ВВЕДЕНИЕ 3
ГЛАВА 1. СОСТОЯНИЕ ВОПРОСА ОЦЕНКИ РИСКОВ ИБ 6
1.1. Обобщенная модель оценки рисков ИБ 6
1.2. Обзор подходов к оценке рисков ИБ 7
1.3. Сравнительный анализ существующих методик оценки рисков ИБ 10
1.3. Выводы 17
ГЛАВА 2. РАЗРАБОТКА МЕТОДА ОЦЕНКИ РИСКОВ ИБ 19
2.1. Процесс оценки рисков ИБ 19
2.1.1. Установление области применения 19
2.1.2. Идентификация рисков 29
2.1.3. Анализ рисков 33
2.1.4. Обработка рисков 36
2.2. Модель оценки рисков ИБ 37
2.3. База данных 38
ГЛАВА 3. РАЗРАБОТКА СИСТЕМЫ ОЦЕНКИ ИБ 42
3.1. Структура системы 42
3.2. Описание модулей системы 43
ГЛАВА 4. АПРОБАЦИЯ СИСТЕМЫ ОЦЕНКИ РИСКОВ ИБ 57
4.1. Тестирование системы оценки рисков ИБ в ЦМИТ 57
4.2. Сравнение с другими системами 62
4.3. Выводы 64
ЗАКЛЮЧЕНИЕ 66
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 68
СПИСОК СОКРАЩЕНИЙ И УСЛОВНЫХ ОБОЗНАЧЕНИЙ 70
ПРИЛОЖЕНИЕ 1. ПЕРЕЧЕНЬ ГРУПП ЗАЩИТНЫХ МЕР 71
ПРИЛОЖЕНИЕ 2. СОСТАВ ОПРОСНОГО ЛИСТА 76
ПРИЛОЖЕНИЕ 3. ПРИМЕР ПРАВИЛ ОБРАБОТКИ ВОПРОСА 84
ПРИЛОЖЕНИЕ 4. ФРАГМЕНТ СВОДНОЙ ТАБЛИЦЫ БАЗЫ ДАННЫХ .. 87
ПРИЛОЖЕНИЕ 5. ФРАГМЕНТ РЕЗУЛЬТАТОВ АПРОБАЦИИ СИСТЕМЫ 92
В современных условиях постоянного развития ИТ-инфраструктуры, появления новых информационных систем и активов, а также повышения уровня автоматизации процессов во всех сферах деятельности информация становится одним из ключевых активов организации, и от степени её защищенности зависят режимы функционирования всех процессов, протекающих в организации. В связи с этим перед руководством организаций стоят важные задачи по обеспечению непрерывности функционирования ИТ-инфраструктуры, а также защиты информационных и технических активов. При этом для принятия решений о применении защитных мер руководству необходимо соблюдать баланс между затратами на их реализацию и полученной от этого выгодой.
Достижение такого баланса возможно при применении к задачам обеспечения ИБ риск-ориентированного подхода. При данном подходе владельцы и пользователи активов принимают решения об их ценности, а специалисты в области ИБ анализируют возможные угрозы, которые могут повлиять на критичные свойства этих активов. Результатом применения указанного подхода является оптимальный комплекс защитных мер, обеспечивающий необходимый уровень ИБ с учетом ценности активов и возможных угроз.
В настоящее время разработано множество методик оценки рисков ИБ, позволяющих с высокой точностью оценить уровень защищенности организаций, а также сформировать оптимальный комплекс защитных мер. Программные системы, построенные на базе этих методов, являются мощным и универсальным инструментом для комплексного анализа рисков ИБ организаций. Однако большинство систем не удовлетворяют требованиям простого доступа пользователей к системе, а также требованиям адаптируемости к особенностям и потребностям конкретной организации.
Поскольку каждая организация обладает уникальными структурно-функциональными особенностями, применение широконаправленных систем для оценки рисков может привести к неточным результатам, которые не являются достаточными для принятия управленческих решений по вопросам ИБ. Кроме того, возникновение новых типов организаций приводит к тому, что предлагаемые системами шаблоны методик являются неактуальными. Таким образом, для повышения эффективности процесса оценки рисков ИБ необходимо использование систем, обладающих гибкостью настройки параметров, а также возможностью расширения базы знаний.
В последние годы в Российской Федерации появился целый ряд проектов и программ, целью которых является формирование инфраструктуры, ориентированной на поддержку творческой активности детей и молодежи в научно-технической сфере. Результатом деятельности этих программ стали ЦМИТ - площадки для инженерно-технического творчества, оснащенные широким парком современного оборудования, основной задачей ЦМИТ является обеспечение открытости для школьников и студентов.
В силу того, что ЦМИТ являются новой организационной формой инновационной деятельности, вопросы обеспечения ИБ в них не изучены. Работы, которые бы раскрывали особенности разработки методик оценки рисков ИБ, применимых в условиях деятельности ЦМИТ, отсутствуют, а существующие подходы к оценке рисков ИБ не учитывают структурно-функциональных особенностей организаций рассматриваемого типа.
Руководители и администрация ЦМИТ должны быть оснащены инструментом, позволяющим с минимальными затратами расставить приоритеты стратегии обеспечения ИБ и оптимизировать процесс принятия решений по применению защитных мер. Существующие на рынке системы оценки рисков ИБ обладают высоким уровнем точности результатов, но из- за сложности применения и высокой стоимости лицензий не находят своего применения в ЦМИТ. Таким образом, на рынке ощущается нехватка системы оценки рисков ИБ для ЦМИТ, организаций кружкового движения и в целом организаций системы научно-технического творчества молодежи в России.
Цель выпускной квалификационной работы состоит в разработке методики оценки рисков ИБ организаций типа ЦМИТ, позволяющей оценить уровень защищенности информационных и технических активов с учетом ограничений, вводимых структурно-функциональными особенностями рассматриваемого типа организаций, а также в реализации экспертной системы, использующей разработанную методику, и её апробации.
Объектом исследования является система управления рисками ИБ малых предприятий. Предметов исследования являются методы и модели оценки рисков ИБ организаций типа ЦМИТ.
В выпускной квалификационной работе решена задача разработки системы оценки рисков ИБ для организаций типа ЦМИТ, которая позволяет повысить уровень обеспечения ИБ в ЦМИТ за счет применения обоснованной формализованной методики качественной оценки рисков ИБ, разработанной в ходе работы над ВКР. Разработанная методика соответствует структуре и процессам менеджмента риска, установленным международным стандартом ISO/IEC 27005:2011.
В ходе выполнения работы были получены следующие результаты:
1. В результате изучения существующих методик оценки рисков ИБ, а также анализа структурно-функциональных особенностей организаций типа ЦМИТ предложен подход к проведению качественной оценки рисков ИБ. Предложенный подход поддерживает баланс между требуемой степенью точности результатов процесса оценки рисков ИБ и затрачиваемых ресурсов на проведение этого процесса.
2. Разработана концептуальная модель процесса оценки рисков ИБ, которая конкретизирует стандартные модели и отображает основные идеи, заложенные в разработанной методике.
3. Реализована модульная система оценки рисков ИБ, основанная на разработанной методике. В результате тестирования были доказаны следующие свойства разработанной системы: достоверность, непротиворечивость и целостность.
Ключевой особенностью разработанной системы является высокая степень гибкости и адаптируемости системы под требования конкретной организации. Пользователи системы имеют возможность создавать собственные методики на основе имеющейся в системе, а также изменять базу знаний системы в зависимости от своих потребностей. Это подтверждает эффективность и значимость разработанных методик и моделей.
Стоит отметить, что сфера применения разработки, описанной в выпускной квалификационной работе, непрерывно расширяется. В соответствии с Указом Президента РФ № 599 от 7 мая 2012 г. «О мерах по реализации государственной политики в области образования и науки» общероссийской общественной организацией «Молодая инновационная Россия» была принята программа развития ЦМИТ. Она предполагает развитие ЦМИТ и кружкового движения в РФ на 2016-2020 годы в таком-то объеме за счет открытия площадок подобного рода при содействии Министерства экономического развития и Фонда содействия инновациям. В настоящее время программа ЦМИТ активно развивается, усиливая заинтересованность в создании ЦМИТ регионов РФ [15]. Помимо этого, активно развивается кружковое движение и сеть Кванториумов, которые схожи с ЦМИТ по структуре и задачам. Прямая государственная поддержка развития сетей организаций типа ЦМИТ и им подобных обуславливает устойчивое увеличение числа таких организаций и числа людей, охваченных деятельностью ЦМИТ.
Таким образом, адаптация разработанной системы оценки рисков ИБ для различных ЦМИТ является важным и перспективным направлением развития методик и моделей оценки рисков ИБ.
1. Астахов А.М. Искусство управления информационными рисками. М.:ДМК Пресс, 2010. - 312 с.
2. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология: ГОСТ Р ИСО/МЭК 27000-2012. - Издание официальное.- М:Стандартинформ,2013 - 36с.
3. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности: ГОСТ Р ИСО/МЭК 27005-2010. -Издание официальное.- М:Стандартинформ,2011 -45 с.
4. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности: РС БР ИББС-2.2-2009. М., 2009. 23 с.
5. Баранова, Е.К. Методики анализа и оценки рисков информационной безопасности / Е.К.Баранова // Образовательные ресурсы и технологии - 2009 - №9 - С.73- 79
6. Сервис создания моделей угроз [Электронный ресурс] URL: www.threat-model.com (дата обращения:05.06.2018)
7. Методика определения угроз безопасности информации в информационных системах (проект) [Электронный ресурс] // ФСТЭК России [сайт]. URL: http://fstec.ru/component/attachments/download/812 (дата обращения:05.06.2018)
8. Банк данных угроз безопасности информации ФСТЭК [Электронный ресурс] // ФСТЭК России [сайт]. URL: http://www.bdu.fstec.ru/ubi/vul (дата обращения:05.06.2018)
9. CommonVulnerabilitiesandExposures [Электронный ресурс] URL: https://cve.mitre.org/ (дата обращения: 05.06.2018)
10.Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды: приказ ФСТЭК России от 14.03.2014 №
31. М.: ФСТЭК России, 2014. 42 с.
11. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М.: Гостехкомиссия России, 1992. 21 с.
12. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М.: Гостехкомиссия России, 1992. 16 с.
13. Обеспечение информационной безопасности организации банковской
системы РФ. Методика оценки соответствия информационной безопасности организации банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014: СТО БР ИББС-1.2-2014. М.,2009. 101 с.
14. Центр «ИнноЦентр ВАО» [Электронный ресурс] URL: https://icvao.ru (дата обращения: 05.06.2018)
15. Поляков, С.Г. О программе развития Центров молодежного инновационного творчества в Российской Федерации / С.Г.Поляков, А.Б.Бухало, Н.В.Шурина // Инновации - 2016 - №11 - С.3-8