УДК 004.342.4

РАЗРАБОТКА РИСК - ОРИЕНТИРОВАННОЙ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Атымтаева Б.М.

Студент, Евразийский национальный университет им. Л.Н. Гумилева, Астана Научный руководитель – Ким Е.Р.

В настоящее время для организаций огромную роль играет информационная безопасность. Информационные активы организации подвержены различного рода атакам, использующим уязвимости операционных систем и программного обеспечения компьютеров.

Лучшие мировые практики и ведущие международные стандарты в области информационной безопасности для эффективного управления безопасностью информационной системы требуют внедрения системы анализа и управления рисками [1-2].

В данной работе разрабатывается риск–ориентированная система управления информационной безопасностью (СУИБ) информационной системы, задачами которой являются анализ рисков, связанных с функционированием информационной системы и определение рекомендаций по снижению рисков.

Для идентификации угроз и уязвимостей используется экспертный опрос на основе реестра вопросов по уязвимостям и угрозам для каждого отдела с несколькими ответами, имеющие определенные веса.

Основными модулями проектируемой риск - ориентированной СУИБ являются:

Модуль «Организация и информационные активы», в котором предполагается создание вкладок «Структура организации», с описаниями ее отделов, к каждому из которых привязывается свой охраняемый информационный актив с соответствующими ему угрозами и уязвимостями, так же предусмотрена коррекция баз данных структуры организации и ее активов. Данный модуль находится на стадии проектирования и отладки.

Модуль «Анализ», в котором и производится экспертный опрос, идентифицирующий угрозы, уязвимости организации, а так же предусматривается количественная и качественная оценка рисков с отчетом и мерами по их снижению [3-4]. В данном модуле реализованы следующие этапы анализа рисков:

1. Определение структуры организации.

Структура организации представляется в СУИБ в виде дерева отделов. К каждому отделу при этом привязываются определенные информационные активы.

2. Определение информационных активов.

К информационным активам организации привязываются соответствующие угрозы, к которым привязаны уязвимости, затем меры. Предполагается, что реестр информационных активов может пополняться непосредственно на форме.

3. Идентификация уязвимостей.

4. Идентификация угроз.

5. Количественный анализ.

Для количественной оценки рисков использована классическая формула (1).

Р = В(У) * К_а (1)

118

где Р – риск информационной безопасности организации;

В(У) – вероятность реализации уязвимости; К_а – критический уровень информационного актива [3].

Для определения количественной оценки риска применяется аппарат теории нечеткой логики. Каждый ответ при опросе (идентификации угроз и уязвимостей) имеет «вес» в интервале от 0 до 1. Механизм оценивания рисков на основе нечеткой логики по существу является экспертной системой, в которой базу знаний составляют правила, отражающие логику взаимосвязи входных величин и риска. В простейшем случае это «табличная» логика, в общем случае более сложная логика, отражающая реальные взаимосвязи, которые могут быть формализованы с помощью продукционных правил вида «Если ..., то» [1-3].

Количественная оценка проводится для одного информационного актива.

6. Качественный анализ.

Для качественной оценки рисков используется вышесказанный метод нечеткой логики, а именно при определении степени риска: высокого, среднего, низкого.

 высокая степень опасности: уязвимости, которые позволяют осуществить удаленную компрометацию системы. 

  средняя степень опасности: уязвимости, которые позволяют провести удаленный отказ в обслуживании, неавторизованный доступ к данным или выполнение произвольного кода при непосредственном взаимодействии с пользователем (например, через подключение 

к злонамеренному серверу уязвимым приложением);

 низкая степень опасности: уязвимости, эксплуатируемые локально, а также уязвимости, эксплуатация которых затруднена или которые имеют минимальное воздействие (например, XSS, отказ в обслуживании клиентского приложения). 



7. Меры и рекомендации.

8. Отчет.

Предполагается проектирование системы таким образом, чтобы пользователь имел возможность сравнения предыдущих анализов информационных систем организации. Эта информация сохраняется в отчете, в котором указывается дата анализа [4-5].

Регулярная переоценка рисков позволит поддерживать данные о безопасности ИС организации в актуальном состоянии, оперативно выявлять новые опасные риски и нейтрализовывать их экономически целесообразным образом.

Литература

1. Джеймс К. Фостер, Винсент Лю. Разработка средств безопасности и эксплойтов – М.:

Издательство «Русская редакция»; СПб.: Питер, 2007.

2. Кевин И. Сонг (Kevin X. Song). Азбука сетевой безопасности - М.: Издательство «Русская редакция»; СПб.: Питер, 2008.

3. Батыршин И.З. Основные операции нечеткой логики и их обобщения – Казань:

Отечество, 2001.

4. Информационный портал в области защиты информации и новых технологий – www.securitylab.ru.

5. Официальный сайт компании GlobalTrust Solutions – www.globaltrust.ru.