Актуальность публикации вызвана вниманием к проблеме формирования достоверных результатов измерения (оценки) результативности систем менеджмента информационной безопасности (СМИБ). Лица, принимающие решения, должны оперировать достоверными результатами выполнения измерений результативности СМИБ, основанными на объективных количественных метриках ИБ. Известные способы оценки систем безопасности представляются без учета требований цикла PDCA и отдельно от общих требований, предъявляемых непосредственно к СМИБ. Выполненное исследование применимых стандартов (ISO, NIST, ГОСТ) и существующей практики дало возможность предложить методику формирования метрик ИБ, позволяющую оценить численно результативность СМИБ. В качестве методической базы для выбора метрик ИБ применяются стандарты ISO серии 27000 и, дополнительно, оптимизированная для цикла PDCA теория “элитных групп”. Предложенная база позволяет обеспечить формирование численных метрик ИБ и перейти к оценке результативности СМИБ на базе суперкритериев различного типа. Результаты исследования могут найти практическое применение при независимой оценке результативности СМИБ.
Идентификаторы и классификаторы
Проблема выполнения измерений (как процесс оценки) для больших и/или сложных систем рассматривалась в классических трудах Н. Винера, И. Кини, Х. Райфа, И. Пригожина [1—3]. В работе Н. Винера отмечено требование невмешательства человека в процесс, начиная с момента ввода исходных данных и заканчивая получением результата ([1], с. 47). В работе И. Кини и Х. Райфа большое внимание уделено потоку данных, поступающих уже непосредственно в самом процессе. Отмечается, что выработка и анализ возможных альтернатив действий оказываются явно зависимыми от информации, которая станет известной в процессе ([1], с. 24). В работах И. Пригожина отмечается подход Карла Рубино, который обращает внимание на философский принцип выполнения любой деятельности, в том числе оценки: при рассмотрении любого предмета не следует стремиться к большей точности, чем допускает природа предмета [3, 4].
Список литературы
1. Винер Н. Кибернетика, или управление и связь в животном и машине. Изд. 2-е. - М.: Наука. Главная редакция изданий для зарубежных стран, 1983. - 344 с.
2. Кини Р. Л., Райфа Х. Принятие решений при многих критериях: предпочтения и замещения / Пер. с англ. Под ред. Шехнова И. Ф. - М.: Радио и Связь, 1981. - 560 с.
3. Пригожин И., Стенгерс И. Время. Хаос. Квант. К решению парадокса времени. - М.: Едиториал УРСС, 2003. - 240 с.
4. Николис Г., Пригожин И. Познание сложного. Введение. - М.: Мир, 1990. - 345 с. EDN: PCHHXP
5. Рудакова С. А. Концепция выбора метрик информационной безопасности // Вестник государственного университета морского и речного флота им. адмирала С. О. Макарова. 2013. № 3 (22). С. 162-166. EDN: RUPANJ
6. Зефиров С. Л., Голованов В. Б. Система менеджмента информационной безопасности организации и измерения. Метрология, метрики, безопасность // Защита информации. Инсайд. 2008. № 2 (20). С. 22-27. EDN: TPHYFJ
7. Скрыль С. В., Белокуров С. В., Зыбин Д. Г. и др. Показатели эффективности информационных процессов в интегрированных системах безопасности в условиях угроз искажения и блокирования информации // Приборы и системы. Управление, контроль, диагностика. 2014. № 4. С. 23-27. EDN: SQJWOF
8. Котенко И. В., Юсупов Р. М. Перспективные направления исследований в области компьютерной безопасности // Защита информации. Инсайд. 2006. № 2 (8). С. 46-57. EDN: TRPPAX
9. Петренко С. А. Требования SOX 404 к контролю ИТ // Защита информации. Инсайд. 2006. № 3 (9). С. 10-16. EDN: TSGXJT
10. ISO/IEC 27000:2014. Information Technology - Security Techniques - Information Security Management Systems. - Overview and vocabulary. International Organization for Standardization, 2014. - 31 p.
11. ISO/IEC 27001:2013. Information Technology - Security Techniques - Information Security Management Systems. - Requirements, International Organization for Standardization, 2013. - 23 p.
12. ISO/IEC 27004:2009. Information Technology - Security Techniques - Information Security Management. - Measurement, International Organization for Standardization, 2009. - 55 p.
13. ISO/IEC 27005-2011. Information Technology - Security Techniques - Information Security Risk Management. - International Organization for Standardization, 2011. - 68 p.
14. Лившиц И. И. Совместное решение задач аудита информационной безопасности и обеспечение доступности информационных систем на основании требований международных стандартов BSI и ISO // Информатизация и связь. 2013. Вып. 6. С. 48. EDN: RVMJPF
15. The Global State of Information Security Survey 2016. [Электронный ресурс]. Режим доступа: www.pwc.com/gx/ en/consulting-services/information-security-survey/index.jhtml/ свободный (дата обращения 18.04.2016).
16. Center for strategic and International Studies. [Электронный ресурс]. Режим доступа: www.csis.org свободный (дата обращения 18.04.2016).
17. Официальный сайт Infosecurity Russia. [Электронный ресурс]. Режим доступа: www.infosecurityrussia.ru/2015 г./ program/23.09.2015 г./?lang=ru#s22083/ свободный (дата обращения 18.04.2016).
18. Security Report. [Электронный ресурс]. Режим доступа:https://www.trustwave.com/Resources/Library/Documents/Security-on-the-Shelf-An-Osterman-Research-Survey-Report/ свободный (дата обращения 18.04.2016).
19. White Paper “Dealing with Data Breaches and Data Loss Prevention”. [Электронный ресурс]. Режим доступа: https://www.proofpoint.com/de/id/PPWEB-WP-Osterman-Data-Breaches-and-DLP-Q115/ свободный (дата обращения 18.04.2016).
20. Лившиц И. И. Актуальность применения метрик информационной безопасности для оценки результативности проектов систем менеджмента информационной безопасности // Менеджмент качества. 2015. Вып. 1. С. 74-81. EDN: TNBYCF
21. Лившиц И. И. Подходы к решению проблемы учета потерь в интегрированных системах менеджмента // Информатизация и связь. 2013. № 1. С. 57-62. EDN: QBKKCZ
22. Лившиц И. И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов - аэропортовых комплексов // Труды СПИИРАН. 2014. № 6. С. 72-94. EDN: TELOID
23. Federal Information Security Management Act (FISMA). [Электронный ресурс]. Режим доступа: www.csrc.nist.gov/ свободный (дата обращения 18.04.2016).
24. ISO. [Электронный ресурс]. Режим доступа: http://www.iso.org/iso/annual_report_2014_en_-_lr.pdf/ свободный (дата обращения 18.04.2016).
25. Лившиц И. И., Полещук А. В. Практическая оценка результативности СМИБ в соответствии с требованиями различных систем стандартизации - ИСО 27001 и СТО Газпром // Труды СПИИРАН. 2015. № 3. С. 33-44. EDN: UCDMVB
26. ГОСТ Р 52447-2005. Защита информации. Техника защиты информации. Номенклатура показателей качества. - М.: Стандартинформ, 2006. - 23 с.
27. Ефимов А. Н. Элитные группы, их возникновение и эволюция // Знание-сила. 1988. № 1. С. 56-64.
28. ГОСТ Р ИСО 19011:2011. Руководящие указания по проведению аудитов систем менеджмента. - М.: Стандартинформ, 2013.
29. Number of U.S. government “cyber incidents” jumps in 2015 г. Reuters. [Электронный ресурс]. Режим доступа: http://www.reuters.com/article/us-usa-cyber-idUSKCN0WN263 / свободный (дата обращения 10.08.2015).
Выпуск
Другие статьи выпуска
Особенности обеспечения безопасности виртуальных инфраструктур в банках и других финансовых организациях. Рассмотрены основные принципы защиты виртуальной инфраструктуры в разрезе рекомендаций Банка России РС БР ИББС-2.8-2015, предложены решения по обеспечению безопасности.
Рассмотрено системное программное обеспечение нового поколения UEFI BIOS. Помимо функций, призванных повысить удобство эксплуатации компьютерных платформ, UEFI привносит ряд проблем безопасности, обусловленных архитектурными отличиями от “традиционного” BIOS. Проведен краткий анализ возможных угроз информационной безопасности архитектуры UEFI BIOS. Определен круг проблем, которые должны быть разрешены до начала использования этой архитектуры без ограничений.
Описана система менеджмента логических дисков (LVM). Дано объяснение необходимости контроля целостности файлов на данных системах.
Исследованы вопросы корректности реализации сессионного контроля доступа, важнейшего современного механизма защиты, используемого для защиты от хищений (утечки) конфиденциальной информации, за счет формирования и разделения сессий - режимов обработки информации различных уровней конфиденциальности. Сделан обоснованный вывод о недопустимости включения в разграничительную политику доступа сессии в качестве субъекта доступа, что позволяет пользователям работать в различных сессиях под одной учетной записью, поскольку подобная реализация метода сессионного контроля доступа потенциально опасна. Рассмотрен метод сессионного контроля доступа с заданием сессий учетными записями, реализуемого на основе предложенного метода контроля доступа к создаваемым файлам. Рассмотренное техническое решение апробировано и запатентовано. Оно отличается не только предельной простотой администрирования, так как метки безопасности при создании разграничительной политики доступа необходимо назначать лишь учетным записям, но и реализацией корректной разграничительной политики доступа в общем случае.
Рассмотрены проблемы, возникающие при реализации разграничения доступа к функциям управления виртуальных сред. Предложены требования к наложенному средству защиты информации, позволяющему избежать ограничений существующих решений.
Дано определение предмета контроля целостности виртуальной инфраструктуры и ее конфигурации и способ контроля целостности объекта с помощью представления конфигурации виртуальной инфраструктуры графом специального вида.
На примере гипотетической системы смешанного типа показаны направления оптимизации стоимости и трудоемкости ее содержания за счет модернизации парка клиентских рабочих мест.
Предложен метод обеспечения конфиденциальности, целостности и неотказуемости при рассылке информации из центра с использованием типовых ключевых USB-токенов, при котором получить доступ к ее содержанию могут не менее двух из трех получателей.
Дано подробное описание архитектуры криптографического сопроцессора на основе программируемых логических интегральных схем (ПЛИС) как наиболее подходящей аппаратной платформы для его реализации. Приведен перечень минимально необходимых элементов системы, указаны их взаимосвязи между собой. Освещены особенности аппаратной реализации в аспекте обеспечения высокой производительности системы. Большое внимание уделяется вопросу безопасности архитектуры с описанием возможных атак и соответствующих мер противодействия.
В целях обеспечения защищенности от активных атак с принуждением пользователей раскрыть ключи шифрования после осуществленного сеанса связи в протокол отрицаемого шифрования включен этап взаимной аутентификации пользователей по их открытым ключам. В ходе выполнения процедуры взаимной аутентификации скрытно осуществляется обмен разовыми открытыми ключами, по которым пользователи вычисляют сеансовый секретный ключ, используемый для шифрования секретного сообщения. Одновременно шифруется фиктивное сообщение по открытому ключу получателя, зарегистрированному в удостоверяющем центре. Оба полученных промежуточных шифртекста преобразуются в единый шифртекст, вычислительно неотличимый от шифртекста, потенциально получаемого как результат вероятностного шифрования фиктивного сообщения. Предложенная схема отрицаемого шифрования в качестве своей составной части включает алгоритм вероятностного шифрования, ассоциируемый с передаваемым по открытому каналу шифртекстом.
Рассмотрены пороговые протоколы псевдовероятностного шифрования. Предложенные протоколы представляют интерес для обеспечения защиты информации при атаках потенциального нарушителя, получающего доступ к ключам шифрования и расшифрования.
Издательство
- Издательство
- НТЦ ОК "КОМПАС"
- Регион
- Россия, Москва
- Почтовый адрес
- 125424, город Москва, Волоколамское ш., д. 77
- Юр. адрес
- 125424, город Москва, Волоколамское ш., д. 77
- ФИО
- Лукашук Владимир Евгеньевич (ДИРЕКТОР)
- E-mail адрес
- secretariat@ntckompas.ru
- Контактный телефон
- +7 (495) 4915797
- Сайт
- https://ntckompas.ru