знак факторной нагрузки имеет математи- |
в единый фактор столь разнородных утверж- |
|||
ческий, а не оценочный смысл и показывает |
дений свидетельствует о том, что понятие |
|||
к какому полюсу фактора относится рассма- |
свободы в понимании респондентов зависит |
|||
триваемый пункт опросника. |
одновременно от уровня преступности, уровня |
|||
|
В отношении шкалы «лично для Вас» |
самооценки, степени социальной защищенно- |
||
были выделены два фактора (табл. 5, 6). |
сти и наличия материальных благ. |
|||
|
Утверждения, включенные в первый фактор |
Таблица 5 |
||
|
|
|||
|
персонифицированной оценки «лично для Вас» |
|
||
|
|
|
|
|
|
Дескрипторы |
|
|
Баллы |
|
1. Экологическая безопасность |
|
|
-0,99862 |
|
2. Гарантия социальной защищенности |
|
|
-0,99705 |
|
3. Опасность локальных и иных войн |
|
|
-0,99608 |
|
4. Возможность жить, как тебе хочется |
|
|
-0,99524 |
|
5. Ощущение личной свободы |
|
|
-0,99487 |
|
6. Возможность удовлетворения духовных потребностей |
|
-0,99404 |
|
|
7. Ощущение дружелюбия между людьми |
|
|
-0,99371 |
|
8. Возможность уделять достаточное время семье |
|
-0,99299 |
|
|
9. Гарантия правовой защищенности |
|
|
-0,99116 |
|
10. Возможность выражать открыто свою точку зрения |
|
-0,99087 |
|
|
11. Гарантия трудовой занятости |
|
|
-0,99037 |
|
12. Возможность раскрытия своих творческих способностей |
|
-0,98979 |
|
|
13. Наличие свободного времени для отдыха |
|
|
-0,98966 |
|
14. Наличие необходимых бытовых товаров |
|
|
-0,98945 |
|
15. Свобода передвижения по стране |
|
|
-0,98736 |
|
16. Ощущение радости от работы |
|
|
-0,98404 |
|
17. Свобода выезда за рубеж |
|
|
-0,98360 |
|
18. Невмешательство государства в частную жизнь |
|
-0,98348 |
|
|
19. Хорошее питание |
|
|
-0,98219 |
|
20. Материальное благополучие |
|
|
-0,97698 |
|
21. Ощущение уверенности в завтрашнем дне |
|
|
-0,97503 |
|
22. Ощущение осмысленности собственной жизни |
|
-0,97492 |
|
|
23. Свобода исповедовать любую религию |
|
|
-0,97405 |
|
24. Чувство собственного достоинства |
|
|
-0,96225 |
|
25. Свобода быть хозяином собственной жизни |
|
|
-0,96194 |
|
26. Свобода перехода с одного места работы (учебы) на другое |
|
-0,95855 |
|
|
27. Гармоничные отношения в семье |
|
|
-0,95845 |
|
28. Возможность заниматься спортом |
|
|
-0,95708 |
|
29. Гарантия квалифицированной медицинской помощи |
|
-0,95544 |
|
|
30. Хорошие жилищные условия |
|
|
-0,95112 |
|
31. Ощущение интереса к жизни |
|
|
-0,94866 |
|
32. Возможность получить образование |
|
|
-0,93580 |
|
33. Уровень преступности |
|
|
-0,90320 |
|
34. Ощущение единства с обществом |
|
|
-0,81450 |
|
35. Ощущение разочарованности жизнью |
|
|
-0,77299 |
Первый фактор связан с реализацией широкого комплекса свобод и ощущений. Этот фактор можно условно обозначить как «свободы», так как в него вошли компоненты, ассоциирующиеся в общественном сознании
Содержание второго фактора можно условно обозначить как «социальная активность». В него вошли пункты, отражающие социальную активность респондентов и веру в высокие идеалы. Следует отметить, что фак-
|
|
41 |
|
|
|
||
Научно-практический журнал. ISSN 1995-5731 |
|||
|
Таблица 6
Утверждения, включенные во второй фактор персонифицированной оценки «лично для Вас»
Дескрипторы |
Баллы |
|
|
1. Вера в высокие идеалы |
0,806779 |
|
|
2. Возможность влиять на жизнь своего коллектива |
0,821184 |
|
|
3. Возможность влиять на политику своей страны |
0,914481 |
|
|
Результаты проведения факторного анализа |
Таблица 7 |
|
|
применительно к государству (третий фактор) |
|
Дескрипторы |
|
|
|
Баллы |
|
|
1. Возможность заниматься спортом |
|
|
|
-0,99508 |
|
|
2. Наличие необходимых бытовых товаров |
|
|
|
-0,98898 |
|
|
3. Ощущение интереса к жизни |
|
|
|
-0,98797 |
|
|
4. Гарантия правовой защищенности |
|
|
|
-0,97539 |
|
|
5. Возможность жить, как тебе хочется |
|
|
|
-0,96686 |
|
|
6. Хорошее питание |
|
|
|
-0,95837 |
|
|
7. Возможность раскрытия своих творческих способностей |
|
|
-0,94983 |
|
|
|
8. Свобода перехода с одного места работы (учебы) на другое |
|
|
-0,94771 |
|
|
|
9. Ощущение уверенности в завтрашнем дне |
|
|
|
-0,94415 |
|
|
10. Вера в высокие идеалы |
|
|
|
-0,94336 |
|
|
11. Гармоничные отношения в семье |
|
|
|
-0,94016 |
|
|
12. Ощущение личной свободы |
|
|
|
-0,93671 |
|
|
13. Свобода быть хозяином собственной жизни |
|
|
|
-0,93143 |
|
|
14. Возможность получить образование |
|
|
|
-0,92298 |
|
|
15. Возможность выражать открыто свою точку зрения |
|
|
-0,91850 |
|
|
|
16. Чувство собственного достоинства |
|
|
|
-0,91515 |
|
|
17. Возможность уделять достаточное время семье |
|
|
-0,91203 |
|
|
|
18. Свобода передвижения по стране |
|
|
|
-0,91026 |
|
|
19. Возможность влиять на жизнь своего коллектива |
|
|
-0,88853 |
|
|
|
20. Ощущение радости от работы |
|
|
|
-0,88646 |
|
|
21. Наличие свободного времени для отдыха |
|
|
|
-0,87605 |
|
|
22. Ощущение единства с обществом |
|
|
|
-0,86779 |
|
|
23. Гарантия социальной защищенности |
|
|
|
-0,85956 |
|
|
24. Свобода выезда за рубеж |
|
|
|
-0,84378 |
|
|
25. Невмешательство государства в частную жизнь |
|
|
-0,84354 |
|
|
|
26. Возможность удовлетворения духовных потребностей |
|
|
-0,83435 |
|
|
|
27. Ощущение осмысленности собственной жизни |
|
|
-0,81679 |
|
|
|
28. Ощущение дружелюбия между людьми |
|
|
|
-0,80315 |
|
|
29. Опасность локальных и иных войн |
|
|
|
-0,78667 |
|
|
30. Ощущение разочарованности жизнью |
|
|
|
-0,65296 |
|
|
тор «вера в высокие идеалы» имел наиболее |
Результаты |
факторного |
анализа |
|||
низкий показатель, что совпадает с результа- |
применительно |
к |
государству представлены |
|||
тами дисперсионного анализа и подтвержда- |
в табл. 7. |
|
|
|
|
|
ется отрицательным значением по блоку реа- |
Третий фактор отражает доминирова- |
|||||
лизованности этого фактора в государстве. |
ние ряда экзистенциальных критериев, демон- |
|||||
Выявленная картина отчасти свидетель- |
стрирующих связь с отдельными аспектами |
|||||
ствует об отрицании этого фактора личностью, |
материального |
благополучия и |
социальной |
|||
но в большей степени отражает негативные |
защищенности (фактор материального бла- |
|||||
установки в отношении несколько активизи- |
госостояния). Эта картина отражает располо- |
|||||
ровавшихся попыток государства идеологи- |
женные на одном полюсе, на первый взгляд, |
|||||
зировать свою политику, прежде всего, рас- |
несовместимые |
направленности, |
показывает |
|||
пространяя ее на молодежную среду. Все это |
современные тенденции общества, его стрем- |
|||||
в совокупности отражает социальную пози- |
ление, а не обладание. Выявленная картина |
|||||
цию респондентов, базирующуюся на низком |
в большей степени указывает не реальную |
|||||
уровне социальной активности. |
связь, а представление о желаемом материаль- |
42 |
Информационная безопасность регионов. 2008. № 2 (3) |
|
ном благе, позволяющем реализоваться человеку как личности (по представлениям респондентов). Одновременно это можно трактовать как еще не утратившую актуальности надежду на государство, в плане создания условий для роста материального благосостояния.
Четвертый фактор включает в себя три утверждения, которые можно условно обозначить как «безопасность» (табл. 8).
выходит ощущение нестабильности, обусловленное возможностью возникновения войн и высоким уровнем преступности. Последнее обстоятельство связано с необходимостью самозащиты, требует от современного человека хорошей спортивной формы, что, в свою очередь, служит дополнительной гарантией высокого уровня мобильности, связанного с миграцией и возможностью продолжать или
Таблица 8
Результаты проведения факторного анализа применительно к государству (четвертый фактор)
Дескрипторы |
|
|
Баллы |
|
|
|
|
|
|
|
|
1. Уровень преступности |
|
|
0,710083 |
|
|
|
|
|
|
|
|
2. Экологическая безопасность |
|
|
0,849097 |
|
|
|
|
|
|
||
3. Гарантия квалифицированной медицинской помощи |
|
0,860901 |
|
||
|
|
|
|
||
Объединениетрехутверждений«степень |
совершенствовать свое образование или до- |
||||
безопасности» на разных уровнях в отдельный |
стойно трудиться. Все это отражает прагмати- |
||||
фактор свидетельствует о том, что в сознании |
ческую позицию респондентов. |
||||
граждан представление о безопасности носит |
Наиболее важным моментом, заслу- |
||||
собирательный характер и включает несколь- |
живающим пристального изучения, являет- |
||||
ко разноплановых представлений, отражаю- |
ся стремление к занятиям спортом, которое |
||||
щих уровень безопасности в различных ее |
в данном блоке не отражает стремления ре- |
||||
аспектах. Следует заметить, что показатели |
спондентов исключительно к физическому |
||||
экологическая безопасность и гарантия ква- |
самосовершенствованию |
, а указывает скорее |
|||
лифицированной медицинской помощи оце- |
на осознание такой необходимости в ситуации |
||||
ниваются респондентами как весьма плохо |
нестабильности. |
|
|
|
|
реализованные в государстве, при этом уро- |
В качестве позитивной тенденции сле- |
||||
вень преступности респонденты субъективно |
дует рассматривать высокий уровень мотива- |
||||
оценивают как один из самых высоких пока- |
ции респондентов к получению образования. |
||||
зателей по шкале «государство». Все вместе |
Вполне возможно, что нестабильность, вызы- |
||||
это свидетельствует о недостаточном уровне |
вающая фрустрацию, выступает в роли своеоб |
||||
защищенности. |
разного пускового механизма в осознании |
||||
Пятый фактор образует только одно |
этой необходимости. |
|
|
||
утверждение «Возможность влиять на полити- |
Выявлена такая же по значимости связь |
||||
ку своей страны» (-0,685831 баллов). Данный |
уровня преступности с возможностью испове- |
||||
показатель отражает возможность респонден |
довать любую религию (r=0,98), экологиче- |
||||
тов влиять на политику страны и является |
ской безопасностью (r=0,97) и гарантией со- |
||||
своеобразной социальной компонентой. Этот |
циальной защищенности (r=0,97). |
||||
дескриптор имеет один из самых низких по- |
Уровень преступности в государстве был |
||||
казателей как по шкале «лично для Вас», так |
оценен респондентами как неудовлетвори- |
||||
и по шкале «государство». |
тельный, хотя в персонифицированном вари- |
||||
При проведении корреляционного анаанте ответов расценивался как маловажный. |
|||||
лиза был выделен ряд взаимосвязей, отража- |
Выявленную тенденцию, отражающую дисба- |
||||
ющих сильную и очень сильную корреляцию |
ланс между персонифицированной оценкой |
||||
по шкалам «лично для вас» и «государство». |
и реализацией функции защиты в государстве, |
||||
В частности, определена зависимость (r=0,98) |
можно объяснить |
высокой толерантностью |
|||
между опасностью локальных и иных войн |
общества к этой проблеме. Одновременно это |
||||
с возможностью заниматься спортом, менять |
может указывать на признание собственно- |
||||
места работы или учебы (r=0,97), которые, как |
го бессилия, неспособность общества влиять, |
||||
это не парадоксально, увязываются с уровнем |
прежде всего, не на преступность как таковую, |
||||
преступности (r=0,97). |
а на государство, требуя от него адекватного |
||||
Данный блок зависимостей, дополнен- |
правоприменения. |
|
|
|
|
ный послетестовой беседой с респондентами, |
Безусловно, выявленная картина зави- |
||||
позволяет предположить, что на первый план |
симостей свидетельствует об имеющей место |
|
|
43 |
|
|
|
||
Научно-практический журнал. ISSN 1995-5731 |
|||
|
устойчивой связи в сознании респондентов |
превалирующие, прежде всего, в молодежной |
уровней безопасности и защищенности, одна- |
среде, и стремление к повышению социально- |
ко это не самое главное, подтверждением чему |
го статуса, который может гарантировать реа- |
служит оценка респондентами именно соци- |
лизацию личностных потребностей в свободах. |
альной защищенности. |
Иными словами, перечисленные свободы яв- |
Этот дескриптор был оценен респонденляются прерогативой богатых и одновременно |
|
тами также низко, что свидетельствует о не- |
здоровых телом людей, последняя мысль име- |
выполнении государством основных функций, |
ет подтверждение присутствием взаимосвязи |
каковой является осуществление безопасно- |
с потребностью заниматься спортом (r=0,99). |
сти его граждан на всех уровнях, включая эко- |
Особо пристальное внимание следует |
логическую безопасность, взаимосвязанную |
обратить на обнаруженную устойчивую кор- |
опять же с комплексом основных социальных |
реляцию свободы вероисповедания с уровнем |
гарантий. |
преступности (r=0,98), а также опасностью |
Свобода передвижения по стране име- |
локальных и иных войн (r=0,98), которые це- |
ла устойчивую корреляционную взаимосвязь |
лесообразно рассматривать в контексте всего |
сощущением разочарованности жизнью спектра свобод. Перечисленные угрозы яв-
(r=0,99) и ощущением единства с обществом |
ляются альтернативами свободы и представ- |
|
(r=0,93). В данном случае дескриптор свобо- |
ляют противоположный |
полюс конструкта |
ды передвижения выступает в роли маркера |
«безопасность». |
|
единения с обществом, что в психологическом |
Анализ результатов |
социологического |
плане объяснить достаточно просто. Речь идет |
исследования позволяет сделать выводы: |
|
даженестолькоовозможностиизменятьместа |
– реформирование социально-экономи |
|
пребывания (миграции), сколько о потенци- |
ческой сферы, проводимое Правительством |
|
альной возможности как таковой (ощущении |
Российской Федерации последние пятнадцать |
|
потенциальной возможности). Государство |
лет,привелокизменениюкачестважизнивего |
|
формально предоставляет такую возможность, |
материальном представлении, что отразилось |
|
но ее воплощение не всегда соответствует |
на динамике субъективного благополучия; |
|
реальности. При этом ограничение по ука- |
– низкий уровень политической актив- |
|
занному дескриптору может лежать в основе |
ности жителей Саратовской области отражает |
|
формирования негативных ощущений, обу- |
общероссийские тенденции и связан с вытес- |
|
словленных наличием прямой корреляцион- |
нением людей за рамки активного политиче- |
|
ной взаимосвязи с показателем разочарован- |
ского процесса и высокой степенью поляриза- |
|
ности жизнью. |
ции обществ; |
|
Практически аналогичная трактовка |
– ведущими тенденциями в безопасном |
|
комплекса взаимосвязей может быть осущест- |
развитии современного российского общества |
|
влена по дескриптору, отражающему возмож- |
можноназватьпоисксоциально-политической |
|
ность выезда за пределы страны при экстра- |
ситуации, обеспечивающей наиболее высокий |
|
поляции их на функции государства. Однако |
уровень социальной защищенности. |
|
в данном случае обозначенный комплекс не |
|
|
столько отражает неудовлетворенность реали- |
Библиографический список |
|
зацией этих свобод, как в предыдущем случае, |
1. Петренко В.Ф., Митина О.В. Пси |
|
сколько подчеркивает наличие осознаваемой, |
хосемантический анализ динамики качест |
|
более того, формально гарантированной со |
ва жизни россиян (период 1917–1995 гг.) |
|
стороны государства возможности, поэто- |
[Текст] // Психологический журнал. — 1995. – |
|
му данные представления имеют отражение |
Т. 16. – № 6. – ISSN 0205-9592. |
|
в виде отчетливой связи с ощущением разоча- |
2. Девятко И.Ф. Методы социологиче- |
|
рованности жизнью. |
ского исследования [Текст]. — Екатеринбург: |
|
Блок разноплановых свобод непосред- |
Изд-во Уральского ун-та, 1998. – ISBN 5-7525- |
|
ственно связан с бытовой стороной жизни, |
0611-5. |
|
и эта связь указывает на глубинные процессы, |
|
|
44 |
Информационная безопасность регионов. 2008. № 2 (3) |
|
МЕТОДОЛОГИЯ ПРОВЕДЕНИЯ АУДИТА СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
© Губенков Артем Александрович
кандидат физико-математических наук, доцент кафедры программного обеспечения вычислительной техники и автоматизированных систем Саратовского государственного технического университета, сотрудник учебно-научного центра по проблемам информационной безопасности Саратовского региона - СГТУ
(845-2) 565-108 agubenkov@mail.ru
Рассматриваются последовательность и содержание работ на каждом из этапов аудита, проводимого для оценки соответствия системы менеджмента информационной безопасности требованиям национального стандарта ИСО/МЭК 27001-2005.
Ключевые слова: аудит безопасности, активы, риски.
В настоящее время практически сформировалась структура стандартов в области информационной безопасности, основу которой состав-
ляют ИСО/МЭК 27001-2005 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» [1]
и ИСО/МЭК 27002-2005 «Информационная технология. Методы и средства обеспечения безопасности. Свод правил для менеджмента информационной безопасности» (полностью идентичен ИСО/МЭК 17799-2005
[2]). В 2007 г. был введен в действие ИСО/ МЭК 27006 «Информационная технология. Методы и средства обеспечения безопасности. Требования для органов, осуществляющих аудит и сертификацию систем менеджмента информационной безопасности». В ближайшее время ожидается принятие еще нескольких национальных стандартов серии 27000, определяющих процессы эксплуатации систем менеджмента информационной безопасности (СМИБ) и практической реализации базовых технологий (менеджмент риска [3] и его измерение). В то же время практически отсутствуют подробные руководства и комментарии по практическому использованию требований базовых стандартов, основанных на оценке и управлении информационными рисками [4].
Согласно стандарту, перед началом разработки корпоративной СМИБ, соответствующей требованиям ИСО/МЭК 27001, а также после внедрения для оценки уровня ее эф-
фективности, проводится аудит безопасности. Аудит безопасности представляет собой процесс сбора и анализа информации о СМИБ для оценки уровня ее соответствия положениям
стандарта [5].
Как правило, для прове дения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационнойбезопасности.Инициатором процедуры аудита обычно является руководство предприятия или служба информационной безопасности. Аудит безопасности выполняется группой экс-
пертов, численность и состав которой зависит от целей и задач обследования, а также от сложности объекта оценки.
В общем случае аудит безопасности состоит из четырех основных этапов, на каждом из которых выполняется определенный перечень работ (см. рисунок).
1. Разработка регламента аудита
На первом этапе разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента – определить границы, в рамках которых будет проводиться обследование информационной системы (ИС) заказчика. Регламент должен четко определять обязанности сторон. Как правило, регламент содержит следующую основную информацию:
– состав рабочих групп от исполнителя и заказчика для проведения аудита;
– список и местоположение объектов заказчика, подлежащих аудиту;
|
|
45 |
|
|
|
||
Научно-практический журнал. ISSN 1995-5731 |
|||
|
– перечень информации, которая будет |
тив считается ценным и в дальнейшем он бу- |
|||||
предоставлена исполнителю; |
дет учитываться при анализе информацион- |
|||||
– перечень ценных активов компании, |
ных рисков. |
|
|
|||
которые рассматриваются в качестве объектов |
2. Инвентаризация и категориро- |
|||||
защиты |
(информационные, материальные, |
вание активов |
|
|||
и т.д.); |
|
|
На втором этапе, в соответствии с со- |
|||
– модель угроз информационной безо |
гласованным |
регламентом, |
осуществляется |
|||
пасности, на основе которой проводится |
инвентаризация активов. В частности, собира- |
|||||
аудит; |
|
|
ется следующая информация: |
|||
– категории пользователей, которые |
– организационно-распорядительная |
|||||
рассматриваются в качестве потенциальных |
документация по вопросам информационной |
|||||
нарушителей; |
|
безопасности: |
политика информационной |
|||
– порядок и время проведения инструбезопасности; руководящие документы (при- |
||||||
ментального обследования ИС. |
казы, распоряжения, инструкции) по вопро- |
|||||
|
|
|
сам хранения, порядка доступа и передачи |
|||
|
|
|
информации; |
|
|
|
|
|
|
– сведения о программно-аппаратном |
|||
|
|
|
обеспечении ИС: перечень серверов, рабочих |
|||
|
|
|
станций и коммуникационного оборудования, |
|||
|
|
|
входящих в состав ИС; аппаратные конфигу- |
|||
|
|
|
рации серверов и рабочих станций; сведения |
|||
|
|
|
о периферийном оборудовании; сведения |
|||
|
|
|
о программном обеспечении, установленном |
|||
|
|
|
на рабочих станциях и серверах; |
|||
|
|
|
– информация о топологии ИС: карта ло- |
|||
|
|
|
кальной вычислительной сети; типы каналов |
|||
|
|
|
связи; используемые сетевые протоколы; за- |
|||
|
|
|
пущенные сетевые сервисы; схема информа- |
|||
|
|
|
ционных потоков ИС; |
|
||
|
|
|
– информация об используемых сред- |
|||
|
|
|
ствах защиты: модель и производитель; кон- |
|||
|
|
|
фигурационные настройки и схема установки |
|||
Основные этапы аудита безопасности |
средства защиты. |
|
||||
Сбор информации осуществляется пу- |
||||||
При этом важно определить, что явля- |
тем интервьюирования сотрудников заказ- |
|||||
чика, заполнения ими опросных листов по |
||||||
ется ценным активом компании с точки зре- |
определенной тематике, анализа имеющейся |
|||||
ния информационной безопасности. Согласно |
организационно-распорядительной и техни- |
|||||
ИСО/МЭК 27002-2005, выделяются следую- |
||||||
ческой документации, использования специ- |
||||||
щие виды активов: |
|
ализированного ПО (сетевых сканеров Nmap, |
||||
– информационные ресурсы (базы и фай- |
||||||
Nessus, XSpider и т.д.), которое позволяет по- |
||||||
лы данных, контракты и соглашения, систем- |
лучить необходимую информацию о составе |
|||||
ная документация, научно-исследовательская |
и настройках программно-аппаратного обе- |
|||||
информация, документация, обучающие мате- |
||||||
спечения ИС предприятия, |
провести инвен- |
|||||
риалы и пр.); |
|
таризацию сетевых ресурсов и выявить уязви- |
||||
– программное обеспечение; |
||||||
мости в них. Качество аудита безопасности во |
||||||
– материальные активы (компьютерное |
||||||
многом зависит от полноты и достоверности |
||||||
оборудование, средства |
телекоммуникаций |
|||||
информации, собранной на этом этапе. |
||||||
и т.д.); |
|
|
||||
|
|
При категорировании ценных активов |
||||
– сервисы (сервисы телекоммуникаций, |
||||||
необходимо оценить их критичность для орга- |
||||||
системы |
обеспечения |
жизнедеятельности |
низации, т.е. определить, какой ущерб понесет |
|||
и др.); |
|
|
||||
|
|
организация в случае нарушения информаци- |
||||
– сотрудники компании, их квалифика- |
||||||
онной безопасности активов. Данный процесс |
||||||
ция и опыт; |
|
вызываетнаибольшуюсложность,т.к.ценность |
||||
– нематериальные |
ресурсы (репутация |
|||||
активов определяется на основе экспертных |
||||||
и имидж компании). |
|
|||||
|
оценок их владельцев (как правило, процесс |
|||||
Следует определить, нарушение инфор- |
||||||
определения |
критичности |
активов являет- |
||||
мационной безопасностикаких активов может |
ся для владельца нетривиальным). При этом |
|||||
нанести ущерб организации. В этом случае ак- |
||||||
|
|
|
46 |
Информационная безопасность регионов. 2008. № 2 (3) |
|
могут разрабатываться различные методики |
онной безопасности (ИСО/МЭК 27001). Такой |
||||||
оценки, которые содержат конкретные крите- |
подход реализован в программе «Кондор», |
||||||
рии, актуальные для данной организации. |
разрабатываемой компанией Digital Security. |
||||||
Оценка критичности активов выпол- |
Вторая группа методов оценки рисков |
||||||
няется по трем классам угроз: конфиденци- |
информационной безопасности базируется на |
||||||
альности, целостности и доступности. Ущерб |
определении вероятности реализации угроз, |
||||||
можно оценивать как количественно (в денеж- |
а также уровней их ущерба. Значение риска |
||||||
ных единицах), так и качественно (в уровнях). |
вычисляется отдельно для каждой угрозы |
||||||
Однако в последнем случае необходимо опре- |
и в общем случае представляется как произ- |
||||||
делить приближенную оценку каждого уровня |
ведение вероятности реализации угрозы на |
||||||
в денежном эквиваленте. |
|
величину возможного ущерба от этой атаки: |
|||||
При этом должен быть оценен каждый |
Риск = Вероятность×Ущерб . |
||||||
из активов: |
|
|
|
|
|||
– информационныеактивыоцениваются |
Значениеущербаопределяетсясобствен- |
||||||
сточкизрениянанесенияорганизацииущерба |
|||||||
ником информационного ресурса, а вероят- |
|||||||
от их рассекречивания, изменения или недо- |
|||||||
ность угрозы вычисляется группой экспертов, |
|||||||
ступности в течение определенного времени; |
проводящих процедуру аудита. Вероятность |
||||||
– программное обеспечение, матери |
|||||||
в данном случае рассматривается как мера |
|||||||
альные |
ресурсы |
и |
сервисы |
оцениваются |
того, что в результате проведения атаки нару- |
||
с точки |
зрения |
их |
доступности или работо- |
||||
способности. Требуется определить ущерб, ко- |
шитель достигнет своей цели и нанесет ущерб |
||||||
компании. |
|||||||
торый понесет организация при нарушении |
|||||||
их функционирования; |
|
В процессе оценки рисков определяются |
|||||
|
угрозы, действующие на активы, а также уяз- |
||||||
– сотрудники |
компании |
оцениваются |
|||||
по угрозам конфиденциальности и целостно- |
вимости ИС, которые могут привести к реали- |
||||||
зации угроз. Угрозы и уязвимости рассматри- |
|||||||
сти с учетом их прав доступа на чтение и ре- |
ваются только во взаимосвязи друг с другом. |
||||||
дактирование к информационным ресурсам. |
Угроза,которуюневозможнореализоватьиз-за |
||||||
Доступность сотрудников оценивается с точ- |
|||||||
ки зрения их отсутствия на рабочем месте, т.е. |
отсутствия уязвимостей, не может быть реали- |
||||||
зована. Также необходимо определить, какие |
|||||||
определяется ущерб, |
который |
понесет орга- |
|||||
низация при отсутствии сотрудника в течение |
угрозы и уязвимости наиболее актуальны для |
||||||
данной организации, а какие менее значимы, |
|||||||
определенного периода времени. При этом |
|||||||
т.е. определить вероятности реализации угроз |
|||||||
учитываются опыт и квалификация сотрудни- |
|||||||
ка, выполнение им каких-либо специфичных |
через имеющиеся уязвимости в интервале от 0 |
||||||
до 1 (или от 0 до 100%). |
|||||||
операций. |
|
|
|
|
|||
|
|
|
|
Методы обеих групп могут использовать |
|||
Репутация |
организации |
оценивается |
|||||
количественные или качественные шкалы для |
|||||||
в связи с информационными ресурсами, т.е. |
|||||||
определения величины риска информацион- |
|||||||
определяется ущерб, который будет нанесен |
ной безопасности. В первом случае для риска |
||||||
в случае нарушения безопасности информа- |
|||||||
и всех его параметров берутся численные вы- |
|||||||
ции компании. Это особенно важно, если ком- |
ражения. Например, при использовании ко- |
||||||
пания обрабатывает или хранит ценную ин- |
|||||||
формацию своих клиентов. |
|
личественных шкал вероятность проведения |
|||||
|
атаки может выражаться числом в интервале |
||||||
3. Оценка рисков |
|
||||||
|
от 0 до 1, а ущерб от атаки – задаваться в виде |
||||||
На третьем |
этапе работ |
выполняется |
|||||
денежного эквивалента материальных потерь, |
|||||||
анализ собранной информации с целью оцен- |
|||||||
которые может понести организация в случае |
|||||||
ки текущего уровня защищенности ИС орга- |
успешной атаки. При использовании каче- |
||||||
низации. В процессе такого анализа оценива- |
ственных шкал числовые значения заменяют- |
||||||
ются риски информационной безопасности от |
ся на эквивалентные им понятийные уровни. |
||||||
угроз, которым подвержена ИС. Фактически |
|||||||
Каждому понятийному уровню в этом случае |
|||||||
риск представляет собой вероятный ущерб, |
|||||||
будет соответствовать определенный интервал |
|||||||
который понесет организация при реализации |
количественной шкалы оценки. Количество |
||||||
угроз информационной безопасности, завися- |
|||||||
уровней может варьироваться в зависимости |
|||||||
щий от защищенности системы. |
|
от применяемых методик оценки рисков. |
|||||
Обычно выделяют две основные группы |
|||||||
При расчете значений вероятности ата- |
|||||||
методов расчета рисков безопасности. Первая |
|||||||
ки, а также уровня возможного ущерба ис- |
|||||||
группа позволяет определить уровень риска |
|||||||
путем оценки степени соответствия требовани- |
пользуют статистические методы, экспертные |
||||||
оценки или элементы теории принятия реше- |
|||||||
ям и рекомендациям стандартов информаци- |
ний. Статистические методы предполагают |
|
|
47 |
|
|
|
||
Научно-практический журнал. ISSN 1995-5731 |
|||
|
анализ уже накопленных данных о реально случавшихся инцидентах, связанных с нарушением информационной безопасности. На основе результатов такого анализа строятся предположения о вероятности проведения атак и уровнях ущерба от них в других ИС. Однако статистические методы не всегда удается применить из-за недостатка статистических данных о ранее проведенных атаках на ресурсы ИС, аналогичной той, которая выступает в качестве объекта оценки.
При использовании аппарата экспертных оценок анализируются результаты работы группы экспертов, компетентных в области информационной безопасности, которые на основе имеющегося у них опыта определяют количественные или качественные уровни риска. Элементы теории принятия решений позволяют применять более сложные алгоритмы обработки результатов работы группы экспертов для оценки рисков.
Существуют специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных
ирасчета значений рисков при аудите безопасности. Наиболее известные из них – Digital Security Office (включающий средства «Гриф»
и«Кондор»), RiskWatch, CRAMM. Стоимость лицензии на одно рабочее место составляет от 1000 дол. для программ Digital Security, до 10000 дол. для комплекса RiskWatch.
4.Управление рисками и формирование отчетности
На четвертом этапе по результатам проведенного анализа разрабатываются рекомендации по повышению уровня защищенности ИС предприятия от наиболее опасных угроз информационной безопасности. Такие рекомендации включают в себя различные типы действий, направленных на минимизацию выявленных рисков, основными из которых являются:
– снижение рисков; – уклонение от рисков; – передача рисков; – принятие рисков.
Уменьшение риска осуществляется за счет выбора и внедрения дополнительных организационных или технических средств защиты, позволяющих снизить вероятность реализации угрозы или уменьшить возможный ущерб от нее.
Уклонение от риска – это полное устранение источника риска путем изменения архитектуры или схемы информационных потоков ИС, что позволяет полностью исключить реализацию той или иной угрозы. Например, физическое отключение от Интернета сегмен-
та ИС, в котором обрабатывается конфиденциальная информация, позволит избежать внешних атак на нее.
Передача риска – перенесение ответственности за риск на третьи лица (например, поставщика средств защиты или страховую компанию). В настоящее время ряд российских компаний уже предлагают услуги страхования информационных рисков.
Принятие рискаосуществляется в том случае, если его уровень признается приемлемым, т.е. организация не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб.
Впроцессе управления рисками сначала требуется определить, какие из них требуют дальнейшей обработки, а какие можно принять. Обычно рекомендации направлены не на полное устранение всех выявленных рисков, а лишь на их уменьшение до приемлемого уровня. Риски, не превышающие приемлемый уровень, можно принять. Приемлемый уровень риска определяется руководством организации или специальной группой, в которую входят представители руководства.
Выбор мероприятий по управлению рисками должен основываться на соотношении стоимости их реализации к эффекту от снижения рисков и возможным убыткам в случае нарушения безопасности. Также следует принимать во внимание факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации.
Взавершение данного этапа его результаты оформляются в виде документа «Отчет об обработке информационных рисков», который описывает выбранные способы обработки рисков. Кроме этого, составляется «План снижения рисков», где подробно описываются конкретные меры по снижению рисков, и назначаются сотрудники, ответственные за выполнение каждого мероприятия в течение определенного срока.
Вобщем случае, этот документ состоит из следующих основных разделов:
– описание границ, в рамках которых проводился аудит безопасности;
– описание структуры ИС заказчика; – методы и средства, которые использо-
вались в процессе проведения аудита; – описание выявленных уязвимостей
и недостатков, включая уровень их риска; – рекомендации по совершенствованию
комплексной системы менеджмента информационной безопасности;
– предложения к плану реализации первоочередных мер, направленных на уменьшение выявленных рисков.
48 |
Информационная безопасность регионов. 2008. № 2 (3) |
|
Данный документ является итоговым |
повышению уровня информационной безо- |
||
решением относительно снижения информа- |
пасности компании. |
||
ционных рисков компании. Он является осно- |
|
|
|
вой для разработки и утверждения политики |
Библиографический список |
||
информационной безопасности и соответству- |
1. ГОСТ ИСО/МЭК 27001–2005. Ин |
||
ющих ей нормативных и организационно- |
формационные |
технологии. Методы защиты. |
|
распорядительных документов [6]. |
Системы менеджмента защиты информации. |
||
Таким образом, аудит информационной |
Требования. – М.: Технорматив, 2006. |
||
безопасности является одним из наиболее эф- |
2. ГОСТ Р ИСО/МЭК 17799–2005. |
||
фективных инструментов для получения не- |
Информационная технология. Практические |
||
зависимой и объективной оценки текущего |
правила управления информационной безо- |
||
уровня защищенности предприятия от угроз |
пасностью. – М.: Стандартинформ, 2006. |
||
информационной безопасности. Он позволяет |
3. ГОСТ Р 51897–2002. Менеджмент |
||
поддерживать необходимый уровень защиты |
риска. Термины и опеределения. – М.: Стан |
||
всех информационных активов компании (т.е. |
дартинформ, 2003. |
||
существенно снизить риск нанесения ущерба |
4. Курило А.П. Аудит информацион |
||
организации из-за нарушения ИБ), а также |
ной безопасности [Текст]. – М.: БДЦ-пресс, |
||
удостовериться, что меры и средства защиты |
2006. – ISBN 5-93306-100-X. |
||
информации являются адекватными и про- |
5. Губенков А.А. Информационная |
||
порциональными возможному ущербу. Кроме |
безопасность |
[Текст] : учеб. пособие. – М.: |
|
того, результаты аудита дают основу для фор- |
Новый издательский дом, 2005. – ISBN 5-9643- |
||
мирования стратегии построения системы |
0091-X. |
|
|
менеджмента информационной безопасности |
6. Шнайер Б. Секреты и ложь. |
||
в организации. Следует отметить, что аудит |
Безопасностьданныхвцифровоммире [Текст]. |
||
безопасности должен проводиться на регуляр- |
– СПб.: Питер, 2003. – ISBN 5-318-00193-9. |
||
ной основе. Только в этом случае аудит будет |
|
|
|
приносить реальную отдачу и способствовать |
|
|
|
КНИЖНАЯ ПОЛКА
Компьютерно-техническая экспертиза. Научно-практический журнал.
– ISSN 1996-188X
Представляем журнал наших коллег «Компьютерно-техни ческая экспертиза».
Раскрытие и расследование преступлений, сопряженных с применением компьютерных средств, не может быть осуществлено без использования специальных знаний в области современных информационных технологий. Основной процессуальной формой использования специальных знаний по указанным делам является судебная экспертиза – экспертные исследования обеспечивают получение результатов, имеющих наибольшее доказательное значение при исследовании как аппаратных средств, так и компьютерного (информационного) программного обеспечения и программных продуктов.
В настоящее время судебная компьютерно-техническая экспертиза находится в стадии становления и является формиру-
ющимся родом судебной экспертизы. Внести свой вклад в ее решение, выработку правовых, процессуальных, методических и организационных основ судебной экспертизы в сфере современных компьютерных (информационных) технологий призван научно-практический журнал «Компьютерно-техническая экспертиза».
|
|
49 |
|
|
|
||
Научно-практический журнал. ISSN 1995-5731 |
|||
|
НЕЧЕТКОЕ И/ИЛИ-ДЕРЕВО ДЕДУКТИВНОГО ВЫВОДА
© Фатхи |
© Фатхи |
Дмитрий Владимирович |
Денис Владимирович |
кандидаттехническихнаук,преподавателькафедры информационного обеспечения ОВД Ростовского юридического института МВД России
кандидат технических наук, научный сотрудник Ростовского военного института ракетных войск
© Дружбин Олег Сергеевич
(863-2) 787-669 |
(863-2) 451 151 |
ttfet@mail.ru |
ttfet@mail.ru |
инженер Ростовского военного института ракетных войск
(863-2) 451 151
Встатье рассматриваются И/ИЛИ–деревья как один из универсальных способов дедуктивного вывода знаний в интеллектуальных системах информационной безопасности. Приводится пример их модификации для применения в нечетком процессе вывода знаний.
Ключевые слова: и/или-дерево, дедуктивный вывод.
Одним из универсальных способов дедуктивного вывода знаний в интеллектуальных системах информационной безопасности являются И/ИЛИ–деревья [1]. Рассмотрим
их модификацию для применения в нечетком процессе вывода знаний.
Известенпримердедуктивноговывода[2].Дедуктивныйвывод G' из F поправилу F →G записывается в виде
F→G
F'
G'
Множества F,G,F',G' не обязательно совпадают. Если они близки друг другу, то их можно более или менее сопоставить и получить вывод в сфере их совпадения.
Согласно теории, процесс нечеткого вывода состоит в следующем [3]. Сначала определяется нечеткое отношение из правила F →G . При этом построение нечеткого отношения и соответствующей проблемной области (полного множества U ) в другую область (полное множество V ) осуществляется по формуле R = F ×G :
l m
R = ∑∑mR (ui ; v j ) /( ui ; v j ),
i=1 j=1
где U ={u1,u2 ,...,ul }; V ={v1,v2 ,...,vm }. .
Вывод G' определяется из свертки max−min нечеткого множества F' и отношения R :
m
G' = F '•R = ∑i=1 ui U (mF ' (ui ) mR (ui ,v j ) / v j ,
где F,F ' U ,G,G' V .
Для примера U и V взяты из области натуральных чисел от 1 до 4.
U =V ={1,2,3,4} ;
50 |
Информационная безопасность регионов. 2008. № 2 (3) |
|