Введение 6
Глава 1. Современные угрозы информационной безопасности в образовательной организации 10
1.1 Виды угроз информационной безопасности в образовательной
организации и их характеристика 10
2.1 Выявление угроз, уязвимостей и рисков в системе защиты информации
образовательной организации 15
Выводы по первой главе 20
Глава 2. Нормативно-правовая документация в области управления рисками информационной безопасности в образовательной организации 21
2.1. Семейство международных стандартов управления информационной
безопасностью 21
2.2. Методика ФСТЭК определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных 23
Выводы по второй главе 33
Глава 3. Разработка методики оценки риска угроз информационной
безопасности ГБПОУ «Южно-Уральский государственный колледж 34
3.1. Методика оценки риска угроз, концепция, основные этапы 34
3.2. Анализ информационно-телекоммуникационной системы ГБПОУ
«Южно-Уральский государственный колледж 42
Выводы по третьей главе 70
ЗАКЛЮЧЕНИЕ 71
Список использованной литературы 73
Актуальность исследования. Высокие требования к обеспечению безопасности и надежности информационных систем (ИС), обусловленные характером решаемых задач, а также регулярные изменения информационной среды, требуют тщательного подхода к формированию и постоянному совершенствованию системы защиты информации (СЗИ) информационных систем, состоящей из комплекса технических и организационных защитных мер.
В современных условиях, когда информационные системы пронизывают все сферы деятельности организации, а с учётом необходимости их связи с сетью Интернет они оказываются открытыми для реализации внутренних и внешних угроз, проблемы информационной безопасности становится не менее важной чем экономическая или физическая безопасность.
Основное предназначение информационных систем заключается в повышении эффективности деятельности образовательной организации, следовательно, формируемый комплекс защитных мер для ИС должен быть рациональным с точки зрения выгод и затрат.
Актуальность темы исследования следует из указанной выше необходимости рационального выбора защитных мер для ИС, осуществляемого на основе оценки угроз, возникающих при этом трудностей и противоречий, а также возможностей по совершенствованию применяемых на практике методов и моделей оценки угроз.
Основные теоретические аспекты проблемы оценки рисков и выбора защитных мер для информационных и автоматизированных систем и компьютерных сетей отражены в работах А.Н. Атаманова, Е.В. Дойниковой, И.А. Зикратова, Д.А. Котенко, И.В. Котенко, И.В. Машкиной, А.Г. Остапенко, И.Б. Саенко, Р.М. Юсупова, H. Joh, X. Ou, N. Poolsappasit, I. Ray, A. Singhal.
Разработано большое количество нормативных документов, регламентирующих вопросы оценки угроз и анализа защищенности информационных и автоматизированных систем.
Теоретические основы информационной безопасности отражены в трудах А.А. Варфоломеева, В.А. Герасименко, В.В. Домарева, Д.П. Зегжды, А.А Малюка, Д.С. Черешкина, А.И. Ярочкина.
Анализ работ специалистов в области оценки угроз ИБ показал, что при всей значимости проведенных исследований, проблема количественной оценки угроз и анализа безопасности ИС изучена и практически проработана не в полной мере.
В первую очередь, для повышения качества выбора защитных мер необходимо разработать методику анализа и оценки угроз.
Анализ рисков включает в себя мероприятия по обследованию организации с целью определения того, какие ресурсы и от каких угроз надо защищать. По результатам анализа и оценки рисков организация определяет факторы, влияющие на возможность реализации угроз безопасности и степени их воздействия, а также принимает осознанные решения относительно применения защитных мер, обеспечивающие желаемый уровень ИБ организации.
В настоящее время не существует стандартизированной методики анализа и оценки рисков угроз информационной безопасности для образовательных организаций. Все разработанные и активно использующиеся методики являются довольно общими для организаций, работающих в различных секторах, и они носят лишь рекомендательный характер.
В связи с этим проблема исследования заключается в разработке методики оценки угроз информационной безопасности образовательной организации на основе существующих стандартов и методик управления рисками информационной безопасности.
Цель исследования - анализ информационно-телекоммуникационной инфраструктуры образовательно организации и оценка рисков, определяющая основные характеристики рисков информационной системы и ресурсов образовательной организации.
Объект исследования - защитные меры информационных систем, создающих, хранящих и обрабатывающих информацию, важную с точки зрения обеспечения ее конфиденциальности, целостности и доступности.
Предмет исследования - методика оценки рисков угроз и выбора защитных мер для информационных систем.
Гипотеза исследования состоит в разработке методического аппарата, позволяющего осуществлять рациональный выбор защитных мер для информационных систем за счет применения научно-обоснованной методики оценки рисков угроз.
Достижение цели путем решения поставленной гипотезе потребовало ее разделения на следующие задачи:
- изучить виды угроз информационной безопасности в образовательной организации и их характеристику;
- выявить угрозы, уязвимости и риски в системе защиты информации образовательной организации;
- проанализировать существующие методики анализа и оценки рисков ИБ;
- разработать методику анализа и оценки рисков ИБ, связанных с угрозами безопасности информационных ресурсов;
- проанализировать информационные ресурсы колледжа, источники угроз и уязвимостей;
- описать оценку угроз ИБ по разработанной методике.
Методы исследования
Для формирования понятий в работе используются логические приемы, определения, анализ и синтез. Для разработки модели оценки рисков и методики формирования рационального комплекса защитных мер для информационной системы используются методы системного и структурного анализа. Для количественной оценки вероятности реализации угроз нарушителем применяются методы математической статистики.
Научная новизна результатов исследования заключается в разработке методики, позволяющей повысить качество выбора защитных мер для информационной системы, отличающаяся применением предложенного в работе показателя затратоемкости активов.
Обоснованность полученных результатов достигается использованием современного и апробированного математического аппарата, системно- структурным анализом описания объекта исследования, непротиворечивостью полученных выводов и их согласованностью с современными практиками в области информационной безопасности.
Практическую значимость исследования составляет предложенная методика, которая позволит повысить качество выбора защитных мер для информационной системы образовательной организации и может быть реализованы в виде модуля управления рисками безопасности информационной системы.
Базой исследования: Государственное бюджетное образовательное учреждение «Южно-Уральский государственный колледж», расположенный по адресу ул. Курчатова, 7, г. Челябинск.
Апробация исследования: результаты исследования были опубликованы на Международной научно-практической конференции «Технические системы и технологические процессы», 2018г.; Международной научно-практической конференции «Интеграция современных научных исследований в развитие общества», Всероссийской научно-практической конференции «Актуальные проблемы образования Позиция молодых 2017 года».
Структура работы: Магистерская диссертация состоит из введения, трех глав, заключения, библиографического списка, состоящего из 61 наименований. Работа содержит 2 рисунка, 11 таблиц. Общий объем работы составляет 79 страниц.
Магистерское диссертационное исследование решает проблему разработки методики оценки угроз информационной безопасности образовательной организации на основе существующих стандартов и методик управления рисками информационной безопасности. Результаты проведенного исследования позволили сделать следующие общие выводы:
1. Проблема выбора защитных мер для ИС образовательной организации СПО.
Угроза безопасности ИС - потенциальная возможность нарушения основных качественных характеристик (свойств) ИС при её обработке техническими средствами: конфиденциальности, целостности, доступности.
Все источники угроз безопасности ИС можно разделить на три основные группы:
- обусловленные действиями субъекта (антропогенные источники угроз);
- обусловленные техническими средствами (техногенные источники угрозы);
- обусловленные стихийными источниками.
Как правило, защита от угроз, в основном регламентируется инструкциями, разработанными и утвержденными в образовательной организации с учетом особенностей эксплуатации информационных систем организации и действующей нормативной базой учреждения.
2. Нормативно-правовая документация в области управления рисками информационной безопасности в образовательной организации.
Описаны международные стандарты управления информационной безопасностью, а также Методика ФСТЭК определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Основным стандартом по оценке рисков выбран ГОСТ Р ИСО/МЭК 27005-2010, так как он описывает все основные этапы управления рисками и подходит под специфику образовательной организации.
3. Проведённый анализ и оценка рисков, связанные с угрозами безопасности информационных ресурсов ГБПОУ «Южно-Уральский государственный колледж» выявил риски информационной безопасности для их последующей обработки.
Для достижения поставленных целей были реализованы следующие задачи:
- разработана методика оценки рисков ИБ для образовательной организации на основе проанализированных стандартов в области управления рисками ИБ;
- проанализирована информационно-телекоммуникационная инфраструктура колледжа с целью выявления информационных активов, угроз и уязвимостей;
- проведена оценка информационных активов, угроз и уязвимостей и по результатам выведена общая оценка рисков в виде сводной таблицы.
Проведенное исследование не исчерпывает всей полноты рассмотренной проблемы и обусловливает появление новых вопросов, которые требуют своего решения.
1. Bjorn A.G. CORAS, A Platform for Risk Analysis on Security Critical Systems — Model-based Risk Analysis Targeting Security, 2002.
2. BS 7799-3:2006. Системы управления информационной
безопасностью - Часть 3: Руководство по управлению рисками
информационной безопасности. - Введ. Март.2006
3. ISO/IEC 27001:2013. Information technology. Security techniques. Information security management systems. Requirements. Berlin: ISO/IEC JTC 1/SC 27. 2013. 23 p.
4. Аверченков В.И. Организационная защита информации: учеб. пособие / В.И. Аверченков, М.Ю. Рытов. - Брянск: БГТУ, 2014. - 184 с.
5. Ажмухамедов И.М., Ханжина Т.Б. Определение оптимального комплекса мер по обеспечению информационной безопасности / И.М. Ажмухамедов, Т.Б. Ханжина // Мат. методы в технике и технологиях - ММТТ-24: сб. трудов XXII Междунар. науч. конф.: в 10 т. Т.9. Секция 13 / под общ. ред. В.С Балакирева. Саратов: Изд-во Саратовского гос. технического университета, 2011. 187с., С.73-75.
6. Андреева Н.В. Функциональная модель системы управления информационной безопасностью как средство внедрения стандартов линейки ISO/IEC 2700x (BS 7799) // Научно-технический вестник информационных технологий, механики и оптики. 2007. № 39. С. 40-44.
7. Банк данных угроз безопасности информации / ФСТЭК России //
Threat List/ Список угроз - 2017. - URL: http://bdu.fstec.ru/threat. Дата
обращения: 04.12.18.
8. Банк данных угроз безопасности информации // Федеральная служба по техническому и экспортному контролю. - URL: https://bdu.fstec. Ru. Дата обращения: 01.02.2018.
9. Баранова Е.К. Методики анализа и оценки рисков информационной безопасности / Е.К. Баранова // Образовательные ресурсы и технологии. - 2015. - № 1 (9). - С. 73-79.
10. Баранова Е.К. Методики и программное обеспечение для оценки рисков в сфере информационной безопасности / Е.К. Баранова // Управление риском. 2009. № 1(49). С. 15-26.
11. Баранова Е.К., Бабаш А.В. Информационная безопасность и защита информации / Е.К. Баранова, А.В. Бабаш. - М.: ИНФРА-М_РИОР, 2014.
12. Бойцев О. Многофакторный анализ рисков информационной
безопасности. Подходы и методы / О. Бойцев. - URL:
http://www.nestor.minsk.by/kg/2008/44/kg84403.html. Дата обращения:
01.02.2019.
13. Велигура А. О выборе методики оценки рисков информационной
безопасности / А. Велигура. - URL:
http://itsec.ru/articles2/pravo/o_vybore_metodiki_ocenki_riskov_informac_bezop/. Дата обращения: 20.01.2019.
14. Виды и источники угроз информационной безопасности . - URL: http://infoprotect.net/note/vidyi_i_istochniki_ugroz_informacionnoy_bezopasnosti/Дата обращения: 15.11.2018.
15. Вихорев С.В. Классификация угроз информационной безопасности /
С.В. Вихров. - URL:
http://www.cnews.ru/reviews/free/oldcom/security/elvis_class.shtml/. Дата
обращения: 22.11.2018.
16. Глушенко С.А. Применение системы Matlab для оценки рисков информационной безопасности организации // Бизнес-информатика. 2013. № 4 (26). С. 35-42.
17. ГОСТ 12.0.003-2015. Система стандартов безопасности труда. Опасные и вредные производственные факторы. Классификация. - Введ. 2015-12-10. - М.: Межгосударственный совет по стандартизации, метрологии и сертификации, 2015. - 16 с.
18. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования. - Введ. 2008-02-01 - М.: ФСТЭК России, 2006.
19. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Взамен ГОСТ Р ИСО/МЭК ТО 13335-3-2007 и ГОСТ Р ИСО/ МЭК ТО 13335-4-2007; Введ. с 30.11.2010. Москва: Изд-во Стандартинформ, 2011.
20. ГОСТ Р ИСО/МЭК 31010-2011. Менеджмент риска. Методы оценки риска; Введ. с 01.12.2012. Москва: Изд-во Стандартинформ; 2012.
21. Губарева О.Ю. Оценка рисков информационной безопасности в телекоммуникационных сетях. // Вестник Волжского университета им. В.Н. Татищева. 2013. № 2 (21). С. 76-81.
22. Доктрина информационной безопасности Российской Федерации, № Пр-1895 от 9 сентября 2000 г.
23. Ильченко Л.М. Анализ системы менеджмента информационной безопасности на базе стандарта ISO 27001:2013. // Материалы 5 научно-практической конференции студентов, аспирантов и курсантов «IT вчера, сегодня, завтра». 2017. С. 51-61.
24. Ильченко Л.М. Расчет рисков информационной безопасности телекоммуникационного предприятия / Л.М. Ильченко, Е.К. Брагина, И.Э. Егоров, С.И. Зайцев // Открытое образование, №22. № 2. 2018.
25. Информационная безопасность образовательных учреждений. -
URL: https://searchinform.ru/resheniya/otraslevye-resheniya/informatsionnaya-
bezopasnost-obrazovatelnykh-uchrezhdenij/. Дата обращения: 01.12.2018.
26. Киселева И.А., Искаджян С.О. Информационные риски: методы
оценки и анализа / И.А. Киселева, С.О. Искаджян // ИТпортал, 2017. №2 (14). URL: http://itportal.ru/science/economy/informatsionnye-riski-metody-otsenk/.
Дата обращения: 01.02.2019.
27. Королев В.Ю., Бенинг В.Е., Шоргин С.Я. Математические основы теории риска: учеб. пособие / В.Ю. Королев, В.Е. Бенинг, С.Я. Шоргин. - М.: ФИЗМАТЛИТ, 2011. 620 с.
28. Коротнев К. Методики управления рисками информационной безопасности и их оценки (часть 2) / К. Коротнев. - URL: https://safe- surf.ru/specialists/article/5194/587935/. Дата обращения: 01.02.2019.
29. Красникова Т.В., Невежин В.П. Моделирование оценки при аудите безопасности информационных систем / Т.В. Красникова, В.П. Невежин // VII Международная студенческая электронная научная конференция «Студенческий научный форум 2015».
30. Кудрявцева Р.Т. Управление информационными рисками с использованием технологий когнитивного моделирования: автореф. дис. ... канд. техн. наук. - Уфа, 2008. - 17 с.
31. Куканова Н. Современные методы и средства анализа и управление рисками информационных систем компаний / Н. Куканова // www.dsec.ru, Digital Security. Дата обращения: 20.01.2019.
32. Левченко В.Н. Этапы анализа рисков / В.Н. Левченко. - URL:
http: //masters. donntu. org/2016/fknt/levchenko/library/article6. htm. Дата
обращения: 12.01.2019.
33. Лютова И.И. Моделирование уровня приемлемого риска
информационной безопасности // Вестник Адыгейского государственного университета. Серия 5: Экономика. 2014. №2 (141). URL:
https://cyberleninka.ru/article/nZmodelirovanie-urovnya-priemlemogo-riska- informatsionnoy-bezopasnosti. Дата обращения: 02.02.2019.
34. Малюк, А.А. Введение в защиту информации в автоматизированных системах / А.А. Малюк, С.В. Пазизин, Н.С. Погожин. - М.: Горячая линия- Телеком, 2012. - 148 с.
35. Медведовский И. Современные методы и средства анализа и контроля рисков информационных систем компаний / И. Медведовский //, www.dsec.ru, Digital Security. Дата обращения: 20.01.2019.
36. Международный стандарт ISO/IEC 27005:2008. Информационная технология - Методы защиты - Менеджмент рисков информационной безопасности BS ISO/IEC 27005:2008.
37. Мельников В.П. Информационная безопасность и защита информации: учеб. пособие / В.П. Мельников, С.А. Клейменов, А.М. Петраков. - М.: Издательский центр «Академия», 2013. - 336 с.
38. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 г.
39. Методики и программные продукты для оценки рисков. - URL:
https://www.intuit.ru/studies/courses/531/387/lecture/8996?page=2/. Дата
обращения: 01.02.2019.
40. Методы организации защиты информации: учебное пособие для студентов 3-4 курсов всех форм обучения направлений подготовки 230400.55, 230701.51,090300.65, 220100.55 / Ю.Ю. Громов и др. - Тамбов: Изд-во ФГБОУ ВПО «ТГТУ», 2013. - 80 с.
41. Милютина О.В. Особенности защиты информации в образовательном учреждении / О.В. Милютина. - URL: http://www.fcoit.ru/internet_conference/information_security_training_process/fea tures_information_security_in_an_educational_institution.php. Дата обращения: 15.12.2018.
42. О безопасности [Электронный ресурс]: [федеральный закон: от 05.03.1992 г. № 2446-I, в ред. от 25.12.1992 г. № 4235-I, от 24.12.1993 г. №2288, от 25.07.2002 г. № 116-ФЗ, от 07.03.2005 г. № 15-ФЗ]. - Режим доступа: www.consultant.ru. Дата обращения: 28.11.2018.
43. О персональных данных [Электронный ресурс]: [федеральный закон: от 27.07.2006 г. № 152-ФЗ, в ред. от 04.06.2014 г. № 152-ФЗ]. - Режим доступа: www.consultant.ru. Дата обращения: 28.11.2018.
44. Об информации, информационных технологиях и о защите информации [Электронный ресурс]: [федеральный закон: от 27.07.2006 г.
№149-ФЗ, в ред. от 06.04.2011 г. № 149-ФЗ]. - Режим доступа:
www.consultant.ru. Дата обращения: 28.11.2018.
45. Обеспечение информационной безопасности организации. - URL: http://www.iccwbo.ru/blog/2016/obespechenie-informatsionnoy-bezopasnosti/. Дата обращения: 01.12.2018.
46. Организационное обеспечение информационной безопасности [Электронный ресурс]. - Режим доступа: www.starik2222.narod.ru. Дата обращения: 22.11.2018.
47. Официальный сайт ГБПОУ «Южно-Уральский государственный колледж». - URL: www.ecol.edu.ru. Дата обращения: 22.12.2018.
48. Оценка информационной безопасности в деятельности организаций.
Способы оценки информационной безопасности. - URL:
http://www.pvsm.ru/informatsionnaya-bezopasnost/19741. Дата обращения: 05.12.2018.
49. Пащенко И.Н., Васильев В.И. Разработка требований к системе защиты информации в интеллектуальной сети Smart Grid на основе стандартов ISO/IEC 27001 и 27005 // Известия ЮФУ. Технические науки. 2013. № 12 (149). С. 117-126.
50. Петренко С.А Управление информационными рисками.
Экономически оправданная безопасность / Петренко С.А., Симонов С.В. М.: Компания АйТи; ДМК Пресс, 2014.
51. Плетнев П.В., Белов В.М. Методика оценки рисков информационной безопасности на предприятиях малого и среднего бизнеса / П.В. Плетнев, В.М. Белов. - URL: http://old.tusur.ru/filearchive/reports-magazine/2012-25-2/083.pdf. Дата обращения: 25.01.2019.
52. Пугин В.В., Губарева О.Ю. Обзор методик анализа рисков
информационной безопасности информационной системы предприятия / В.В. Пугин, О.Ю. Губарева. - URL:
https://rus.neicon.ru/xmlui/bitstream/handle/123456789/12956/9_st- 13.pdf?sequence=1. Дата обращения: 12.12.2018.
53. Садердинов А.А. Информационная безопасность предприятия: учеб. пособие / А.А. Садердинов, В.А. Трайнев, А.А. Федулов. - М.: Дашков и К, 2013. - 336 с.
54. Симонов С. Технологии и инструментарий для управления рисками / С. Симонов. JetInfo № 2, 2013.
55. Система обеспечения информационной безопасности. - URL: http://www.ec-leasing.ru/products/sistemy-obespechiniya-informacionnoi- bezopasnosti/. Дата обращения: 01.12.2018.
56. Средство оценки безопасности Microsoft Security Assessment Tool (MSAT). - URL: http://technet.microsoft.com/ru-ru/security/cc185712.aspx. Дата обращения: 12.01.2019.
57. Стандарты информационной безопасности. - URL:
https://tvoi.biz/biznes/informatsionnaya-bezopasnost/prakticheskaya-polza- standartov-info.html. Дата обращения: 20.11.2018.
58. Степанов Е.А. Информационная безопасность и защита информации: учеб. пособие / Е.А. Степанов, И.К. Корнеев. - М.: ИНФРА - М, 2013. - 304 с.
59. Шарафутдинова А.Р., Пядышев В.С. Защита информации в образовательных учреждениях / А.Р. Шарафутдинова, В.С. Пядышева. - URL: http://www.rusnauka.com/17_APSN_2013/Matemathics/2_140911 .doc.htm. Дата обращения: 25.12.2018.
60. Ярочкин, В. И. Информационная безопасность / В.И. Ярочкин. - М. Академический проект, 2012. - 640 с.
61. Ярочкин, В. И. Словарь терминов и определений по безопасности и защите информации / В.И. Ярочкин, Т.А. Ильещова. - М.: «Ось-99», 2011. - 48 с.