WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

загрузка...
   Добро пожаловать!

Pages:     || 2 | 3 | 4 | 5 |

На правах рукописи


Львова Анастасия Владимировна

МЕТОД АНАЛИЗА И УПРАВЛЕНИЯ РИСКАМИ БЕЗОПАСНОСТИ ЗАЩИЩЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Специальности

05.13.01 – Системный анализ, управление и обработка информации

(энергетика, приборостроение, информатика, производственные процессы)

05.13.19 – Методы и системы защиты информации, информационная

безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени

кандидата технических наук

Москва 2009

Работа выполнена в Московском энергетическом институте (техническом университете) на кафедре Управления и информатики.

Научный руководитель

доктор технических наук,

профессор Бородюк Виталий Павлович

Официальные оппоненты

доктор технических наук,

профессор Мельников Юрий Николаевич

кандидат технических наук

Тульский Сергей Александрович

Ведущая организация

Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации (ВНИИПВТИ)


Защита состоится 14 мая 2009 г. в 16 час. 00 мин. на заседании диссертационного совета Д 212.157.08 при Московском энергетическом институте (техническом университете) по адресу:

Москва, ул. Красноказарменная, д.14 в Малом актовом зале МЭИ.

С диссертацией можно ознакомиться в библиотеке МЭИ (ТУ).

Отзывы на автореферат в двух экземплярах, заверенные печатью, просим направлять по адресу: 111250, Москва, ул. Красноказарменная, д. 14, Ученый совет МЭИ (ТУ).

Автореферат разослан “___” ___________ 2009 г.

Ученый секретарь

диссертационного совета Д 212.157.08,

кандидат технических наук, доцент

Анисимов Д.Н.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность проблемы

В настоящее время организация эффективной системы защиты информационной системы становится критически важным стратегическим фактором развития любой компании. По сути, информация является одним из ключевых элементов бизнеса. При этом под информацией понимаются не только статические информационные ресурсы (базы данных, текущие настройки оборудования и другие), но и динамические информационные процессы обработки данных.

Главной целью любой системы защиты является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов организации от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений.

При разработке системы защиты необходимо решить целый ряд задач, среди которых можно назвать классифицирование информации и отнесение ее к категории ограниченного доступа, прогнозирование и своевременное выявление угроз безопасности, создание механизма и условий оперативного реагирования на угрозы ИБ, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств, обеспечение максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, повышение экономической эффективности системы защиты, соизмерение выделяемых средств с коммерческой ценностью закрываемой информации.

Информационная среда организации, вне зависимости от своего состава, должна предусматривать систему защиты. Однако затраты на обеспечение высокого уровня безопасности могут быть неоправданны. Нахождение разумного компромисса и выбор приемлемого уровня защиты при допустимых затратах является важным условием постановки задачи обеспечения ИБ. Для решения этого вопроса необходимо проводить анализ рисков ИБ, позволяющий оценить существующий уровень защищенности ресурсов организации. Значение риска, являющееся произведением вероятности реализации угрозы по отношению к защищаемому ресурсу на ущерб от реализации данной угрозы, служит показателем полноты, комплексности и эффективности системы ИБ организации, а также позволяет выявить ее слабые места.

Существуют различные способы проведения оценки рисков. Они отличаются методами оценивания их составляющих - вероятности и ущерба. Наиболее распространено использование экспертных оценок в совокупности с балльными шкалами значений, что затрудняет трактовку результатов расчетов. Эффективность анализа рисков снижает также рассмотрение типовых угроз ИБ применительно к конкретной организации с характерными для нее информационными ресурсами. В связи с этим обстоятельством актуальной является задача разработки метода анализа и управления рисками, опирающегося на показатели, пригодные для количественной экспертной оценки. При этом оценки необходимо получать в денежном выражении, что позволило бы использовать строгие формулы для расчетов и адекватно интерпретировать результаты.

Важным также является вопрос, какой объем средств следует тратить на внедрение, поддержание и модификацию системы ИБ организации. Для ответа на него необходимо использовать некоторый показатель экономической эффективности для оценки выгоды по отношению к затратам. При этом возникает ряд трудностей с интерпретацией экономических показателей для области ИБ. Решение вопроса формирования адекватного показателя экономической эффективности системы защиты, удобного для оценивания, является на сегодняшний день актуальным.

Объект и предмет исследования

Объектом исследования в диссертации является класс систем информационной безопасности крупных коммерческих организаций, для которых существует потребность построения (адаптации) системы ИБ адекватно конкретным угрозам.

Предметами исследования являются:

  • процессы управления информационной безопасностью организации;
  • теоретические подходы к анализу рисков ИБ;
  • инструментальные средства анализа и управления рисками ИБ;
  • способы оценки экономической эффективности систем ИБ.

Целью диссертации является разработка метода анализа и управления рисками безопасности с возможностью оценки экономической эффективности системы защиты и вариантов ее модификации.

Для реализации поставленной цели с учетом анализа открытых литературных источников были поставлены и решены следующие основные задачи:

  1. Сравнительный анализ основных стандартов, подходов к решению задачи анализа и управления рисками безопасности, критериев оценки экономической эффективности системы защиты, используемых инструментальных программных средств. Выявление ограничений в применении рассмотренных подходов и решений.
  2. Разработка метода анализа и управления рисками с учетом выявленных недостатков существующих подходов и решений.
  3. Разработка показателя оценки экономической эффективности затрат на создание и эксплуатацию системы защиты и вариантов ее модификации.
  4. Реализация разработанных подходов в виде программной инструментальной системы.
  5. Внедрение инструментальной системы в рамках информационно-вычислительной сети МЭИ (ТУ).

Методы исследования.

Для решения поставленных задач использовались математические модели оценки рисков, рентабельности, теории информации, теории множеств, методы объединения экспертных оценок. При разработке программной реализации инструментальной системы применялись технологии информационного поля, унифицированный язык моделирования данных UML, объектно-ориентированное проектирование и программирование.

Достоверность результатов.

Обоснованность научных положений, выводов и рекомендаций, сформулированных в диссертации, подтверждается:

  • непротиворечивостью исходных предпосылок получения конечного результата – показателя рентабельности системы ИБ, выраженного через риски;
  • результатами внедрения разработанного метода анализа и управления рисками на ИВС МЭИ (ТУ), подтверждающими, что результаты использования метода совпадают с экспертной оценкой специалистов;
  • апробацией полученных результатов среди квалифицированных специалистов на семинаре Института проблем информационной безопасности МГУ (ноябрь 2007 г.) и на седьмой общероссийской научной конференции «Математика и безопасность информационных технологий» (МаБИТ-2008) (Москва, МГУ, октябрь 2008 г.)

Научная новизна.

  1. Предложен новый метод анализа и управления рисками безопасности информационной системы. Метод оперирует данными только по конкретным (реально действующим) противникам организации с учетом их возможностей, намерений, мотивации на реализацию угроз, что позволяет повысить достоверность исходных данных и результатов анализа.
  2. Проведена классификация и описание типовых информационных носителей и нарушителей ИБ с указанием возможных способов реализации угроз нарушения конфиденциальности, целостности, доступности по отношению к защищаемой информации, а также вариантов противодействия, что позволяет аналитику более полно описывать угрозы реально действующего противника.
  3. В качестве оценки выгоды от функционирования системы защиты предложен показатель нериска как произведение вероятности нереализации угрозы на ущерб от ее реализации. Показатель позволяет оценивать экономический эффект на основе имеющихся данных без проведения дополнительного анализа.
  4. На основе показателя нериска разработан показатель оценки экономической эффективности системы защиты в виде рентабельности, который позволяет учитывать специфические параметры функционирования системы ИБ и действий конкретных противников.

Практическая значимость работы.

Разработанный метод анализа и управления рисками может быть использован любой организацией для контроля и управления защищенностью значимых ресурсов, но в первую очередь метод ориентирован на применение в крупных коммерческих организациях, имеющих службу ИБ, и заинтересованных в нахождении компромисса между затратами, выделяемыми на защиту, и достигаемым уровнем безопасности.

Метод реализован в виде инструментальной системы, которая дает возможность специалистам по информационной безопасности организации:

  • проводить накопление статистики инцидентов в области ИБ;
  • описывать структуру информационной системы организации и моделировать различные варианты системы защиты;
  • оценивать риски ИБ организации на основе статистических данных и экспертных оценок, обрабатываемых с использованием метода групповой оценки объектов;
  • оценивать экономическую эффективность системы ИБ, используя показатель рентабельности.

Использование результатов диссертации. На основе разработанного метода анализа и управления рисками, а также показателя оценки экономической эффективности разработана инструментальная система. Данная система внедрена в рамках информационно-вычислительной сети МЭИ (ТУ). Использование результатов диссертации подтверждает акт об использовании.

Апробация работы. Основные результаты работы докладывались и обсуждались на XIV Международной конференции «Информационные средства и технологии» (Москва, МЭИ (ТУ), октябрь 2006 г.), на семинаре Института проблем информационной безопасности МГУ (ноябрь 2007 г.), на XVII Международном научно-техническом семинаре (Алушта, сентябрь 2008 г.), на седьмой общероссийской научной конференции «Математика и безопасность информационных технологий» (МаБИТ-2008) (Москва, МГУ, октябрь 2008 г.).

Публикации. По результатам диссертационного исследования опубликованы шесть печатных работ, в том числе две в журнале «Вестник МЭИ», включенном в перечень ведущих рецензируемых научных журналов ВАК РФ. В публикациях, написанных в соавторстве, автору принадлежат основные результаты.

Структура и объем диссертации. Диссертация состоит из введения, четырех глав с выводами к ним, заключения, списка литературы и приложения. Основной текст работы изложен на 168 страницах машинописного текста и включает 12 рисунков и 31 таблицу. Список литературы содержит 104 источника. Объем приложения составляет 30 страниц.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность решаемой в диссертации научно-технической проблемы, сформулированы цель и задачи исследования, научная новизна и практическая ценность проведенных исследований.

В первой главе содержится обзор стандартов, теоретических подходов к анализу рисков, показателей экономической эффективности систем ИБ, а также инструментальных средств анализа рисков, существующих на рынке. К наиболее популярным стандартам в области ИБ можно отнести ISO/IEC 17799:2005, BSI, NIST SP 800-30, ГОСТ Р ИСО/МЭК 17799, BS 7799 – 1, 2, 3.

Pages:     || 2 | 3 | 4 | 5 |






© 2011 www.dissers.ru - «Бесплатная электронная библиотека»