На правах рукописи

Ерохин Сергей Сергеевич

МЕТОДИКА АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОБЪЕКТОВ ЭЛЕКТРОННОЙ КОММЕРЦИИ

Специальность 05.13.19 – Методы и системы защиты информации,

информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени

кандидата технических наук

Томск

2010

2

Работа выполнена в Томском государственном университете систем

управления и радиоэлектроники (ТУСУР) на кафедре Комплексной

информационной безопасности электронно-вычислительных систем (КИБЭВС)

Научный

руководитель:

доктор технических наук, профессор

Шелупанов Александр Александрович

Томский государственный университет систем

управления и радиоэлектроники

Официальные

оппоненты:

Доктор физико-математических наук, профессор

Тимченко Сергей Викторович

Томский государственный университет систем

управления и радиоэлектроники

Кандидат технических наук,

Зырянова Татьяна Юрьевна

Уральский государственный университет путей

сообщения

Ведущая организация: Государственное образовательное учреждение

высшего профессионального обучения Алтайский

государственный университет

Защита состоится «27» мая 2010г. в «_____» часов на заседании

диссертационного совета Д 212.268.03 Томского государственного

университета систем управления и радиоэлектроники по адресу: 634034, г.

Томск, пр. Ленина, 40, аудитория 203.

С диссертацией можно ознакомиться в библиотеке Томского

государственного университета систем управления и радиоэлектроники по

адресу: 634034, г. Томск, ул. Вершинина, 74.

Автореферат разослан «26» апреля 2010г.

Ученый секретарь

диссертационного

совета, к.т.н. доцент

Р.В. Мещеряков

3

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. В течение последних лет информационная

безопасность (ИБ) в жизни общества приобретает одну из важнейших ролей.

Это связанно, с глобальной информатизацией практически всех сфер

деятельности человека, одной из которых является сфера электронной

коммерции. В настоящее время существует большое количество

информационных систем (ИС) электронной коммерции (B2B, B2C, B2G), в

которых обрабатывается конфиденциальная информация различного рода:

финансовые транзакции, персональные данные, сведения о торгах.

К информационным системам электронной коммерции типа B2B и B2C

относятся ИС банковского сектора, так же к системам типа B2C могут

относиться интернет магазины, автомобильные аукционы. К системам B2G

относятся электронные торговые площадки для нужд государственного

сектора.

Требования к безопасности ИС банковского сектора регламентируются

серией стандартов Банка России, требования к безопасности интернет

магазинов и автомобильных аукционов не регламентируются. Требования к

безопасности электронных торговых площадок регламентируются в части

использования электронной цифровой подписи для обеспечения целостности и

неотказуемости от передаваемой информации.

Наряду с функциями передачи информации в электронных торговых

площадках существуют функции по хранению и обработки информации, а так

же закрытых ключей шифрования пользователей и персональных данных,

требования, к обеспечению которых не регламентируются, следовательно,

защитные механизмы отсутствуют.

Таким образом, система защиты электронных торговых площадок должна

включать в себя организационные мероприятия, программно-аппаратные и

технические средства защиты, обеспечивающие надежный уровень

безопасности обрабатываемых в ней данных.

В развитие темы обеспечения надежного уровня функционирования систем

защиты информации внесли большой вклад такие ученые как

В.А. Герасименко, О.Ю. Гаценко, П.Д. Зегжда, Д.П. Зегжда, Л.Г. Осовецкий,

Джон Кэррол, Дэвид Кларк, Джон Миллен, А.А. Малюк, А.А. Грушо,

И.И. Быстров, В.С. Заборовский, А.А. Шелупанов, С.П. Расторгуев, однако

вопросы повышения надежности функционирования информационных систем в

области электронной коммерции рассмотрены не достаточно глубоко.

Объектом исследования является комплексная система обеспечения

информационной безопасности в объектах электронной коммерции.

Предметом исследования является аудит информационной безопасности,

позволяющий оценить уровень защищенности информационной системы на

основе прогнозных оценок.

Цель исследования состоит в разработке методики аудита

информационной безопасности, позволяющей получить количественные

прогнозные оценки уровня защищенности информационной системы на всем

4

жизненном цикле ее функционирования в условиях воздействия субъективных

и объективных дестабилизирующих факторов.

Для достижения поставленной цели необходимо решить ряд следующих

задач:

1) провести процессный анализ организаций электронной коммерции как

объекта защиты и выполнить анализ подходов аудита и оценки защищенности

информационных систем в организациях электронной коммерции;

2) разработать методику проведения аудита информационной безопасности

в организациях электронной коммерции;

3) создать методику прогнозирования инцидентов информационной

безопасности, вызванных объективными и субъективными

дестабилизирующими факторами;

4) сформулировать модель угроз и модель нарушителей для организаций

электронной коммерции;

5) провести внедрение в организацию электронной коммерции,

исследование разработанной методики и оценить ее эффективность.

В качестве основных методов для решения поставленных задач

применялись методы системного анализа, теории вероятности и

математической статистики, теории случайных процессов, методы экспертного

оценивания.

Научная новизна работы заключается в следующем:

1) развита теория аудита информационной безопасности организаций

электронной коммерции, позволяющая проводить оценку значимых угроз и

прогнозировать инциденты информационной безопасности;

2) предложена методика оценки инцидентов информационной безопасности,

учитывающая объективные и субъективные дестабилизирующие факторы;

3) предложена модель нарушителя информационной безопасности, которая

характеризует три класса нарушителей: «имеющих доступ в доверенную зону и

к автоматизированной системе», «имеющих доступ в доверенную зону, но не

имеющих доступа к автоматизированной системе», «не имеющих доступ в

доверенную зону».

Основные положения, выносимые на защиту:

1) методика аудита информационной безопасности позволяющая

прогнозировать инциденты информационной безопасности в информационных

системах организаций электронной коммерции;

2) методика оценки инцидентов информационной безопасности

позволяющая получить значения субъективных и объективных

дестабилизирующих факторов, воздействующих на информационную систему;

3) модель нарушителя информационной безопасности, которая

характеризует три класса нарушителей с точки зрения легальных прав доступа

в доверенную зону и к автоматизированной системе.

Практическая значимость результатов заключается:

1) в повышении надежности функционирования системы защиты

информации на протяжении всего жизненного цикла информационной

системы, путем снижения количества инцидентов нарушения информационной

безопасности;

5

2) в снижении затрат на систему защиты информации, путем оценки

значимых угроз и нарушителей информационной безопасности.

Внедрение результатов диссертационной работы. Методика проведения

аудита ИБ внедрена в «Электронных торговых площадках» Администрации

Томской области (разработка ООО «Системы автоматизации бизнеса»), в

«Научно-производственную фирму «Информационные системы безопасности».

Предложенная методика внедрена в учебный процесс Томского

государственного университета систем управления и радиоэлектроники и

используется при изучении дисциплин «Программно-аппаратные системы

обеспечения информационной безопасности», «Комплексное обеспечение

информационной безопасности автоматизированных систем».

Обоснованность и достоверность результатов. Обоснованы

теоретические положения, базирующиеся на использовании апробированных

методов исследования и корректном применении математического аппарата.

Достоверность научных положений, методических разработок, рекомендаций и

выводов подтверждается результатами математического моделирования и

экспериментальных исследований статистических характеристик,

разработанных методик, а также натурными экспериментами.

Апробация работы. Основные положения диссертационного исследования

были представлены на следующих конференциях, конкурсах и семинарах:

Всероссийской научно-технической конференции студентов, аспирантов

и молодых ученых «Научная сессия ТУСУР» (Томск, 2007- 2009 ТУСУР);

Общероссийской научно-технической конференции «Методы и

технические средства обеспечения безопасности информации» (Санкт-

Петербург, 2007 Политехнический университет);

3-й научно-технической конференции «Актуальные проблемы

безопасности информационных технологий» (Москва, 2007 Московский

инженерно-физический институт);

5-ой научно-практической конференции «Электронные средства и

системы управления» (Томск, 2008, ТУСУР);

Всероссийской научно-практическая конференция «Проблемы

информационной безопасности государства, общества и личности» (Томск,

2007, 2008, ТУСУР)

IEEE семинарах кафедры КИБЭВС «Интеллектуальные системы

моделирования, проектирования и управления» (Томск 2007-2010, ТУСУР).

Публикации по теме диссертации

По теме диссертационного исследования имеется 12 публикаций (из них

четыре статьи в журналах, рекомендованных ВАК).

Структура и состав диссертации

Диссертация состоит из введения, четырех глав, заключения и списка

используемых источников. Работа изложена на 128 страницах машинописного

текста, содержит 15 рисунков, 6 таблиц и 70 приложений. Библиографический

список состоит из 95 наименований и размещен на 9 страницах.

6

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснованна актуальность темы исследования, поставлена

цель и сформулированы задачи, описан объект и предмет исследования,

указаны методы исследования, определена достоверность научных положений,

сформулирована научная новизна и практическая значимость выносимых на

защиту результатов.

В первой главе приведено описание объекта исследования, даются

определения системы защиты информации и оценки защищенности с точки

зрения российской и международной нормативно-методической базы.

Приводится исследование основных стандартов в области аудита и оценки

защищенности ИС, в частности профили защиты информационных систем

ФСТЭК России (Гостехкомиссии), ГОСТ Р ИСО/МЭК 15408-2002 Ч.1-3, BS

7799 Part 1-3, ISO\IEC 17799:2005, BSI, CobiT, 4 Edition, 2007, ISO\IEC 13335

Ч.1-5, ISO\IEC 27001:2005, ISO\IEC 27002:2005, NIST 800-30, Payment Card

Industry Data Security Standard.

По результатам анализа были сделаны выводы о том, что большинство

стандартов отражают только требования к безопасности информационных

систем и не описывают количественные подходы к решению вопросов аудита

ИБ и оценки защищенности организаций. Российских стандартов

регламентирующих деятельность по оценки защищенности организаций

электронной коммерции не существует.

Рассмотрены и проанализированы часто применяемые инструментальные

средства по оценки защищенности информационных систем, в том числе:

«ГРИФ 2005», «АванГард», «RiskWatch», «CRAMM». На основании

проведенного анализа были сделаны следующие выводы:

в качестве параметров оценки защищенности используются либо

требования стандартов, либо оценка и анализ рисков;

инструментальные средства не учитывают нарушителей информационной

безопасности и дают оценку в текущем временном интервале.

В результате проведенного анализа сформулированы основные требования к

разрабатываемой методике аудита информационной безопасности в

информационных системах организаций электронной коммерции.

Во второй главе проведен анализ, и обоснование необходимости

использования процессного подхода для исследования ИБ организаций.

Рассмотрено практическое применение процессного подхода с использованием

моделей IDEF.

На основе процессного подхода построена обобщенная модель взаимосвязи

деятельности по обеспечению ИБ и основной деятельности организации рис. 1.

7

Обеспечение основной

деятельности

Обеспечение

деятельности по ИБ

(вспомогательной

деятельности)

Материальные

потоки

Виды деятельности

Информация о среде

Продукция

Показатели деятельности

Отчетность

Сигнал опасности

Средства ИБДокументы ИБ

Люди

Стандарты

Менеджмент

организацииМенеджмент ИБ организации

Стандарты ИБ

Реконфигурация

механизмов ИБ

Информация контроля ИБ

Потребности организации в ИБ

Описание

реализации ИБ

Ресурсы

Оборудование

Законы

Рисунок 1. Связи деятельности по информационной безопасности и основной

деятельности организаций электронной коммерции

Взаимная детализация каждой из рассматриваемых деятельностей

организации (рис.1) позволяет определить основные элементы в основной

деятельности организации. Контроль которых на основе методики аудита

информационной безопасности обеспечит основу для оценки эффективности

внедряемых организационных и технических мероприятий по защите

информации.

Декомпозиция деятельности по обеспечению ИБ организации, проводится в

контексте аудита ИБ для информационной системы, рис 2.

Оценка ценности

ресурсов

Идентификация и

оценка параметров

угроз ИБ

Оценка рисков

Стандарты по ИБ

Информация о ИС

Формирование

итогового отчета

Уязвимые места ИС

Методика

идентификации угроз ИБ

Методика оценки

ценности ресурсов ИС

Уровень рисков

по ресурсам

Вероятность реализации угроз ИБ

Стоимость ресурсов ИС

Методика оценки

рисков

Требования

к персоналу

Требования к средствам

защиты информации

Требования к комплекту

документов по ИБ

Законы

Люди РесурсыОборудование Рисунок 2. Связи деятельности по аудиту информационной безопасности ИС

организаций электронной коммерции

8

Деятельность организаций электронной коммерции по аудиту ИБ

представлена, следующими этапами:

идентификация и оценка параметров угроз ИБ; на этом этапе

формируется перечень угроз ИБ, уязвимостей информационной системы и

вероятности проявления угроз ИБ;

оценка ценности ресурсов; на этом этапе определяется количественная

стоимость каждого из ресурсов ИС организации;

оценка защищенности; на этом этапе проводится оценка

информационных рисков ИС;

формирование итогового отчета; в отчете указываются требования к

наличию документов по обеспечению безопасности, средствам защиты

информации, требования к персоналу организаций электронной коммерции.

В процессе аудита ИБ в качестве внешних воздействий определяются

нормативно–методические документы (законы, стандарты по ИБ и другие

нормативно-правовые акты).

Этап оценки защищенности в методике аудита ИБ организации представлен

уровнем информационного риска, который не показывает состояние

защищенности системы в промежутке времени, а только на настоящий момент

времени.

В современных условиях все чаще необходимо предусмотреть

дестабилизирующие воздействия на информационную систему и принимать

своевременные и адекватные решения. При этом возникает необходимость в

создании новой методики аудита ИБ, основанной на случайных процессах,

которыми являются угрозы ИБ.

В качестве математического аппарата автором предлагается использовать

теорию случайных процессов, которая включает в себя множество различных

компонентов, из которых были выбраны Марковские цепи и процессы для

решения задачи оценки защищенности ИС организаций электронной

коммерции.

В заключительной части главы рассматриваются подходы и методы к

экспертному оцениванию ряда вспомогательных задач аудита ИБ, которые

имеют высокий уровень неопределенности и не могут быть решены без

применения методов экспертного оценивания. Проведено исследование

основных методов экспертного оценивания:

метод лингвистических термов;

метод формирования множества элементов оценивания;

метод парных сравнений;

метод количественной оценки на непрерывной шкале.

В третьей главе автором представлена методика проведения аудита ИБ в

соответствие с которой уровень защищенности информационной системы

оценивается прогнозными оценками инцидентов ИБ. В этой главе

представлены основные этапы аудита ИБ с постановкой задачи каждого этапа,

описание входных и выходных данных. Предложена модель угроз ИБ и модель

нарушителей ИБ. Представлена методика прогнозирования инцидентов ИБ

вызванных субъективными и объективными дестабилизирующими факторами.

9

Предлагается проводить аудит ИБ в соответствии со следующей методикой:

описание объекта исследования;

формирование модели нарушителя;

формирования модели угроз;

оценка значимых угроз;

прогнозирование и оценка инцидентов по субъективным

дестабилизирующим факторам;

оценка инцидентов по объективным дестабилизирующим факторам;

формирование требований по совершенствованию или созданию системы

защиты информации.

Описание объекта исследования проводится с использованием стандарта

BSI «Руководство по защите информационных технологий для базового уровня

защищенности». На этапе описания определяется категория информации

ограниченного доступа, тип объекта исследования (АРМ, локальная или

распределенная система), структура объекта исследования (АРМ, сервера,

коммуникационное и коммутационное оборудование) и т.д. Таким образом,

определяем множество объектов информационной системы, формально

представленных в виде si ∈ S , где S – множество объектов информационной

системы, i ∈ 1…n, а n – общее количество объектов. В общем виде этап

описания объекта исследования представлен на рис. 3.

Описание объект исследования

Информация об объекте

исследования

Рекомендации BSI

Рекомендации ГОСТ

Категория информации ограниченного доступа

Структура ОИ

Категория пользователей ОИ

Тип ОИ

Режим обработки информации ограниченного доступа

Права доступа пользователей к информации ограниченного

доступа

ЛюдиОборудование

Рисунок 3. Схема описания объекта исследования

Информация, полученная в результате описания информационной системы,

используется при формировании модели нарушителей. В качестве выходных

данных получаются шаблоны нарушителей как объекта атаки. Каждый

нарушитель характеризуется различными показателями, в том числе, целью

атаки, объектом атаки, средствами атаки и т.д. В общем виде модель

нарушителя представлена на рис. 4.

10

Формирование модель нарушителя

Рекомендации ФСТЭК России

Рекомендации ФСБ России

Рекомендации ГОСТ

Нарушитель (субъект атаки)

Объект атаки

Цель атаки

Информация об объекте атаки

Средства атаки

Категория информации ограниченного доступа

Структура ОИ

Категория пользователей ОИ

Тип ОИ

Режим обработки информации

ограниченного доступа

ЛюдиОборудование

Права доступа пользователей к

информации ограниченного доступа

Рисунок 4. Модель нарушителя

На основе модели нарушителей для организаций электронной коммерции

можно выделить три основных класса нарушителей информационной

безопасности:

B - внутренние нарушители, имеющие право доступа в контролируемую

зону и к ИС организации (сотрудники);

R - внутренние нарушители, имеющие право доступа в контролируемую

зону, но не имеющие доступа к ИС организации (партнеры, клиенты);

Q - внешние нарушители, не имеющие права физического доступа в

контролируемую зону и к ИС организации (хакеры, криминальные структуры).

На этапе формирования модели угроз на вход поступают данные из модели

нарушителей, а на выходе формируются деструктивные воздействия по

каждому объекту для каждого нарушителя. Из всех возможных деструктивных

действий образуется множество угроз ИБ - X . В общем виде модель угроз

представлена на рис. 5.

Формирование модель угрозСпособ реализации

угрозы

Рекомендации ФСТЭК России

Рекомендации ФСБ России

Рекомендации ГОСТ-Р 51275

Структура объекта исследования

Деструктивное действие по

каждому объекту, для каждого нарушителя

Нарушитель (субъект атаки)

Объект атаки

Цель атаки

Информация об объекте атаки

Средства атаки

Права доступа пользователей к информации ограниченного

доступа

ЛюдиОборудование

Рисунок 5. Модель угроз

11

На этапе оценки значимых угроз определяется:

вероятность реализации угроз;

степень влияния угроз.

Вероятность реализации угроз безопасности PXj, с областью определения

𝑃 = 0,1 и множеством базовых значений TP = {очень низкая, низкая, средняя,

высокая, очень высокая}= aХ1, aХ2

,aХ3, aХ4

, aХ5 , определяется на основе

экспертных оценок с учетом коэффициента компетентности каждого эксперта и

оценки согласованности мнений экспертов (коэффициент конкордации).

Степень влияния угроз информационной безопасности 𝐿𝑋𝑗 оценивается

экспертно с областью определения L = 0,1 и множеством базовых значений TL

= {легкое влияние, умеренное влияние, тяжелое влияние, критическое влияние,

разрушительное влияние} = aY1, aY2

, aY3, aY4

, aY5 .

Степень значимости угрозы информационной безопасности в стратегии

обеспечения информационной безопасности FXj с областью определения

𝐹 = 0,1 и множеством базовых значений TF = {несущественное, малое,

среднее, большое, разрушительное}= aV1, aV2

, aV3 ,aV4

, aV5 , оценивается в

соответствии с системой нечетких высказываний 𝐿1 .

L1 =

L1

(1) :<ЕСЛИ E11ИЛИ E12ИЛИ E13ИЛИ E21ИЛИ E22ИЛИ E31ТО FXj

есть aV1>;

L2(1)

:<ЕСЛИ E14 ИЛИ E23 ИЛИ E32 ИЛИ E41 ТО FXj есть aV2

>;

L3(1)

:<ЕСЛИ E15 ИЛИ E24 ИЛИ E33 ИЛИ E42 ИЛИ E51ТО FXj есть aV3

>;

L4(1)

:<ЕСЛИ E25 ИЛИ E34 ИЛИ E43 ИЛИ E52 ТО FXj есть aV4

>;

L5(1)

: < ЕСЛИ E35 ИЛИ E45 ИЛИ E55 ИЛИ E44 ИЛИ E54ИЛИ E53 ТО FXj есть aV5

>.

где Eji – высказывания вида: <PX есть aХj и LX есть aYi>.

Таким образом, определяем:

множество значимых угроз, которые может реализовать нарушитель в

информационной системе xi,j ∈ X , где i ∈ 1…k j ∈ 1…m, а m – общее

количество угроз информационной безопасности и k – общее количество

нарушителей информационной безопасности;

множество значимых угроз информационной безопасности для каждого

из объектов информационной системы xjsi ∈ X и для каждого из нарушителей

xi,jsi ∈ X ;

множество значимых угроз информационной безопасности для каждого

объекта информационной системы и для каждого нарушителя, относящихся к

классам:

конфиденциальности K – kjsi,k

i,jsi

∈ K ⊂ X ;

целостности C – cjsi,c

i,jsi

∈ C ⊂ X ;

доступности D – djsi,d

i,jsi

∈ D ⊂ X .

12

Полученные данные в результате этапа оценки значимых угроз

используются на следующем этапе - прогнозирования и оценки количества

инцидентов по субъективным дестабилизирующим факторам, который

предлагается проводить по следующей методике:

построение ориентированного графа;

построение матрицы переходных вероятностей;

формирование вектора интенсивности реализации угроз;

формирование вектора начального состояния системы;

осуществляется детерминированное моделирование цепи Маркова;

проводится имитационное моделирование протокола Марковского

процесса;

осуществляется имитационное моделирование Марковского процесса;

обрабатываются полученные результаты.

Одним из ключевых моментов методики прогнозирования является

имитационное моделирования цепи Маркова. На первом шаге имитационного

моделирования вырабатывается равномерное распределение в интервале (0;1)

случайное число R и определяется начальное состояние процесса Маркова X0,

на нулевом шаге, то есть в момент времени t = 0:

X0=min i=0,1,2,…,i–1:R≤a0

(0)+a1

(0)+…+aK

(0) . Полагаем k = X0. Вырабатывается

случайная величина W, имеющая экспоненциальное распределение с

параметром 𝜆𝑖 . Полагаем T0=W, где T=(T0,T1,…,Tn) – моменты скачков процесса.

На следующем шаге l = 1,2,…,n вырабатывается равномерное

распределение в интервале (0;1) случайное число R и определяется начальное

состояние процесса Маркова Xl, на l–ом шаге, то есть в момент времени l:

Xl=min j=0,1,2,…,i–1:R≤pi,0

+pi,1

+…+pi,j . Полагаем k = Xl. Вырабатывается

случайная величина W, имеющая экспоненциальное распределение с

параметром 𝜆𝑖 . Полагаем Tl = Tl–1 + W. Переходим к шагу l + 1.

На выходе имитационного моделирования процесса Маркова получается

матрица, строки которой соответствуют количеству моделирования

Марковского процесса, а столбцы – моменту времени t. На их пересечении

стоит номер состояния системы в момент времени.

В заключительной части главы предлагается подход оценки количества

инцидентов по объективным дестабилизирующим факторам. Предложенный

подход заключается в выполнении следующих этапов:

формируется перечень объектов исследования;

формируется перечень технических элементов, входящих в состав

каждого объекта исследования;

делается оценка среднего времени наработки на отказ каждого

технического элемента системы 𝑇ср;

Четвертая глава посвящена практическим вопросам исследования

предложенной методики аудита ИБ на примере ИС «Электронные торговые

площадки» Администрации Томской области. Представлены результаты

эксперимента, которые доказывают адекватность и достоверность

13

моделируемых процессов по ИБ к реально существующим в ИС, а так же

приведен и рассчитан коэффициент эффективности предлагаемого подхода.

Описание объекта представлено на рис. 6 в виде топологии ИС.

Рисунок 6. Топология объекта исследования.

Значимые угрозы ИБ для каждого объекта для нарушителя категории B1

представлены в таблице 1.

Таблица 1 – Вероятность реализации значимых угроз ИБ и вероятность

восстановления после реализации угроз ИБ.

Объект Угрозы ИБ Вер-ть

реализ.

Вер-ть

восстан.

Нормированная

вер-ть реализ.

Сервер

обрабо

тки

Изменение информации 0,864 0,519 0,100

Копирование информации 0,864 0,476 0,100

Удаление информации 0,631 0,152 0,073

Разглашение защищаемой

информации путем

передачи носителей

информации, лицам не

имеющих права доступа

0,864 0,495 0,100

Сервер

БД

Копирование информации 0,950 0,486 0,110

Доступ к информации,

путем нарушения

функционирования

0,181 0,576 0,021

Ошибки пользователей

при эксплуатации

программных средств

0,631 0,914 0,073

Сервер

прило-

жений

Копирование информации

0,631 0,386 0,073

АРМ

Операт

ора

Копирование информации 0,864 0,567 0,100

Ошибки оператора при

эксплуатации 0,864 0,914 0,100

Ошибки оператора при

эксплуатации

программных средств

0,864 0,914 0,100

Ни одна угроза ни проявится 0,451 0,052

14

Результаты прогнозирования и оценки инцидентов по субъективным

дестабилизирующим факторам представлены на рис. 7.

Рисунок 7. Результаты оценки инцидентов по субъективным дестабилизирующим

факторам для «Электронных торговых площадок»

Сплошной линией показаны данные полученные при моделировании,

пунктирной – статистически накопленные данные в течение одного месяца

работы объекта исследования.

Из полученных результатов можно сделать вывод, что система является не

устойчивой и, следовательно, слабо защищенной. Особое внимание

необходимо обратить внимание на состояния №2, 9, 10, которые

характеризуются угрозой несанкционированного копирования информации и

ошибками оператора при работе с АРМ.

Аналогичное моделирование было проведено для всех классов нарушителей

по статистически полученным инцидентам ИБ и оценкам экспертов.

Оценка инцидентов ИС «Электронные торговые площадки» по

объективным угрозам ИБ (отказ технических средств), проводится с помощью

показателя надежности систем – среднее время наработки на отказ. Результаты

работы методики представлены на рисунке 8.

Рисунок 8. Среднее время наработки на отказ компонентов

«Электронной торговой площадки»

15

Из полученных результатов видно, что наименее надежными элементами,

являются видео карты и блоки питания компьютеров. В заключительной части

главы оценивается эффект работы предложенной методики аудита ИБ и

эффективность по сравнению с методикой оценки защищенности «АванГард».

Оценка эффективности

проводилась по следующей

методике:

оценивался риск ИБ

для двух одинаковы

объектов из одной подсети

(АРМ №1, №2 Оператора)

по предлагаемой методике и

методике «АванГард» (рис.

9);

приемлемый уровень

риска для АРМ Оператора

установлен в размере

30000р.

оценивались затраты

на систему защиты информации для АРМ №1 Оператора в соответствии с

рекомендациями, полученными по предлагаемой методике и на систему

защиты информации для АРМ №2 по методике «АванГард» (рис. 10).

Система защиты по методике «АванГард» включает в себя генератор шума,

антивирусное средство, система защиты от НСД с электронным замком и

проведение специальной проверки на предмет выявления закладных устройств

в компонентах ПК (приблизительная стоимость СЗИ составляет 110 000 руб.).

Система защиты по предлагаемой методике включает в себя организационно

распорядительные документы по обеспечению безопасности (политики,

регламенты, инструкции), антивирусное средство, электронный замок и

проведение специального исследования на предмет выявления возможности

утечки информации по каналу ПЭМИН (приблизительная стоимость СЗИ

составляет 60 000 руб.).

внедрялась система защиты информации для АРМ №1 Оператора и

система защиты информации для АРМ №2 Оператора;

оценивался остаточный риск информационной безопасности для каждого

из АРМ Оператора по предлагаемой методике и методике «АванГард» (рис. 11).

По результатам оценки эффективности методики аудита ИБ можно сделать

вывод о том, что при одинаковом уровне риска и остаточного риска

информационной безопасности затраты на создание системы защиты

информации в соответствии с рекомендациями предлагаемой методики ниже в

1,8 раза по сравнению с затратами предлагаемыми по рекомендациям методики

«АванГард».

Рисунок 9. Результаты сравнения риска

информационной безопасности

0

100000

200000

300000

400000

1

РИ

СК

, р

уб

Риск информационной безопасности (Методика

"АванГард")Риск информационной безопасности

(Предлагаемая методика)

16

Рисунок 10. Результаты сравнения

затрат на создание системы защиты

информации

Рисунок 11. Результаты сравнения

остаточного риска информационной

безопасности

Оценка эффекта работы модели оценивается по статистически накопленным

инцидентам по субъективным и объективным дестабилизирующим факторам

до внедрения методики аудита ИБ и после внедрения методики аудита.

Полученные результаты представлены в виде сводного графика на рисунке

12.

Рисунок 12. Сравнительная диаграмма количества инцидентов в ИС

«Электронные торговые площадки»

Эффект работы методики рассчитывается по формуле:

𝑊 =𝑛𝑘

𝑛∗ 100%, где

n – количество инцидентов до внедрения методики аудита ИБ;

𝑛𝑘 – количество инцидентов после внедрения методики аудита ИБ.

Таким образом, общая эффективность от работы методики составляет:

0

20000

40000

60000

80000

100000

120000

1

Зат

раты

на С

ЗИ

, р

уб

Затраты на снижения риска информационной

безопасности (Методика "АванГард")

Затраты на снижения риска информационной

безопасности (Предлагаемая методика)

0

5000

10000

15000

20000

25000

30000

35000

1

РИ

СК

, р

уб

Остаточный риск информационной безопасности

(Методика "АванГард")

Остаточный риск информационной безопасности

(Предлагаемая методика)

17

𝑊 =24

66∗ 100% ≈ 36 %.

В заключение работы приводятся основные результаты и подводятся итоги

диссертационного исследования.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

проведен процессный анализ существующей модели организации

электронной коммерции как объекта защиты;

осуществлен анализ и исследование российской и международной

нормативно-методической базы по информационной безопасности; по

результатам анализа были сделаны выводы о том, что большинство стандартов

отражают только требования к безопасности информационных систем и не

дают количественные подходы к решению вопросов аудита информационной

безопасности и оценки инцидентов безопасности;

проведен анализ и исследование существующих практических подходов к

аудиту информационной безопасности информационных систем; на основании

проведенного анализа были сделаны следующие выводы: в качестве

параметров оценки защищенности используются либо требования стандартов,

либо оценка и анализ рисков; инструментальные средства не учитывают

нарушителей информационной безопасности и дают оценку в текущий момент

времени;

разработана методика проведения аудита ИБ информационных систем на

основе прогнозирования и оценки инцидентов ИБ по субъективным и

объективным дестабилизирующим факторам;

создана модель угроз и модель нарушителей информационной

безопасности, которая учитывает внутренних (персонал), внутренних

(партнеры, клиенты) и внешних нарушителей информационной безопасности, а

так же построена таблица позиционирования угроз и нарушителей

информационной безопасности;

предложен подход к оценке значимых угроз информационной

безопасности путем расширения параметров оценки в методе стратегического

анализа SWOT;

показана эффективность работы предлагаемой методики аудита ИБ.

ОСНОВНЫЕ ПОЛОЖЕНИЯ ДИССЕРТАЦИИ ОПУБЛИКОВАНЫ В

СЛЕДУЮЩИХ РАБОТАХ:

В журналах, рекомендованных ВАК:

1. Ерохин С.С. Оценка эффективности контрмер угрозам информационной

безопасности с использованием скрытых Марковских процессов. Доклады

ТУСУР, ч.1, №2 2008г. 123–124с.

2. Ерохин С.С., Шелупанов А.А., Мицель А.А. Модель стратегического

анализа информационной безопасности. Доклады ТУСУР, №2 2007г. 34–41с.

3. Ерохин С.С., Мещеряков Р.В., Бондарчук С.С. Модели и методы оценки

защищенности информации и информационной безопасности объекта.

18

Безопасность информационных технологий. Министерство образования и

науки РФ. Московский инженерно–физический институт. №4 2007г. 39–46с.

4. Ерохин С.С., Мещеряков Р.В., Бондарчук С.С. Оценка защищенности

информационных систем электронной коммерции. Информация и

безопасность. Воронежский государственный технический университет, №2,

т.12, 2009г., 195–206с.

В других изданиях:

5. Ерохин С.С. Идентификация угроз информационной безопасности для

информационных систем электронной коммерции. Научная сессия ТУСУР –

2009: Материалы докладов Всероссийской научно–технической конференции

студентов, аспирантов и молодых ученных, Томск 12–15 мая 2009г. Ч3. – 148–

151с.

6. Ерохин С.С. Метод оценки рисков основанный на построении модели

угроз и уязвимости. Научная сессия ТУСУР – 2006: Материалы докладов

Всероссийской научно–технической конференции студентов, аспирантов и

молодых ученных, Томск 4–7 мая 2006г. Ч3. – 2с.

7. Ерохин С.С. Модель нарушителей для информационных систем

электронной коммерции. Научная сессия ТУСУР – 2009: Материалы докладов

Всероссийской научно–технической конференции студентов, аспирантов и

молодых ученных, Томск 12–15 мая 2009г. Ч3. – 144–147с.

8. Ерохин С.С. Оценка защищенности объектов информатизации

электронной коммерции. Научная сессия ТУСУР – 2009: Материалы докладов

Всероссийской научно–технической конференции студентов, аспирантов и

молодых ученных, Томск 12–15 мая 2009г. Ч3. – 147–148с.

9. Ерохин С.С. Оценка эффективности контрмер угрозам информационной

безопасности с использованием скрытых Марковских процессов. Методы и

технические средства обеспечения безопасности информации. Материалы XVI

Общероссийской научно–технической конференции. СПб.: Изд–во политехн.

ун–та 2007. 6с.

10. Ерохин С.С., Голубев С.В. Основные этапы оценки защищенности

объектов информационных систем. Электронные средства и системы

управления. Материалы пятой молодежной научно–практической конференции.

– Томск: В–Спектр, 2009г. 51–53с.

11. Ерохин С.С., Голубев С.В. Международные стандарты в области аудита

информационной безопасности: история создания, текущее состояние и

проблемы. Научная сессия ТУСУР – 2007: Материалы докладов Всероссийской

научно–технической конференции студентов, аспирантов и молодых ученных,

Томск 4–7 мая 2007г. Ч2. – 117–119с.

12. Ерохин С.С. Голубев С.В. Оценка защищенности информационных

систем с использованием скрытых Марковских процессов. Научная сессия

ТУСУР – 2007: Материалы докладов Всероссийской научно–технической

конференции студентов, аспирантов и молодых ученных, Томск 4–7 мая 2007г.

Ч2. – 133–137с.