Разработка модели оценки системы менеджмента информационной безопасности
1 октября 2017
Рубрика: Обзоры и мнения.
Автор: Б. Шкляревский.

Выполнение мероприятий по оценке эффективности системы менеджмента информационной безопасности (СМИБ) связано с проведением большого объема работ для получения показателей качества СМИБ.

Выполнение мероприятий по оценке эффективности системы менеджмента информационной безопасности (СМИБ) связано с проведением большого объема работ для получения показателей качества СМИБ. Сбор информации о состоянии информационной безопасности (ИБ) организации в циклической взаимосвязи видов деятельности СМИБ осуществляется посредством проведения измерений. В ходе измерения атрибутов объектов измерений изучается документация, проводится интервьюирование сотрудников и технические тесты. Работа с документацией и интервью­ирование являются, несомненно, важной частью проверок, однако обладают некоторыми недостатками — ручной сбор информации, низкая степень автоматизации, субъективность оценок, зависимость от уровня компетентности эксперта. Технические тесты позволяют получить количественные оценки показателей качества СМИБ. Проводя тестирование, исследователь выступает в роли легального злоумышленника, внося искусственные нарушения в функционирование СМИБ. Технические методы тестирования могут проводиться с помощью широко известных автоматизированных средств (Программный инструментарий оценки состояния ИБ — CSET (Cyber Security Evaluation Tool — инструмент оценки кибербезопасности), сетевой сканер XSpider и т.п.). В итоге, на основании полученных показателей качества руководством производится анализ эффективности деятельности СМИБ и определение направления дальнейшего развития системы. В процессе анализа эффективности СМИБ, в соответствии с требованиями руководящих документов, необходимо оценивать полученные показатели качества мер и средств контроля и управления. В действующей практике показатели оцениваются по отдельности, комплексная оценка не проводится. Методики расчета показателей качества СМИБ не учитывают наличие неопределенности стохастического характера измеряемых атрибутов. Например, при оценке рисков во время планирования эксплуатации СМИБ, недостатки процессов функционирования действующей СМИБ, условия применения мер и средств контроля и управления ИБ, ошибки измерений [1, 2].

В конечном итоге оценка эффективности СМИБ сводится к принятию бинарного решения «удовлетворяет — не удовлетворяет». Таким образом, возникает важная и актуальная задача совершенствования методологии оценки эффективности СМИБ, решение которой возможно путем разработки интегрального показателя эффективности СМИБ, который бы позволил учесть вышеуказанные недостатки и в то же время имел ясную физическую трактовку для руководства организации и службы ИБ.

Для оценивания эффективности СМИБ необходимо проводить измерение показателей качества СМИБ. Цель проводимых измерений заключается в получении оценки эффективности реализованных мер и средств контроля и управления и получения оценки эффективности реализованной СМИБ. Измерения проводятся повсеместно в циклической взаимосвязи видов деятельности СМИБ (их «входов-выходов»), на базе цикла «Планирование-Внедрение-Проверка-Действие» (PDCA-Plan-Do-Check-Act) (рис. 1).

В соответствии с циклом деятельности СМИБ PDCA «Планирование-Внедрение-Проверка-Действие» для проверки эффективности реализованной СМИБ необходимо управлять программой измерений для достижения установленных целей измерений на всех этапах деятельности [2, 3]. Особенно это важно для этапа «Внедрение». Измерения на этапе «Внедрение» оказывают существенное влияние на показатели качества СМИБ. Далее на этапе «Проверка» полученные показатели качества сравниваются с пороговыми критериями, и по результатам проверки принимается решение о соответствии или не соответствии меры и средства контроля и управления СМИБ требованиям [3].

Рис. 1. Виды деятельности СМИБ, связанные с измерениями («входы-выходы»), в цикле «Планирование-Внедрение-Проверка-Действие».

Программа измерений и разработанные конструктивные элементы измерений должны обеспечивать эффективное налаживание организацией объективных и повторяемых процессов измерения. Результаты измерений предоставляются соответствующим заинтересованным сторонам для определения потребностей в усовершенствовании реализованной СМИБ, включая область ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры. При формировании программы измерений учитываются масштабы и сложность СМИБ, а также то, что сами измерения, впоследствии могут быть интегрированы в обычные процессы функционирования СМИБ или будут выполняться через постоянные интервалы времени, определенные руководством СМИБ [4].

Во исполнение программы создается модель измерений, для которой разрабатываются и вводятся конструктивные элементы измерений для получения воспроизводимых, объективных и пригодных результатов измерений (свидетельств аудита) (рис. 2).

Рис. 2. Модель измерений, проводимых в структуре СМИБ

Модель измерений представляет собой структуру, связывающую информационную потребность с соответствующими объектами измерений и их атрибутами. В число объектов могут входить планируемые и реализованные процессы, про­цедуры, проекты и ресурсы СМИБ. Модель измерений позволяет описать коли­чественные оценки показателей атрибутов и каким образом они преобразуются в показатели, служащие основой для принятия решений. Для понимания работы механизма измерений атрибутов рассмотрим следующий пример. Допустим, в СМИБ организовано применение двух мер — меры контроля и управления 1 и меры контроля и управления 2.

На рис. 3 представлен процесс получения основной меры измерения как результата применения метода измерений к выбранным атрибутам объекта измерений. Эти атрибуты присваиваются основной мере измерения. На рисунке видно, что один и тот же атрибут может использоваться для нескольких различных основных мер измерений. Метод измерений — это логическая последовательность операций, основывающихся на атрибутах объекта измерений, используемых для количественной оценки атрибута по отношению к заданной шкале. Операция может включать в себя такие действия, как подсчет событий, наблюдение за ходом времени, проведение тестов. В этом примере основной метод измерений (М) — это подсчет и проведение тестов. Дополнительно объектами измерений, наряду с прочими, могут служить результативность мер и средств контроля и управления в СМИБ, результативность процессов, реализованных в СМИБ, и т.д. [4, 5].

Метод измерений может использовать объекты измерений и атрибуты из разнообразных источников, таких как результаты анализа риска и оценки риска, данные тестирования, полученные, например, в результате тестирования на проникновение, использования социальной инженерии, инструментальных средств обеспечения соответствия, а также инструментальных средств аудита безопасности.

Рис. 3. Взаимосвязи между объектами, атрибутами, методами и основной мерой измерений

Далее, на основе полученных основных мер измерений может быть получена производная мера измерения, которая иногда является комбинацией двух или более основных мер измерений (рис. 4).

В другом случае основная мера измерения может служить в качестве входных данных для нескольких производных мер измерения. Шкала и единица измерения производной меры измерения зависят от шкалы и единиц измерения, основных мер измерения, на основе которых она получена, а также от того, как они комбинировались функцией измерения. Функция измерения (F), используя вычисление (F.2), комбинирует основные меры измерения, с целью получения производной меры измерения (D.2). Вычисление функции из­мерения F.1 формирует производную D.1 из основной меры В.1 непосредственно, а основная мера В.2.2 передается к аналитической модели без преобразования в производную меру. Функция измерения может использовать разнообразные методы, такие как вычисление среднего значения основных мер измерений, применение весовых коэффициентов к основным мерам измерений или присвоение основным мерам измерений качественных значений. Функция измерения может объединять основные меры измерений, используя разные значения шкалы, например, процентные соотношения и результаты качественных оценок [5].

Рис. 4. Получение производной меры измерений от основной меры через функцию измерений.

В итоге, проведение измерений позволяет получить показатель качества, который является мерой, дающей качественную или количественную оценку определенных атрибутов, полученную на основе применяемой аналитической модели в отношении определенной информационной потребности (рис. 5).

Рис. 5. Использование аналитической модели для получения показателей качества.

Показатель (I) получают путем применения аналитической модели (AM) к основной (B) и (или) производной (D) мере измерений и комбинирования их с использованием критериев принятия решений [1, 2].

Регулярные измерения показателей качества СМИБ дают временной срез состояния системы, который будет оцениваться относительно предыдущих результатов измерений. Однако эта информация жестко привязана ко времени измерения, и по совокупности полученных показателей невозможно определить, насколько изменилась эффективность СМИБ между периодами проверок. Проблема существующих механизмов получения показателей заключается в том, что при измерении атрибутов объектов измерения все атрибуты, кроме одного, остаются неизменными, их как бы «замораживают», измеряя, последовательно в рассматриваемых пределах лишь один атрибут, не учитываются наличие неопределенности стохастического характера. Например, при оценке рисков во время планирования СМИБ, при использовании мер и средств контроля и управления ИБ, недостатки процессов функционирования действующей СМИБ, ошибки измерений [3, 4].

Рис. 6. Интерпретация показателей (I) качества СМИБ на основании критериев принятия решений (DC).

В конечном итоге оценка показателя качества СМИБ сводится к принятию бинарного решения «удовлетворяет — не удовлетворяет». Таким образом, возникает важная и актуальная задача по разработке интегрального критерия эффективности СМИБ, который бы позволил учесть вышеуказанные недостатки и в то же время имел ясную физическую трактовку для руководства организации и персонала службы ИБ. Решение этой задачи видится в разработке такого показателя эффективности СМИБ, который будет связан с организацией объективных и повторяемых процессов измерения. Данный показатель будет объективно отражать состояние СМИБ, и на основании него соответствующие заинтересованные стороны смогут определить потребности в усовершенствовании реализованной СМИБ, включая область ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры. В роли такого показателя эффективности СМИБ необходимо принять время реакции системы на события ИБ. В ГОСТ ИСО/МЭК 27000 дается следующее определение: «2.20 Событие в системе информационной безопасности (information security event): выявленный случай системы, услуги или состояния сети, указывающий на возможное нарушение информационной безопасности, политики, нарушение или отказ средств управления или прежде неизвестная ситуация, которая может иметь значение для безопасности».

Анализ методов оценки эффективности мер и средств управления и контроля СМИБ показал, что около 80% от общего перечня мер и средств управления и контроля оценивается по временным показателям. Например, по времени обнаружения события в системе ИБ, времени внесения информации о событии ИБ в базу данных, время блокирования несанкционированного действия нарушения ИБ, время оповещения персонала службы ИБ организации о событии ИБ. В зависимости от того, какой компонент системы реагирует на событие ИБ (СОВ — защита периметра сети от вторжений, изменение политик безопасности, управление системой физического и логического доступа и множество других компонентов), не только меняется время реакции, но и оценка скорости реакции. Для некоторых ситуаций хорошим результатом является практически мгновенная реакция, изменение политик безопасности может потребовать несколько недель или даже месяцев.

Время реакции СМИБ на события ИБ может выступать интегральным показателем эффективности СМИБ.

где k — количество атрибутов, подлежащих измерению,

ТрсИБ — время реакции СМИБ на событие ИБ,
ТобнИБi — время обнаружения события ИБ,
ТблокИБi — время блокирования несанкционированных действий при нарушении ИБ,
ТрегИБi — время регистрации события ИБ,
ТоповИБi — время оповещения персонала службы ИБ о выявленном событии системы ИБ.

Для расчета показателя необходимо разделение мер и средств управления и контроля для выполнения проверок на группы по времени реагирования на событие ИБ. Например, можно установить такой вид группирования:

  • немедленный контроль (время реакции — несколько минут (ТрсИБ ≤ 10 мин.);
  • суточный контроль (время реакции — в течение суток (ТрсИБ ≤ 10 часа.) — контроль изменения политик ИБ (время реакции — в течение нескольких суток (ТрсИБ ≤ 10 сут.).

Динамика изменения интегрального показателя ТрсИБ от проверки к проверке позволит судить о состоянии системы в целом, о результативности принимаемых мер и средств управления и контроля. В формировании данного показателя будет учитываться уникальность СМИБ организации. Дополнительно, методика получения показателя ТрсИБ может быть встроена в обычные процессы функционирования СМИБ и может выполняться через постоянные интервалы времени, определяемые руководством СМИБ [5].

Изменения, вносимые методикой получения интегрального показателя в модель измерений СМИБ, связывающую информационную потребность с соответствующими объектами измерений и их атрибутами, позволит получать воспроизводимые, объективные и пригодные результаты измерений (рис. 7).

Рис. 7. Изменение модели измерений СМИБ, связанные с получением показателя эффективности СМИБ.

Методика получения показателя эффективности СМИБ позволит исследовать взаимное влияние показателей качества объектов измерений. В руководящих документах определен перечень взаимосвязанных конструктивных элементов измерений. Однако, существующий перечень представляет только базовые взаимодействия и не учитывает особенности СМИБ организации. В рамках работы по совершенствованию оценки эффективности СМИБ и получения достоверных результатов измерения показателей качества СМИБ предлагается использование сто­хастических аналитических моделей, в частности, статистических. Данные модели предпочтительны потому, что учитывают вероятностную составляющую атрибутов (факторов), которые подлежат измерению, а также случайное воздействие может подаваться на вход модели измерений как в процессе проведения изме­рений, так и за счет датчиков случайных чисел, применяемых в самой модели. Еще одним достоинством применения статистической модели является то, что в ней самой уже заложен алгоритм статистической обработки результатов измерений. Наиболее выгодным, с точки зрения достижения результативности измерений, является широкое использование, в качестве аналитических моделей для показателя эффективности СМИБ, модели регрессионного анализа. Преимущество данной модели относительно других статистических моделей (дисперсионного, корреляционного, параметрического анализа и др.) в том, что помимо получения вывода о причинно-следственном механизме исследуемых зависимостей, получают конкретные сведения о форме и виде зависимости. Помимо этого, аппарат регрессионного анализа широко представлен во всех современных программных средствах математической автоматизации (таких, как семейство Mathcad, Scilab, GNU Octave, Mathematica, MATLAB и др.) и в автоматизированных средствах обработки статистических данных (STATISTICA, SYSTAT, JMP и т.д.) [5].

Библиографический список:

  1. Остапенко О. А., Карпеев Д. О.Асеев В. Н. Риски систем: оценка и управление / Под ред. Ю. Н. Лаврухина. М.: Горячая линия-Телеком, 2007. — 247 с.
  2. Information Systems and Organizations. 2011 г. [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-137/SP800-137-Final.pdf
  3. The Critical Security Controls for Effec­tive Cyber Defense: Consensus Audit Guidelines (CAG) Version 5. SANS Institute. 2014 г. [Электронный ресурс]. — Режим доступа: http://www.sans.org/critical-security-controls/, свободный. Яз. англ. (дата обращения 20.04.2014).
  4. Аксенов В. В. Аудит системы менеджмента информационной безопасности. Руководство. 2012 г. [Электронный ресурс]. — Режим доступа: http://itsec.by/, свободный. Яз. рус. (дата обращения 09.09.2013).
  5. Шаго Ф. Н., Зикратов И. А. Методика оптимизации планирования аудита системы менеджмента информационной безопасности. // Научно-технический вестник информационных технологий, механики и оптики. — 2014. — №2(90). — С. 111 — 118.

Автор: Богдан Шкляревский, врио начальника отдела нормативно-методологического обеспечения Центра информационной безопасности и содействия в обеспечении общественного порядка Министерства по развитию информационных технологий и коммуникаций Республики Узбекистан

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте