Электронная библиотека российских диссертаций Электронная библиотека российских диссертаций Электронная библиотека российских диссертаций Электронная библиотека российских диссертаций Электронная библиотека российских диссертаций Электронная библиотека российских диссертаций
Каталог

Обратная связь

Я ищу:

Содержимое электронного каталога российских диссертаций

Диссертационная работа:

Лысов Александр Сергеевич. Методические и программные средства анализа информационных рисков в деятельности органов государственного управления : диссертация ... кандидата технических наук : 05.13.19 / Лысов Александр Сергеевич; [Место защиты: Том. гос. ун-т систем упр. и радиоэлектроники (ТУСУР) РАН]. - Тюмень, 2008. - 163 с. : ил. РГБ ОД, 61:08-5/1233


Для получения доступа к работе, заполните представленную ниже форму:


*Имя Отчество:
*email



Содержание диссертации:

Введение 4

Глава 1. Исследование деятельности по защите информации в органах
государственного управления
13

  1. Содержание деятельности по защите информации 13

  2. Особенности деятельности по защите информации органов государственного управления 19

  3. Методы описания деятельности по защите информации 20

  4. Модель «как есть» для деятельности по защите информации органов государственного управления 23

  5. Модель оценки ущерба от реализации угроз безопасности информации 26

  6. Аудит информационной безопасности как способ оценки эффективности деятельности по защите информации 33

  1. Аудит безопасности в соответствии с BS 7799, часть 2 37

  2. Стандарт CobiT 42

1.7 Рекомендации по оценке эффективности деятельности по защите информации 50

Выводы 56

Глава 2. Анализ информационных рисков в органах государственного управления 57

  1. Задача анализа информационных рисков в органах государственного управления 57

  2. Поиск решения задачи анализа информационных рисков в органах государственного управления 60

  1. RA2 art of risk 61

  2. Risk Advisor 62

  3. RiskWatch 64

  4. CRAMM 65

  5. Система «АванГард» 68

  6. Digital Security Office 74

  1. Ключевые особенности разрабатываемой методики анализа информационных рисков для органов государственного управления 78

  2. Алгоритм методики анализа информационных рисков 86

2.5 Экспериментальная проверка эффективности разработанной методики анализа
информационных рисков 94

Выводы 101

Глава 3. Программный комплекс автоматизации деятельности по защите информации
органов государственного управления
102

3.1 Описание методики автоматизации деятельности по защите информации 102

3.1.1 Алгоритм методики автоматизации 104

3.2 Описание архитектуры программного комплекса автоматизации 106

3.2.1 Схемы таблиц, используемых в системе «SPM» 108

  1. Критерии выбора средств создания программного комплекса 114

  2. Центральный модуль программного комплекса автоматизации 115

  3. Региональный модуль программного комплекса автоматизации 118

Выводы 121

Глава 4. Анализ эффективности деятельности по защите информации в органах
государственного управления
122

4.1 Группы метрик для оценки эффективности защиты информации 122

  1. Метрики в соответствии с Government Information Security Reform Act 122

  2. Метрики Internet Security Alliance 124

  3. Метрики в соответствии с NIST 800-55 126

  1. Показатели для оценки эффективности деятельности подразделений по защите информации органов государственного управления 128

  2. Описание эксперимента по проверке эффективности программного комплекса автоматизации деятельности по защите информации 131

4.4 Анализ результатов внедрения программного комплекса автоматизации деятельности по
защите информации 132

Выводы 136

Заключение 137

Список литературы 140

Перечень приложений к диссертационной работе 153

Приложение 1 (перечень использованных сокращений) 154

Приложение! (акты внедрения результатов диссертационной работы) 155

Приложение 3 (шкалы компонентов значений «веса» экспертов для органов
государственного управления Тюменской области) 160

Приложение 4 (экспериментальные значения параметров оценки эффективности
деятельности по защите информации в органах государственного управления) 162



Введение диссертации:

Реализация прогрессивного потенциала информатизации в политической, экономической и социальной сферах невозможна без внедрения новых информационных технологий в государственный сектор, имеющий решающее значение для устойчивого развития страны. Одним из сдерживающих факторов в процессе совершенствования государственного управления на основе информационно-технологических инноваций является возникновение угроз информационной безопасности. Для решения задач защиты информации создана нормативно-правовая база (федеральные законы, указы Президента РФ, государственные стандарты и специализированные документы инструктивного характера), регулирующая процессы обеспечения информационной безопасности.

Основные организационные и технические требования к обеспечению информационной безопасности заложены в Федеральном законе «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, ГОСТе Р ИСО/МЭК 15408-2002 и руководящих документах ФСТЭК России [8], [17-19], [21]. В них определены механизмы учета защищаемых информационных ресурсов, порядок аттестации объектов информатизации [22], процедуры сертификации средств защиты [15-16] и др. Нормативные правовые документы регулируют ключевые аспекты деятельности по обеспечению информационной безопасности, акцентируя внимание на проведении отдельных мероприятий. Однако это не решает всего комплекса практических задач, связанных с защитой информации, например, в органах государственного управления. Как отмечено в литературных источниках [65], [71], в отечественных нормативно-правовых актах уделено мало внимания вопросам обеспечения целостности и доступности информации, аудита информационной безопасности, механизмам оценки эффективности защиты информации в организации в целом, классификации активов организации по критериям стоимости, выбору наиболее целесообразной

подсистемы защиты информации по параметрам «цена-эффективность». Реализация этих вопросов возложена на специалистов подразделений по защите информации, что не гарантирует обеспечения эффективной безопасности информации.

В работах отечественных исследователей проблематики информационной безопасности (А.А. Грушо, П.Д. Зегжда, А.А. Малюк, А.А. Стрельцов, А.А. Шелупанов) отмечается необходимость и актуальность системного подхода к защите информации, обеспечивающего обоснованность, целостность и последовательность реализуемых мер, их максимальную эффективность. Такой подход позволяет систематизировать нормативно-правовые требования к информационной безопасности и разработать на их основе научные практико-ориентированные методики, технологии и программы оптимизации деятельности по защите информации.

В целях создания эффективной системы деятельности по защите информации необходимо исследовать информационные активы и инфраструктуру, а также предложить конкретные меры по обеспечению информационной безопасности. Это возможно выполнить на основе анализа информационных рисков.

При оптимизации деятельности по защите информации необходимо определить информационные потоки и алгоритмы, построить модели деятельности по обеспечению информационной безопасности. Таким образом, создаются условия для автоматизации ряда функциональных элементов деятельности по защите информации, т.е. реализации требований к информационной безопасности в виде программного комплекса (ПК). Использование такого программного комплекса позволит специалистам подразделений по защите информации эффективно управлять задачами поддержания режима конфиденциальности (секретности), вести мониторинг состояния информационных ресурсов, их целостности и доступности, а также осуществлять контрольные мероприятия.

В условиях динамичного развития информационных технологий, их усложнения и возникновения новых угроз информационной безопасности, решающим фактором обеспечения информационной безопасности становится эффективная деятельность по защите информации. В настоящее время ощущается дефицит научно обоснованных методик и систем показателей для оценки эффективности этой деятельности, позволяющих определить экономическую целесообразность инвестиций в информационную безопасность.

Учитывая важное значение деятельности по защите информации в органах государственного управления, задачи анализа информационных рисков должны включать построение надежных и защищенных систем информационной безопасности национальных информационных ресурсов.

Объект исследования - информационные риски в деятельности органов государственного управления.

Предмет исследования - методические и программные средства анализа информационных рисков в деятельности органов государственного управления.

Цель исследования - разработка научно обоснованной методики и автоматизированной программы анализа информационных рисков в деятельности органов государственного управления.

Задачи исследования. Достижение цели исследования потребовало решения следующих задач:

  1. Провести анализ и обобщить информационные риски в деятельности органов государственного управления.

  2. Разработать научно обоснованную методику анализа информационных рисков в деятельности органов государственного управления.

  3. Сформулировать методику автоматизации деятельности по защите информации в органах государственного управления.

  1. Разработать и апробировать программный комплекс автоматизации деятельности по защите информации, включающий анализ информационных рисков в деятельности органов государственного управления.

  2. Определить показатели оценки эффективности деятельности по защите информации в органах государственного управления и оценить эту деятельность.

Методы исследования. Дня решения поставленных задач использовались методы системного анализа, теории вероятностей и теории множеств. При разработке программного комплекса использовались методы объектно-ориентированного программирования.

Основные положения, выносимые на защиту:

  1. Методика анализа информационных рисков.

  2. Программный комплекс автоматизации деятельности по защите информации в органах государственного управления.

  3. Показатели оценки эффективности деятельности по защите информации в органах государственного управления.

Научная новизна работы заключается в следующем:

разработанная методика анализа информационных рисков отличается от аналогов тем, что позволяет выполнять проверку согласованности результатов оценки рисков на основе метода анализа иерархий;

разработанный способ получения экспертных оценок отличается тем, что позволяет добиваться более точных результатов при его использовании экспертами разной квалификации за счет применения метода парных сравнений;

предложенный набор показателей оценки эффективности деятельности по защите информации в органах государственного управления позволяет обосновать необходимость инвестиций в информационную безопасность.

Практическая значимость работы. Разработанный программный комплекс автоматизации деятельности по защите информации, основывающийся на методике анализа информационных рисков, позволяет повысить эффективность деятельности по защите информации в органах государственного управления.

Методика анализа информационных рисков может быть использована для определения необходимых мер по обеспечению информационной безопасности в любой организации, где необходимо выполнять проверку согласованности результатов оценки рисков и существует потребность максимально упростить процесс оценки рисков.

Внедрение результатов диссертации. Программный комплекс автоматизации деятельности по защите информации, реализующий также методику анализа информационных рисков, внедрен в главном военно-мобилизационном управлении Тюменской области.

Методика анализа информационных рисков используется в учебном процессе. Она включена в лабораторный практикум «Анализ информационных рисков в небольшой организации» кафедры информационной безопасности Тюменского государственного университета и используется при изучении дисциплины «Управление рисками» кафедры комплексной информационной безопасности электронно-вычислительных систем Томского государственного университета систем управления и радиоэлектроники.

Достоверность положений и выводов исследования подтверждена положительными результатами эксперимента и внедрения программного комплекса автоматизации деятельности по защите информации органов государственного управления.

Апробация работы. Основные положения диссертационного исследования были представлены на следующих конференциях, конкурсах и семинарах:

научных семинарах кафедры информационной безопасности (Тюмень, 2005, 2006, 2007, ТюмГУ);

6-м Всероссийском конкурсе студентов и аспирантов «SIBINFO-2006» (Томск, 2006, ТУСУР);

Международной научно-практической конференции «Безопасность информационного пространства» (Екатеринбург, 2006, УрГУПС);

8-й Международной научно-практической конференции «Информационная безопасность» (Таганрог, 2006, Таганрогский государственный радиотехнический университет);

Всероссийской научно-практической конференции «Научная сессия ТУСУР-2007» (Томск, 2007, ТУСУР);

4-й Международной научно-практической конференции «Исследование, разработка и применение высоких технологий в промышленности» (Санкт-Петербург, 2007, ИОА СО РАН);

2-й Международной научной конференции «Современные информационные системы, проблемы и тенденции развития» (Туапсе, 2007, Харьковский национальный университет радиоэлектроники);

4-й Международной научно-практической конференции «Электронные средства и системы управления. Опыт инновационного развития» (Томск, 2007, ТУСУР);

IEEE семинарах кафедры КИБЭВС «Интеллектуальные системы моделирования, проектирования и управления» (Томск, 2007, ТУСУР).

Результаты диссертационного исследования обсуждались на заседаниях кафедры информационной безопасности Тюменского государственного

университета и кафедры КИБЭВС Томского государственного университета систем управления и радиоэлектроники.

Публикации. Основные положения диссертации опубликованы в 4 статьях (из них 2 статьи в журналах из списка ВАК) и 6 тезисах докладов на конференциях.

Объем и структура диссертационной работы. Диссертация состоит из введения, четырех глав, заключения и списка литературы. Основной текст диссертационной работы изложен на 152 страницах и включает 25 рисунков и 10 таблиц. Список литературы содержит 133 источника, в том числе 34 на иностранном языке. Объем приложений составляет 9 страницы.

Во введении обосновывается актуальность диссертационной работы, определяются цель и задачи исследования, формулируются основные положения, выносимые на защиту, научная новизна и практическая ценность работы.

В первой главе выполнено исследование деятельности по защите информации органов государственного управления.

Исследована деятельность по защите информации в органах государственного управления и сформулированы особенности этой деятельности, позволяющие установить требования к процессу анализа информационных рисков. На основании выполненного моделирования деятельности по защите информации выявлены основные информационные потоки, позволяющие в дальнейшем создать методику автоматизации этой деятельности. В результате проведенного исследования способов оценки эффективности защиты информации в организациях, определены источники информации для формулировки критериев оценки эффективности деятельности по защите информации в органах государственного управления.

Вторая глава посвящена исследованию задачи анализа информационных рисков в органах государственного управления. Для поиска решений задачи

анализа информационных рисков были рассмотрены уже существующие средства анализа информационных рисков и определено, что для выполнения процедуры анализа информационных рисков в органах государственного управления, с учетом особенностей деятельности по защите информации, не может быть применимо ни одно из рассмотренных средств. Поэтому принято решение разработать методику анализа рисков, учитывающую особенности процесса анализа рисков в органах государственного управления. Описан алгоритм разработанной методики анализа информационных рисков и отличия от существующих методик. Для оценки применимости разработанной методики анализа рисков выполнено экспериментальное сравнение работы методики с другими средствами анализа информационных рисков.

В третьей главе представлен программный комплекс автоматизации деятельности по защите информации органов государственного управления. Описана методика автоматизации деятельности по защите информации, положенная в основу программного комплекса, а также основные принципы построения ПК автоматизации деятельности по защите информации органов государственного управления. Рассмотрены критерии выбора программных средств создания программного комплекса и работа «центрального модуля» программного комплекса автоматизации, используемого центральным отделом, для выполнения функции контроля выполнения требований по защите информации региональными отделами. Описана работа «регионального модуля» программного комплекса автоматизации, используемого непосредственно для автоматизации деятельности региональных отделов.

В четвертой главе проведен анализ эффективности деятельности по защите информации органов государственного управления. Детально рассмотрены группы параметров для оценки эффективности защиты информации в организации, описанные в зарубежных рекомендациях и стандартах. На основе анализа существующих рекомендаций по выбору метрик безопасности информации, для органов государственного управления

выделены 3 группы параметров для оценки эффективности защиты информации: параметры оценки на уровне организации, параметры оценки на уровне персонала и параметры оценки на уровне технических средств. Выполнена экспериментальная проверка средств автоматизации деятельности по защите информации органов государственного управления. Для этого внедрен ПК автоматизации в деятельность подразделений по защите информации и получены значения описанных выше параметров для оценки безопасности информации в органах государственного управления.

В заключении сформулированы основные результаты работы, выводы и определены дальнейшие перспективы данного исследования.

Приложения к диссертационной работе:

  1. Список сокращений и обозначений, используемых в работе.

  2. Акты внедрения результатов диссертационной работы.

  3. Пример шкалы компонентов значений «веса» экспертов для органов государственного управления Тюменской области.

  4. Экспериментальные значения параметров оценки эффективности деятельности по защите информации в органах государственного управления.

Реклама


2006-20011 © Каталог российских диссертаций