CC BY
56
Раздел VI. Стандарты и правовое регулирование информационной безопасности
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1.Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. - М.: Гостехкомиссия России, 1998.
2.Марков, А.С. Выявление уязвимостей в программном коде /А.С. Марков, С.В. Миронов, В.Л. Цирлов // [Интернет].- режим доступа http://www.osp.ru/os/2005/12/380655/ p2.html, свободный
3.Благодаренко, А.В. Статистический и динамический анализ программного обеспечения без исходных текстов // Проблемы информационной безопасности в системе высшей школы: труды XIV всероссийской научной конференции.-М.:МИФИ, 2007.-С. 33-34.
4.Бойко А.Н. Выделение редко исполняемого кода. Сб.трудов VII Всероссийской научной конференции студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления», Таганрог 2006. - С. 334.
М.Е. Путивцев, А.А. Баранник
Россия, г. Таганрог, Технологический Институт ЮФУ
МОДЕЛЬ ПРОВЕДЕНИЯ СЕРТИФИКАЦИИ ПО СТАНДАРТУ 18О\1ЕС 17799 С ИСПОЛЬЗОВАНИЕМ ПРОЦЕССНОГО ПОДХОДА
Обеспечение информационной безопасности (ИБ) компьютерных систем различного назначения продолжает оставаться чрезвычайно острой проблемой. Можно констатировать тот факт, что несмотря на усилия многочисленных организаций, занимающихся решением этой проблемы, общая тенденция остается негативной. Основных причин этому две:
- возрастающая роль информационных технологий в поддержке бизнес-процессов, как следствие возрастающих требования к ИБ автоматизированных систем. Цена ошибок и сбоев информационных систем возрастает;
- возрастающая сложность информационных процессов. Это предъявляет повышенные требования к квалификации персонала, ответственного за обеспечение ИБ. Выбор адекватных решений, обеспечивающих приемлемый уровень ИБ при допустимом уровне затрат, становится все более сложной задачей.
Для решения этих задач создаются организации аудиторов в области ИБ, ставящие своей целью проведение экспертизы соответствия системы ИБ некоторым требованиям, оценки системы управления ИБ, повышения квалификации специалистов в области ИБ [1]. Система аттестации обычно появляется одновременно с принятием стандартов ИБ.
В последнее время в разных странах появилось новое поколение стандартов в области ИБ, посвященных практическим аспектам организации и управления ИБ [2].
В данной статье на этапе анализа методологий оценки уровня информационной безопасности, ввиду доступности и достаточно широкой распространенности был отдан приоритет международному стандарту ISO\IEC 17799 [3].
Технология проведения аудита на соответствие подобным стандартам существенно отличается от технологий, применяемых для предыдущих поколений стандартов, к которым, в частности, относятся Руководящие документы (РД) Г ос-техкомиссии России 1992-1993 гг. Основное отличие заключается в гораздо большей степени формализации некоторых этапов, использовании поддающихся проверке показателей и критериев, то есть в большей детализации.
Однако при рассмотрении стандарта ISO\IEC 17799 необходимо отметить, что при проведении сертификации на соответствие степень формализации оценочных работ явно недостаточна. Для решения данной проблемы было решено про-
Известия ЮФУ. Технические науки
Тематический выпуск
вести подробную детализацию стандарта с определением ролей, задач и объектов, задействованных в проведении сертификации [4].
В качестве примера детализации стандарта на системные процессы и подпроцессы было решено рассмотреть один из десяти основных компонентов (режимов) “Управление коммуникациями и процессами (R6)”. Рассматриваемый компонент состоит из шести главных системных процессов:
- процесс определения служебных инструкций и ответственности (R6.1);
- процесс управления внутренними ресурсами (R6.2);
- процесс обеспечения безопасности носителей данных (R6.3);
- процесс управления сетью (R6.4);
- процесс по соблюдению безопасности при передаче информации и программного обеспечения (ПО) (R6.5);
- процесс защиты от вредоносного ПО (R6.6).
Далее при дальнейшей структуризации системные процессы разбиваются на более конкретные составляющие. Для наглядного представления рассмотрим процесс R6.1 (“определение служебных инструкций и ответственности”), который состоит из системных процессов второй иерархии:
- процесс контроля изменений среды функционирования (R6.1.1);
- процесс регламентирования процедур реагирования на инциденты (R6.1.2);
- процесс разграничения ответственности путем разграничения обязанностей (R6.1.3);
- процесс разделения ресурсов (R6.1.4).
В дальнейшем эти процессы детализируются на подпроцессы. К примеру, процесс R6.1.2 подразделяется на 11 более структурированных и менее объемных процессов (третий уровень иерархии). Также необходимо отметить, что все 11 процессов имеют свой порядок выполнения, ответственных сотрудников с определенными ролями и обязанностями, объектами, которыми приходится оперировать системному процессу, и выходными данными. С целью определения ролей и обязанностей участников процесса используется модель описания RACI [5]. При рассмотрении одного из 11 системных процессов “Сбор максимального количества информации по инциденту” ответственным за его выполнение является специалист по защите информации. Объекты этого процесса: журналы аудита, лог файлы операционных систем и систем обнаружения атак. На выходе должен быть представлен отчет с данными по инциденту.
Дальнейшая степень детализации не рассматривается ввиду различных нормативно-правовой базы, аппаратно-технических средств и штатных специалистов.
На основе вышеизложенного принципа строится динамическая модель системных процессов. Построение такой модели служит базовым средством для формального описания требований стандарта.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Петренко А., Аудит безопасности Intranet. - М.: ДМК 2002, - 416 с.
2. IS Auditing Guideline: Effect of Pervasive IS Controls. - ISACA Guidelines, 2000.
3. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. - М.: Стандартинформ, 2006, - 62 с.
4. Беккер Й., Вилков Л., Менеджмент процессов. - М.: Эксмо 2007. - 358 с.
5. Что такое RACI model, Источник: http://www.12manage.com/methods raci ru.html.
