Научный журнал
Фундаментальные исследования
ISSN 1812-7339
"Перечень" ВАК
ИФ РИНЦ = 1,252

ИНФОРМАЦИОННО-АНАЛИТИЧЕСКАЯ ПОДДЕРЖКА ДЕЯТЕЛЬНОСТИ АУДИТОРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Надеждин Е.Н. 1 Новикова Т.Л. 2
1 Государственный научно-исследовательский институт информационных технологий и телекоммуникаций
2 Шуйский филиал Ивановский государственный университет
Статья посвящена проблеме автоматизации деятельности аудитора информационной безопасности. Изучены особенности реализации задач внутреннего аудита информационной безопасности в условиях конкретной образовательной организации. На основе содержательного описания построена формальная модель типового функционала аудитора информационной безопасности. В результате системного анализа и декомпозиции функциональной модели деятельности выделено подмножество информационно-аналитических задач, отличающихся повышенной сложностью и нелинейностью алгоритмов обработки и принятия решения. Выделены основные источники информации, которые традиционно используются аудитором для сбора исходных данных, анализа состояния защищённости сетевых ресурсов образовательной организации и подготовки отчёта. Показано, что одним из перспективных направлений повышения качества аудита является автоматизация решения информационно-аналитических задач. Для поддержки этого процесса предложено разработать набор специализированных интеллектуальных инструментов, который составит ядро программного обеспечения автоматизированного рабочего места аудитора информационной безопасности.
образовательная организация
аудит информационной безопасности
деятельность аудитора
функционал аудитора
интеллектуальные инструментальные средства
1. Аверченков В.И. Аудит информационной безопасности: учеб. пособие для вузов. – 2-е изд., стереотип. – М.: ФЛИНТА, 2011. – 269 с.
2. Ахметов Ю.М. Принципы разработки эффективного инструмента аудита безопасности информационных систем // Информационное противодействие угрозам терроризма. Научно-практический журнал. – 2010. – no. 14. – С. 21–26.
3. Курило А.П., Зефиров С.Л., Голованов В.Б. Аудит информационной безопасности. – М.: БДЦ-Пресс, 2006. – 304 с.
4. Надеждин Е.Н. Проблемные вопросы интеллектуализации информационных систем образовательного назначения // Информационные ресурсы в образовании: материалы Международной научно-практической конференции (г. Нижневартовск, 17–19 апреля 2013 г.). – Нижневартовск: НВГУ, 2013. – С. 8–11.
5. Надеждин Е.Н., Шептуховский В.А. Методика оценивания рисков информа-ционной безопасности в вычислительных сетях образовательных учреждений // Педаго-гическая информатика. – 2012. – no. 4. – С. 84–92.
6. Надеждин Е.Н., Смирнова Е.Е., Шершакова Т.Л. Математические основы моделирования и анализа интегрированных систем защиты информации: учебное пособие. – Тула: НОУ ВПО «Московский институт комплексной безопасности». Изд-во ТулГУ. – 205 с.
7. Новикова Т.Л., Надеждин Е.Н. Информационное обеспечение внутреннего аудита информационной безопасности образовательной организации // Комплексная защита объектов информатизации: сб. науч. трудов Всероссийской научно-практической конференции с межд. участием 1-5.06.2016 года. – СПб.: Изд-во политехн. ун-та, 2016. – С. 48–51.
8. Парасюк И.Н., Сергиенко И.В. Пакеты программ анализа данных: технология разработки. – М.: Финансы и статистика, 1988. – 159 с.
9. Романов В.П. Интеллектуальные информационные системы в экономике: учебное пособие / под ред. Н.П. Тихомирова. – М.: Изд-во «Экзамен». – 2003. – 496 с.
10. Шершакова Т.Л. Задачи внутреннего аудита информационной безопасности университета в контексте реализации системы менеджмента качества образовательных услуг // Научный поиск. – 2013. – no. 2.5. – С. 31–33.

Характерной чертой современного этапа информатизации системы высшего образования является активное развитие сетевой инфраструктуры образовательных организаций (ОО). В условиях непрерывного расширения спектра угроз и совершенствования технологий осуществления кибернетических атак на передний план выходят вопросы построения многоуровневой защиты сетевых ресурсов. Реалии информационного общества настоятельно требуют создания в каждой ОО интегрированной системы защиты информации (СЗИ) [4, 6].

Важным составным компонентом системы управления рисками информационной безопасности (ИБ), направленной на своевременное выявление, идентификацию и устранение уязвимостей в сетевой инфраструктуре ОО, является аудит информационной безопасности (АИБ) [1, 3]. В политике ИБ каждой ОО особое место отводится задачам АИБ, среди которых особое место занимают анализ функционального состояния аппаратно-программных средств информационно-вычислительной сети (ИВС) ОО и оценка защищённости её активов. Несмотря на возросший поток публикаций, посвящённых разработке технологий аудита, аккумулирующих положительный опыт оценки защищённости ИВС, по-прежнему открытыми остаются вопросы рациональной организации, повышения качества и сокращения сроков проведения внутреннего АИБ ОО. Как показала практика, в условиях ограниченности привлекаемых ресурсов указанные показатели внутреннего АИБ существенно зависят от сложности объекта автоматизации, квалификации экспертов-аудиторов и характеристик используемых ими инструментальных средств.

Целью статьи является анализ перспективных направлений автоматизации информационно-аналитической деятельности аудитора и определение функций интеллектуальных инструментальных средств, способных в перспективе составить ядро программного обеспечения автоматизированного рабочего места (АРМ) аудитора ИБ.

Следуя рекомендациям нормативных документов, под аудитом информационной безопасности будем понимать системный процесс получения объективных качественных и количественных оценок о текущем состоянии ИБ образовательной организации в соответствии с установленными требованиями и показателями безопасности [1].

Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Основными задачами АИБ являются:

  • анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИВС;
  • оценка текущего уровня защищенности компонентов ИВС;
  • локализация слабых звеньев в системе защиты информации;
  • оценка соответствия СЗИ существующим стандартам в области ИБ;
  • выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения ИБ;
  • разработка (или корректировка) политики безопасности и других организационно-распорядительных документов по защите информации и их внедрению в деятельность ОО;
  • конкретизация задач для ИТ-персонала в области защиты информации;
  • разбор инцидентов, связанных с нарушением политики ИБ.

Выводы и рекомендации аудитора должны быть конкретными с учётом специфики ОО, экономически обоснованными, аргументированными и упорядоченными по степени важности. Как свидетельствует статистика, в ОО организационные мероприятия по обеспечению защиты информации практически всегда имеют приоритет над конкретными программно-техническими методами защиты. Поэтому принципиально важным следует считать выбор рабочей методики сбора и предварительный анализ информации о состоянии ИБ.

Выделим источники информации, используемые для проведения АИБ ОО [7]:

1) схема организационной структуры управления;

2) схема организационной структуры обслуживающих подразделений;

3) организационно-распорядительные документы по эксплуатации ИВС;

4) статистика инцидентов ИБ;

5) профили и учётные данные пользователей;

6) результаты моделирования конфликтных ситуаций;

7) материалы тестирования программного обеспечения;

8) результаты мониторинга ресурсов ИВС.

Определённую трудность при анализе состояния ИБ вызывает разнородность привлекаемых источников информации. Этап сбора данных в АИБ является наиболее сложным и трудоёмким. Это связано, прежде всего, с низким уровнем автоматизации процедур сбора и экстрагирования полезной информации и с необходимостью тесного взаимодействия аудитора со многими должностными лицами организации. Используемые аудиторами методы сбора и анализа данных определяются приоритетными задачами и выбранными подходами к проведению аудита, которые на практике могут существенно различаться.

Первый подход – нормативный – опирается на использование существующих стандартов ИБ и на практике сводится к определению группы индикаторов ИБ и к проверке их соответствия установленным требованиям. Второй подход – аналитический – базируется на определении, количественной оценке и анализе рисков ИБ. Опираясь на накопленный опыт оценки вероятных угроз и анализа рисков, аудитор определяет для обследуемой ОО индивидуальный набор требований ИБ, в наибольшей степени учитывающий особенности ИВС, среды её функционирования и существующие в данной среде угрозы безопасности. Данный подход, в отличие от нормативного подхода, является ресурсозатратным и требует высокой квалификации аудитора. На продолжительность и качество аудита в этом случае сильно влияют принятая методология анализа рисков и её применимость к данному типу ИВС.

Анализ рисков включает в себя мероприятия по обследованию безопасности ИВС, с целью определения того, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Формирование набора адекватных контрмер осуществляется при разработке механизма управления рисками. Риск определяется вероятностью причинения ущерба или величиной ущерба, наносимого ресурсам ИВС, в случае осуществления угрозы безопасности. Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину, дав им качественную или количественную оценку.

Решение задачи анализа рисков можно разделить на четыре последовательных этапа:

1) оценка состояния ресурсов ИВС;

2) определение важности тех или иных ресурсов для ОО;

3) идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;

4) определение рисков, связанных с осуществлением угроз безопасности.

В общем случае величина совокупного риска ИБ Rc определяется как взвешенная сумма частных рисков:

Nadezhdin01.wmf

Nadezhdin02.wmf

Здесь Rk – частный риск, заключающийся в нарушении целостности k-го ресурса; βk – весовой коэффициент, отражающий важность соответствующего ресурса; m – число критических ресурсов.

Частный риск определяют на основе учёта стоимости рассматриваемого k-го ресурса, вероятности Pk осуществления угрозы и коэффициента уязвимости Hk ресурса по следующей формуле:

Nadezhdin03.wmf

Задача управления рисками, как известно, заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемой величины. При этом стоимость реализации контрмер должна быть меньше величины возможного ущерба.

Пусть для проведения АИБ выбран второй подход, базирующийся на анализе рисков. Тогда на основе полученных данных выполняются следующие группы задач:

  • анализ состояния всех видов ресурсов ИВС;
  • анализ содержания задач, выполняемых существующей СЗИ;
  • построение (неформальной) модели ресурсов ИВС, определяющей взаимосвязи между информационными, программными, техническими и людскими ресурсами, их взаимное расположение и способы взаимодействия;
  • оценка критичности информационных, программных и технических ресурсов;
  • определение критичности ресурсов с учетом их взаимозависимостей;
  • идентификация наиболее вероятных угроз безопасности в отношении ресурсов ИВС и уязвимостей защиты, делающих возможным осуществление этих угроз;
  • оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного осуществления угроз;
  • определение величины рисков для кортежа (угроза; группа ресурсов; уязвимость).

Комплекс задач, осуществляемых в процессе внутреннего АИБ, в зависимости от содержания рабочих процедур можно условно подразделить на следующие группы:

а) нормативно-проверочные;

б) информационно-статистические;

в) информационно-аналитические;

г) отчётно-оформительские.

Анализ практики проведения внутреннего АИБ ОО по схеме аналитического подхода показывает, что удельный вес указанных задач составляет соответственно 15…20, 36…45, 26…32 и 5…10 %. В наибольшей степени сегодня автоматизированы задачи второй и четвёртой групп. Нормативно-проверочные операции предполагают непосредственную работу аудитора с конфиденциальными документами и при существующем уровне защищённости системы электронного документооборота их полная формализация нецелесообразна. Значительный ресурс в повышении оперативности и качества внутреннего АИБ заключается в автоматизации процесса решения информационно-аналитических задач [10], которые в конечном счёте и определяют обоснованность выводов и предложений по результатам аудита.

Информационно-аналитические задачи (ИАЗ) АИБ в силу их специфики следует отнести к классу некорректно поставленных задач принятия решений [9]. Их формализация обычно затрудняется следующими факторами: недостаток априорной информации, нечёткость задания критериев и ограничений, отсутствие стандартных вычислительных схем и базовых моделей, многомерность, многовариантность и индетерминизм. К группе ИАЗ следует отнести [2, 4]: комплексный анализ характеристик и формирование древовидной модели актуальных угроз безопасности на основе наблюдений, моделирования и экспертных оценок; выявление и ранжирование потенциальных уязвимостей в программном и аппаратном обеспечении; многокритериальная оценка эффективности механизмов защиты и выбор схем их адаптации; прогностическая оценка частных рисков ИБ (для различных активов); идентификация многофакторных моделей совокупного риска на основе нечёткого когнитивного моделирования; оптимизация комплекса организационных, программных, аппаратных, физических и иных мер защиты; идентификация семантической модели проблемной области ИБ сетевых ресурсов; генерация проектов предписаний и алгоритма действий администратора сетевой безопасности по устранению выявленных несоответствий нормативным требованиям. Несмотря на существенные отличия в постановке и способах решения, ИАЗ являются информационно-зависимыми задачами одной проблемной области. В интересах системной реализации ИАЗ обоснованным следует считать создание пакета прикладных программ, включающего набор семантических моделей и процедур поддержки задач анализа рисков и имеющего единую информационную базу. По мнению ряда экспертов, задачи моделирования и анализа информационных рисков в процессе АИБ относятся к классу наиболее трудоёмких аналитических задач и требуют высокой квалификации аудитора [1, c. 23]. При этом наибольшие трудности заключаются в построении адекватных моделей частных информационных рисков и совокупного риска для активов ОО, что обусловлено неполнотой, недостоверностью и противоречивостью используемой информации. В качестве платформы для разработки интеллектуального инструментария количественной оценки рисков ИБ могут быть рекомендованы апробированные на практике технологии нейросетевого моделирования и нечёткого когнитивного анализа [2, 5, 9]. В ходе нашего исследования было установлено, что одним из перспективных способов повышения точности прогностических оценок рисков ИБ может служить введение в состав программного обеспечения АРМ специальных процедур для комплексной обработки и цифровой фильтрации исходной информации, поступающей от различных источников.

В целях конкретизации функционала инструментальных программных средств АРМ аудитора выполним следующие действия. Предположим, что на первом этапе аудита процедуры сбора, предварительной обработки, накопления и агрегирования исходных данных и идентификации состояния ИБ выполнены в полном объёме. Тогда на последующих этапах аудита функции аудитора сводятся к решению определённого набора задач статистического анализа и оптимизации с применением стандартных вычислительных методов, к подготовке на их основе выводов и рекомендаций и к документированию результатов.

Пусть модель программного обеспечения АРМ представлена кортежем:

R = (L, P, M, F),

где L – интерфейс, поддерживающий взаимодействие пользователя с программным обеспечением АРМ; P – прикладные программы-модули, обеспечивающие численное решение задач из некоторой предметной области; M – информационная модель предметной области, определяемая совокупностью прикладных проблем, сводимых к некоторому множеству частных задач, которые обладают общностью применяемых алгоритмов решения и информационных массивов; F – управляющая программа, выполняющая роль специализированной операционной системы.

Предметную область априорно будем считать заданной в виде

M = (D, Z, A, Q),

где Nadezhdin04.wmf – множество типовых структур наборов исходных данных; Nadezhdin05.wmf – класс задач, образованный множеством типовых задач обработки и анализа данных; Nadezhdin06.wmf – множество алгоритмов, при этом Ai являются до конца формализованными, допускающими численную реализацию на ЭВМ и представление в виде конечной последовательности программных модулей [8, с. 19]; Q – множество ограничений и требований, соблюдение которых связано с содержанием решаемых частных задач и считается необходимым.

В указанной постановке основные задачи АИБ могут быть полностью автоматизированы. Для эффективной реализации в АРМ аудитора отмеченных особенностей предметной области потребуется найти решение нескольких нетривиальных аналитических задач:

а) идентификация массивов данных по материалам пассивного и активного мониторинга сетевых ресурсов и функционального состояния компонентов ИВС;

б) комплексная обработка и оценивание разнородных данных;

в) кластеризация информационных угроз и оценка их характеристик;

г) идентификация моделей и анализ частных рисков ИБ;

д) выявление скрытых уязвимостей в компонентах сетевой инфраструктуры ОО.

Указанные выше задачи в силу своей природы и отсутствия стандартных методов решения следует отнести к группе интеллектуальных задач [9].

Внутренний АИБ проводится, как правило, силами и средствами самой ОО. Ограниченность привлекаемых для осуществления задач внутреннего АИБ материальных и административных ресурсов и лимит времени, выделяемого на проверку оборудования и анализ документации и статистики инцидентов без нарушения штатного процесса функционирования ИВС, существенно ограничивают объёмы выполняемых исследований. В результате действия указанных факторов мероприятия внутреннего АИБ проводятся в ускоренном режиме и нередко носят фрагментарный характер. Негативное влияние на глубину анализа, объективность результатов аудита и обоснованность выводов и рекомендаций оказывают профессиональная неподготовленность привлекаемых штатных сотрудников ОО и отсутствие у них достаточного опыта и навыков в планировании и проведении подобных аналитических исследований.

Из практики аудита безопасности информационных систем вытекают основные критерии качества аудиторского заключения [1]: достоверность, актуальность, ясность и полезность, которые по своей природе противоречивы и предполагают поиск компромиссного решения. Компьютерная реализация набора ИАЗ на основе применения специальных инструментальных средств, поддерживающих дополнительные интеллектуальные функции (нечёткий когнитивный анализ, параметрическая идентификация, экспертные оценки, обучение и самообучение, ранговая классификация и др.), поможет существенно повысить продуктивность работы эксперта-аудитора и, как следствие, обеспечить высокое качество АИБ.

Таким образом, в результате анализа и декомпозиции функционала аудитора информационной безопасности выделены три группы функциональных задач, которые наиболее перспективны с точки зрения их автоматизации в составе АРМ:

1) организационные;

2) информационно-статистические;

3) информационно-аналитические (интеллектуальные).

Организационные задачи регламентируются известными нормативными документами с учётом существующей организационно-штатной структуры ОО и её сетевой инфраструктуры. Информационно-статистические задачи могут быть сведены к накоплению, обработке и статистическому анализу на основе известных методов и алгоритмов теории вероятностей и математической статистики. Интеллектуальные задачи предполагают применение эвристических подходов с использованием специальных процедур поддержки принятия решений. Для их компьютерной реализации могут быть привлечены семантические сети и нечёткие когнитивные модели, интегрирующие опыт экспертов в постановке и решении подобных задач и допускающие выбор предпочтительного варианта в соответствии с функцией предпочтения аудитора.


Библиографическая ссылка

Надеждин Е.Н., Новикова Т.Л. ИНФОРМАЦИОННО-АНАЛИТИЧЕСКАЯ ПОДДЕРЖКА ДЕЯТЕЛЬНОСТИ АУДИТОРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ // Фундаментальные исследования. – 2016. – № 10-1. – С. 67-72;
URL: https://fundamental-research.ru/ru/article/view?id=40810 (дата обращения: 25.11.2017).

Предлагаем вашему вниманию журналы, издающиеся в издательстве «Академия Естествознания»
(Высокий импакт-фактор РИНЦ, тематика журналов охватывает все научные направления)

«Фундаментальные исследования» список ВАК ИФ РИНЦ = 1.252