EnglishНа русском

Ефективна економіка № 8, 2015

УДК 004.9

 

Д. О. Сікорський,

аспірант, Київський національний університет імені Тараса Шевченка, м. Київ

 

АНАЛІЗ ПРИНЦИПІВ ПОБУДОВИ МОДЕЛЕЙ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ В КОРПОРАТИВНИХ ІНФОРМАЦІЙНИХ СИСТЕМАХ

 

D. O. Sikorskyi,

PhD-student, Taras Shevchenko Kyiv National University, Kyiv

 

ANALYSIS OF THE PRINCIPLES OF BUILDING OF INFORMATION SECURITY MODELS IN CORPORATE INFORMATION SYSTEMS

 

В статті узагальнено основні етапи розробки ефективної моделі інформаційної безпеки інформаційної системи. В роботі описані принципи побудови моделей оцінювання інформаційних ризиків в корпоративних інформаційних системах. Визначено етапи побудови організаційної політики безпеки.

 

The paper summarizes the main stages of effective model developing of information security in information system. This study describes how to build a model for information risks evaluation in corporate information systems. The stages of organizational security policy building are defined.

 

Ключові слова: інформаційна безпека, інформаційний ризик, міжнародний стандарт з інформаційної безпеки.

 

Keywords: information security, information risk, international standard for information security.

 

 

Постановка проблеми

Підвищені вимоги до інформаційної безпеки припускають відповідні заходи на всіх етапах життєвого циклу інформаційних технологій. Мета процесу оцінювання ризиків полягає у визначенні їх характеристик в інформаційній системі та її ресурсах. На основі таких даних вибирають необхідні засоби управління інформаційною безпекою.

Аналіз останніх джерел досліджень і публікацій

Тематика забезпечення інформаційної безпеки знайшла своє відображення в працях Герасименко В О, Зегжда П. Д., Ліпаєва В. В., Мун С., Стенг Д. І. та інших. Математичні методи ті інструментарій економіко-математичного моделювання в ризикології представлені в роботах Верченко П. І., Вітінського В. В., Галіцина В. К., Клебнової Т. С., Клейнера Г. Б., Матвійчука А. В. та інших.

Найбільша увага науковців приділяється розвитку механізмів забезпечення інформаційної безпеки, що ґрунтується на використанні апаратних, програмних та криптографічних засобів захисту. В той самий час залишається нерозвиненою методологія оцінювання безпеки інформації з позиції досягнення кінцевої мети бізнесу та застосування економічних методів управління інформаційними ризиками.

Поки що не створена цілісна концепція аналізу та управління інформаційними ризиками, в якій би з системних позицій розглядалися всі складові якості і безпеки інформації, що впливають на ефективність її використання в бізнес-процесах.

Наявні методи і засоби аналізу інформаційних ризиків не синтезовані в рамках єдиної методології і можуть застосовуватись, як правило, тільки для дослідження окремих питань безпеки і якості інформації.

Постановка завдання

Метою даної роботи є аналіз принципів побудови моделей оцінювання інформаційних ризиків в корпоративних інформаційних системах

Виклад основного матеріалу дослідження

При аналізі інформаційних ризиків необхідно використовувати моделі системи інформаційної безпеки, засновані на міжнародних стандартах. Розглянемо певну модель, побудовану відповідно до стандарту (ISO 15408 "Загальні критерії оцінки безпеки інформаційних технологій") і даних аналізу ризиків (ISO 17799 "Стандарт побудови ефективної системи безпеки"). Ця модель відповідає спеціальним нормативним документам із гарантування інформаційної безпеки, прийнятих в Україні, міжнародному стандарту ISO/IEC 15408 "Інформаційна технологія - методи захисту, критерії оцінки інформаційної безпеки", стандарту ISO/IEC 17799 "Управління інформаційною безпекою" і враховує тенденції розвитку вітчизняної нормативної бази з питань інформаційної безпеки.

Деталізований опис загальної мети побудови системи безпеки об'єкта замовника виражається сукупністю чинників або критеріїв, які уточнюють мету. Сукупність чинників є основою визначення вимог до системи (вибір альтернатив).

На рис. 1 модель інформаційної безпеки відображує сукупність об'єктивних зовнішніх і внутрішніх чинників та їх вплив на стан інформаційної безпеки на об'єкті і на збереження матеріальних або інформаційних ресурсів. Чинники безпеки можна поділити на технологічні, технічні й організаційні.

 

Модель системи безпеки підприємства в інформаційній сфері

Рис. 1. Модель системи безпеки підприємства в інформаційній сфері

 

У процесі оцінки інформаційної системи та необхідно визначити ресурси інформаційної системи. При цьому необхідно розділити ці ресурси і зовнішні елементи, з якими здійснюється взаємодія. Ресурсами можуть бути засоби обчислювальної техніки, програмне забезпечення, дані. Прикладами зовнішніх-елементів є мережі зв'язку та інші засоби.

Визначення взаємозв’язків між ресурсами є основою побудови моделі організації з огляду на інформаційну безпеку.

Об'єктивні чинники моделі:

‑ загрози інформаційній безпеці підприємства, що характеризуються вірогідністю реалізації;

‑ вразливі місця інформаційної системи або системи контрзаходів (системи інформаційної безпеки);

‑ ризик - чинник, що відображує можливий збиток організації в результаті реалізації загрози інформаційної безпеки: просочування інформації та її неправомірного використання (ризик відображає вірогідні фінансові втрати - прямі або непрямі).

Принципами побудови збалансованої системи інформаційної безпеки підприємства є:

‑ аналіз ризиків у сфері інформаційної безпеки,

‑ визначення оптимального рівня ризику для підприємства на основі заданого критерію,

‑ вибір таких контрзаходів, які можуть забезпечити досягнення заданого рівня ризику.

Дана методика дає змогу проаналізувати вимоги щодо гарантування інформаційної безпеки підприємства. Для досягнення поставленої мети необхідне вирішення певних завдань:

‑ розподілення інформації за рівнями доступу;

‑ прогнозування і своєчасне виявлення загроз безпеці інформаційних ресурсів,

‑ створення умов, при яких найменш вірогідна загроза безпеці інформаційних ресурсів;

‑ створення механізму і умов оперативного реагування на загрози інформаційній безпеці, забезпечення проведення робіт в короткі терміни;

‑ створення механізму і умов для максимально можливого відшкодування і локалізації збитку, завданого неправомірними діями фізичних і юридичних осіб;

‑ забезпечення оптимального вибору заходів протидії;

‑ оцінити ефективність контрзаходів, порівняти різні їх варіанти.

На основі побудованої моделі можна обґрунтовано вибрати систему контрзаходів, які здатні знизити ризики до допустимих рівнів. Обов’язковим елементом контрзаходів повинна бути регулярна перевірка ефективності системи, перевірка відповідності існуючого режиму інформаційної безпеки політиці безпеки, перевірка відповідності сертифікації інформаційної системи (технології) на відповідність вимогам певного стандарту безпеки.

Отже, першим етапом побудови моделі інформаційної безпеки є оцінювання ризику. Мета процесу оцінювання ризиків полягає у визначенні їх характеристик в інформаційній системі та її ресурсах. На основі таких даних вибирають необхідні засоби управління інформаційною безпекою.

Ризик - це небезпека, якій може піддаватися система і організація, що використовує її. Він залежить від: показників цінності ресурсів, вірогідності завдання збитку ресурсам (що виражається через вірогідність реалізації загроз для ресурсів), ступеня легкості, від якого системи захисту вразливості можуть бути використані при виникненні загроз, існуючих або планованих засобів забезпечення інформаційної безпеки.

Процес оцінювання ризиків складається з кількох етапів: опис об'єкта і заходів захисту; ідентифікація ресурсу та оцінювання його кількісних показників (визначення потенційної негативної дії на бізнес); аналіз загроз інформаційній безпеці; оцінювання слабких місць; оцінювання існуючих і перспективних засобів гарантування інформаційної безпеки; оцінювання ризиків.

На етапі побудови профілю захисту розробляють план проектування системи захисту інформаційного середовища замовника; оцінюють доступні засоби, здійснюють аналіз і планують розроблення й інтеграцію засобів захисту. Необхідним елементом роботи є вимога замовника до допустимого рівня ризику.

Перед розробкою системи технічних рішень необхідно розробити організаційну політику безпеки. Ця політика, перш за все, повинна описувати порядок надання і використання прав доступу користувачів.

Побудова організаційної політики безпеки складається з декількох етапів:

‑ внесення до опису об'єкта автоматизації структури цінності і проведення аналізу ризиків;

‑ визначення правил будь-якого процесу користування цим видом доступу до ресурсів об'єкта автоматизації, що мають цей ступінь цінності.

Всі вимоги до функцій безпеки можна поділити на два типи: управління доступом до інформації і управління потоками інформації.

На цьому етапі потрібно правильно визначити для обєкта компоненти функцій безпеки. Компонент функції безпеки описує певний набір вимог безпеки - найменший вибраний набір вимог безпеки для введення у профіль захисту. Між компонентами можуть існувати залежності.

Структура вимог гарантії досягнутої захищеності  аналогічна структурі функціональних вимог і охоплює класи, групи, компоненти й елементи гарантій, а також рівні гарантії. Класи і групи гарантування відображають такі питання, як розроблення, управління конфігурація, робоча документація, підтримка етапів життєвого циклу, тестування, оцінка уразливості та ін.

Вимоги гарантування захисту виражаються оцінкою функцій служби інформаційної безпеки об'єкта. Таку оцінку роблять на рівні окремого механізму захисту, що дає змогу визначити здатність відповідної функції безпеки протистояти ідентифікованим загрозам. Залежно від відомого потенціалу нападу сила функції захисту визначається, наприклад, категоріями "базова", "середня", "висока".

Потенціал нападу визначають за допомогою експертизи можливостей, ресурсів і мотивів нападаючого. Пропонується використовувати зведення рівнів гарантованості захисту. Рівні гарантії мають ієрархічну структуру, де кожен наступний рівень надає гарантії і включає всі вимоги попереднього.

Перелік вимог до системи інформаційної безпеки, ескізний проект, план захисту (далі - технічна документація, ТД) - це вимоги безпеки інформаційного середовища об'єкта замовника, які можуть містити посилання на відповідний профіль захисту, а також чітко сформульовані вимоги.

У загальному вигляді ТД передбачає:

‑ уточнення функцій захисту;

‑ вибір архітектурних принципів побудови системи інформаційної безпеки;

‑ розроблення логічної структури системи інформаційної безпеки (чіткий опис інтерфейсів);

‑ уточнення вимог функцій забезпечення гарантоздатності системи інформаційної безпеки;

‑ розроблення методики і програми випробувань на відповідність сформульованим вимогам.

На етапі оцінки досягнутої захищеності оцінюють рівень гарантування безпеки інформаційного середовища об'єкта автоматизації на основі оцінки, за якої після виконання рекомендованих заходів можна довіряти інформаційному середовищу об'єкта.

Базові положення цієї методики припускають, що ступінь гарантування залежить від ефективності зусиль, докладених до оцінювання безпеки. Збільшення цих зусиль означає:

‑ значну кількість елементів інформаційного середовища об'єкта, що беруть участь у процесі оцінювання;

‑ розширення типів проектів і описів деталей виконання під час проектуванні системи гарантування безпеки;

‑ суворість проведення робіт, яка полягає у застосуванні більшої кількості інструментів пошуку і методів виявлення менш очевидних слабких місць або зменшення вірогідності їх наявності.

Висновки

Загалом розглянута вище методика дає змогу оцінити або переоцінити поточний стан інформаційної безпеки підприємства, виробити рекомендації щодо її гарантування (підвищення), знизити потенційні втрати підприємства (організації) підвищенням стійкості функціонування корпоративної мережі, розробити концепцію і політику безпеки підприємства, а також запропонувати плани захисту його конфіденційної інформації, що передається відкритими каналами зв'язку, захисту інформації підприємства від умисного спотворення (руйнування), несанкціонованого доступу до неї, її копіювання або використання.

 

Література.

1. Вітлінський, В. В. Ризикологія в економіці та підприємництві [Текст] / В. В. Вітлінський, Г. І. Великоіваненко. – К.: КНЕУ, 2004. – 480 с.

2. Завгородний, В. И. Системный анализ информационных рисков [Текст]/ В. И. Завгородний // Вестник Финансовой академии. № 4, 2008. – С. 102–109.

3. 3егжда, П. Д. Теория и практика обеспечения информационной безо­пасности [Текст] / П. Д. Зегжда. – М.: Яхтсмен, 1996. – 192 с.

4. Клименюк, М. М. Управління ризиками в економіці: Навч. посіб. для студ. вищ. навч. закл. [Текст] / М. М. Клименюк, І. А. Брижань; Акад. муніцип. упр. – К., 2000. – 253 с.

5. Ортинський, В. Л. Економічна безпека підприємств, організацій та установ [Електронний ресурс] /В. Л. Ортинський // Модель побудови системи інформаційної безпеки. – Режим доступу: http://westudents.com.ua/glavy/16530-model-pobudovi-sistemi-nformatsyno-bezpeki.html

 

References.

1. Vitlinskyi, V. V. (2004), Ryzykolohiia v ekonomitsi ta pidpryemstvi [The risk in the economy and entrepreneurship], KNEU, Kyiv, Ukraine.

2. Zavgorodnii, V. I. (2008), "System analysis of information risks", Vestnik Finansovoi akademii, vol. 4, pp 102-109.

3. Zehzhda, M. M. (2000), Teoriya i praktika obespecheniya informatsionnoi bezopasnosti [Theory and practice of information security], Yahtsmen, Moskva, Russia.

4. Klymenuk, M. M. and Bruzhan, I. A. (2000), Upravlinnia ryzykamy v ekonomitsi [Risk Management economy], Akad. munits. upr, Kyiv, Ukraine.

5. Ortynskyi, V. L. (2009), “Ekomomiichna bezpeka pidpryemstv, oshanizatsii ta ustanov” [The economic security of enterprises, organizations and agencies], available at: http://westudents.com.ua/glavy/16530-model-pobudovi-sistemi-nformatsyno-bezpeki.html (Accessed 21 April 2015).

 

Стаття надійшла до редакції 17.08.2015 р.