Диссертация Шаго PDF

Санкт-Петербургский национальный исследовательский университет
информационных технологий механики и оптики
На правах рукописи
Шаго Фёдор Николаевич
Модель и методика оценки системы менеджмента информационной

безопасности
05.13.19 – Методы и системы защиты информации, информационная

безопасность
Диссертация на соискание ученой степени

кандидата технических наук
Научный руководитель/консультант
д.т.н., профессор
Зикратов Игорь Алексеевич
Санкт-Петербург – 2014
ОГЛАВЛЕНИЕ
Введение .................................................................................................................................................. 4
Глава 1. Обзор подходов к оценке системы менеджмента информационной безопасности в

процессе жизнедеятельности системы ............................................................................................... 12
1.1 Анализ состояния и направления развития систем менеджмента информационной

безопасности .................................................................................................................................... 12
1.2 Структура показателей качества систем менеджмента информационной безопасности,

и требования, предъявляемые к системам. ................................................................................... 21
1.3 Особенности современной практики оценивания систем менеджмента

информационной безопасности ..................................................................................................... 38
1.4 Обоснование и содержание проблемы обеспечения качества оценивания систем

менеджмента информационной безопасности ............................................................................. 48
Глава 2. Разработка модели оценки системы менеджмента информационной безопасности ..... 55
2.1 Обоснование интегрального показателя эффективности системы менеджмента

информационной безопасности ..................................................................................................... 56
2.2 Выбор аппроксимирующего полинома для модели показателя эффективности системы

менеджмента информационной безопасности ............................................................................. 67
2.3 Разработка модели оценки эффективности системы менеджмента информационной

безопасности. ................................................................................................................................... 71
Глава 3. Разработка методики повышения качества оценивания системы менеджмента

информационной безопасности .......................................................................................................... 88
3.1. Обоснование исходных данных для решения задачи оптимизации распределения

ресурсов в целях для измерений системы менеджмента информационной безопасности. ..... 89
3.2 Методика повышения качества оценивания системы менеджмента информационной

безопасности .................................................................................................................................... 93
3.3 Практические рекомендации применения методика повышения качества оценивания

системы менеджмента информационной безопасности .............................................................. 96
Заключение ......................................................................................................................................... 102
Список сокращений ........................................................................................................................... 105
Литература .......................................................................................................................................... 106
2
3
Введение
Система менеджмента информационной безопасности (СМИБ) (information
security management system, ISMS): часть общей системы менеджмента
организации, основанная на подходе бизнес-рисков, по созданию, внедрению,
функционированию, мониторингу, анализу, поддержке и улучшению
информационной безопасности (ИБ).[3,4]
Для получения достоверной информации о состоянии СМИБ необходимо
проводить постоянный мониторинг и анализ системы в ходе которого
производится оценивание состояния системы. Усложнение систем менеджмента
информационной безопасности приводит к необходимости совершенствования
научно-методического аппарата оценивания данных систем. Эффективность
мероприятий связанных со сбором и обработкой информации о системе будет
определяться качеством оценок показателей СМИБ к затраченным ресурсам на
проведение измерений. Организация проведения измерений, как показывает
практика, оказывает существенное влияние на качество оценивания показателей
СМИБ. Однако, в большинстве случаев, ресурс, выделяемый для мониторинга и
анализа состояния СМИБ, распределяется на основе имеющегося опыта
персонала службы ИБ, руководств и нормативно – правовых документов ГОСТ
РФ с применением общеизвестных методов планирования (например, по
диаграмме Ганта, Program PERT (Project Evaluation and Review Technique –
техника оценки и анализа программ (проектов)). В ходе планирования зачастую
не учитываются результаты проведенных измерений, полученные на предыдущих
этапах проверок.
Оценивание является важным этапом в циклической взаимосвязи видов
деятельности системы менеджмента информационной безопасности, в ходе
которого определяется соответствие системы заданным требованиям ИБ
организации. Исходя из анализа текущей практики оценивания эффективности
СМИБ, можно сделать вывод о том, что в большинстве случаев, проводится
независимое оценивание отдельных атрибутов ИБ без учета их взаимодействия, в
ходе измерений атрибутов не учитывается наличие неопределенности
4
стохастического характера. Отсутствует научно-методологический аппарат для
оценивания взаимосвязанных мер и средств контроля и управления ИБ. В
конечном итоге оценка показателей качества СМИБ сводится к принятию
бинарного решения «удовлетворяет - не удовлетворяет».
Таким образом, совершенствование методологического аппарата оценивания
СМИБ, который бы позволил учесть вышеуказанные недостатки, составляет
актуальную научную задачу.
Целью работы является повышение качества оценивания СМИБ, за счет
учета стохастических факторов и ввода обоснованных показателей качества
СМИБ в условиях ограничений накладываемых временными и стоимостными
затратами на проведение проверок состояния СМИБ. При этом под качеством
понимается достоверность и точность оценок определяемых характеристик.
Ограничение материально-технического обеспечения выделяемого для проверок
СМИБ оказывает существенное влияние на качество оценок, что влечет за собой
принятие необоснованного решения о соответствии СМИБ требованиям ИБ
организации. Этим и обусловлена актуальность темы диссертационной работы.
Научной задачей исследования является разработка научно-
методологического аппарата оценивания СМИБ путем обеспечения комплексного
подхода к менеджменту информационной безопасности, связанного с
мониторингом и анализом деятельности СМИБ, направленного на
совершенствование СМИБ.
В соответствии с поставленной целью и научной задачей диссертационной
работы, рассматриваются и решаются следующие частные задачи:
1. Анализ требований предъявляемых к СМИБ, архитектуры построения,
практики оценивания показателей качества СМИБ, рассмотрение ряда
нормативно-правовых документов и стандартов по защите информации,
исследование рисков информационной безопасности СМИБ и определение
перспективных направлений развития СМИБ.
2. Разработка нового интегрального показателя эффективности СМИБ.
3. Разработка методологического аппарата расчета интегрального показателя
5
эффективности СМИБ, на основе использования математического аппарата
теории планирования эксперимента, факторного планирования.
4. Рассмотрение с единых системных позиций процесса распределения ресурса
назначаемого для проведения измерений атрибутов СМИБ, анализ
принципов распределения ресурсов по этапам проверок, разработка
методики оптимизации распределения ресурса.
5. Оценивание результатов применения разработанного интегрального
показателя эффективности СМИБ и разработанных методов.
В соответствии с целями и задачами диссертационной работы
объектом исследования является совокупность организационных,
методологических и программно-технических комплексов, работающих в рамках
единой СМИБ.
а предметом исследования – методы повышения качества оценивания
показателей СМИБ.
На защиту выносятся следующие основные научные положения и
результаты:
1. Использование разработанного интегрального показателя эффективности
СМИБ, позволяет повысить качество оценивания СМИБ.
2. Модели, получаемые в ходе анализа позволяют осуществлять
прогнозирование состояния СМИБ, проводить изучение процессов
протекающих в СМИБ
3. Методика расчета разработанного интегрального показателя эффективности
СМИБ на основе аппарата теории планирования эксперимента.
4. Методика планирования распределения ресурса, назначаемого для
проведения измерений СМИБ, на основе формализации динамики показателя
качества СМИБ, позволяющая обоснованно и рационально распределять
ресурс, с учетом априорных и апостериорных данных о системе.
Научная новизна и теоретическая значимость диссертационной работы

состоит в следующем:
6
1. Планирование проведения измерений атрибутов СМИБ, в отличие от
известных подходов, предлагается осуществлять на основе корректировки
плана по результатам анализа динамики показателя качества СМИБ, после
каждого этапа измерений.
2. Новый интегральный показатель эффективности СМИБ позволяет, в отличие
от известных показателей, получить статистическую оценку стохастических
факторов оказывающих наиболее существенное влияние на эффективность
СМИБ, определять динамику развития системы.
3. Новизну метода расчета интегрального показателя эффективности СМИБ
составляет использование математического аппарата теории планирования
эксперимента. Адаптированы и описаны процедуры формирования
факторного пространства для исследования процессов СМИБ, стратегии
измерений атрибутов ИБ, составления матриц измерений, выбора типа плана
и статистического анализа результатов факторного эксперимента.
Практическая значимость работы определяется в комплексном подходе
обеспечения качества оценивания СМИБ основывающемся на применении
методики рационального распределения ресурса назначаемого для проведения
измерений, после каждого очередного измерения с учетом его результата на
основе анализа динамики показателя качества СМИБ. Это позволяет при
заданных законах динамики показателя качества определить оптимальные
требования к показателю качества и необходимое количество измерений
(времени) для каждого этапа проверок СМИБ. Использование нового
интегрального показателя эффективности СМИБ позволяет перейти от бинарной
оценки «удовлетворяет - не удовлетворяет» к количественной, и повысить
качество оценивания СМИБ. Для расчета нового показателя адаптированы и
описаны процедуры формирования факторного пространства, стратегии
измерений, составления матриц экспериментов, выбора типа плана и
статистического анализа результатов факторного эксперимента. В связи с
различной возможностью варьирования атрибутов СМИБ, влияющих на ИБ,
предложено зависимое определение интервалов варьирования, обеспечивающее
7
более адекватную формализацию исследуемого процесса. Разработанный научно-
методический аппарат расчета интегрального показателя СМИБ обеспечивает
существенное повышение достоверности оценки показателей СМИБ или - же
значительное сокращение числа измерений.
Обоснованность и достоверность основных научных положений,
результатов и рекомендаций достигается использованием апробированного
математического аппарата; системным анализом описания объекта исследований,
учетом сложившихся практик и опыта в области ИБ; проведением сравнительного
анализа с существующими методами и непротиворечивостью с известными
аксиомами в ИБ.
Подтверждается непротиворечивостью полученных результатов
моделирования современными теоретическими положениями; практической
апробацией в деятельности научно-производственных организаций и одобрением
на научно-технических конференциях.
Методологической основой исследования являются труды ведущих ученых
в области ИБ: W. Jansen, D. Catteddu, В.А. Герасименко, В.С. Канева, А.Г.
Кащенко, А.А. Малюка, А.Г. Остапенко, в теории испытаний: Белова А.В.,
Волкова Л.И., Демиденко В.П., Ивченко Б.П., Мартыщенко Л.А., Филюстина
А.Е., Кивалова А.Н. и др., а также ряд работ зарубежных университетов,
коммерческих структур в области ИБ: ENISA, NIST, University Heraklion.
При решении частных задач исследования использовались теоретические
положения теории вероятности, математического программирования, теории ИБ и
методов защиты информации, теории планирования эксперимента,
статистического анализа.
В работе учтены требования законодательных актов Российской Федерации в
сфере ИБ, нормативные документы ФСТЭК России и других министерств и
ведомств. Использованы энциклопедическая и справочная литература, материалы
периодической печати, Интернет-ресурсы, а также опыт организации работ по
проведению анализа систем менеджмента ИБ.
Апробация основных результатов проводилась в форме докладов на:
8
 8 Всероссийская научно-практическая конференция "Актуальные вопросы
разработки и внедрения информационных технологий двойного
применения". Ярославль, 2007г.
 VII военно-научной конференции «Информационные технологии в
радиоэлектронных системах. Подготовка специалистов», СПВВУРЭ (ВИ),
2007г
 II Всероссийской научной конференции с международным участием
«Проблемы развития и интеграции науки, профессионального образования и
права в глобальном мире». Красноярск, 2007 г.
 Научно-технической конференции «Радиолокация. Теория и практика»,
посвященной 60-летию Нижегородского НИИ радиотехники. Москва, 2008
г.
 Международная научно-практическая конференция «XXXIX НЕДЕЛЯ
НАУКИ СПбГПУ», СПбГПУ Санкт-Петебург, 2010г.
 XII Всероссийская научно-практическая конференция «Качество управления
и проблемы развития средств ВКО в современных условиях» в рамках
международного форума «Управление. Бизнес. Образование» Ярославль,
2011 г.
 VIII Санкт-Петербургская межрегиональная конференция «Информационная
безопасность регионов России (ИБРР-13)», Санкт-Петербург, 2013;
где получили одобрение.
Результаты исследований внедрены во ФГУП ЦНИИ ВВС Минобороны
России (акт реализации от 25.08.14 г.), ОАО «НПО «ЛЭМЗ» (акт реализации от
03.09.14 г.) и в учебном процессе Университета ИТМО по направлению «090900
Информационная безопасность» в рамках магистерской программы
«Информационная безопасность и технология защиты информации» и постановке
курса лекций по дисциплине «Управление информационной безопасностью».
По материалам диссертации опубликовано 8 печатных работ, в том числе три
в изданиях из перечня российских рецензируемых журналов, в которых должны
9
быть опубликованы основные научные результаты диссертаций на соискание
ученых степеней доктора и кандидата наук в редакции от 25.08.2014 г.
Диссертация состоит из введения, трех глав, заключения. Материал изложен
на (109) страницах машинописного текста. Диссертация выполнена в
соответствии с требованиями паспорта специальности.
Во введении обосновывается актуальность тематики диссертационной
работы, ее теоретическая и практическая значимость, анализируются проблемные
вопросы, формулируются задачи, которые необходимо решить в диссертационной
работе, приводятся основные положения, выносимые на защиту, дается краткое
описание содержимого работы.
В первой главе содержится системный анализ, проведенный в интересах
решения задачи обеспечения качества оценивания СМИБ. В главе проведен
анализ построения и направления развития СМИБ, отмечены особенности
функциональных задач СМИБ, рассмотрена структура показателей качества
СМИБ и особенности современной практики проведения измерений и оценивания
показателей СМИБ, приводится обоснование научной задачи по обеспечению
качества оценивания характеристик СМИБ. Проанализированы стандарты и ряд
нормативно-правовых документов в области обеспечения ИБ.
Во второй главе для разрешения поставленной научной задачи проводится
обоснование нового интегрального показателя эффективности СМИБ, подробно
описан научно-методологический аппарат его расчета основывающегося на
положениях теории планирования эксперимента, аппарат формирования
аналитических моделей.
В третьей главе рассмотрены практики проведения измерений атрибутов
СМИБ и предлагается научно-методический аппарат планирования проведения
измерений СМИБ, обеспечивающий повышение качества оценивания СМИБ.
Аппарат включает в себя методику обоснования и оптимального распределения
ресурса назначенного для анализа СМИБ по этапам измерений. Разработанная
методика основывается на методах иерархической оптимизации.
10
В заключении изложены основные результаты, полученные при выполнении
работы, их апробация, внедрение и публикация, общие выводы по работе.
Рассматриваются новые перспективные направления научных исследований по
рассматриваемой проблеме повышения качества оценивания показателей СМИБ.
11
Глава 1. Обзор подходов к оценке системы менеджмента информационной
безопасности в процессе жизнедеятельности системы
1.1 Анализ состояния и направления развития систем менеджмента

информационной безопасности
Международный стандарт ИСО/МЭК 27000:2013 «Information security
management systems – Overview and vocabulary» (Системы менеджмента
информационной безопасности. Общий обзор и терминология)» дает следующее
определение «Система менеджмента информационной безопасности (СМИБ)
(information security management system, ISMS): часть общей системы
менеджмента организации, основанная на подходе бизнес-рисков, по созданию,
внедрению, функционированию, мониторингу, анализу, поддержке и улучшению
информационной безопасности (ИБ)» [3,32]. Для полного и разностороннего
представления о том, что представляет собой система менеджмента
информационной безопасности, необходимо разобраться в понятийном аппарате
информационной безопасности.
Сейчас сложно представить себе какую-нибудь сферу деятельности
человечества, в которой бы обходились без информационных технологий (IT), без
автоматизации каких либо процессов. В инфраструктуре большинства
организаций эксплуатируются автоматизированные системы (АС), широко
используются сетевые технологии, базы данных, электронный документооборот.
Информационные потоки, циркулирующие в АС организации, зачастую содержат
коммерческую тайну, персональные данные и др. служебную информацию
организации.[33,34] Соответственно, чем шире в компании используются
информационные технологии, чем крупнее компания, тем более остро стоит для
нее вопрос информационной безопасности. [14, 36,43]
Наиболее распространённое определение информационной безопасности
дают стандарты ИСО/МЭК: «Информационная безопасность (information
security): сохранение конфиденциальности, целостности и доступности
информации.» [ 3, 4 ].
12
Конфиденциальность (англ. confidentiality): свойство информации быть
недоступной и закрытой для неавторизованных лиц, субъектов или процессов [
3,32];
Целостность (англ. Integrity): свойство сохранения правильности и полноты
активов [ 3,32 ];
Доступность (англ. availability): свойство быть доступным и готовым к
использованию по запросу авторизованного субъекта [3,32].
Информация, которой владеет организация, является объектом угроз атаки,
ошибки, воздействия природных и техногенных факторов (например, наводнения
или пожара), воздействия злоумышленников и т.д. С этой стороны, термин
«информационная безопасность» относится к информации, как к активу, у
которого есть ценность, требующая соответствующей защиты. Эффективность
работы организации напрямую зависит от обеспечения возможности
санкционированного и своевременного получения точной и полной
информации.[37]
Для достижения организацией своих целей, сохранения деловой репутации,
соблюдения законодательства Российской Федерации (РФ) она должна
осуществлять защиту информационных активов посредством определения,
достижения, поддержания, и улучшения информационной безопасности. Оценка
рисков ИБ и реализация необходимых средств управления выступают элементами
менеджмента ИБ.
В связи с динамическим изменением внешних и внутренних факторов
воздействующих на ИБ, организациям необходимо управлять ИБ, посредством:
a) контроля и оценки эффективности имеющихся средств управления и
процедур ИБ;
b) идентификации новых рисков и их оценки;
c) выбора, реализации, анализа и улучшение средств управления ИБ.
Для достижения поставленных целей, и эффективной реализации политик
ИБ, для координации усилий в сфере ИБ, организации необходимо построение
системы менеджмента ИБ.
13
Выделяются основные этапы создания и использования системы
безопасности [ 4, 22]:
1. Определение требований защиты конкретного объекта или системы.
2. Использование рекомендаций национальной и международной
нормативно-правовой и научной базы.
3. Использование наработанных практик (стандарты, методологии)
построения подобных систем безопасности.
4. Определение ответственных лиц за реализацию и поддержание системы
безопасности.
5. Распределение между ответственными лицами задач систем
6. Исходя из внешних и внутренних факторов, влияющих на организацию,
создание Политики ИБ объекта или системы, в которой определены общие
положения, руководства по обеспечению ИБ, технические и организационные
требования.
7. Реализация указаний и требований Политики ИБ, с использованием
внедрения аппаратно-программных комплексов, введения различных инструкций.
8. Внедрение системы управления информационной безопасности.
9. Обеспечение контроля эффективности СМИБ, а так же использование
процессов, инструкций по пересмотру и улучшению системы безопасности.
Общая схема этапов жизненного цикла СМИБ «Планирование – Внедрение –
Проверка – Действие» отображена на рисунке 1.
Начало построения СМИБ начинается с этапа «Планирование», в котором
проводится оценка состояния ИБ с учетом угроз и уязвимостей, связанных с
информационными активами организации. Проводится выбор необходимых мер и
средств контроля и управления определяются цели применения мер и средств
контроля и управления ИБ, а также мер и средств контроля и управления для
обработки рисков.
На этапе «Внедрение» проводится внедрение выбранных мер и средств
управления и контроля для достижения целей ИБ, определяется способ измерения
14
результативности СМИБ, проводятся измерения мер и средств управления и
контроля.
На этапе «Проверка», осуществляется анализ результативности СМИБ,
производится пересмотр оценки рисков, с учетом результативности СМИБ,
производится подтверждение эффективности СМИБ с учетом результатов
предыдущих аудитов, определяется направления совершенствования СМИБ,
формируются исходные данные для принятия решения по усовершенствованию
СМИБ, развитию способов оценивания результативности мер и средств
управления и контроля.
На последнем этапе «Действие» проводится реализация принятых решений
по улучшению СМИБ.
Планирование Действие
Оценка реальной
Выбор целей вероятности сбоя
применения мер и обеспечения
Реализация
средств контроля и безопасности с учетом
улучшений
управления, а также угроз и уязвимостей
в СМИБ
мер и средств связанных с активами,
контроля и управления а также мер и средств
для обработки рисков контроля у управления
безопасностью
Внедрение мер и Выходные данные

Регулярный анализ
средств контроля для внедрения
результативности
управления для решений по
СМИБ
достижения целей усовершенствова-
безопасности нию СМИБ,
способов оценки
мер и средств
Пересмотр оценки управления и
Определение контроля
рисков, с учетом
способа измерения
СМИБ
Анализ СМИБ для

Измерение Входные данные подтверждения
результативности для анализа эффективности и
мер и средств эффективности определения
контроля управления СМИБ, с учетом направления
для достижения предыдущих совершенствования
целей безопасности аудитов
Внедрение Проверка
Рисунок 1. Основные этапы жизненного цикла СМИБ.

По реализации последнего этапа, все шаги повторяются с самого начала,
тем самым процесс функционирования СМИБ является непрерывным и
цикличным.
15
Рассмотрим нормативно-правовую базу, в которой определены основные
понятия и требования предъявляемые к СМИБ. В дальнейшем, в своих
исследованиях, мы будем в основном опираться на стандарты серии ISO/IEC
27000, в которой определен понятийный аппарат, терминология, методология
построения и деятельности СМИБ. Стандарты серии 27000 является наиболее
известными и широко используемыми.
Наиболее подробно назначение СМИБ, цели, понятия описываются в
международном стандарте ISO/IEC 27001. Данный документ, переведен на
русский язык и принят как государственный стандарт Российской Федерации
«ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы
безопасности. Система управления безопасностью информации. Требования» что
говорит о его значимости. Так же в этом стандарте прописаны основные
требования по созданию, улучшению, и обеспечению СМИБ.
Согласно ISO/IEC 27001 Цель СМИБ - выбор соответствующих мер
управления безопасностью, предназначенных для защиты информационных
активов и гарантирующих доверие заинтересованных сторон.
Помимо ISO/IEC 27001, описывающего основные требования к СУИБ, в
серию 27000 входят следующие основные стандарты:
ISO/IEC 27000 – «Информационные технологии. Методы обеспечения
безопасности. Общий обзор и терминология».
безопасности. Практические правила управления информационной
безопасностью». Этот стандарт является наследником стандарта ISO/IEC
17799. Переведенная версия данного документа является государственным
стандартом Российской Федерации «ГОСТ Р ИСО/МЭК 17799 –
«Информационные технологии. Практические правила управления
информационной безопасностью».
безопасности. Руководство по внедрению Системы Менеджмента
Информационной Безопасности».
16
безопасности. Измерения.».
безопасности. Управление рисками информационной безопасности».
безопасности. Требования к органам аудита и сертификации систем
управления информационной безопасности».
«ISO/IEC 27007 — Информационные технологии. Методы обеспечения
безопасности. Руководство по проведению аудита и сертификации систем
менеджмента информационной безопасности стандарт для аудита СМИБ»
«ISO/IEC 27011 – «Информационные технологии. Методы обеспечения
безопасности. Руководство по организации систем менеджмента
информационной безопасности в телекоммуникационных организациях».
Схема взаимосвязи стандартов серии 27000 представлена на рисунке 2.
[3].
требования Терминология
27000
Общий обзор и терминология
Общие сведения, термины и определения, применяемые в семействе стандартов СМИБ
(обязательные)
27001 27006
Общие
Требования Требования к органу сертификации
27002 27007
Общие рекомендации
Свод правил по управлению Руководство по аудиту
27003 27005
Руководство по внедрению Управление рисками
27004
Измерения
Специфические
рекомендации
27011
Телекоммуникационные
организации
Рисунок 2. Взаимосвязь документов семейства стандартов ISO 27000

ISO/IEC 27000 является обзорным документом, в котором описывается
семейство стандартов, а так же содержатся термины и определения. Основными
(обязательными) стандартами в серии, являются ISO/IEC 27001, в котором
17
содержатся требования, предъявляемые к СМИБ, и ISO/IEC 27006 в котором
описываются требования к организациям, осуществляющим аудит и
сертификацию СМИБ. Далее идут документы, в которых описаны рекомендации
по управлению, внедрению, управлению рисками, проведению аудита и
измерений.
Помимо этого, данная серия стандартов не единственная, в котором
отражены принципы построения СМИБ. Во многих странах существуют
требования, которые указывают на использование мер по обеспечению
безопасности, и так же существуют методические указания по контролю
эффективности этих мер. В первую очередь, хорошая нормативная база по
данному вопросу и в целом по вопросам ИБ существует в странах Организации
экономического сотрудничества и развития (ОЭСР - OECD), так как активное
использование IT и средств автоматизации началось в этих странах уже в 80-х
годах. На пример, в Великобритании уже в 1984. г был принят закон о защите
данных, в котором выделена тема обеспечения ИБ.[44]
Среди зарубежных стандартов, можно выделить такие документы как
Национального института стандартов и технологий США (NIST) семейства SP
800 – ххх, а в частности NIST SP 800 - 53 «Рекомендации по использованию
средств управления информационной безопасностью в федеральных
информационных системах и организациях», а так же, пакет документов по
программе «Федеральный закон о менеджменте информационной безопасности»
(Federal information security management act; FISMА).
FISMA это государственная, системообразующая программа объединяющая
усилия всех государственных структур США по организации управления ИБ. Эта
иерархическая программа содержит информацию о направлении развития ИБ в
масштабах государства, требования по мерам управления и контроля ИБ,
правилам оценки состояния ИБ и т.д., которые подлежат неукоснительному
исполнению в государственных организациях.
Документ NIST SP 800-137 «Организация непрерывного мониторинга
информационной безопасности в Федеральных информационных системах и
18
Организациях» («Information Security Continuous Monitoring (ISCM) for Federal
Information Systems and Organizations»), описывает методы построения системы
непрерывного сбора информации о состоянии ИБ и самооценки информационных
систем. В документе представлена типовая схема построения системы подобной
СМИБ (рисунок 3). [ 13 ]
В Российской федерации, нормативно-правовая база по строительству
СМИБ только развивается, и за основу взяты документы семейства ИСО/МЭК
27000, так же нередко используются наработки NIST.
Уровень управления 1/2

База
данных Принятие решений по управленческим рискам
(например, допустимые организационные риски,
СМИБ политика/ стратегия изменений в ИС ), проверка
отчетности, бизнес-решения и т.д.
Комплекс анализа и обработки
данных СМИБ, построение
отчетных документов
Уровень управления 2/3
Принятие решений по управленческим рискам

(например, процедурные изменения,
ответственность за риски, авторизация в ИС ),
подготовка и проверка отчетности, политика/
контроль безопасности, оценка защищенности и т.д.
Не автоматизированные
Данные контроля и
Другая информация
Данные о состоянии
управления ИС
уязвимостях ИС
данные по оценке
Данные об
ресурсов ИС
состояния ИС
об ИС
Защищаемые данные
Процессы Окружение
Пользователи Технологии
Рисунок 3. Типовая схема построения системы менеджмента ИБ.

Если посмотреть другие нормативные документы ФСТЭК – одного из
государственных регуляторов в области ИБ, особый интерес представляет
следующие нормативные документы:
19
1. Приказ ФСТЭК России №17 от 11.02.13 г. «Об утверждении Требований о
защите информации, не составляющей государственную тайну,
содержащейся в государственных информационных системах» в котором
описаны принципы управления ИБ в государственных информационных
системах и вводятся меры контроля ИБ.
2. Приказ ФСТЭК России №21 от 18.02.13 г. «Об утверждении Состава и
содержания организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных» определяет меры контроля и управления
ИБ в системах обработки персональных данных.
3. Приказ ФСТЭК России №31 от 14.03.14 г. « Об утверждении Требований к
обеспечению защиты информации в автоматизированных системах
управления производственными и технологическими процессами на
критически важных объектах, потенциально опасных объектах, а также
объектах, представляющих повышенную опасность для жизни и здоровья
людей и для окружающей природной среды», вводящий требования по
защите информации в АСУ предприятий опасных производств.
Исходя из анализа требований нормативно-правовых документов
категорирующих СМИБ, и достигнутых результатов в практике ИБ можно
определить основные направления развития СМИБ:
1. Автоматизация способов сбора информации о состоянии ИБ и
характеристиках СМИБ.
2. Создание единого формально-логического протокола обмена данными о
состоянии ИБ как внутри СМИБ, так и между взаимодействующими системами
менеджмента.
3. Создание единой системы менеджмента информационной безопасности
в рамках государственной федеральной программы.
4. Развитие и совершенствование мер управления и контроля ИБ, создание
единой библиотеки типовых инструментов контроля ИБ.
5. Развитие и совершенствование аппарата анализа и оценивания СМИБ.
20
1.2 Структура показателей качества систем менеджмента информационной
безопасности, и требования, предъявляемые к системам.
Требования ИБ определяются исходя из общей стратегии и деловых целей
организации, ее размера и географического положения, с учетом следующих
факторов:
- идентифицированные информационные активы (ИА) и их ценность;
- деловые потребности в обработке и хранении информации;
- юридические, регулирующие, и договорные требования.
Необходимо оценивать риски, связанные с ИА организации, для чего
необходимо провести анализ: угроз ИА; уязвимостей ИА и вероятности угрозы
ИА; потенциального воздействия любого инцидента ИБ на ИА.[1, 6, 18, 26].
Результаты оценки риска ИБ позволяют выработать и провести соответствующие
управленческие решения для действий и установления приоритетов для
управления рисками ИБ, а также для реализации соответствующих средств
управления безопасностью для защиты от этих рисков.[21,24]
Серия стандартов ИСО/МЭК 27000 определяет такое понятие как средство
управления «2.2 средство управления [control] средства управления рисками,
включая политику, процедуры, руководящие принципы, практики или
организационные структуры, которые могут носить административный,
технический, управленческий или юридический характер.
ПРИМЕЧАНИЕ:
Термин «средство управления» также используется как синоним термина
«мера безопасности» или «контрмера»» [ 3 ]. После определения требований к
ИБ и оценки рисков ИБ для идентифицированных ИА (включая решения для
обработки рисков ИБ) руководство организации выбирает и реализует
соответствующие средства управления, которые гарантируют, что риски ИБ
уменьшены до уровня, приемлемого для организации. Средства управления могут
быть выбраны с помощью стандарта ISO/IEC 27002, а также из перечня целей и
мер управления указанных в приложении А ISO/IEC 27001 или из других
соответствующих наборов средств управления. Для решения специфических
21
потребностей организации могут быть разработаны новые соответствующие
средства управления. Выбор средств управления безопасностью зависит от
требований безопасности, принимающих во внимание критерии для принятия
риска ИБ, вариантов обработки риска и общего подхода управления рисками,
применяемого организацией.
Структурно средства (меры) управления можно разделить на следующие
основные категории защиты:
1) Политика в области защиты информации (А.5);
2) Организация защиты информации (А.6);
3) Менеджмент информационных активов (А.7);
4) Безопасность связанная персоналом (А.8);
5) Физическая и экологическая безопасность (А.9);
6) Управление средствами связи и операциями (А.10);
7) Управление доступом (А.11);
8) Управление жизненным циклом информационных систем (А.12);
9) Управление инцидентами в системе защиты информации (А.13);
10) Менеджмент непрерывности бизнеса (А.14);
11) Соответствие юридическим требованиям, требованиям стандартов в
области защиты информации, аудит информационных систем (А.15).
Например, средства управления, относящиеся к категории защиты
«Менеджмент информационных активов (А7)», делятся на подразделы
«Ответственность за защиту информации» и «Классификация информации».
Структура средств управления категории А7 представлена на рисунке 4.
22
А.7.1.1
Инвентаризация
активов
А.7.1
Ответственность за А.7.1.2
защиту информации Владение активами
А.7.1.3
Приемлемое
А.7 использование активов
Управление активами
А.7.2.1
Основные принципы
А.7.2 классификации
Классификация
информации
А.7.2.2
Маркировка и
обработка
Рисунок 4. Структура средств (мер) управления (контроля) категории

«Менеджмент информационных активов (А7)».
В таблице 1 представлены средства управления, которые определяет
семейство стандартов ISO/IEC 27000.[ 3 ]
Таблица 1
Структура средств (мер) управления (контроля) (Приложение А стандарта
ISO/IEC 27001).
А.5 Политики безопасности
А.5.1 Документирование политики ИБ
А.5.2 Анализ политики ИБ
А.6 Организация информационной безопасности
А.6.1 Внутренняя организация
А.6.1.1 Обязанности руководства по обеспечению ИБ
А.6.1.2 Координация вопросов по обеспечению ИБ
А.6.1.3 Распределение обязанностей по обеспечению ИБ
А.6.1.4 Процедуры получения доступа к средствам обработки информации
А.6.1.5 Соглашение о конфиденциальности
А.6.1.6 Взаимодействие с компетентными органами
А.6.1.7 Взаимодействие с профессиональными сообществами по ИБ
А.6.1.8 Независимая проверка (аудит) ИБ
А.6.2 Обеспечение безопасности при доступе к ИС сторонних организаций
А.6.2.1 Определение рисков связанных со сторонними организациями
А.6.2.2 Обеспечение ИБ при работе с клиентами
А.6.2.3 Отражение требований ИБ в соглашениях со сторонними организациями
А.7 Управление информационными активами
А.7.1 Ответственность за защиту информационных активов
А.7.1.1 Инвентаризация активов
А.7.1.2 Владение активами
23
А.7.1.3 Приемлемое использование активов
А.7.2 Классификация информационных активов
А.7.2.1 Основные принципы классификации
А.7.2.2 Маркировка и обработка информации
А.8 Правила безопасности при работе с персоналом
А.8.1 Защита информации при приеме на работу
А.8.1.1 Функции и обязанности персонала в сфере ИБ
А.8.1.2 Проверка знаний по ИБ согласно должностных обязанностей
А.8.1.3 Отражение вопросов ИБ в трудовом договоре
А.8.2 Защита информации при исполнении обязанностей по должности
А.8.2.1 Обязанности руководства в сфере ИБ
А.8.2.2 Осведомление, обучение и переподготовка персонала по вопросам ИБ
А.8.2.3 Дисциплинарная практика за нарушения ИБ
А.8.3 Защита информации при увольнении сотрудника
А.8.3.1 Ответственность по окончании трудового договора
А.8.3.2 Возврат информационных активов
А.8.3.3 Аннулирование прав доступа
А.9 Физическая и экологическая безопасность
А.9.1 Охраняемые зоны
А.9.1.1 Периметр охраняемой зоны
А.9.1.2 Контроль доступа в охраняемую зону
А.9.1.3 Обеспечение безопасности зданий, производственных помещений и
оборудования
А.9.1.4 Защита от внешних угроз и угроз окружающей среды
А.9.1.5 Выполнение работ в охраняемой зоне
А.9.1.6 Защита информации в зонах общественного доступа, приема и передачи
материальных ценностей
А.9.2 Безопасность оборудования
А.9.2.1 Размещение и защита оборудования
А.9.2.2 Защита вспомогательного оборудования и услуг
А.9.2.3 Безопасность кабельной сети и сетевой инфраструктуры
А.9.2.4 Безопасное техническое обслуживание оборудования
А.9.2.5 Обеспечение безопасности оборудования эксплуатируемого вне территории
А.9.2.6 Безопасная утилизация и повторное использование оборудования
А.9.2.7 Вынос имущества с территории организации
А.10 Управление средствами коммуникаций и их функционированием
А.10.1 Эксплуатация средств и ответственность
A.10.1.1 Документирование операционных процедур эксплуатации
A.10.1.2 Управление изменениями
A.10.1.3 Разграничение обязанностей
A.10.1.4 Разграничение средств разработки, тестирования и эксплуатации
А.10.2 Управление поставкой услуг лицами и/или сторонними организациями
A.10.2.1 Выполнение мер по ИБ включенных в договор оказания услуг
A.10.2.2 Мониторинг и анализ услуг, оказываемых сторонними лицами и/или
24
организациями в области ИБ
A.10.2.3 Изменения при оказании сторонними организациями услуг по обеспечению
ИБ
А.10.3 Планирование производительности и загрузки систем
A.10.3.1 Управление производительностью ИС в интересах безопасной эксплуатации
A.10.3.2 Приемка и тестирование нового оборудования и программного обеспечения
А.10.4 Защита от вредоносного кода и мобильного кода
A.10.4.1 Меры защиты от вредоносного кода
A.10.4.2 Меры защиты от мобильного кода
А.10.5 Резервирование
A.10.5.1 Резервирование информации
А.10.6 Управление безопасностью сети
A.10.6.1 Средства контроля сети
A.10.6.2 Безопасность сетевых сервисов
А.10.7 Обращение с носителями информации
A.10.7.1 Управление съемными носителями информации
A.10.7.2 Утилизация носителей информации
A.10.7.3 Процедуры обработки информации
A.10.7.4 Безопасность системной документации
А.10.8 Обмен информацией
A.10.8.1 Политики и процедуры обмена информацией по каналам связи
A.10.8.2 Соглашения с контрагентами по обмену информацией
A.10.8.3 Защита физических носителей информации при транспортировке
A.10.8.4 Защита электронного обмена сообщениями
A.10.8.5 Защита информационно-логического взаимодействия систем бизнес-
А.10.9 Услуги электронной торговли
A.10.9.1 Защита информации в системе электронной торговли
A.10.9.2 Защита трансакции в режиме реального времени (on-line)
A.10.9.3 Защита от несанкционированного воздействия на общедоступную
информацию
А.10.10 Мониторинг несанкционированных действий
A.10.10.1 Ведение журналов аудита событий ИБ
A.10.10.2 Мониторинг использования средств обработки информации
A.10.10.3 Защита информации журналов регистрации
A.10.10.4 Журналы регистрации действий администратора и оператора
A.10.10.5 Регистрация неисправностей
A.10.10.6 Синхронизация оборудования ИС источником единого времени
А.11 Контроль доступа
А.11.1 Бизнес-требования к контролю доступа
A.11.1.1 Политика контроля доступа с учетом потребностей бизнеса и требований ИБ
А.11.2 Управление доступом пользователей
A.11.2.1 Регистрация пользователей
A.11.2.2 Управление привилегиями
A.11.2.3 Управление паролями пользователей
25
A.11.2.4 Пересмотр прав доступа пользователей
А.11.3 Ответственность пользователей
A.11.3.1 Использование безопасных паролей
A.11.3.2 Оборудование, оставленное пользователем без присмотра
A.11.3.3 Правила "чистого стола" и "чистого экрана"
А.11.4 Контроль сетевого доступа
A.11.4.1 Политика в отношении использования сетевых услуг
A.11.4.2 Аутентификация пользователей для внешних соединений
A.11.4.3 Идентификация оборудования в сетях
A.11.4.4 Защита диагностических и конфигурационных портов при удаленном доступе
A.11.4.5 Принцип разделения в сетях
A.11.4.6 Контроль сетевых соединений
A.11.4.7 Контроль маршрутизации в сети
А.11.5 Контроль доступа к операционной системе
A.11.5.1 Безопасные процедуры регистрации
A.11.5.2 Идентификация и аутентификация пользователя
A.11.5.3 Система управления паролями
A.11.5.4 Использование системных утилит
A.11.5.5 Периоды бездействия в сеансах связи
A.11.5.6 Ограничение времени соединения
А.11.6 Контроль доступа к прикладным системам и информации
A.11.6.1 Ограничения доступа к информации в соответствии с политиками ИБ
A.11.6.2 Изоляция систем, обрабатывающих важную информацию
А.11.7 Работа с переносными устройствами и работа в дистанционном режиме
A.11.7.1 Работа с переносными устройствами
A.11.7.2 Работа в дистанционном режиме
А.12 Разработка, внедрение и обслуживание информационных систем
А.12.1 Требования к безопасности информационных систем
A.12.1.1 Анализ и детализация требований безопасности для новых ИС
А.12.2 Правильная обработка данных в приложениях
A.12.2.1 Проверка достоверности входных данных
A.12.2.2 Контроль обработки данных в приложениях
A.12.2.3 Целостность сообщений
A.12.2.4 Подтверждение достоверности выходных данных
А.12.3 Криптографические средства защиты
A.12.3.1 Политика использования криптографических средств защиты
A.12.3.2 Управление ключами
А.12.4 Безопасность системных файлов
A.12.4.1 Контроль внедрения программного обеспечения, в промышленную
эксплуатацию
A.12.4.2 Защита данных тестирования системы
A.12.4.3 Контроль доступа к исходным кодам
А.12.5 Безопасность в процессах разработки и поддержки программного обеспечения
A.12.5.1 Процедуры контроля изменений
A.12.5.2 Технический анализ прикладных систем после внесения изменений в
26
операционные системы
A.12.5.3 Ограничения на внесение изменений в пакеты программ
A.12.5.4 Утечка информации
A.12.5.5 Разработка программного обеспечения с привлечением сторонних
организаций
А.12.6 Менеджмент технических уязвимостей
A.12.6.1 Управление техническими уязвимостями
А.13 Управление инцидентами информационной безопасности
А.13.1 Оповещение о нарушениях и недостатках информационной безопасности
A.13.1.1 Оповещение о случаях нарушения ИБ
A.13.1.2 Оповещение о недостатках безопасности
А.13.2 Управление инцидентами информационной безопасности и его
усовершенствование
A.13.2.1 Ответственность и процедуры, обеспечивающие реагирование на инциденты
ИБ
А.14 Управление непрерывностью бизнеса
А.14.1 Вопросы информационной безопасности управления непрерывностью бизнеса
A.14.1.1 Включение ИБ в процесс управления непрерывностью бизнеса
A.14.1.2 Непрерывность бизнеса и оценка риска прерывания бизнеса из-за нарушений
ИБ
A.14.1.3 Разработка и внедрение планов непрерывности бизнеса с учетом ИБ
A.14.1.4 Структура плана обеспечения непрерывности бизнеса
A.14.1.5 Тестирование, поддержка и пересмотр планов по обеспечению непрерывности
бизнеса
А.15 Соответствие требованиям
А.15.1 Соответствие правовым требованиям
A.15.1.1 Определение применимых норм
A.15.1.2 Права на интеллектуальную собственность
A.15.1.3 Защита учетных записей организации
A.15.1.4 Защита данных и конфиденциальность персональной информации
A.15.1.5 Предотвращение нецелевого использования средств обработки информации
A.15.1.6 Правовое регулирование использования средств криптографической защиты
А.15.2 Соответствие политикам и стандартам безопасности и техническое
соответствие требованиям безопасности
A.15.2.1 Соответствие политикам и стандартам безопасности
A.15.2.2 Проверка технического соответствия требованиям безопасности
А.15.3 Вопросы аудита информационных систем
A.15.3.1 Меры управления аудитом информационных систем
A.15.3.2 Защита инструментальных средств аудита информационных систем
В документе Национального института стандартов и технологий США

(NIST) семейства SP 800 – ххх, а в частности NIST SP 800 - 53 «Рекомендации по
использованию средств управления информационной безопасностью в
федеральных информационных системах и организациях» определяет перечень
27
средств управления информационной безопасностью для государственных
учреждений. Перечень средств управления указанных в документе NIST
взаимосвязаны с перечнем Приложения А стандарта ISO/IEC 27001, однако в
отличие от стандарта дополнены вопросами планирования управления ИБ,
тренировки персонала службы ИБ. В таблице 2 приведена структура средств
управления ИБ по документу NIST SP 800 – 53 и их соответствие стандарту
ISO/IEC 27001.[ 4, 8, 9]
Таблица 2
Взаимосвязь между средствами управления предлагаемыми стандартом
ISO/IEC 27001 и NIST SP 800 – 53
Средства управления ИБ NIST SP Средства управления ИБ ISO/IEC
800-53 CONTROLS 27001 (Annex A) CONTROLS
Контроль доступа в систему (АС)
AC-1 Политики и процедуры доступа A5.1.1, A5.1.2, A.6.1.1, A.6.1.3, A.8.1.1,
A10.1.1, A.10.8.1, A.11.1.1, A.11.2.1,
A11.2.2, A11.4.1, A.11.7.1, A.11.7.2,
A.15.1.1, A.15.2.1
AC-2 Управление аккаунтами A.8.3.3, A.11.2.1, A.11.2.2, A.11.2.4, A15.2.1
AC- 3 Правомочие доступа A.10.8.1 A.11.4.4, A.11.4.6, A.11.5.4,
A.11.6.1, A.12.4.2
AC-4 Правомочность информационных A.10.6.1, A.10.8.1, A.11.4.5, A.11.4.7,
потоков A.11.7.2, A.12.4.2, A.12.5.4
AC-5 Разделение обязанностей A.6.1.3, A.8.1.1, A.10.1.3, A.11.1.1, A.11.4.1
AC-6 Минимизация привилегий A.6.1.3, A.8.1.1, A.11.1.1, A.11.2.2, A.11.4.1,
A.11.4.4, A.11.4.6, A.11.5.4, A.11.6.1,
A.12.4.3
AC-7 Количество попыток регистрации A.11.5.1
в системе
AC-8 Запись об использовании системы A.6.2.2, A.8.1.1, A.11.5.1, A.15.1.5
AC-9 Запись о предыдущем входе в A.11.5.1
систему
AC-10 Контроль параллельного входа в A.11.5.1
систему
AC-11 Блокирование доступа A.11.3.2, A.11.3.3, A.11.5.5
AC-12 Резерв --
AC-14 Запрет действий в отсутствии A.11.6.1
идентификации и/или авторизации
AC-16 Атрибуты безопасного доступа A.7.2.2
AC-17 Удаленный доступ A.10.6.1, A.10.8.1, A.11.1.1, A.11.4.1,
A.11.4.2, A.11.4.4, A.11.4.6, A.11.4.7,
28
A.11.7.1, A.11.7.2
AC-18 Управление доступом по A.10.6.1, A.10.8.1, A.11.1.1, A.11.4.1,
беспроводным соединениям A.11.4.2, A.11.4.4, A.11.4.6, A.11.4.7,
A.11.7.1, A.11.7.2
AC-19 Управление доступом с A.10.4.1, A.11.1.1, A.11.4.3, A.11.7.1
мобильных устройств
AC-20 Доступ из внешних A.7.1.3, A.8.1.1, A.8.1.3, A.10.6.1, A.10.8.1,
информационных систем A.11.4.1, A.11.4.2
AC-21 Организация совместного доступа A.11.2.1, A.11.2.2
к информации
AC-22 Допуск к общедоступной Нет
Информирование и обучение ИБ (АТ)
AT-1 Политики и процедуры A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1,
информирования и обучения по A.10.1.1, A.15.1.1, A.15.2.1
вопросам ИБ
AT-2 Информирование персонала по A.6.2.2, A.8.1.1, A.8.2.2, A.9.1.5, A.10.4.1
вопросам ИБ
AT-3 Обучение персонала по вопросам A.8.1.1, A.8.2.2, A.9.1.5
ИБ
AT-4 Типовые сценарии событий ИБ Нет
для подготовки персонала
AT-5 Взаимодействие с профессиональ- A.6.1.7
ными сообществами по ИБ
Аудит и подготовка отчетной документации (AU)
AU-1 Политики и процедуры аудита A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1,
системы и формирования A.10.1.1, A.10.10.2, A.15.1.1, A.15.2.1,
отчетности A.15.3.1
AU-2 События ИБ, подлежащие аудиту A.10.10.1, A.10.10.4, A.10.10.5, A.15.3.1
AU-3 Содержимое записей аудита A.10.10.1
AU-4 Размер базы данных записей A.10.10.1, A.10.3.1
аудита
AU-5 Ответственность за отказ A.10.3.1, A.10.10.1
процедуры аудита
AU-6 Обзор, анализ и отчетные A.10.10.2, A.10.10.5, A.13.1.1, A.15.1.5
документы аудита
AU-7 Защита средств аудита и A.10.10.2
предупреждение о воздействии
AU-8 Синхронизация времени A.10.10.1, A.10.10.6
источником единого времени
AU-9 Защита информации аудита A.10.10.3, A.13.2.3, A.15.1.3, A.15.3.2
AU-10 Безотказность аудита A.10.9.1, A.12.2.3
AU-11 Хранение информации аудита A.10.10.1, A.10.10.2, A.15.1.3
AU-12 Генерация записей аудита A.10.10.1, A.10.10.4, A.10.10.5
AU-13 Противодействие Нет
рассекречиванию информации
AU-14 Контроль за действиями Нет
пользователя
Полномочия и оценка безопасности (СА)
CA-1 Политики и процедуры A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3 A.6.1.4,
29
оценивания и полномочий A.8.1.1, A.10.1.1, A.15.1.1, A.15.2.1
CA-2 Оценки ИБ A.6.1.8, A.10.3.2, A.15.2.1, A.15.2.2
CA-3 Информационные связи системы A.6.2.1, A.6.2.3, A.10.6.1, A.10.8.1, A.10.8.2,
A.10.8.5, A.11.4.2
CA-4 Резерв --
CA-5 Планирование действий и этапов None
мероприятий ИБ
CA-6 Полномочия уровней ИБ A.6.1.4, A.10.3.2
CA-7 Непрерывный мониторинг ИБ A.6.1.8, A.15.2.1, A.15.2.2
Управление конфигурацией системы (СМ)
CM-1 Политики и процедуры A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1,
управления конфигурацией A.10.1.1, A.10.1.2, A.12.4.1, A.12.5.1,
A.15.1.1, A.15.2.1
CM-2 Базовая конфигурация A.12.4.1, A.10.1.4
CM-3 Управление изменением A.10.1.1, A.10.1.2, A.10.3.2, A.12.4.1,
конфигурации A.12.5.1, A.12.5.2, A.12.5.3
CM-4 Анализ факторов влияющих на ИБ A.10.1.2, A.10.3.2, A.12.4.1, A.12.5.2,
A.12.5.3
CM-5 Ограничение доступа к изменению A.10.1.2, A.11.1.1, A.11.6.1, A.12.4.1,
конфигурации A.12.4.3, A.12.5.3
CM-6 Управление настройками системы Нет
CM-7 Ограничения функциональных Нет
возможностей элементов
CM-8 Инвентаризация активов A.7.1.1, A.7.1.2
информационной системы
CM-9 Планирование управления A.6.1.3. A.7.1.1, A.7.1.2, A.8.1.1, A.10.1.1,
конфигурацией A.10.1.2, A.10.3.2, A.12.4.1, A.12.4.3,
A.12.5.1, A.12.5.2, A.12.5.3
Действия в условиях нештатных ситуаций (СР)
CP-1 Политики и процедуры A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1,
планирования действий в A.9.1.4, A.10.1.1, A.10.1.2, A.14.1.1,
нештатных ситуациях A.14.1.3, A.15.1.1, A.15.2.1
CP-2 План действий в нештатной A.6.1.2, A.9.1.4, A.10.3.1, A.14.1.1, A.14.1.2,
ситуации A.14.1.3, A.14.1.4, A.14.1.5
CP-3 Обучение действиям в нештатных A.8.2.2, A.9.1.4, A.14.1.3
ситуациях
CP-4 Проверка персонала по действиям A.6.1.2, A.9.1.4, A.14.1.1, A.14.1.3, A.14.1.4,
в нештатных ситуациях A.14.1.5
CP-5 Резерв --
CP-6 Резервное хранилище данных A.9.1.4, A.14.1.3
CP-7 Резервная система обработки A.9.1.4, A.14.1.3
данных
CP-8 Телекоммуникационные службы A.9.1.4, A.10.6.1, A.14.1.3
CP-9 Резервная копия системы A.9.1.4, A.10.5.1, A.14.1.3, A.15.1.3
CP-10 Восстановление ИС и применение A.9.1.4, A.14.1.3
исходных настроек
Идентификация и аутентификация в системе (IA)
IA-1 Политики и процедуры A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1,
идентификации и аутентификация A.10.1.1, A.11.2.1, A.15.1.1, A.15.2.1
IA-2 Идентификация и аутентификация A.11.3.2, A.11.5.1, A.11.5.2, A.11.5.3
30
пользователей организации
IA-3 Оборудование для идентификации A.11.4.3
и аутентификации
IA-4 Управление идентификацией A.11.5.2
IA-5 Управление аутентификацией A.11.2.1, A.11.2.3, A.11.3.1, A.11.5.2,
A.11.5.3
IA-6 Возврат аутентификаторов A.11.5.1
IA-7 Устройства криптографической A.12.3.1, A.15.1.1, A.15.1.6, A.15.2.1
аутентификации
IA-8 Идентификация и аутентификация A.10.9.1, A.11.4.2, A.11.5.1, A.11.5.2
сторонних пользователей
Реагирование на инциденты ИБ (IR)
IR-1 Политики и процедуры A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1,
реагирования на инциденты ИБ A.10.1.1, A.13.1.1, A.13.2.1, A.15.1.1,
A.15.2.1
IR-2 Обучение по обработке A.8.2.2
инцидентов ИБ
IR-3 Учебные ситуации и проверка Нет
персонала по обработке
инцидентов
IR-4 Анализ и разбор инцидентов A.6.1.2, A.13.2.2, A.13.2.3
IR-5 Мониторинг инцидентов Нет
IR-6 Оповещение об инцидентах A.6.1.6, A.13.1.1
IR-7 Поддержка действий при Нет
инцидентах
IR-8 План действий персонала при Нет
инциденте ИБ
Обслуживание системы (МА)
MA-1 Политики и процедуры ИБ при A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1,
обслуживании системы A.9.2.4, A.10.1.1, A.15.1.1, A.15.2.1
MA-2 Концепция управляемого A.9.2.4
обслуживания
MA-3 Требования к инструментам и A.9.2.4, A.11.4.4
средствам обслуживания
MA-4 Обслуживание внешнего A.9.2.4, A.11.4.4
оборудования
MA-5 Технический персонал A.9.2.4, A.12.4.3
MA-6 Период обслуживания A.9.2.4
Работа с носителями данных (МР)
MP-1 Политики и процедуры работы с A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1,
носителями информации A.10.1.1, A.10.7.1, A.10.7.2, A.10.7.3,
A.11.1.1, A.15.1.1, A.15.1.3, A.15.2.1
MP-2 Использование носителей A.7.2.2, A.10.7.1, A.10.7.3
MP-3 Маркирование носителей A.7.2.2, A.10.7.1, A.10.7.3
MP-4 Хранение носителей информации A.10.7.1, A.10.7.3, A.10.7.4, A.15.1.3
MP-5 Перевозка носителей информации A.9.2.5, A.9.2.7, A.10.7.1, A.10.7.3, A.10.8.3
MP-6 Очистка носителей информации A.9.2.6, A.10.7.1, A.10.7.2, A.10.7.3
31
Физическая и экологическая безопасность (РЕ)
PE-1 Политики и процедуры A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1,
физической и экологической A.9.1.4, A.9.2.1, A.9.2.2, A.10.1.1, A.11.1.1,
безопасности A.11.2.1, A.11.2.2, A.15.1.1, A.15.2.1
PE-2 Авторизированный доступ на A.9.1.5, A.11.2.1, A.11.2.2, A.11.2.4
территорию
PE-3 Пропускной режим A.9.1.1, A.9.1.2, A.9.1.3, A.9.1.5, A.9.1.6,
A.11.3.2, A.11.4.4
PE-4 Ограничение свободного доступа A.9.1.3, A.9.1.5, A.9.2.3
к оборудованию
PE-5 Контроль доступа к открытым A.9.1.2, A.9.1.3, A.10.6.1, A.11.3.2
информационным активам
PE-6 Наблюдение за перемещением по A.9.1.2, A.9.1.5, A.10.10.2
территории
PE-7 Контроль за посетителями A.9.1.2, A.9.1.5, A.9.1.6
PE-8 Ведение журнала посещений A.9.1.5, A.10.10.2, A.15.2.1
PE-9 Контроль за энергоснабжением и A.9.1.4, A.9.2.2, A.9.2.3
электрооборудованием
PE-10 Аварийное отключение A.9.1.4
PE-11 Аварийное энергоснабжение A.9.1.4, A.9.2.2
PE-12 Аварийное освещение A.9.2.2
PE-13 Противопожарная защита A.9.1.4
PE-14 Контроль температуры и A.9.2.2
влажности
PE-15 Защита от подтопления A.9.1.4
PE-16 Контроль за движением A.9.1.6, A.9.2.7, A.10.7.1
материальных средств в
PE-17 Альтернативные рабочие A.9.2.5, A.11.7.2
площадки
PE-18 Размещение оборудования в A.9.2.1, A.11.3.2
безопасных местах
PE-19 Утечки информации A.12.5.4
Планирование мероприятий ИБ (PL)
PL-1 Политики и процедуры A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.2, A.6.1.3,
планирования мероприятий ИБ A.8.1.1, A.10.1.1, A.15.1.1, A.15.2.1
PL-2 План мероприятий ИБ Нет
PL-3 Резерв --
PL-4 Правила проведения при работе с A.6.1.5, A.6.2.2, A.7.1.3. A.8.1.1, A.8.1.3,
информацией A.8.2.1, A.9.1.5, A.10.8.1, A.11.7.1, A.11.7.2,
A.12.4.1, A.13.1.2, A.15.1.5
PL-5 Оценка защиты частной A.15.1.4
PL-6 Планирование действий по A.6.1.2, A.15.3.1
обеспечению ИБ
Работа с персоналом организации (PS)
PS-1 Политики и процедуры работы с A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1,
персоналом A.10.1.1, A.15.1.1, A.15.2.1
PS-2 Категорирование должностей A.8.1.1
PS-3 Набор персонала A.8.1.2
32
PS-4 Увольнение персонала A.8.3.1, A.8.3.2, A.8.3.3
PS-5 Перевод сотрудников A.8.3.1, A.8.3.2, A.8.3.3
PS-6 Оформление допуска A.6.1.5, A.8.1.1, A.8.1.3, A.8.2.1, A.9.1.5,
A.10.8.1, A.11.7.1, A.11.7.2, A.15.1.5
PS-7 Работа с персоналом сторонних A.6.2.3, A.8.1.1, A.8.2.1, A.8.1.3
организаций
PS-8 Взыскания сотрудникам A.8.2.3, A.15.1.5
Оценка риска (RA)
RA-1 Политики и процедуры A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1,
оценивания риска A.10.1.1, A.14.1.2, A.15.1.1, A.15.2.1
RA-2 Категорирование рисков A.7.2.1, A.14.1.2
RA-3 Оценка рисков A.6.2.1, A.10.2.3, A.12.6.1, A.14.1.2
RA-4 Резерв --
RA-5 Поиск уязвимостей A.12.6.1, A.15.2.2
Сбор данных о системе и службах (SA)
SA-1 Политики и процедуры сбора A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.6.2.1,
данных о системе и службах A.8.1.1, A.10.1.1, A.12.1.1, A.12.5.5,
A.15.1.1, A.15.2.1
SA-2 Распределение ресурсов A.6.1.2, A.10.3.1
SA-3 Сопровождение жизненного цикла A.12.1.1
системы
SA-4 Сбор данных A.12.1.1, A.12.5.5
SA-5 Документация информационной A.10.7.4, A.15.1.3
системы
SA-6 Ограничения использования ПО A.12.4.1, A.12.5.5, A.15.1.2
SA-7 Использование прикладного A.12.4.1, A.12.5.5, A.15.1.5
(пользовательского) ПО
SA-8 Принципы построения ИБ A.10.4.1, A.10.4.2, A.11.4.5, A.12.5.5
SA-9 Соответствие требованиям A.6.1.5, A.6.2.1, A.6.2.3, A.8.1.1, A.8.2.1,
законодательства и нормативным A.10.2.1, A.10.2.2, A.10.2.3, A.10.6.2,
документам A.10.8.2, A.12.5.5
SA-10 Управление разработкой A.12.4.3, A.12.5.1, A.12.5.5
конфигурации системы
SA-11 Проверка разрабатываемого ПО на A.10.3.2, A.12.5.5
соответствие требованиям ИБ
SA-12 Безопасность поставок запасных A.12.5.5
частей и принадлежностей
SA-13 Надежность системы A.12.5.5
SA-14 Критические компоненты Нет
информационной системы
Защита оборудования и коммуникационных сетей (SC)
SC-1 Процедуры и политики защиты A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1,
системы и коммуникаций A.10.1.1, A.15.1.1, A.15.2.1
SC-2 Разграничение возможностей A.10.4.1, A.10.4.2
приложений
SC-3 Разделение функций ИБ от A.10.4.1, A.10.4.2, A.10.9.1, A.10.9.2
функций общего назначения
SC-4 Контроль содержимого None
информации общего доступа
SC-5 Блокирование ограничений служб A.10.3.1
33
в интересах ИБ
SC-6 Установление приоритета None
ресурсов системы
SC-7 Защита периметра в A.6.2.1, A.10.4.1, A.10.4.2, A.10.6.1,
информационном пространстве A.10.8.1, A.10.9.1, A.10.9.2, A.10.10.2,
A.11.4.5, A.11.4.6
SC-8 Защита целостности информации A.10.4.2, A.10.6.1, A.10.6.2, A.10.9.1,
при передаче информации A.10.9.2, A.12.2.3, A.12.3.1
SC-9 Защищенные соединения A.10.6.1, A.10.6.2, A.10.9.1, A.10.9.2,
A.12.3.1
SC-10 Разрыв сетевых соединений после A.10.6.1, A.11.3.2, A.11.5.1, A.11.5.5
передачи данных
SC-11 Доверенные каналы передачи None
SC-12 Создание криптографических A.12.3.2
ключей для подключения и
управления соединениями
SC-13 Использование криптографии A.12.3.1, A.15.1.6
SC-14 Защита мест общественного A.10.4.1, A.10.4.2, A.10.9.1, A.10.9.2,
доступа A.10.9.3
SC-15 Использование переносных Нет
вычислительных средств и
устройств сбора информации
(аудио и видео устройств)
SC-16 Передача атрибутов ИБ A.7.2.2, A.10.8.1
SC-17 Инфраструктура сертификации A.12.3.2
ключей общего доступа
SC-18 Защита от мобильного кода A.10.4.2
SC-19 Защита при использовании A.10.6.1
протокола голосовой связи (VoIP)
SC-20 Служба безопасности имен A.10.6.1
/адресов (сервис полномочий)
SC-21 Служба безопасности имен A.10.6.1
/адресов (служба DNS сервера)
SC-22 Архитектура и обеспечение A.10.6.1
службы сервиса имен/адресов
SC-23 Аутентификация сессий A.10.6.1
SC-24 Отказ в обслуживании при Нет
нарушении правил ИБ
SC-25 Безопасность для тонких клиентов Нет
(минимальное использование
ресурсов системы)
SC-26 Применение хостов-ловушек для Нет
злоумышленников
SC-27 Использование приложений не Нет
зависимых от системного ПО
SC-28 Защита информации в режиме Нет
ожидания, оборудования
находящегося в резерве
SC-29 Использование разнотипного Нет
оборудования и способов
34
хранения информации
SC-30 Защита среды виртуализации Нет
используемой в системе
SC-31 Анализ наличия скрытых каналов Нет
утечки информации
SC-32 Дробление единой информации на Нет
пакеты и хранение их раздельно
SC-33 Сохранение целостности Нет
информации в процессе
подготовки к передаче
(архивирование, преобразование и
т.д.)
SC-34 Использование для загрузки Нет
операционной системы, и
исполняемого ПО, устройств
хранения данных
предназначенных только для
чтения
Целостность информации и информационной системы (SI)
SI-1 Политики и процедуры A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3, A.8.1.1,
целостности информационной A.10.1.1, A.15.1.1, A.15.2.1
системы и информации
SI-2 Коррекция ошибок A.10.10.5, A.12.5.2, A.12.6.1, A.13.1.2
SI-3 Защита от вредоносного кода A.10.4.1
SI-4 Наблюдение за информационной A.10.10.2, A.13.1.1, A.13.1.2
системой
SI-5 Тревоги, рекомендации, указания A.6.1.6, A.12.6.1, A.13.1.1, A.13.1.2
по ИБ
SI-6 Проверка функциональности Нет
системы ИБ
SI-7 Целостность ПО и A.10.4.1, A.12.2.2, A.12.2.3
информационных активов
SI-8 Защита от спамерских атак Нет
SI-9 Ограничения по вводу A.10.8.1, A.11.1.1, A.11.2.2, A.12.2.2
SI-10 Проверка вводимой A.12.2.1, A.12.2.2
пользователями информации
SI-11 Защита от ошибок (неправильных Нет
действий)
SI-12 Проверка исходящей информации A.10.7.3, A.15.1.3, A.15.1.4, A.15.2.1
и ее хранение
SI-13 Прогнозирование и Нет
предупреждение об отказах
Планирование развития ИБ организации (РМ)
PM-1 План развития ИБ A.5.1.1, A.5.1.2, A.6.1.1, A.6.1.3 A.8.1.1,
A.15.1.1, A.15.2.1
PM-2 Обязанности руководства службы A.6.1.1, A.6.1.2, A.6.1.3
ИБ
PM-3 Ресурсы ИБ Нет
PM-4 План действий и этапов развития Нет
ИБ
35
PM-5 Инвентаризация активов для A.7.1.1, A.7.1.2
развития ИБ
PM-6 Совершенствование средств Нет
контроля ИБ, в целях повышения
эффективности
PM-7 Развитие архитектуры ИБ Нет
PM-8 План защиты критической Нет
инфраструктуры и ключевой
информации организации
PM-9 Стратегия управления риском A.6.2.1, A.14.1.2
PM-10 Управление процессом A.6.1.4
авторизации в организации
PM-11 Определение целей/задач бизнес- Нет
процессов организации с точки
зрения ИБ
Изучение руководящих документов ФСТЭК России показывает, что

основным составом мер защиты информации (средств управления) ИБ взяты
базовые наборы представленные в документе NIST SP 800-53 CONTROLS [ 8, 38-
40]. Единственно, в отличие от первоисточника, дополнительно устанавливаются
классы защищенности 1, 2 и 3. Класс защиты определяет базовый набор мер
защиты информации. В таблице 3 представлены соотношение уровней средств
управления ИБ по рекомендациям пакета документов NIST SP – 800 и
руководящих документов ФСТЭК России. [38-40]
Таблица 3
Структурные уровни средств управления ИБ
Рекомендации NIST SP 800 Руководящие документы ФСТЭК
NIST SP 800-53 Управление доступом
Контроль доступа в систему (АС) субъектов доступа к объектам доступа
(УПД)
Обеспечение целостности (ОЦЛ)
NIST SP 800-53 Информирование и обучение персонала
Информирование и обучение ИБ (АТ) (ИПО)
NIST SP 800-53 Регистрация событий безопасности (РСБ),
Аудит и подготовка отчетной документации без рассмотрения вопросов аудита
(AU)
NIST SP 800-94 Обнаружение вторжений (СОВ)
Руководство по системам обнаружения и
предотвращения вторжений (СОПВ)
NIST SP 800-53 Анализ угроз безопасности информации
Полномочия и оценка безопасности (СА) и рисков от их реализации (УБИ)
Выявление инцидентов и реагирование на
36
них (ИНЦ)
NIST SP 800-53 Управление конфигурацией
Управление конфигурацией системы (СМ) автоматизированной системы управления и
ее системы защиты (УКФ)
Контроль (анализ) защищенности
информации (АНЗ)
NIST SP 800-53 Обеспечение действий в нештатных
Действия в условиях нештатных ситуаций (непредвиденных) ситуациях (ДНС)
(СР)
NIST SP 800-53 Идентификация и аутентификация
Идентификация и аутентификация в субъектов доступа и объектов доступа
системе (IA) (ИАФ)
Обеспечение доступности (ОДТ)
NIST SP 800-53 Выявление инцидентов и реагирование на
Реагирование на инциденты ИБ (IR) них (ИНЦ)
NIST SP 800-53 Управление конфигурацией
Обслуживание системы (МА) автоматизированной системы управления и
ее системы защиты (УКФ)
NIST SP 800-53 Защита машинных носителей информации
Работа с носителями данных (МР) (ЗНИ)
NIST SP 800-53 Защита технических средств (ЗТС)
Физическая и экологическая безопасность Защита автоматизированной системы и ее
(РЕ) компонентов (ЗИС)
NIST SP 800-53 Планирование мероприятий
Планирование мероприятий ИБ (PL) по обеспечению защиты информации
(ПЛН)
NIST SP 800-53 Информирование и обучение персонала
Работа с персоналом организации (PS) (ИПО)
NIST SP 800-53 Анализ угроз безопасности информации
Оценка риска (RA) и рисков от их реализации (УБИ)
NIST SP 800-53 Ограничение программной среды (ОПС)
Сбор данных о системе и службах (SA) Обеспечение безопасной разработки
программного обеспечения (ОБР)
Управление обновлениями программного
обеспечения (ОПО)
NIST SP 800-53 Защита технических средств (ЗТС)
Защита оборудования и коммуникационных Защита автоматизированной системы и ее
сетей (SC) компонентов (ЗИС)
Защита среды виртуализации (ЗСВ)
Обеспечение доступности (ОДТ)
NIST SP 800-53 Обеспечение целостности (ОЦЛ)
Целостность информации и Антивирусная защита (АВЗ)
информационной системы (SI)
NIST SP 800-53 -----------
Планирование развития ИБ организации
(РМ)
Необходимо отметить, в документах ФСТЭК России недостаточно
информации об организации аудита ИБ автоматизированных систем, а также не
отражены вопросы, связанные с планированием развития и совершенствования
37
ИБ. Однако, руководящие документы ФСТЭК России допускают совместное
применение средств управления ИБ указанных в ГОСТ Р ИСО/МЭК 27001 и мер
защиты информации указанных в приказах ФСТЭК России. Тем самым, при
определении требований к системе защиты автоматизированной системы
управления учитываются положения политик обеспечения ИБ организации-
заказчика в случае их разработки по ГОСТ Р ИСО/МЭК 27001 «Информационная
технология. Методы и средства обеспечения безопасности. Системы менеджмента
информационной безопасности. Требования», а также политик обеспечения
информационной безопасности эксплуатирующей организации в части, не
противоречащей политикам заказчика.[38 - 40].
1.3 Особенности современной практики оценивания систем менеджмента

Оценивание систем менеджмента информационной безопасности
производится в ходе мероприятий аудита, а также в ходе цикла
жизнедеятельности на этапах мониторинга и анализа СМИБ. Аудит может
проводиться, как внешними аудиторскими организациями, так и внутренней
комиссией организации.
Основные вопросы аудита систем менеджмента определяются в
международном стандарте ISO/IEC 19011:2011 «Руководство по аудиту систем
менеджмента».[2] В нем устанавливаются требования, инструкции по управлению
программой аудита, в части планирования и проведения аудита системы
менеджмента, а также компетентности и оценке аудитора и группы аудита.
Данный стандарт декларирует понятие «комплексного аудита», когда проводится
совместный аудит систем менеджмента различных типов. Использование этого
стандарта для аудита IT систем, и в частности СМИБ возможно после адаптации
необходимой для того, чтобы учесть особенности аудита СМИБ. Эти особенности
раскрыты в стандартах семейства ISO/IEC 27000, в стандарте ГОСТ Р ИСО/МЭК
27006-2008.[25] «Информационная технология. Методы и средства обеспечения
безопасности. Требования к органам, осуществляющим аудит и сертификацию
38
систем менеджмента информационной безопасности» и ISO/IEC 27007:2011.
«Руководящие указания по аудиту систем менеджмента информационной
безопасности. Международный Стандарт. Первое издание. 2011-11-14. 27». В
соответствии с этими документами основными задачами аудита СМИБ [25, 5]:
 оценка и проверка на соответствие требованиям структур,
политики, процессы, процедуры, записи и другие документы организации,
относящиеся к СМИБ;
 подтверждение того, что процессы и процедуры были
разработаны, внедрены и поддерживаются в рабочем состоянии;
 формирование отчета заказчику о возможных действиях при
возникновении противоречий между политикой, целями и задачами СМИБ
и результатами.
План и дата проведения аудита согласовывается с заказчиком. Программа
аудита включает в себя комбинирование широких и высокоуровневых аудитов
СМИБ с глубокими (узкоспециализированными) проверками в областях
повышенного риска, аудит СМИБ взаимодействующих организаций (по
согласованию), подготовку программы внутреннего аудита СМИБ.
Аудитор разрабатывает и документирует требования к процессу проведения
аудитов на местах в соответствии с руководящими указаниями, приведенными в
ИСО 19011.[17]
Основными этапами аудита СМИБ являются:
 Организация проведения аудита.
 Предварительный анализ документов.
 Подготовка к проведению аудита на месте.
 Проведение аудита на месте.
 Анализ собранных данных.
 Подготовка отчета по результатам аудита.
 Завершение аудита.
39
Организация проведения аудита
Предварительный анализ документов
Подготовка к проведению аудита на месте
Проведение аудита на месте
Анализ собранных данных
Подготовка отчета по результатам аудита
Завершение аудита
Этапы аудита СМИБ
Рисунок 4. Этапы аудита СМИБ.

1. Организация проведения аудита.
На этом этапе, определяются согласованная область применения аудита,
устав аудита, письма-обязательства или аналоги, списки контактов, документы по
СМИБ (рабочие документы, свидетельства, отчеты и т.д.), связанные с аудитом.
Определяются цели, область и критерии аудита СМИБ. В качестве критериев
рассматриваются меры и средства управления, которые использует организация
при эксплуатации СМИБ.
Цели аудита определяет заказчик аудита (например, руководство
проверяемой организации). Цели аудита могут быть в следующем:
 определение степени соответствия СМИБ проверяемой организации
или ее частей стандарту ISO/IEC 27001;
 оценку СМИБ на соответствие законодательным требованиям,
нормативным требованиям и требованиям контракта;
40
 оценку эффективности СМИБ для достижения конкретных целей
(например, определенных в политике ИБ организации);
 определение направления потенциального совершенствования
СМИБ.
Область аудита может включать содержание и границы аудита,
месторасположение, структурные подразделения, деятельность и процессы,
которые подвергаются аудиту, а также сроки аудита. [11,13,17]
Далее устанавливается первоначальный контакт с проверяемой
организацией. Сущность этого шага в том, чтобы вступить в контакт с
персоналом службы ИБ организации (менеджер по ИБ, архитектор по
безопасности, разработчик СМИБ, исполнитель СМИБ) и вышестоящим
руководством, в должностные обязанности, которых включены вопросы ИБ
(например, IT-директор (CIO), исполнительный директор (CEO), директор по
безопасности (CSO)), чтобы получить разрешения на доступ к документам,
которые будут проанализированы в ходе аудита. Со своей стороны, организация
(заказчик аудита) обычно назначает одного или нескольких сопровождающих
аудитора лиц (или наблюдателей). Сопровождающие оказывают помощь
аудиторам, действовать по просьбе руководителя группы по аудиту и выполняют
следующие обязанности:
 обеспечение контактов и назначение времени для встреч;
 обеспечение посещений определенных мест производственной площадки
или организации;
 обеспечение того, чтобы правила и процедуры по безопасности были
известны и соблюдались членами группы по аудиту;
 исполнение функций лиц, свидетельствующих в ходе аудита от имени
проверяемой организации;
 предоставление разъяснений или оказание помощи при сборе информации;
2. Предварительный анализ документов.
41
На этом этапе анализируют документы проверяемой организации,
документы по СМИБ, записи СМИБ, а также отчеты по предыдущим аудитам с
целью определения соответствия СМИБ требованиям нормативных документов
или на соответствие требованиям стандарта ISO/IEC 27001. В ходе анализа
учитывается размер, вид деятельности и сложность организации, а также цели и
область аудита. Если документация СМИБ не соответствует требованиям
нормативных документов или требованию стандарта ISO/IEC 27001, то аудитор
информирует заказчика аудита. В данном случае принимается решение о
прекращении аудита или приостановке аудита до тех пор, пока проблемы с
документацией не будут разрешены.
3. Подготовка к проведению аудита на месте.
На данном этапе проводится планирование аудита и подготовка рабочих
документов для проведения аудита.
План аудита включает:
 цели аудита;
 критерии аудита и ссылочные документы;
 область аудита, включая идентификацию организационных и
функциональных подразделений и процессов, которые будут проверяться;
 дату и место проведения аудита;
 предполагаемое время начала и продолжительность проведения
аудита на месте, включая совещания с руководством проверяемой
организации и совещания групп по аудиту;
 функции и обязанности членов группы по аудиту и
сопровождающих лиц;
 запланированную дату предоставления отчета по результатам
аудита;
 содержание отчета (акта) по аудиту;
 вопросы, касающиеся обеспечения конфиденциальности.
План аудита согласовывается с заинтересованными сторонами.

42
Группа аудита подготавливает для регистрации результатов аудита рабочие
документы:
 контрольные листы и планы выборок для аудита;
 формы регистрации данных, таких как подтверждающие
свидетельства, наблюдения аудита и протоколы совещаний;
Количество подготовленных документов устанавливается таким образом,
чтобы обеспечить необходимый запас, если объем проверок будет увеличен, в
результате анализа собранных во время аудита данных. Рабочие документы
хранятся до завершения аудита.
4. Проведение аудита на месте.
Вся информация аудита, относящаяся к СМИБ, включая информацию,
касающуюся взаимодействия между подразделениями, о деятельности и
процессах, собирается в ходе выборок и верифицируется. Свидетельством аудита
может быть только верифицированная информация, которая зарегистрирована.
Свидетельство аудита основано на выборках имеющихся данных. В полученных
выборках имеется элемент стохастической неопределенности, и заключения
аудита должны учитывать эту неопределенность.
Методы сбора информации включают:
 опросы;
 наблюдения за деятельностью;
 проведение технического тестирования (pen-test);
 анализ документов.
Результатом данного этапа является заполнение рабочих документов и

получение свидетельств аудита.
5. Анализ собранных данных.
На данном этапе осуществляется получение наблюдений аудита путем
сопоставления свидетельств аудита с требованиями нормативных документов или
требованиями стандарта ISO 27001. Наблюдения аудита указывают на
43
соответствие или несоответствие критериям аудита. Если это определено целями
аудита, наблюдения аудита могут определить возможности для улучшения ИБ.
Несоответствия требованиям ИБ и подтверждающие их свидетельства
аудита регистрируются и классифицируются (ранжируются). Далее проводится их
анализ совместно с проверяемой организацией для подтверждения объективности
свидетельств аудита.
6. Подготовка отчета по результатам аудита.
Подготовка отчета по результатам аудита является, важной частью процесса
аудита. Результатом данного этапа является подписанный, согласованный и
утвержденный отчет по результатам аудита.
Типичный отчет по результатам аудита СМИБ включает в себя следующую
информацию (которая может отражаться в виде приложений или в виде
отдельных документов) о цели, области применения, критериях аудита,
временных рамках и объема работ по аудиту СМИБ, краткие итоги по аудиту
(Резюме), степень соответствия СМИБ стандарту критериям аудита, гарантии со
стороны руководства о пригодности СМИБ, ее адекватность, результативность и
возможность улучшения и т.д.
7. Завершение аудита.
Аудит считается завершенным, если все процедуры, предусмотренные
планом аудита, выполнены и утвержденный отчет (акт) по аудиту разослан.
Если СМИБ по результатам аудита соответствует требованиям ISO 27001,
организации выдается сертификат соответствия. Документы, имеющие
отношение к аудиту, хранятся или могут быть уничтожены на основании
соглашения между участвующими сторонами в соответствии с процедурами
программы аудита, соглашением между сторонами и в соответствии с
действующим законодательством, нормативными требованиями и требованиями
контрактов.
Оценивание СМИБ проводится регулярно в ходе жизненного цикла, и
непосредственно связано с проведением измерений [10,12,23]. Согласно с
требованиями ГОСТ ИСО/МЭК 27001 измерения проводятся в циклической
44
взаимосвязи видов деятельности СМИБ (их «входов-выходов»), на базе цикла
«Планирование – Внедрение – Проверка – Действие» (PDCA-Plan-Do-Check-Act)
(рисунок 5).
В соответствии моделью деятельности СМИБ "Планирование-Внедрение-
Проверка-Действие" организации, для проверки эффективности реализованной
СМИБ, необходимо управлять программой измерений для достижения
установленных целей измерений в масштабах всей измерительной деятельности.
Программа измерений и разработанные конструктивные элементы измерений
должны обеспечивать эффективное налаживание организацией объективных и
повторяемых процессов измерения.
улучшений
в СМИБ

СМИБ
СМИБ

Рисунок 5. Виды деятельности СМИБ, связанные с измерениями («входы-

выходы»), в цикле «Планирование-Внедрение-Проверка-Действие».
Результаты измерений предоставляются соответствующим
заинтересованным сторонам для определения потребностей в
усовершенствовании реализованной СМИБ, включая область ее применения,
45
политики, цели, меры и средства контроля и управления, а также процессы и
процедуры. При формировании программы измерений учитываются масштабы и
сложность СМИБ, а также то, что сами измерения, впоследствии, могут быть
интегрированы в обычные процессы функционирования СМИБ или будут
выполняться через постоянные интервалы времени, определенные руководством
службы ИБ.
Во исполнение программы создается модель измерений, для которой
разрабатываются и вводятся конструктивные элементы измерений для получения
воспроизводимых, объективных и пригодных результатов измерений (рисунок 6).
Информационные потребности
Процессы управления Результаты

информационной безопасностью. Оценка эффективности
измерений
Цели применения мер и средств
контроля и управления.
Меры и средства контроля и
управления. Процессы и Критерии
процедуры реализации. принятия решений
Показатель
Аналитическая модель
Атрибут
Производные меры измерения
Атрибут
Функция измерения
Метод
измерения
Атрибут Основные меры измерения
Объект измерений Измерения
Рисунок 6. Модель измерений проводимых в структуре СМИБ.

Модель измерений представляет собой структуру, связывающую
информационную потребность с соответствующими объектами измерений и их
атрибутами. В число объектов могут входить планируемые и реализованные
процессы, процедуры, проекты и ресурсы СМИБ. [4,8,23]. Модель измерений
позволяет описать количественные оценки показателей атрибутов и каким
образом они преобразуются в показатели, служащие основой для принятия
решений. Сбор информации об атрибутах объекта измерений осуществляется
посредством выбора метода измерений.
Метод измерений - это логическая последовательность операций,
основывающихся на атрибутах объекта измерений, используемых для
46
количественной оценки атрибута по отношению к заданной шкале. Операция
может включать в себя такие действия, как подсчет событий, наблюдение за
ходом времени, проведение тестов. Метод измерений может использовать
объекты измерений и атрибуты из разнообразных источников, таких как
результаты анализа риска и оценки риска, данные тестирования, полученные, на
пример, в результате тестирования на проникновение, использования социальной
инженерии, инструментальных средств обеспечения соответствия, а также
инструментальных средств аудита безопасности. Полученные с помощью методов
измерения данные являются основной мерой измерения. Основные меры
измерения не зависимы друг от друга.
Производная мера измерения является комбинацией двух или более
основных мер измерений. Основная мера измерения может служить в качестве
входных данных функции измерения для получения нескольких производных мер
измерения. Функцией измерения является вычисление, используемое для
комбинирования основных мер измерения, с целью получения производной меры
измерения.
Показатель является мерой, дающей качественную или количественную
оценку определенных атрибутов, полученную на основе аналитической модели в
отношении определенной информационной потребности. Показатели получают
путем применения аналитической модели к основной и (или) производной мере
измерений и комбинирования их с использованием критериев принятия решений.
Результаты измерений формируются путем интерпретации применимых
показателей на основе определенных критериев принятия решений и должны
рассматриваться в контексте общих целей измерения эффективности СМИБ.
Критерии принятия решений используются для того, чтобы определить
необходимость действия или дальнейшего исследования и характеризовать
степень уверенности в результатах измерения. Критерии принятия решений могут
применяться для ряда показателей, например, для проведения анализа трендов на
основе показателей, полученных в разные моменты времени.
47
1.4 Обоснование и содержание проблемы обеспечения качества оценивания
систем менеджмента информационной безопасности
Необходимо отметить, что качество мониторинга и анализа состояния СМИБ
в ходе жизнедеятельности зависит от объема временного и материального ресурса
выделяемого для этих операций. В условиях накладываемых ограничений,
возникает проблема обеспечения качества оценивания показателей СМИБ, а
именно достоверности – (точности) определения показателей качества СМИБ.
Естественно ограничения по расходованию ресурсов приводит к неизбежному
снижению достоверности оценок СМИБ.
Существует целый ряд факторов, снижающих достоверность и усложняющих
процесс оценивания параметров системы в ходе анализа состояния СМИБ.
Важная группа этих факторов определяется особенностями самой СМИБ:
сложность и эргатичность, функциональная связь между элементами, случайный
характер изменения структуры системы, большое количество внешних и
внутренних воздействующих факторов и т. д. Поэтому исходя из этого, важным
направлением решения задачи соответствия свойств СМИБ предъявляемым
требованиям является привлечение результатов, полученных на всех процедурах
измерений СМИБ. Основной проблемой при этом является учет неоднородной
информации. В качестве основных источников неоднородности следует выделить,
с одной стороны это доработки политик безопасности, производимые по
результатам каждого аудита, а с другой стороны – неоднородные условия
проведения измерений атрибутов СМИБ.
Рост сложности СМИБ обуславливает существенное возрастание количества
связей системы как внутри, так и с внешним окружением, что приводит к
необходимости анализа большего числа воздействующих факторов при
проведении измерений, дальнейшему снижению степени неоднородности
получаемой информации. Например, при включении в состав информационной
системы организации системы оптического распознавания и ввода данных
(системы считывания штрих кода, QR кода и т.д.) необходимо включать в состав
СМИБ меры контроля и управления для обеспечения требований по защите
48
информации связанных с подобным типом данных. На информационную систему
начинают влиять такие факторы, как освещенность в местах размещения
оптического оборудования, характер цветовой палитры поверхности в рабочей
зоне оптических сенсоров, качество исходной и эталонной информации
поступающей к сенсорам и т.д.
В силу ограничений на продолжительность и стоимость измерений получение
полной информации о свойствах СМИБ во всех потенциально возможных
условиях воздействия нарушителей ИБ (злоумышленник, пользователь,
обслуживающий персонал, сбой оборудования, воздействия внешней среды и т.д.)
представляет собой неразрешимую задачу. Следовательно, даже к завершению
анализа состояния СМИБ в оценках показателей СМИБ будет присутствовать
значительная неопределенность. Учет этой неопределенности представляет собой
проблему, для решения которой необходимо творческое применение самого
современного математического аппарата.
Качественное повышение технического уровня ИС по сравнению с уже
существующими ИС, предъявляет принципиально новые требования к составу и
техническим возможностям аудиторского оснащения. В частности, повышение
сложности системного ПО требует адекватного повышения возможностей по
контролю за реестром ПО организации, включая все типы используемых ОС на
серверах, рабочих станциях, ноутбуках. [15] Возрастание пропускной
способности коммуникационных сетей, требует увеличения объема памяти и
повышения быстродействия регистрирующей и обрабатывающей аппаратуры
СМИБ. Разрешение данной проблемы видится в автоматизации анализа и сбора
данных измерений, с применением научно-методического аппарата
математическую основу которого должны составить современные методы
статистической обработки и оценивания результатов измерений СМИБ.
Интегрирование средств сбора, обработки, передачи информации,
обеспечения работоспособности и обслуживания ИС предполагает
согласованность параметров элементов на системном уровне. При этом следует
учесть тот факт, что элементы ИС могут разрабатываться и приниматься, как
49
правило, самостоятельно по различным техническим заданиям (ТЗ) и программам
испытаний [38-41]. Следовательно, возникает актуальная задача разработки
комплексного подхода к оцениванию СМИБ. Разработка положений
комплексного подхода для оценивания свойств СМИБ с применением
современного математического аппарата, является основным направлением
данной работы.
Проблема оценивания показателей СМИБ неразрывно связана с
недостаточным использованием математических моделей в практике анализа
результативности СМИБ, что могло бы дать по некоторым оценкам повышение
точности определения показателей качества на десятки процентов или
значительно сократить объем затрат материальных и временных ресурсов на
проведение измерений.
Некоторыми обстоятельствами, затрудняющими использование
математических моделей, как средства объединения и источника информации, в
процессе оценивания характеристик СМИБ являются:
- определенные сложности формализации исходных данных и построения
математических моделей;
- отсутствие обоснованных методов объединения различной информации, в
том числе модельной и экспериментальной (практика показывает, что
результаты, полученные по результатам измерений, приводятся совместно с
результатами теоретических исследований математических моделей как две
независимые оценки характеристик);
- недостаточно разработаны и используются в практике измерений методы
планирования экспериментов, обеспечивающих построение аналитических
математических регрессионных моделей.
При оценивании СМИБ существует ряд противоречий между следующими
обстоятельствами и категориями:
1. Сложностью СМИБ, многообразием связей между элементами ИС, средой
функционирования и ограниченной номенклатурой контролируемых параметров.
50
2. Высокой стоимостью, ответственностью принимаемых решений и
значительной неопределенностью статистического, вероятностного и
качественного характера.
3. Результатами моделирования СМИБ, ее элементов и результатами оценки
свойств СМИБ по данным измерений.
4. Прогнозируемыми условиями эксплуатации СМИБ и реальными
условиями.
5. Объективным характером данных полученных в ходе измерений и
субъективным характером принятия решений о соответствии требованиям ИБ;
6. Многообразием предлагаемых подходов к решению задач оценивания
характеристик единичных СМИБ и отсутствием единого комплексного теоретико-
экспериментального подхода.
Таким образом, процесс определения показателей качества СМИБ требует
решения ряда теоретических и прикладных задач, с применением серьёзного
научного обоснования. Анализ показывает, что в современной научной
литературе при всем многообразии подходов и методов решения задач, связанных
с оцениванием свойств сложных технических систем, отсутствуют как научно
обоснованные рекомендации по применению тех или иных методов к конкретным
задачам оценки СМИБ, так и комплекс методов позволяющих повысить качество
оценивания СМИБ и обоснованность принимаемых решений по результатам
измерений.
На основе обобщения и системного анализа изложенных противоречий можно
сделать вывод о том, что фундаментальным противоречием, подлежащим
разрешению в рамках настоящей работы, является противоречие между
достигнутым уровнем оценивания свойств СМИБ и требованиями,
предъявленными к процессу оценивания СМИБ на этапах внедрения и проверки,
в цикле жизнедеятельности СМИБ. На рисунке 7 представлена структура
планируемых исследований по разработке научно-методического аппарата
обеспечения качества оценивания характеристик СМИБ.
51
СИСТЕМНЫЙ АНАЛИЗ
Состояния и перспектив Современных

развития и особенностей практик
функционирования СМИБ оценивания СМИБ
Сложность и Ограниченная Структуры

Особенности многообразие номенклатура показателей
функционирования связей между контролируемых качества и
СМИБ элементами и П параметров методик их
средой Р определения
Высокая Неопределенность
стоимость, О статистического,
ответственность Т вероятностного и
принимаемых качественного
решений И характера
Результаты В Результаты
моделирования О оценки свойств по
свойств системы Р результатам
и ее элементов измерений
Е Методов
Мер контроля и Прогнозируемые Ч Условия определения
управления ИБ условия проведения номенклатуры
применяемых в эксплуатации и И
СМИБ применения измерений контролируемых
Я параметров
РАЗРЕШЕНИЕ ПРОТИВОРЕЧИЙ
НАУЧНАЯ ЗАДАЧА
пути решения
Разработка нового интегрального показателя эффективности СМИБ
Разработка научно-методологического аппарата расчета интегрального показателя

эффективности СМИБ
Обоснование распределения ресурса назначенного для проведения измерений СМИБ
Технико-экономическая оценка
Рисунок 7. Структура исследований по обеспечению качества оценивания

характеристик СМИБ.
Решение рассмотренных противоречий представляет из себя научную задачу,
связанную с формированием теоретических основ обеспечения качества
оценивания характеристик СМИБ в рамках комплексного теоретико-
экспериментального подхода и заключающуюся в разработке:
- нового интегрального показателя эффективности СМИБ, способствующего
повышению качества оценки СМИБ;
52
- методологического аппарата расчета интегрального показателя
теории планирования эксперимента, факторного планирования.
- методического аппарата рационального распределения ресурсов для
повышения качества оценивания СМИБ;
Выводы.
1. Анализ тенденций развития ИС позволяет констатировать приоритет
создания единых корпоративных автоматизированных ИС с привлечением в
общее информационное пространство ИС контрагентов, потребителей,
государственных ИС различных министерств и ведомств. Наращивание
функциональных возможностей ИС будет осуществляться с учетом
складывающейся потребности рынка информационных услуг, возможностей
перспективных ИС. В связи с этим растет потребность в совершенствовании и
развитии СМИБ этих ИС, в удовлетворение требований ИБ для безопасного
функционирования ИС.
2. СМИБ имеет ряд существенных особенностей, в значительной степени
усложняющих планирование, организацию и проведение измерений, а также
снижающих достоверность получаемой информации и обоснованность
принимаемых решений о соответствии требованиям ИБ. В частности, высокая
стоимость и сложность элементов СМИБ, разнообразие факторов влияющих на
состояние ИБ, сложность и разнообразие связей внутри системы и с внешней
средой, значительно усложняют процесс получения информации о параметрах
СМИБ в ходе измерений. С другой стороны, стремление к экономии
материальных средств и сокращению затрат на содержание СМИБ приводит к
снижению объема измерений и сроков их проведения.
3. Проведенный анализ цикла жизнедеятельности СМИБ "Планирование –
Внедрение – Проверка – Действие" (PDCA – Plan – Do – Check – Act )
свидетельствует о важном месте измерений среди основных его составляющих,
которые сопутствуют практически всем этапам жизненного цикла. Оценивание
СМИБ играет особую роль, так как на основании полученных оценок
53
принимается решение о завершении процессов внедрения мер контроля и
управления ИБ при создании (совершенствовании) СМИБ. Оптимизация,
структуры и параметров измерений СМИБ, рациональное распределение
временных, материальных и людских ресурсов повысит достоверность оценок
определяемых характеристик и выводов о соответствии СМИБ требованиям ИБ.
4. Фундаментальным противоречием, обуславливающим наличие задачи
совершенствования СМИБ путем повышения качества оценивания СМИБ и
требующим разрешения, является противоречие между достигнутым уровнем
оценивания свойств СМИБ и требованиями к качеству оценивания СМИБ.
5. Решение задачи совершенствования СМИБ и выводов о соответствии
СМИБ заданным требованиям ИБ может быть достигнуто путем комплексного
подхода связанного с разработкой и совместным применением научно-
методического аппарата:
 разработка нового интегрального показателя эффективности СМИБ.
 разработка методологического аппарата расчета интегрального показателя
теории планирования эксперимента и факторного планирования.
 рассмотрение с единых системных позиций процесса распределения ресурсов
назначенных для анализа СМИБ, анализ принципов распределения ресурсов
по этапам измерений, разработка методики оптимизации распределения
ресурса по этапам измерений.
54
Глава 2. Разработка модели оценки системы менеджмента информационной
Выполнение мероприятий по оценке эффективности системы менеджмента
информационной безопасности (СМИБ), связано с проведением большого объема
работ для получения показателей качества СМИБ. Сбор информации о состоянии
информационной безопасности (ИБ) организации в циклической взаимосвязи
видов деятельности СМИБ осуществляться посредством проведения измерений. В
ходе измерения атрибутов объектов измерений изучается документация,
проводится интервьюирование сотрудников и технические тесты [12,13,17,23].
Работа с документацией и интервьюирование являются, несомненно, важной
частью проверок, однако обладают некоторыми недостатками – ручной сбор
информации, низкая степень автоматизации, субъективность оценок, зависимость
от уровня компетентности эксперта [20, 23]. Технические тесты позволяют
получить количественные оценки показателей качества СМИБ. Проводя
тестирование, исследователь, выступает в роли легального злоумышленника,
внося искусственные нарушения в функционирование СМИБ. Технические
методы тестирования могут проводиться с помощью широко известных
автоматизированных средств (Программный инструментарий оценки состояния
ИБ - CSET (Cyber Security Evaluation Tool – инструмент оценки
кибербезопасности), сетевой сканер XSpider, т.п.). В итоге, на основании
полученных показателей качества, руководством производится анализ
эффективности деятельности СМИБ и определение направления дальнейшего
развития системы. В процессе анализа эффективности СМИБ, в соответствии с
требованиями руководящих документов [4,38-40], необходимо оценивать
полученные показатели качества мер и средств контроля и управления. В
действующей практике, показатели оцениваются по отдельности, комплексная
оценка не проводится. Методики расчета показателей качества СМИБ не
учитывают наличие неопределенности стохастического характера измеряемых
атрибутов. Например, при оценке рисков во время планирования эксплуатации
55
СМИБ, недостатки процессов функционирования действующей СМИБ, условия
применения мер и средств контроля и управления ИБ, ошибки измерений.
В конечном итоге оценка эффективности СМИБ сводится к принятию
бинарного решения «удовлетворяет - не удовлетворяет» [23, 38-40]. Таким
образом, возникает важная и актуальная задача совершенствования методологии
оценки эффективности СМИБ, решение которой возможно путем разработки
интегрального показателя эффективности СМИБ, который бы позволил учесть
вышеуказанные недостатки и в то же время имел ясную физическую трактовку
для руководства организации и службы ИБ.
2.1 Обоснование интегрального показателя эффективности системы

менеджмента информационной безопасности
Для оценивания эффективности СМИБ необходимо проводить измерение
показателей качества СМИБ [12,23,30,31]. Цель проводимых измерений
заключается в получении оценки эффективности реализованных мер и средств
контроля и управления и получения оценки эффективности реализованной
СМИБ. Измерения проводятся повсеместно в циклической взаимосвязи видов
деятельности СМИБ (их "входов-выходов"), на базе цикла "Планирование-
Внедрение-Проверка-Действие" (PDCA-Plan-Do-Check-Act).(рисунок 8)
В соответствии с циклом деятельности СМИБ PDCA "Планирование-
Внедрение-Проверка-Действие" для проверки эффективности реализованной
СМИБ, необходимо управлять программой измерений для достижения
установленных целей измерений всех этапах деятельности [13,23, 27]. Особенно
это важно для этапа «Внедрение». Измерения на этапе «Внедрение» оказывают
существенное влияние на показатели качества СМИБ. Далее на этапе «Проверка»
полученные показатели качества сравниваются с пороговыми критериями, и по
результатам проверки, принимается решение о соответствии, или не соответствии
меры и средства контроля и управления СМИБ требованиям.
Программа измерений и разработанные конструктивные элементы измерений
должны обеспечивать эффективное налаживание организацией объективных и
56
повторяемых процессов измерения. Результаты измерений предоставляются
соответствующим заинтересованным сторонам для определения потребностей в
процедуры. При формировании программы измерений учитываются масштабы и
сложность СМИБ, а также то, что сами измерения, в последствии, могут быть
интегрированы в обычные процессы функционирования СМИБ или будут
выполняться через постоянные интервалы времени, определенные руководством
СМИБ.
улучшений
в СМИБ

СМИБ
СМИБ

Рисунок 8. Виды деятельности СМИБ, связанные с измерениями ("входы-

выходы"), в цикле «Планирование-Внедрение-Проверка-Действие».
Во исполнение программы создается модель измерений, для которой

разрабатываются и вводятся конструктивные элементы измерений для получения
57
воспроизводимых, объективных и пригодных результатов измерений
(свидетельств аудита) (рисунок 9).
Процессы управления Результаты

информационной безопасностью. Оценка эффективности
измерений
Цели применения мер и средств
контроля и управления.
управления. Процессы и Критерии
Атрибут
Атрибут
Метод
измерения
Рисунок 9 Модель измерений проводимых в структуре СМИБ
Модель измерений представляет собой структуру, связывающую

информационную потребность с соответствующими объектами измерений и их
атрибутами. В число объектов могут входить планируемые и реализованные
процессы, процедуры, проекты и ресурсы СМИБ. [23,31]. Модель измерений
позволяет описать количественные оценки показателей атрибутов и каким
образом они преобразуются в показатели, служащие основой для принятия
решений. Для понимания работы механизма измерений атрибутов рассмотрим
следующий пример. Допустим в СМИБ организовано применение двух мер, меры
контроля и управления 1 (защита от вредоносных программ, по п. А.10.4.1
приложения А ГОСТ ИСО/МЭК 27001 – О.1) и меры контроля и управления 2
(качество паролей организации, по п. А.11.3.1 приложения А ГОСТ ИСО/МЭК
27001– О.2.1 и О.2.2).
На рисунке 10 представлен процесс получения основной меры измерения
(В.1 и В.2.1, В.2.2) как результата применения метода измерений (М.1 и М.2.1,
М.2.2) к выбранным атрибутам объекта измерений (атрибут А.1 и атрибуты А.2.1
и А.2.2). Эти атрибуты присваиваются основной мере измерения (В.1 и В.2.1,
58
В.2.2). На рисунке видно, что один и тот же атрибут может использоваться для
нескольких различных основных мер измерений (М.1 и М.2.1, М.2.2 ). Метод
измерений - это логическая последовательность операций, основывающихся на
атрибутах объекта измерений, используемых для количественной оценки
атрибута по отношению к заданной шкале. Операция может включать в себя
такие действия, как подсчет событий, наблюдение за ходом времени, проведение
тестов. В этом примере, основной метод измерений (М) это подсчет и проведение
тестов. Дополнительно, объектами измерений наряду с прочими могут служить
результативность мер и средств контроля и управления в СМИБ,
результативность процессов, реализованных в СМИБ и т.д.
Объект Атрибут (А) Метод Основная мера
измерения (О) измерения(М) измерения(В)
М.1. 1 Подсчитать
Мера контроля и число инцидентов В.1.
управления 1 безопасности, 1 Число инцидентов
вызванных безопасности,
вредоносным вызванных
О.1. Защита от А.1. Инциденты, программным вредоносным
вредоносных вызванные средством, в отчетах программным
программ. вредоносным об инцидентах. средством.
(п. А.10.4.1 программным 2 Подсчитать число 2 Число записей о
приложения А [ИСО/ средством. записей о блокированных атаках
МЭК 27001:2005]). блокированных атаках
М.2.1. 1 Посчитать
Мера контроля и число паролей в базе
В.2.1.
управления 2 данных паролей 1 Число
пользователей. зарегистрированных
О.2.1. Качество 2 Опросить каждого паролей.
паролей, пользователя о том, 2 Число паролей
генерируемых какие правила соответствующих
А.2.1. Личные пароли
вручную. создания паролей политике паролей
(п. А.11.3.1 персонала.
соответствует организации для
приложения А [ИСО/ каждого пользователя
МЭК 27001:2005]). политике паролей
О.2.2. Качество М.2.2. 1.Запросить

паролей данные об учетных
генерируемых А.2.2. Личные пароли,
хранящиеся в записях сотрудников. В.2.1.
автоматически. системных учетных 2. Запустить тест 1 Общее число
(п. А.11.3.1 записях сотрудников. проверки качества паролей.
приложения А [ИСО/ паролей к системным 2 Число качественных
МЭК 27001:2005]). учетным записям паролей прошедших
сотрудников, тест.
использующего
гибридную атаку
Рисунок 10. Взаимосвязи между объектами, атрибутами, методами и

основной мерой измерений.
Метод измерений может использовать объекты измерений и атрибуты из

разнообразных источников, таких как результаты анализа риска и оценки риска,
данные тестирования, полученные, на пример, в результате тестирования на
проникновение, использования социальной инженерии, инструментальных
59
средств обеспечения соответствия, а также инструментальных средств аудита
Далее, на основе полученных основных мер измерений (В.1 и В.2.1, В.2.2)
может быть получена производная мера измерения (D.1 и D.2), которые иногда
являются комбинацией двух или более основных мер измерений (рисунок 11).
Основная мера Функция Производная мера

измерения(В) измерения(F) измерения(D)
F.1.
В.1. Число инцидентов
1 Число инцидентов безопасности,
безопасности, вызванных D.1.
вызванных вредоносным ПО Стойкость защиты к
вредоносным ПО. разделить на число вредоносному ПО
2 Число записей о обнаруженных и (В.1.)
блокированных атаках блокированных атак,
вредоносного ПО(А.1) вызванных вредоно-
сным ПО (В.1.)
В.2.1. 1 Число
F.2.
зарегистрированных
Суммировать число D.2.
паролей.
паролей каждого Общее число паролей
2 Число паролей
пользователя соответствующее
соответствующих
соответствующих политике паролей
политике паролей
политике паролей организации(В.2.1.,
организации для
организации (В.2.1., В.2.2.)
каждого
пользователя(А.2.1.) В.2.2)
В.2.2.
1 Общее число
паролей.
2 Число качественных К аналитической модели
паролей прошедших
тест.(А.2.2.)
Рисунок 11. Получение производной меры измерений от основной меры

через функцию измерений.
В другом случае основная мера измерения может служить в качестве

входных данных для нескольких производных мер измерения. Шкала и единица
измерения производной меры измерения зависят от шкал и единиц измерения,
основных мер измерения, на основе которых она получена, а также от того, как
они комбинировались функцией измерения. Функция измерения (F) используя
вычисление (F.2), комбинирует основные меры измерения (В.2.1, В.2.2), с целью
получения производной меры измерения (D.2). Вычисление функции измерения
F.1 формирует производную D.1 из основной меры В.1 непосредственно, а
60
основная мера В.2.2 передается к аналитической модели без преобразования в
производную меру. Функция измерения может использовать разнообразные
методы, такие как вычисление среднего значения основных мер измерений,
применение весовых коэффициентов к основным мерам измерений или
присвоение основным мерам измерений качественных значений. Функция
измерения может объединять основные меры измерений, используя разные
значения шкалы, например, процентные соотношения и результаты качественных
оценок.
В итоге, проведение измерений позволяет получить показатель качества,
который является мерой, дающей качественную или количественную оценку
определенных атрибутов, полученную на основе применяемой аналитической
модели в отношении определенной информационной потребности (рисунок 12).
Производная мера Аналитическая Показатель(I)
измерения(D) модель(AM)
I.1. Тренд числа
обнаруженных атак,
D.1. AM.1.
которые не блоки-
Стойкость защиты к Сравнить показатель
рованных в течение
вредоносному ПО I.1 с предыдущим
многих отчетных
(В.1.) показателем I.1.
периодов (I.1. и
предыдущие I.1.)
AM.2.1. Разделить I.2.1. Состояние в

D.2. общее число паролей, процентном
Общее число паролей соответствующих выражении
соответствующее политике качества (D.2 / B.2.1 X 100)
политике паролей паролей организации
организации(В.2.1., (D.2.), на число
В.2.2.) зарегистрированных
паролей(B.2.1.)
AM.2.2.
Сравнить показатель I.2.2. Тренд (I.2.1. и
I.2 с предыдущим предыдущие I.2.1)
показателем I.2.
AM.3.1 Разделить I.3.1. Состояние в

число качественных
процентном
от п.В.2.2. паролей прошедших
выражении
тест(А.2.2.), на общее
(A.2.2 / B.2.2 X 100)
число паролей(B.2.2.)
AM.3.2.
Сравнить показатель
I.3 с предыдущим I.3.2. Тренд (I.3.1 и
показателем I.3. предыдущие I.3.1)
Рисунок 12. Использование аналитической модели для получения

показателей качества.
Показатель (I) получают путем применения аналитической модели (AM) к
основной (B) и (или) производной (D) мере измерений и комбинирования их с
использованием критериев принятия решений.
61
Шкала и метод измерения существенно влияют на выбор аналитических
методов, используемых для получения показателей. На рисунке 12 показан
пример получения показателя I.1 «Тренд числа обнаруженных атак, не
блокированных в течение многих отчетных периодов», с помощью аналитической
модели АМ.1, из производной меры D.1. Аналогично получены остальные
показатели I.2.1, I.2.2, I.3.1 и I.3.2. В итоге по результатам измерений мер
управления и контроля 1 и 2 получены пять показателей качества.
Результаты измерений СМИБ формируются путем интерпретации
применимых показателей (I) на основе определенных критериев принятия
решений (DC) и рассматриваются в контексте общих целей измерения
эффективности СМИБ. На основании DC определяется необходимость
завершения измерений либо продолжения дальнейшего исследования для
повышения достоверности результатов измерения. Критерии принятия решений
применяются, например, для проведения анализа трендов на основе показателей,
полученных в разные моменты времени, для пороговой обработки полученных
результатов. Целевые значения критериев задают детализированные требования
результативности, применимые к организации или ее частям, выведенные из
целей информационной безопасности. К ним относятся цели СМИБ, меры,
средства контроля и управления, установленные и выполняемые для достижения
этих целей. В случае рассмотренного примера для показателя I.1 существует
критерий принятия решения DC.1 и его интерпретация, а для показателей I.2.1 и
I.2.2, I.3.1 и I.3.2 используется общий критерий D.2, на основании которого
формируются интерпретации для этих показателей (рисунок 13).
62
Показатель(I) Критерии принятия Результаты измерений
решений (DC)
DC.1 Интерпретация для I.1:

Линии, определяющие тренд, Тренд повышения показывает
I.1. Тренд числа ухудшение соответствия, тренд
должны находиться в
обнаруженных атак, понижения тренд показывает улучшение
соответствии с заданным
которые не блоки- соответствия.
определенным числом.
рованных в течение При сильном возрастании тренда
Результирующий тренд
многих отчетных потребуются исследование причины и
должен быть нисходящим или
периодов (I.1. и возможность для внедрения
постоянным, в противном
предыдущие I.1.) дополнительной контрмеры
случае требуется
вмешательство руководства.
Интерпретация для I.2.1 (I.3.1):
критерии организации на соответствие
I.2.1. Состояние в политике паролей организации
DC.2 Результирующий реализованы:
процентном показатель (А.2.2/В.2.2Х100,
выражении -удовлетворительно при показателе
D.2/В.2.1.Х100) должен I.2.1(I.3.1) ≥ 0,9;
(D.2 / B.2.1 X 100) превышать 0,9. для принятия -неудовлетворительно при [0,8
решения о достижении цели < I.2.1(I.3.1) < 0,9];
применения мер и средств -не реализованы при показателе
I.2.2. Тренд (I.2.1. и контроля и управления. Если I.2.1(I.3.1) < 0,8.
предыдущие I.2.1) значение результирующего
показателя находится в
диапазоне между 0,8 и 0,9, то Интерпретация для I.2.2(I.3.2):
цель применения мер и - тренд повышения указывает на
I.3.1. Состояние в улучшение соответствия; тренд
процентном средств контроля и
управления не достигнута, понижения показывает ухудшение
выражении соответствия;
однако позитивный тренд
(A.2.2 / B.2.2 X 100)
указывает на улучшение. - порядок изменения тренда может
Если значение показателя способствовать пониманию
менее 0,8 – необходимо эффективности реализованных мер и
I.3.2. Тренд (I.3.1 и срочно принять меры. средств контроля и управления;
предыдущие I.3.1)
Рисунок 13. Интерпретация показателей (I) качества СМИБ на основании

критериев принятия решений (DC).
Регулярные измерения показателей качества СМИБ, дают временной срез
состояния системы, который будет оцениваться относительно предыдущих
результатов измерений. Однако, эта информация жестко привязана к времени
измерения и по совокупности полученных показателей невозможно определить
насколько изменилась эффективность СМИБ между периодами проверок.
Проблема существующих механизмов получения показателей заключается в том,
что при измерении атрибутов объектов измерения все атрибуты, кроме одного,
остаются неизменными, их как бы «замораживают», измеряя, последовательно в
рассматриваемых пределах лишь один атрибут, не учитываются наличие
неопределенности стохастического характера. Например, при оценке рисков во
время планирования СМИБ, при использовании мер и средств контроля и
управления ИБ, недостатки процессов функционирования действующей СМИБ,
ошибки измерений.
В конечном итоге оценка показателя качества СМИБ сводится к принятию
бинарного решения «удовлетворяет - не удовлетворяет». Таким образом,
63
возникает важная и актуальная задача по разработке интегрального критерия
эффективности СМИБ, который бы позволил учесть вышеуказанные недостатки и
в то же время имел ясную физическую трактовку для руководства организации и
персонала службы ИБ. Решение этой задачи видится в разработке такого
показателя эффективности СМИБ, который будет связан с организацией
объективных и повторяемых процессов измерения. Данный показатель будет
объективно отражать состояние СМИБ, и на основании него, соответствующие
заинтересованные стороны, смогут определить потребности в
процедуры. В роли такого показателя эффективности СМИБ необходимо принять
время реакции системы на события ИБ. В ГОСТ ИСО/МЭК 27000 дается
следующее определение «2.20 Событие в системе информационной
безопасности (information security event): выявленный случай системы, услуги
или состояния сети, указывающий на возможное нарушение информационной
безопасности (2.19), политики (2.28), нарушение или отказ средств управления
(2.10) или прежде неизвестная ситуация, которая может иметь значение для
безопасности.» [ 3,4]
Анализ методов оценки эффективности мер и средств управления и контроля
СМИБ [15,23] показал, что около 80% от общего перечня мер и средств
управления и контроля оценивается по временным показателям. Например, по
времени обнаружения события в системе ИБ, времени внесения информации о
событии ИБ в базу данных, время блокирования несанкционированного действия
нарушения ИБ, время оповещения персонала службы ИБ организации о событии
ИБ. В зависимости от того какой компонент системы реагирует на событие ИБ
(СОВ - защита периметра сети от вторжений, изменение политик безопасности,
управление системой физического и логического доступа и множество других
компонентов) не только меняется время реакции, но и оценка скорости реакции.
Для некоторых ситуаций хорошим результатом является практически мгновенная
64
реакция, изменение политик безопасности может потребовать несколько недель
или даже месяцев.
Время реакции СМИБ на события ИБ может выступать интегральным
показателем эффективности СМИБ.
где k – количество атрибутов подлежащих измерению,

– время реакции СМИБ на событие ИБ,
– время обнаружения события ИБ,
– время блокирования несанкционированных действий при
нарушении ИБ,
– время регистрации события ИБ,
– время оповещения персонала службы ИБ о выявленном
событии системы ИБ.
Для расчета показателя необходимо разделение мер и средств управления и
контроля для выполнения проверок на группы по времени реагирования на
событие ИБ. Например, можно установить такой вид группирования:
- немедленный контроль (время реакции – несколько минут ( ≤ 10мин.));
- суточный контроль (время реакции – в течение суток ( ≤ 24часа));
- контроль изменения политик ИБ (время реакции – в течение нескольких
суток ( ≤ 10сут.)).
Динамика изменения интегрального показателя от проверки к проверке
позволит судить о состоянии системы в целом, о результативности принимаемых
мер и средств управления и контроля. В формировании данного показателя будет
учитываться уникальность СМИБ организации. Дополнительно, методика
получения показателя , может быть встроена в обычные процессы
функционирования СМИБ и может выполняться через постоянные интервалы
времени, определяемые руководством СМИБ.
65
Изменения, вносимые методикой получения интегрального показателя в
модель измерений СМИБ, связывающую информационную потребность с
соответствующими объектами измерений и их атрибутами, позволит получать
воспроизводимые, объективные и пригодные результаты измерений (рисунок 14).
Оценка
Процессы управления
эффектив- Показатель
информационной
ности эффективности Результаты
безопасностью.
Цели применения мер и СМИБ измерений
средств контроля и управления.
управления. Процессы и
Критерии
Уточненная
Атрибут
Атрибут
Метод
измерения
Рисунок 14. Изменение модели измерений СМИБ связанные с получением

обобщающего показателя эффективности СМИБ.
Методика получения показателя эффективности СМИБ позволит исследовать

взаимное влияние показателей качества объектов измерений.[47, 48] В
руководящих документах [15,23] определен перечень взаимосвязанных
конструктивных элементов измерений. Однако, существующий перечень
представляет только базовые взаимодействия, и не учитывает особенности СМИБ
организации. В рамках работы по совершенствованию оценки эффективности
СМИБ и получения достоверных результатов измерения показателей качества
СМИБ предлагается использование стохастических аналитических моделей, в
частности статистических. Данные модели предпочтительны потому, что
учитывают вероятностную составляющую атрибутов (факторов) которые
подлежат измерению, а также случайное воздействие может подаваться на вход
модели измерений, как в процессе проведения измерений, так и за счет датчиков
66
случайных чисел применяемых в самой модели. Еще одним достоинством
применения статистической модели является то, что в ней самой уже заложен
алгоритм статистической обработки результатов измерений. Наиболее выгодным,
с точки зрения достижения результативности измерений, является широкое
использование, в качестве аналитических моделей для показателя эффективности
СМИБ, модели регрессионного анализа. Преимущество данной модели
относительно других статистических моделей (дисперсионного, корреляционного,
параметрического анализа и др.) в том, что помимо получения вывода о
причинно-следственном механизме исследуемых зависимостей, получают
конкретные сведения о форме и виде зависимости. Помимо этого аппарат
регрессионного анализа широко представлен во всех современных программных
средствах математической автоматизации (таких как семейство Mathcad, Scilab,
GNU Octave, Mathematica, MATLAB и др.), и в автоматизированных средствах
обработки статистических данных (STATISTICA, SYSTAT, JMP и т.д).
2.2 Выбор аппроксимирующего полинома для модели показателя

эффективности системы менеджмента информационной безопасности
Для исследуемых мер и средств управления и контроля СМИБ, в ходе оценки
эффективности СМИБ, зависимость функции отклика (аналитической модели),
описывающей показатель эффективности СМИБ, от независимых атрибутов,
сложна и поэтому трудно поддается простому аналитическому описанию
[16,35,52]. Целесообразно произвести аппроксимацию зависимой переменной в
виде алгебраического полинома. Допустим, что необходимо изучить влияние k
количественных атрибутов на некоторый отклик η в определенной
для измерений локальной области пространства атрибутов (факторов). Функцию
отклика можно с достаточной точностью представить в виде
полинома степени m≥2 от k переменных [16,28] , в виде следующего полинома:
∑ ∑∑ ∑ ∑
67
Коэффициенты b0, bi и bij описывающего полинома характеризуют степень
влияния рассматриваемых атрибутов измерений на функцию отклика.
При выборе вида полинома, или вернее даже типа регрессионной модели,
необходимо руководствоваться характером исследуемого физического процесса
связанного с мерой и средством контроля и управления ИБ. На практике, в
большей степени применяются линейные модели, либо в необходимых случаях
могут прибегнуть к допустимым преобразованиям. Например, полиномиальные
модели второго порядка могут быть преобразованы к линейному виду, если xi=zi;
xixj=zij. В результате получим модель множественной линейной регрессии:
∑ ∑∑
Функция отклика показателя качества СМИБ может иметь и более сложную

зависимость от измеряемых атрибутов. Некоторые из функций, путем
преобразования, удается привести к линейному виду. К последним относятся,
например, мультипликативная регрессионная, экспоненциальная, «обратная» и
некоторые другие модели,
Например, мультипликативную регрессионную модель вида
можно преобразовать в линейную модель с помощью операций

логарифмирования и введения новых обозначений. Положив In у = z; In xi = zi; ln
b0 = z0 и прологарифмировав, получим
Аналогично экспоненциальная модель
( ∑ )
преобразуется к линейному виду, если прологарифмировать обе части

уравнения и ввести обозначение In у =z:
68
∑
Например, аппроксимация полиномом второго порядка функциональной

зависимости показателя эффективности от одного независимого атрибута
(переменной) (однофакторная модель) может быть представлена в виде
следующего уравнения регрессии:
Аппроксимирующий полином второго порядка с учетом зависимости от двух

атрибутов может быть представлена в виде:
Более сложные СМИБ требуют применения, полиномов с большим числом

учитываемых атрибутов и большим порядком. Сформулировать однозначные
рекомендации о выборе необходимой степени аппроксимирующего полинома
трудно, поэтому одна и та же СМИБ вполне может, быть описана различными
аппроксимирующими полиномами. При выборе вида полинома, или вернее даже
типа регрессионной модели, необходимо руководствоваться характером
исследуемого физического процесса связанного с мерой и средством контроля и
управления ИБ. Необходимо подчеркнуть, что выбор общего вида функции
регрессии (параметризация модели) является ключевым, и от того насколько
удачен будет выбор, это окажет существенное влияние на точность
восстановления неизвестной функции отклика в дальнейшем. В настоящее
время не существует системы стандартных методов и рекомендаций,
образовывающих строгую теоретическую базу для эффективного выбора
аппроксимирующего полинома. Выбор общего вида уравнения регрессии [16,19]
должен быть связан с тремя основными моментами:
1) максимальное использование априорной информации о содержательной
(физической, экономической и т.п.) сущности анализируемой зависимости;
2) предварительный анализ геометрической сущности анализируемой
зависимости;
69
3) использование различных статистических приемов обработки исходных
данных, предоставляющих выбор из нескольких сравниваемых вариантов.
На практике, в большей степени для аппроксимации неизвестной функции
регрессии применяются линейные уравнения регрессии для построения
аналитической модели. Зачастую, использование линейной или полиномиальной
регрессии, не позволяет получить желаемую точность приближения. В этом
случае приходится использовать другие виды зависимостей: гиперболической,
степенной, показательной и др. В ряде ситуаций применение этих зависимостей
более удобно, т.к. путем преобразования, удается привести их к линейному виду.
[16,19].
При классическом (традиционном) методе измерений все атрибуты, кроме
одного, остаются неизменными, их как бы «замораживают», измеряя,
последовательно в рассматриваемых пределах лишь один атрибут. Подобный
метод обладает рядом недостатков и наиболее существенным его недостаток в
том, что при этом методе не удается в полной мере выявить влияние
взаимодействия атрибутов [29,42].
Проводя измерения в условиях, соответствующих некоторому значению
вектора х, можно получить результаты измерений, в общем случае
представляющие собой случайные величины, поэтому обычно говорят о
функциональной зависимости среднего значения искомой характеристики от
контролируемых атрибутов. Эта зависимость в общем виде может быть
представлена так:
Е (y/x) = η (х; B),
где Е (y/x) – среднее значение искомой величины у;
х – вектор-столбец, координаты которого управляемые
переменные, принадлежащие данному пространству
атрибутов;
η (х; B) – функция отклика, зависящая от неизвестных параметров
(i = 1, 2,.., т).
70
Чтобы определить параметры bi, необходимо выбрать в данном пространстве
атрибутов некоторую совокупность точек, пригодных для выполнения измерений
в процессе проверки. Если при выборе точек осуществлять одновременное
варьирование несколькими переменными (х1 х2, ..., хk), то результаты проверок
будут получены с учетом эффекта взаимодействия атрибутов.
Таким образом, задача, связанная с получением наилучшего представления о
влиянии выбранных переменных на функцию отклика показателя эффективности
СМИБ, сводится к выбору оптимального в некотором смысле расположения точек
в пространстве атрибутов. Очевидно, что при различном подходе к выбору
расположения точек значения оценок bi, могут отличаться друг от друга. Выбор
наилучшего варианта модели измерений, приводящей к лучшим оценкам в
смысле их близости к истинным значениям bi, можно основывать в классе
линейных оценок на сравнении дисперсионных матриц D(b) или некоторых
комбинаций из их элементов.
2.3 Разработка модели оценки эффективности системы менеджмента

Для построения функции отклика, описывающей показатель эффективности
СМИБ, предлагается воспользоваться научно-методическим аппаратом теории
планирования эксперимента. В литературе, посвященной теории планирования
эксперимента [29,42], можно встретить описание А-, Е-, G- и D-оптимальных
планов, удовлетворяющих различным критериям. При достаточно большом числе
учитываемых факторов (атрибутов) с целью уменьшения числа измерений
прибегают к построению планов второго порядка, близких к D-оптимальным
планам.
D-оптимальный план обеспечивает одинаковую точность оценок параметров
на равных удалениях во всех направлениях от центральной точки измерения. Если
ковариационная матрица оценок параметров имеет вид сI, где с — постоянная, а I
— единичная матрица, то утверждается, что критерии оптимальности в смысле D,
71
E, А совпадают. План, удовлетворяющий этим критериям ортогональный и
ротатабельный [29,42].
В ортогональных факторных планах каждый фактор варьируют симметрично
относительно начала координат на двух уровнях. В выбранной области
проведения измерений устанавливается основной уровень хi0 и определяется
интервал варьирования. Основной уровень может соответствовать номинальным
значениям параметров, либо выбираться в центре области их изменения,
подлежащей проверке. Интервал варьирования устанавливается симметрично
относительно основного уровня и устанавливается по формуле
где – верхнее и нижние натуральные значения фактора.

Переход к безразмерной системе координат, нормирование (рисунок 15)
осуществляется по формулам:
Из-за особенностей проверяемой СМИБ, возможность варьирования

некоторых атрибутов может быть существенно ограничена по отношению к
возможности варьирования других атрибутов. Это может сказываться на
адекватности математической модели. Для учета данного обстоятельства
предлагается осуществлять расчет интервала варьирования в соответствии с
формулой
где
{ }
– предельно возможный интервал изменения атрибута в условиях

проверяемой СМИБ;
– предельно возможный интервал изменения атрибута.
72
(+1, +1, +1)
(+1, +1) (-1, +1, +1)
(-1, +1)
(-1, +1, -1) (+1, +1, -1)
(0, 0)
(0, 0, 0)
(-1, -1, +1)

(+1, -1, +1)
(-1, -1) (+1, -1)
(+1, -1, -1)

(-1, -1, -1)
а) б)
Рисунок 15. Пример матрицы планирования для двух уровней эксперимента с
использованием 2-х(а) и 3-х(б) факторов.
Свойство ортогональности обеспечивает значительные упрощения

последующих вычислений.
Подобные ортогональные факторные планы обладают рядом отличительных
свойств. При выполнении условий и свойств составления плана коэффициенты
уравнения регрессии b получаются с минимальными и равными ошибками.
Допустим, что в ходе измерений необходимо получить показатель
эффективности СМИБ, учитывая взаимодействие двух (k=2) мер и средств
управления и контроля – «Контроль доступа в запрещенную зону» (п.А.9.1.2
приложения А ГОСТ ИСО/МЭК 27001) и «Управление съемными носителями
информации» (п.А.10.7.1 приложения А ГОСТ ИСО/МЭК 27001).
Для случая двух факторов могут применяться следующие полиномы для
функции отклика. Они будут различаться по максимальным степеням входящих в
них переменных.
Полином нулевой степени: у = b0 .
Полином первой степени: у = b0 + b1x1 + b2х2
Полином второй степени: y  b0  b1 x1  b2 x2  b12 x1 x2  b11x12  b22 x22
Полином третьей степени:
73
y  b0  b1 x1  b2 x2  b12 x1 x2  b11x12  b22 x22  b112x12 x2  b122x22 x1  b111x13  b222x23
Допустим, что для исследования выбрано уравнение регрессии:
Количество различных экспериментов N, определяется числом всех

неповторяющихся комбинаций, которые можно составить из k рассматриваемых
независимых переменных, имеющих по два уровня, и будет равно 2k.
Осуществление всех 2k возможных и неповторяющихся комбинаций реализуется в
полном факторном плане. Структура плана, соответствующая выбранному
уравнению регрессии (2.4) и требованиям D-оптимального плана, представлена в
таблице 2.1.
Таблица 2.1.
Опыт х0 х1 х2 х1х2 у
1 +1 -1 -1 +1 у1
2 +1 +1 -1 -1 у2
3 +1 -1 +1 -1 у3
4 +1 +1 +1 +1 у4
Матрица проведения измерений, отвечающая требованиям D-оптимального
плана, в соответствии с выбранным для исследования уравнением регрессии (2.4).
При вычислении bj, оценок коэффициентов регрессии βj по формуле

B  XT X 
1
X T Y последовательно получим
1
0 0
b0 4  y1  y2  y3  y4
1
B  b1  ( X T X ) 1 X T Y  0 0   y1  y2  y3  y4
4
b2 1  y1  y2  y3  y4
0 0
4
Вычисление коэффициентов регрессии b производится с помощью простой

формулы:
74
где N – число экспериментов проведенных в соответствии с выбранным
планом,
- нормированное значение (2.3) атрибута j в зависимости от
опыта i,
- значение функции отклика, полученное в опыте i
m - количество факторов и их сочетаний представленных в матрице
планирования.
Что касается коэффициента b0. Если наше уравнение yˆ  b0  b1 x1  b2 x2
справедливо, то оно верно и для средних арифметических значений переменных:

y  b0  b1 x1  b2 x2 у. Но в силу свойства симметрии x1  x2 . Следовательно, y  b0 ,
т.е. b0 есть среднее арифметическое значение параметра оптимизации, и для его
получения, необходимо сложить все у и разделить на число измерений. Чтобы
привести эту процедуру в соответствие с формулой для вычисления
коэффициентов, в матрицу планирования удобно ввести вектор-столбец
фиктивной переменной x0, которая принимает во всех измерениях значение +1.
Это было уже учтено в записи формулы расчета коэффициентов, где j принимало
значения от 0 до m.
В данной модели присутствует взаимодействие двух факторов первого
порядка. Вообще эффект взаимодействия максимального порядка в ПФП имеет
порядок, на единицу меньший числа факторов. Довольно часто применяются
синонимы: парные эффекты взаимодействия (х1х2, х2х3,...), тройные (х1х2х3,
х2х3х4,...) и т.д. Полное число всех возможных эффектов, включая b0, линейные
эффекты и взаимодействия всех порядков, равно числу измерений ПФП. Чтобы
найти число возможных взаимодействий некоторого порядка, можно
воспользоваться обычной формулой числа сочетаний
где m – число факторов, f — число элементов во взаимодействии. Так, для

плана 24 число парных взаимодействий равно шести.
75
4!
C24  6
2!2!
Добавим к исследуемым атрибутам еще одну независимую переменную

(k=3) , меру управления и контроля «Управление изменениями» (п.А.10.1.2
приложения А ГОСТ ИСО/МЭК 27001), и изменим вид регрессионного
уравнения:
План проведения исследований для сочетаний различных уровней

независимых переменных при k = 3 будет уже иметь вид (таблица 2.2).
Таблица 2.2.
Опыт x0 x1 x2 x3 x1x2 x1x3 x2x3 x1x2x3 у ̂
1 +1 -1 -1 -1 +1 +1 +1 -1 у1 9
2 +1 +1 -1 -1 -1 -1 +1 +1 у2 5
3 +1 -1 +1 -1 -1 +1 -1 +1 у3 6
4 +1 +1 +1 -1 +1 -1 -1 -1 у4 11
5 +1 -1 -1 +1 +1 -1 -1 +1 у5 7
6 +1 +1 -1 +1 -1 +1 -1 -1 у6 9
7 +1 -1 +1 +1 -1 -1 +1 -1 у7 8
8 +1 +1 +1 +1 +1 +1 +1 +1 у8 13
bj b0 = 8,5 1 1 0,75 1,5 0,75 0,25 -0,75
Матрица проведения измерений, отвечающая требованиям D-оптимального
плана, в соответствии с выбранным для исследования уравнением регрессии (2.6).
Не сложно заметить, что в таблице дважды повторена матрица для, k = 2
(таблица 2.1), первый раз для значений x3 на нижнем уровне (-1) и повторно для
значений х3 на верхнем уровне (+1).
Для примера покажем расчет некоторых коэффициентов регрессии:
….
76
Поскольку все диагональные элементы матрицы ошибок равны между собой,
каждая из оценок bj получена с одинаковой, минимальной дисперсией.
N n
S 2
S 2  ( y
i 1 q 1
iq  yi ) 2
Sb2j  y
Sb2j  y
S y2 
N
N (n  1)
x
N 2
ij
i 1
где Sy – ошибка опыта, n – число повторных опытов (для n выполняется

условие – число повторных опытов ni = const = n).
Коэффициенты bj определяются независимо, что имеет существенное
значение при переходе к более сложной форме уравнения связи (нет
необходимости пересчитывать полученные ранее значения коэффициентов).
Допустим, что в ходе измерений в соответствии с матрицей измерений
(таблица 2.2), в столбце « ̂» (таблица 2.2), были записаны значения времени
реакции СМИБ (в минутах) на событие ИБ, при условиях совместного влияния
трех факторов (атрибутов). После вычисления коэффициентов регрессии bj
уравнение регрессии (2.6) примет следующий вид:
̂
Далее проверяем значимость коэффициентов регрессии, а также на
адекватность полученной зависимости исследуемому процессу [29,35].
Аналогично формируются планы и строятся модели для любого другого
количества факторов, воздействующих на значение функции отклика.
Для реализации ПФП определяется начальная точка (центр плана) (х01, х02,
…., х0f) шаги варьирования Δхj , j=1…f. Центр плана выбирается как можно ближе
к центру области действительного факторного пространства (ближе к
номинальным значениям хj).
Шаг варьирования выбирается из условия обеспечения адекватности
изучаемому процессу функции отклика. При больших значениях Δхj возрастает
возможность систематической ошибки, и для ее исключения Δхj сужают. Однако
это увеличивает соотношение помех к полезному сигналу, что влечет за собой
77
рост параллельных измерений для выделения полезного сигнала на шумовом
фоне. Так же уменьшаются абсолютные значения тех коэффициентов bj , которые
непосредственно зависят от Δхj.
Таким образом, Δхj должен обеспечивать статистическую значимость
приращения Δy на фоне шумов при ограниченном числе параллельных измерений.
Нередко для определения Δхj предварительно проводятся ориентировочные
измерения
Δхj = (0,05… 0,03) Δхjдоп
где Δхjдоп – допустимый по техническим условиям интервал варьирования.
В каждой из точек проводится от 2 до 4 испытаний n. Тогда, осредняя
измерения, можно уменьшить ошибки истинного значения у в n раз.
Точки спектра плана предварительно рандомизируются. Под этим
понимается установление случайной последовательности проведения измерений в
отдельных точках плана. Целью рандомизации является устранение влияния
неконтролируемой неоднородности условий проведения измерений и влияния на
результаты измерений неуправляемого временного дрейфа. Для рандомизации
используются таблицы или датчики случайных чисел распределения по
нормальному закону. Порядок проведения измерений устанавливают по
результатам рандомизации.
Важным преимуществом факторных планов, как отмечалось ранее, является
возможность сокращения числа измерений. Такая возможность реализуется на
практике вследствие того, что количество проводимых по ПФП испытаний
превосходит число коэффициентов линейной модели.
К сожалению, существенным недостатком полных факторных планов
является быстрый рост числа измерений с ростом числа факторов в 2k раз.
В случае, когда взаимодействия второго и выше порядка отсутствуют или
малы, целесообразно реализовать матрицу планирования, содержащую лишь
часть полного факторного плана, иначе, перейти к дробному факторному плану.
Сущность применения такого планирования сводится к сокращению числа членов
полинома за счет смешивания основных факторов с теми факторами, которые на
78
основании априорных или экспертных оценок слабо влияют на изучаемый
процесс [29,42].
Правило перехода от ПФП к ДФП состоит в следующем:
- для сокращения числа измерений новому атрибуту предоставляется вектор-
столбец взаимодействия, которым можно пренебречь;
- решение о замене вектор-столбца принимается на основе физической
сущности процесса, который будет исключен из анализа;
Для рассмотренного выше уравнения регрессии, допустив, что взаимные
смешения основных факторов ничтожны, можно ввести в план дополнительно до
4-х факторов (атрибутов) (таблица 2.3).
Таблица 2.3.
№ опыта х0 х1 х2 х3 х1х2 х1х3 х2х3 х1х2х3 у
х4 х5 х6 х7
Тем самым, ввод новых факторов не приводит к росту количества испытаний,

N = 8. Для ПФП 27 проводилось бы 128, а для ПФП 26 – 64 измерения.
В таблице 2.4, для наглядности, приводится пример, как изменяется
количество проведения испытаний при переходе от ПФП к ДФП, при вводе
дополнительных факторов.
Таблица 2.4
Число Дробная Формула Количество испытаний N
факторов, f реплика ПФП ДФП
3 1/2 от 23 23-1 8 4
4 1/2 от 24 24-1 16 8
5 1/4 от 25 25-2 32 8
6 1/8 от 26 26-3 64 8
7 1/16 от 27 27-4 128 8
Дробный факторный план (ДФП) имеет вид 2k-p, где p – количество факторов,
введенных посредством замещения исключаемых из рассмотрения
79
взаимодействий, и существенно сокращает число измерений при проверке. В
рассмотренном выше примере, при построении полного факторного эксперимента
для k=3 необходимо проведение 8 измерений, если же ввести еще один фактор x4
и приравнять x4 двойному взаимодействию х1х2, то количество опытов останется
неизменным, а вместо полного факторного плана 24 получим полуреплику 24-1,
что соответствует линейному уравнению регрессии
y = b0 + b1x1 + b2x2 + b3x3+ b4x4
Сокращение числа измерений (таблица 4) приводит к утрате части
информации из-за исключения рассмотрения взаимодействий между факторами.
В итоге полученные оценки b0 , b1 , b2 , b3 оказались смешанными оценками
генеральных коэффициентов
Коэффициенты регрессии таком случае будут представлены в виде
смешанных оценок генеральных коэффициентов: b1 = β1 + β234, b2 = β2 + β134, b3 =
β3 + β124, b4 = β4 + β123 т. е. коэффициенты βi, не удастся оценить отдельно [29,42].
Генерирующие соотношения можно составлять таким образом, чтобы в
зависимости от наличия предварительных сведений получать полуреплики,
сокращающие вдвое число опытов по сравнению с полным факторным
экспериментом, или четвертьреплики, уменьшающие количество опытов в четыре
раза, и т. д. Для определения того, какие оценки – смешанные, используют
определяющий контраст [29,42].
Эффективность ДФП зависит от правильного выбора системы смешивания
линейных эффектов и эффектов взаимодействия.
Для ДФП, как и для ПФП, выполняются условия ортогональности,
симметричности, нормировки и ротатабельности.
Вместе с ДФП появляются и новые определения – генерирующее
соотношение и определяющий контраст.
Генерирующее соотношение указывает, какой из столбцов заменен новым
фактором. В случае с матрицей ДПФ 23-1 это будет х3=х1х2 или х3= – х1х2.
Определяющий контраст – это произведение левой и правой части
генерирующего соотношения, с помощью которого можно выявить систему
80
смешивания факторов для матрицы ДФП. В нашем случае определяющий
контраст будет 1 = х1х2х3 или – 1 = х1х2х3 (не забывая, что х2f=1).
Последовательно умножая левые и правые части контраста на х1, х2, х3
выявляем систему смешивания факторов
x1  x12 x2 x3  x2 x3 ; x2  x1 x22 x3  x1 x3 ; x3  x1 x2 x32  x1 x2 .
Для 1 = х1х2х3 b1  1   23 , b2   2  13 , b3   3  12 ,
а для – 1 = х1х2х3 b1  1   23, b2   2  13, b3  3  12 .
Полуреплики, в которых основные эффекты смешаны с двухфакторными

взаимодействиями, представляют собой планы с разрешающей способностью III
(по числу факторов в определяющем контрасте) и обозначаются 23III1 , в общем
случае .
Система смешивания определяет разрешающую способность дробных
реплик, которая устанавливается заранее в зависимости от поставленной задачи.
В соответствии с этим формируется ДФП, обеспечивающий максимум
информации от проведенных по плану испытаний.
Для ПФП 24-1 возможны генерирующие соотношения
х4=х1х2, х4=х1х3, х4=х2х3, х4=х1х2х3.
В таблице 2.5 представлены пример выбора генерирующего соотношения,
результаты этого выбора (определяющий контраст, система оценок) и полученная
модель полинома.
При измерениях могут использоваться реплики, в которых нет ни одного
главного эффекта, не смешанного с другим главным эффектом, а все парные
взаимодействия смешаны друг с другом. Это планы с разрешающей
способностью IV (по наибольшему числу факторов в определяющем контрасте) и
обозначаются .
В приведенном выше примере, замену х4=х2х3 следует использовать только в
том случае, если заранее известно о слабом влиянии взаимодействия факторов х2 и
х3 на функцию отклика у.
81
Таблица 2.5
Выбранное генерирующее соотношение
х4=х2х3 х4=х1х2х3
Определяющий контраст
1=х2х3х4 1=х1х2х3х4
Система смешивания
х1=х1х2х3х4 х1=х2х3х4
х1х2=х1х3х4 х1х2=х3х4
х1х3=х1х2х4 х1х3=х2х4
х1х2х3=х1х4 х2х3=х1х4
Система оценок
b1  1  1234 b1  1   234
b2   2  34 b2   2  134
b3  3   24 b3  3  124
b4   4   23 b4   4  123
b12  12  134 b12  12  34
b13  13  124 b13  13   24
b123  123  14 b23   23  14
Полином модели
yˆ  b0  b1 x1  b2 x2  b3 x3  b4 x4  yˆ  b0  b1 x1  b2 x2  b3 x3  b4 x4 
 b12 x1 x2  b13 x1 x3  b123x1 x2 x3  b12 x1 x2  b13 x1 x3  b23x2 x3
Соответственно планы измерений примут вид (таблица 2.6).

Однако на практике часто отсутствует информация о значимости эффектов
взаимодействия. В этом случае в первую очередь замещаются вектор-столбцы
эффектов более высоких порядков.
82
Таблица 2.6
№опыта х1 х2 х3 х4 №опыта х1 х2 х3 х4
1 - - - + 1 - - - -
2 - + - - 2 - + - +
3 + - - + 3 + - - +
4 + + - - 4 + + - -
5 - - + - 5 - - + +
6 - + + + 6 - + + -
7 + - + - 7 + - + -
8 + + + + 8 + + + +
Когда замещением вводится не один, а два фактора, например, при выборе
ДФП 25-2 (1/4 реплики ПФП 25) возможны следующие варианты смешивания
(таблица 2.7).
Таблица 2.7
х4 х1х2х3 х1х2х3 х1х2х3 х1х3 х2х3 х1х2
х5 х1х2 х1х3 х2х3 х1х2 х1х3 х2х3
Дополнительные варианты смешивания можно получить путем ввода знака у

сочетания взаимодействий х4= х1х2х3 или х5= –х1х3.
При рассмотрении варианта х4=х1х2х3 и х5=х1х3 , определяющие контрасты
будут представлены выражениями 1=х1х2х3х4 и 1=х1х3х5 соответственно.
Для определения разрешающей способности реплик высокой степени
дробности необходимо использовать обобщающий определяющий контраст. Его
можно получить путем перемножения определяющих контрастов между собой
1=х1х2х3х4=х1х3х5= х2х4х5.
Коэффициенты системы оценок будут строиться из суммы коэффициентов
фактора, варианта смешивания и обобщающего контраста. В результате
получится следующая система совместных оценок.
х0=х1х2х3х4=х1х3х5= х2х4х5 b0  0  1234  135   245
83
х1=х2х3х4=х3х5= х1х2х4х5 b1  1   234  35  1245
х2=х1х3х4= х1х2х3х5= х4х5 b2   2  134  1235   45
х3=х1х2х4=х1х5= х2х3х4х5 b3  3  124  15   2345
х4=х1х2х3х4=х1х3х5= х2х4х5 b4   4  1234  135   245
х5=х1х2х3х4х5=х1х3= х2х4 b5  5  12345  13   24
х12=х3х4=х2х3х5= х1х4х5 b12  12  34   235  145
х23=х1х4=х1х2х5= х3х4х5 b23   23  14  125  345
Полученный план испытаний примет вид (таблица 2.8).

Таблица 2.8
№опыта х1 х2 х3 х4 х5
1 - - - - +
2 - + - + +
3 + - - + -
4 + + - - -
5 - - + + -
6 - + + - -
7 + - + - +
8 + + + + +
Разрешение ⁄ реплики не велико, так как все линейные эффекты смешаны с

эффектами парного взаимодействия. Число испытаний в ДПФ, необходимых для
получения линейных оценок, должно удовлетворять неравенству
Случай N= K+1 соответствует насыщенному линейному ортогональному

плану, вид которого для ДПФ 27-4 (1/16 реплика от ПФП 27) представлена в
таблице 2.9.
84
Таблица 2.9
№опыта х0 х1 х2 х3 х4=х1х2 х5=х1х3 х6=х2х3 х7=х1х2х3
1 + - - - + + + -
2 + - + - - + - +
3 + + - - - - + +
4 + + + - + - - -
5 + - - + + - - +
6 + - + + - - + -
7 + + - + - + - -
8 + + + + + + + +
Все вышесказанное актуально для проведения измерений по изучению

влияния выбранных атрибутов на СМИБ, и при получении адекватной модели
они могут быть завершены.
В соответствии с вышесказанным методика расчета показателя
эффективности СМИБ включает в себя следующие процедуры:
1. Осуществить выбор требуемого количества атрибутов k и требуемого
числа измерений N;
2. Исходя из априорных данных и экспертных оценок, выбрать
аппроксимирующую модель, описывающую функциональную зависимость
времени реакции СМИБ на событие ИБ, с учетом выбранных атрибутов;
3. Определить интервалы варьирования для атрибутов, с учетом особенности
СМИБ организации (2.2), (2.3);
4. Выбрать факторный план проведения измерений полный (для k≤3) или
дробный (для k>3);
5. Составить матрицу плана, удовлетворяющую требованиям D-
оптимального плана, определить правила получения коэффициентов
регрессии bj в соответствии с выбранным планом;
6. Провести измерения, варьируя параметры атрибутов, в соответствии с
матрицей плана;
7. Рассчитать коэффициенты регрессии bj по результатам измерений (2.5);
85
8. Проверить полученную модель показателя на значимость коэффициентов
регрессии, а также на адекватность исследуемому процессу;
Таким образом, предложенный показатель эффективности позволяет учесть
неопределенности стохастического характера атрибутов объектов измерения,
получить количественную оценку состояния ИБ, имеет ясную физическую
трактовку для руководства организации и службы ИБ. Динамика его изменения от
проверки к проверке позволит судить о состоянии СМИБ в целом, о
результативности принимаемых мер и средств управления и контроля.
Предложенная модель оценки эффективности СМИБ заключается в применении
методологического аппарата теории планирования экспериментов для расчета
времени реакции СМИБ на события ИБ. Достоинство методики получения модели
в том, что предоставляется возможность управления измерениями атрибутов,
обеспечивается одинаковая точность оценок параметров атрибутов в процессе
измерений, с помощью коэффициентов регрессии выявляется влияние
взаимодействия атрибутов и их значимость в расчете показателя эффективности
СМИБ, позволяет получить аналитическую модель показателя эффективности
СМИБ, с помощью которой можно получить представление о процессах
протекающих в СМИБ.
Выводы. Оценивание эффективности СМИБ, является важным этапом в
циклической взаимосвязи видов деятельности СМИБ. На этапах «Внедрения» и
«Проверки» оценивается степень реализации заданных требований ИБ
организации. Качество организации процесса измерений, оказывает существенное
влияние на точность и достоверность оценок показателей качества СМИБ.
В ходе решения задачи совершенствования методологии оценки
эффективности СМИБ, предлагается использование нового интегрального
показателя эффективности – времени реакции системы на события ИБ.
Использование данного показателя эффективности позволит перейти от бинарной
оценки эффективности системы «удовлетворяет - не удовлетворяет» к
количественной.
86
Показана роль и место нового показателя эффективности СМИБ в цикле
жизнедеятельности системы, а также изменения, вносимые в модель измерений, в
связи с расчетом показателя. Предложен аппарат получения статистической
модели описывающей функцию отклика показателя эффективности СМИБ. Для
расчета нового показателя эффективности СМИБ предложена методика,
основанная на использовании аппарата теории планирования эксперимента. В
частности, выбор уравнения регрессии, построение факторных планов, и
получение коэффициентов регрессии. Приведен пример построения матрицы
измерений с участием трех атрибутов, рассчитаны коэффициенты регрессии для
функции отклика, описывающей показатель эффективности СМИБ. Выбор в
качестве показателя эффективности времени реакции системы на события ИБ,
может служить обоснованием, для руководителей организации, рентабельности
затрат на построение и развитие СМИБ, и способствует повышению качества
оценивания эффективности СМИБ.
87
Глава 3. Разработка методики повышения качества оценивания системы
менеджмента информационной безопасности
Планирование измерений является важным и одним из определяющих этапов

повышения качества оценивания СМИБ. В ходе выполнения измерений атрибутов
СМИБ, привлекается персонал организации, осуществляется доступ к документам
и базе данных организации, исследуется существующая автоматизированная
информационная система (ИС) организации [2, 23,45], что влечет за собой
определенный объем материальных и временных затрат на проведение
измерений. Правильное планирование измерений в значительной степени
определяет эффективность расходования временных, материальных и трудовых
ресурсов, а также оказывает значительное влияние на качество получаемых
оценок СМИБ.[45,46]
В большинстве случаев, в процессе планирования, ресурс распределяется на
основе имеющегося опыта, требований нормативно-правовых документов
ФСТЭК России и ГОСТ РФ с применением общеизвестных методов (например,
сетевого планирования, по диаграмме Ганта, Program (Project) Evaluation and
Review Technique (PERT) - техника оценки и анализа программ (проектов)) [2, 23].
Оптимизация распределения ресурса может проводиться в начале измерений.
Выполнение программы измерений производится в соответствии с составленным
планом, и дальнейших корректировок плана не производится [2,5,17]. Очевидно,
что эффективность измерений будет определяться отношением достигнутых
показателей качества к затраченным ресурсам. Таким образом, возникает важная
и актуальная задача разработки методов и методик оптимизации планирования
измерений СМИБ, позволяющая повысить качество оценивания СМИБ.
88
3.1. Обоснование исходных данных для решения задачи оптимизации
распределения ресурсов в целях для измерений системы менеджмента
Постановка задачи оптимизации в целях повышения качества оценивания

СМИБ может быть в следующих вариантах:
C (U , t )  min;

U (C , t )  U T ;
t  t ,
 доп
или
U (C , t )  max;

C (U , t )  Cдоп ;
t  t ,
 доп
где С (Сдоп) – затраты (допустимые затраты) на проведение измерений

СМИБ;
U (UT) – уровень измеряемого показателя качества (эффективности
СМИБ) (требуемый уровень показателя СМИБ);
t < tдоп – длительность проведения измерений (допустимая
длительность).
Основная трудность решения задачи в данной постановке заключается в
установлении зависимости стоимости проведения измерений атрибутов СМИБ
организации от свойств АИС и условий проведения измерений [17,23]. Иная
постановка задачи связана с выбором в качестве показателя эффективности
СМИБ отношения
U  U 0 U
UC   ,
C C
где U0, U – эффективность СМИБ до и после проведения измерений.
Показатель U C целесообразно использовать, если задана одна из величин

∆U или С. В противном случае изменение числителя может компенсироваться
89
соответствующим изменением знаменателя, что приводит к ошибочному
решению.
При установлении области допустимых значений (U/C)доп, предпочтение
отдается решению, обеспечивающему относительно большую вероятность
достижения требуемого показателя
 U  U  
P  p   .
 C  C доп 
Под планированием проведения измерений подразумевается:
- изучение нормативной документации и журналов эксплуатации системы;
- постановка цели измерений и содержательное описание процессов
измерений;
- выбор структуры модели;
- разработка модели измерений;
- анализ условий проведения измерений и возможности использования
априорной информации;
- решение математической задачи планирования измерений;
- определение режимов измерений применительно к особенностям СМИБ;
- определение требованиям к средствам измерений, способа представления и
передачи информации;
- выбор метода и вычислительной процедуры обработки результатов
измерений;
- определение видов и формы отчетности.
В качестве показателя эффективности самих измерений, можно использовать
отношение получаемой в ходе измерений информации Ic к затратам на проведение
измерений.
где H0 и HN – начальная энтропия системы и энтропия после проведения

измерений, рассчитываемые по формулам
90
где p0 и pN – вероятности показателя качества системы до и после проведения
измерений.
Необходимой и составной частью решения задач проведения измерений
СМИБ является построение модели динамики показателя качества ИБ в процессе
измерений. Модель необходима для составления плана проведения измерений.
Пусть качество СМИБ характеризуется уровнем рисков [17, 24] R  Vi  pi (Vi ) ,
i
связанных с вероятностями реализации угроз безопасности в отношении ресурсов

ИС, где Vi – ущерб, ожидаемый при реализации угрозы и рi(Vi) – вероятность
риска ИБ (например, потеря конфиденциальности, целостности и доступности
данных организации). Выразим рi через вероятность предотвращения риска pai:
pi(Vi) = (1 – pai(Vi)),
тогда
R  Vi  (1  pаi (Vi )) .
i
Пусть pai предельно достижимый на рассматриваемом этапе измерений

показатель качества ИБ. Тогда приращение показателя в результате внедрения
доработок и уточнения политик безопасности СМИБ после проведения этапа
измерений можно представить в виде
dpi  i  pani  pai  dt , (3.1)
где θi – средняя интенсивность изменений, вносимых в СМИБ после очередного
этапа измерений.
В качестве модели динамики показателя качества СМИБ используем
математическую модель динамики показателя качества при известной
зависимости доработок политик безопасности от временных затрат на проведение
измерений. Из выражения (3.1) следует возможность разделения переменных
dpi
  i dt . (3.2)
pапi  pаi
Проинтегрировав (3.2) в пределах [t0, ti] и [p0, pi], получим
91
pi i t
dpi

p0
paпп  pai t0
  i dt ,
откуда
pani  pai
ln  i ti  t0i 
pani  p0 ai
и в итоге
pai  pani   pani  p0ai  e  pani   pani  p0ai  eθi τi .

 θi  ti t0 i 
(3.3)
По аналогии можно получить выражение для стоимости, заменив
продолжительность по времени, затратами на проведение.
Поскольку вместо рai вероятности предотвращения риска ИБ могут
использоваться другие показатели качества, зависимость (3.3) можно представить
в виде:
Ui  ai   ai  U 0i   eθi τi ; (3.4)
Ui  bi   bi  U 0i   e γi τi , (3.5)
где ai, bi – имеют смысл предельно достижимых на i-ом этапе измерений
показателей качества оцениваемой СМИБ; θi,- средняя интенсивность внесения
изменений в СМИБ, а γi – средняя интенсивность изменений, вносимых в СМИБ,
подсчитываемая относительно выделенных затрат С.
При правильно организованной (спланированной) системе измерений
уровень и количество рисков ИБ по мере доработки политик безопасности
уменьшается и соответственно справедливы соотношения ai>ai–1, bi>bi–1, γi< γi–1,
θi< θi–1.
Исходя из вышесказанного, задачу составления плана измерений СМИБ
можно сформулировать как поиск оптимального распределения времени (средств)
по этапам измерений.
Для получения критерия, используя уравнения динамики показателя качества
(3.4) и (3.5), можно рассчитать общее время (стоимость) измерений, суммируя
длительности каждого i-го этапа измерений:
92
k k
1 ai  U 0i
T   τi   ln
i 1 i 1 θi ai  U i ;
m
1 bi  U 0i
C ln
i 1 γi bi  U i ,
где k, m – количество этапов измерений.
3.2 Методика повышения качества оценивания системы менеджмента

Из приведенных в обосновании расчетов, что продолжительность измерений

(стоимость проведения измерений) будет определяться положением точек
перехода от одного этапа к другому, т.е. значениями Ui, i = 1, k – 1 (Uk>UT, UT –
требуемое значение). Тогда задача сводится к нахождению значений показателя
Ui, обеспечивающих минимальное время проведения измерений (или минимум
стоимости измерений) при условии, что после k этапов обеспечивается
достижение требуемого уровня показателя UT. В соответствии с постановкой
задачи решение, с помощью метода динамического программирования, ищется в
условиях многошагового расчета, причем состояние системы на i-ом шаге зависит
только от состояния системы на (i–1)-м шаге.
Исходя из принципа динамического программирования, оптимизацию
проводят от конечного k-го этапа. В качестве критерия
используем продолжительность аудита. Для произвольного шага
i  τk  τk 1   τi .
На первом этапе Фk = τk и справедливо minФk = minτk.
На следующем этапе
1 ak  U 0 k 1 a  U 0 k 1
 k 1  τ k  τ k 1  ln  ln k 1 .
θk ak  U k θ k 1 ak 1  U k 1
С учетом того, что Uk = UT , а Uk–1 = U0k , зависимость Фk–1 можно представить

в виде
93
1 ak  U 0 k 1 a  U 0 k 1
 k 1  ln  ln k 1 .
θ k ak  U T θ k 1 ak 1  U 0 k
Если не использовать модель, то решение сводится к выводу Ф1 = 0,

U0 = Uk = UT.
Условие оптимального перехода от k-го этапа к (k–1) этапу можно получить,
продифференцировав слагаемые Фk–1 и после вычислений, приравняв результаты,
получим
θk  ak  U 0k   θk 1  ak 1  U 0k  .
dU k
Левая часть уравнения характеризует скорость роста U на k-ом этапе dτ ,
k τk
dU k 1
а правая – скорость роста на (k–1) этапе dτ (рисунок 16).
k 1 τk 1
U
U0i*
U 0i''
U 0i'

U t

Ui

U i1
*
Рисунок 16. Точка U 0i оптимального перехода от k-го этапа измерений к (k–1)
этапу. На совмещенных графиках, отражающих уровень показателя качества U и

скорость его прироста U в зависимости от времени, сплошной линией обозначена
оптимальная траектория, пунктиром обозначены траектории изменения
показателя качества U 0i на первом этапе и U 0i соответственно на втором, без
оптимизации.
94
Следовательно, оптимальному моменту перехода от k-го этапа к (k –1) этапу
измерений соответствует точка равенства скоростей изменения показателя U на (k
–1) и k-ом этапах (рисунок 16).
При дальнейшем решении задачи получаем условие оптимального перехода
от произвольного (i–1) уровня к i-му уровню:
θi  ai  U 0*i   θi 1  ai 1  U 0*i  ,
откуда
θi ai  θi 1ai 1
U 0*i 
θi  θi 1 . (3.6)
Зависимость (3.6) позволяет определить условия, при которых

обеспечивается минимальное время прохождения отрезка траектории UT–U0
(максимальная скорость движения). Из графика рисунка 16 видно, что если
движение (переход к новому этапу измерений) начинается при U 0i  U 0i , то

*
происходит потеря времени. По той же причине невыгодно начинать движение по
i-ой кривой при U 0i  U 0i . Тогда, оптимальная продолжительность программы

*
измерений:
k
1 ai  U 0*i 1
k
T   τi   ln
*
i 1 i 1 θi ai  U 0*i .
Аналогично задача решается для критерия стоимости:

m m
1 bi  U 0*i 1
C *   Ci   ln
i 1 i 1 γi bi  U 0*i .
Таким образом, методика включает в себя следующие процедуры,

выполняемые в процессе оптимизации планирования.
1. С помощью формул (3.4), (3.5) произвести расчет планируемого роста
показателя эффективности СМИБ Ui на этапах измерений.
*
2. Используя выражение (3.6) рассчитать точки оптимального перехода U 0i
между мероприятиями для исходного расчета плана.
95
3. Провести измерения и оценить достигнутый уровень эффективности ai
проверяемой СМИБ на i-ом этапе измерений.
4. Произвести перерасчет точек оптимального перехода U 0i* между этапами
измерений, исходя из полученной в п. 3 оценки.
*
5. Проверить условие перехода на следующий этап измерений ai ≥ U 0i , если
условие выполняется, произвести перераспределение неизрасходованного
ресурса i-го этапа на следующие этапы измерений.
6. Выполнять п. 3–5 до получения требуемого уровня показателя UT СМИБ.
Таким образом основными путями повышения качества оценивания путем
оптимизации расходования времени (затрат) на измерения показателей СМИБ
являются:
 уменьшение τi(Ci) за счет повышения качества планирования, уточнения
моделей динамики показателя качества ИБ, после проведения очередного
измерения;
 повышение эффективности применяемых средств контроля и управления в
СМИБ.
3.3 Практические рекомендации применения методика повышения

качества оценивания системы менеджмента информационной
В ходе проведения измерений СМИБ в конкретной организации невозможно

произвести оценку всех рисков ИБ [4,15], которым должна противостоять
современная СМИБ. Отказы и недостатки самой СМИБ могут также оказать
существенное влияние на программу измерений. Использование апостериорных
данных для очередного этапа измерений и коррекция модели показателя качества
ИБ, позволяет максимально приблизиться к оптимуму распределения ресурсов
выделенных на проведение измерений.
Например, узловым моментом планирования измерений является
распределение времени и материальных затрат при проверке вопросов
96
физической и экологической безопасности на объекте организации (А.9) [4]
между предварительным сбором данных и анализом документов и проведением
измерений проверкой атрибутов на месте (рисунок 17).
а2
2
аэф
2
а1
1
А
а0
tn= tопт tmin tmax t
Рисунок 17. Точка перехода (А) от сбора, обработки и анализа документов

(сплошная и пунктирная кривые 1) к проведению измерений на объекте
(сплошная и пунктирная кривые 2), где а0 – уровень показателя качества при
достижении которого необходимо перейти к этапу измерений на объекте; а1 –
предельно достижимый уровень показателя качества для этапа сбора, обработки и
анализа документов; аэф – пороговое значение показателя качества определенное
требованием к СМИБ; а2 – достигнутый уровень показателя качества на этапе
измерений на объекте; tп – время перехода от этапа сбора, обработки и анализа
документов к этапу измерений на объекте, которое и является оптимальным
временем tопт
97
Рассмотрим пример по определению оптимального времени между двумя
этапами проведения измерений. Допустим, что динамика показателя качества
СМИБ на каждом этапе измерений подчиняется экспоненциальному закону с
известными параметрами [16,28]. С учетом этого, сплошная и пунктирная кривые
1 будут соответствовать росту показателя качества СМИБ на этапе сбора данных
и анализа документов по ИБ (рисунок 17), а сплошная и пунктирная кривые 2 –
этапу измерений на объекте. Если весь выделенный ресурс использовать только
для измерений на объекте и проводить его до достижения уровня показателя
качества ИБ равному а2, то для этого потребуется время tmax. На этапе работы с
документами и сбора данных скорость роста показателя качества выше, чем при
измерениях на объекте, но предельно достижимый уровень показателя качества а1
меньше заданного уровня аэф, определенного требованиями к показателю качества
СМИБ. Применив методику, можно рассчитать точку оптимального перехода А от
одного этапа к другому, добившись максимальной скорости прироста показателя
качества в процессе измерений. Тем самым, для сокращения общего времени
(стоимости, количества итераций) измерений, необходимо проводить этап сбора
данных и анализа документов до достижения оптимального уровня показателя
качества а0, соответствующего точке А. Окончательное достижение требуемого
значения показателя качества UT осуществлять в ходе измерений на объекте.
Пример второй. В ходе измерений показателей СМИБ связанных с
управлением контролем доступа (А.11) [4] проводились мероприятия по проверке
предотвращения несанкционированного доступа к сетевым сервисам (А.11.4).
Проводился анализ и проверка:
 политики организации в отношении использования сетевых услуг
(А.11.4.1);
 аутентификации пользователей для внешних соединений (А.11.4.2);
 идентификации оборудования в сети организации (А.11.4.3);
 защиты диагностических и конфигурационных портов при удаленном
доступе (А.11.4.4);
98
 разделения информационных услуг, групп пользователей,
информационных систем (А.11.4.5);
 осуществления контроля сетевых соединений (А.11.4.6);
 управления маршрутизации в сети (А.11.4.7).
Измерения были разбиты на четыре этапа. Требуемый уровень показателя
качества СМИБ – вероятности предотвращения несанкционированного доступа к
сетевой инфраструктуре организации задан значением UT = pT ≥ 0,95, принятое
исходное состояние показателя составляет U0 = p0 = 0,5. В ходе выполнения
этапов измерений, вводились усовершенствования в средства контроля и
управления СМИБ. Значения показателя качества, полученные на этапах
измерений указаны в таблице 10, результаты представлены на рисунке 18.
Таблица 10
ai 0,8 0,9 0,94 0,98
θi 0,04 0,03 0,02 0,01
K
Рисунок. 18. Динамика роста показателя качества U (U1 – рассчитанная без
оптимизации, U2 – полученная в процессе оптимизации, α – значения,
полученные на этапах проверок)
После решения задачи оптимизации распределения времени по проводимым

мероприятиям (таблица 10) получены значения точек перехода от одного этапа
99
измерений к другому р1 = р2 = 0,5; р2 = р3 = 0,82; р3 = р4 = 0,9 (рисунок 11).
Согласно полученным данным рост показателя качества после оптимизации
максимален, к началу 4 этапа измерений достигнут уровень р4 = 0,9
(планируемый р3 = 0,79), тем самым требуемый уровень показателя UT может
быть достигнут за меньшее время.
Выводы. Современная система менеджмента информационной безопасности
представляет собой сложную техническую систему [4,22], требующую
постоянного совершенствования для успешного решения задач по обеспечению
информационной безопасности. Усложнение системы менеджмента
информационной безопасности приводит к необходимости совершенствования
научно-методического аппарата оценивания данных систем [35,47].
Современная практика проведения измерений показателей СМИБ
свидетельствует, что распределение ресурса при планировании измерений
решается в основном исходя из накопленного практического опыта, имеющихся
экспертных рекомендаций. В тех случаях, когда привлекается соответствующий
математический аппарат, то она решается разово при первичной организации и
планировании измерений СМИБ. В результате оценки показателей СМИБ,
получаемые в ходе измерений, не учитываются в распределении ресурса
назначаемого для проведения измерений, что противоречит сущности
исследуемого процесса и снижает в итоге качество оценок определяемых
характеристик. Очевидно, что эффективность измерений будет определяться
отношением качества полученных оценок к затраченным ресурсам.
Предложенная методика позволяет на основе модели динамики показателя
качества системы менеджмента информационной безопасности осуществлять
оптимальное планирование распределения временных и материальных ресурсов
по этапам измерений.
Особенностью предлагаемого подхода, является использование не только
априорных, но и апостериорных данных при начальном планировании измерений,
а также для корректировки плана после каждого измерения. Это позволяет
100
оптимизировать использование ресурса назначенного для измерений в
соответствии с выбранными критериями.
По результатам проведенного вычислительного эксперимента на основе
предложенной методики возможно снижение временных (стоимостных) затрат на
10–15% или, соответственно, повышение качества получаемых оценок за счет
рационального распределения ресурса, по отношению к общеизвестным
методикам планирования измерений.
101
Заключение
Проведенные в диссертации исследования путем обобщения и развития
научно-методического аппарата обеспечения качества оценивания характеристик
СМИБ в процессе мониторинга и анализа деятельности системы выполнены в
рамках решения общей проблемы совершенствования методов оценки СМИБ на
различных этапах жизнедеятельности.
Исследования показали, что повышение и обеспечение точности и
достоверности оценивания СМИБ достигается за счет комплексного подхода к
задаче оценивания характеристик СМИБ.
В диссертации уделено внимание как научной, так и практической
направленности с доведением большинства рассматриваемых вопросов до
готовых к применению методик. При проведении исследований получены
следующие теоретические и практические результаты:
1. Предложен новый интегральный показатель эффективности СМИБ
позволяющий получить количественную оценку состояния ИБ, который
имеет ясную физическую трактовку для руководства организации и службы
ИБ.
2. Разработан научно-методологический аппарат расчета интегрального
показателя эффективности СМИБ достоинством, которого является:
возможность управления измерениями атрибутов, обеспечивается
одинаковая точность оценок параметров атрибутов в процессе измерений,
выявляется влияние взаимодействия атрибутов и их значимость в расчете
показателя эффективности СМИБ, позволяет получить аналитическую
модель показателя эффективности СМИБ.
3. Разработан научно-методический аппарат оптимального распределения
ресурсов измерений для повышения качества оценивания СМИБ,
основанный на впервые применяемом для задач такого класса,
математическом аппарате динамического программирования, ранее не
применявшийся при анализе СМИБ.
102
4. Предложенная методика оптимизации планирования измерений атрибутов
СМИБ позволяет снизить на 10-15% затраты ресурса на проведение
измерений, либо повысить качество оценок показателей СМИБ.
В ходе выполнения работы обоснованы пути решения задачи повышения
качества оценивания СМИБ разработан комплексный подход, заключающийся в
получении интегрального количественного показателя эффективности СМИБ,
использовании методологического аппарата расчета интегрированного показателя
с применением положений теории планирования эксперимента, получения
аналитических моделей процессов функционирования СМИБ, на основе
регрессионного анализа, применении методики планирования измерений
атрибутов СМИБ,
К принципиально новым теоретическим результатам относится:
1. Планирование измерений атрибутов СМИБ, в отличие от известных
подходов, предлагается осуществлять на основе корректировки плана по
результатам анализа динамики показателя качества СМИБ, после каждого
измерения.
2. Новый интегральный показатель эффективности СМИБ позволяет, в отличие
от известных показателей, получить статистическую оценку стохастических
факторов оказывающих наиболее существенное влияние на эффективность
СМИБ, определять динамику развития системы.
3. Новизну метода расчета интегрального показателя эффективности СМИБ
составляет использование математического аппарата теории планирования
эксперимента. Адаптированы и описаны процедуры формирования
факторного пространства для исследования процессов СМИБ, стратегии
измерений атрибутов ИБ, составления матриц измерений, выбора типа плана
и статистического анализа результатов факторного эксперимента.
Сложности, обусловленные ограниченным объёмом измерений при анализе
характеристик СМИБ, привели к постановке и решению целого ряда задач,
связанных с получением аналитических моделей.
103
Обоснованность и работоспособность разработанного аппарата
подтверждается использованием его в теории и практике мониторинга и анализа
СМИБ в ходе жизнедеятельности системы, что подтверждается актами внедрения
и реализации, результатами вычислительных экспериментов, статьями
общероссийских и ведомственных изданий, докладами на НТК и HTC НИУ
ИТМО.
Дальнейшие исследования по вопросам решаемой в диссертации задачи
целесообразно проводить в следующих направлениях.
1. Совершенствование и обоснование номенклатуры определяемых
характеристик СМИБ при формировании системы исходных данных для
решения, поставленной в работе научной задачи.
2. Повышение качества оценок характеристик СМИБ путём обоснования
требований к измерительным средствам и комплексам, применяемым при
проведении мониторинга и анализа СМИБ.
3. Углубленная разработка процедур объединения неоднородных данных о
свойствах исследуемой СМИБ.
4. Расширение возможностей теоретико-экспериментального метода
оценивания характеристик ИБ объектов в различных информационных ситуациях.
Расчёты показывают, что применение разработанного аппарата позволит
существенно повысить достоверность оценивания характеристик СМИБ,
соответственно, значительно сократить объёмы, сроки и затраты на проведение
анализа состояния СМИБ, в результате обеспечить качество оценивания
характеристик СМИБ, что в свою очередь является определяющим при оценке
соответствия характеристик СМИБ требованиям ИБ организации и выработке
решений о дальнейшем развитии ИБ.
104
Список сокращений
ISMS – Information Security Management System;
АС – автоматизированная система;
АСГиКУ – автоматизированные системы государственного и корпоративного
управления;
ДФП – дробный факторный план;
ЗИ – защита информации;
ИА – информационные активы;
ИАС – информационно-аналитическая система;
ИБ – информационная безопасность;
ИС – информационная система;
ИТ – информационные технологии;
ИТ-инфраструктура – информационно-технологическая инфраструктура;
ИТКС – информационно-телекоммуникационная система;
НСД – несанкционированный доступ;
НМА – научно-методический аппарат;
ОПГ – объединенная пиринговая группа;
ОС – операционная система;
ПФП – полный факторный план;
СМИБ – система менеджмента информационной безопасности;
ПО – программное обеспечение;
ФЗ РФ – Федеральный закон Российской Федерации;
ФСТЭК – Федеральная служба по техническому и экспортному контролю;
105
Литература
1. Catteddu D., Hogben G. Cloud Computing: Benefits, risks and recommendations
for information security. – Heraklion: ENISA, 2009. – 125 p.
2. ISO/IEC 19011:2011 Руководство по аудиту систем менеджмента.
Международный Стандарт. Второе издание. 2011-11-11. – 44 с.
3. ISO/IEC 27000:2013, Information security management systems — Overview
and vocabulary (Система менеджмента информационной безопасности.
Общий обзор и терминология). Международный Стандарт. Первое издание.
2013-01-14. – 25 с.
4. ISO/IEC 27001:2013, Information security management systems —
Requirements. (Система менеджмента информационной безопасности.
Требования). Международный Стандарт. Первое издание. 2013-09-25. – 23
с.
5. ISO/IEC 27007:2011, Информационные технологии. Методы и средства
обеспечения безопасности. Руководящие указания по аудиту систем
менеджмента информационной безопасности. Международный Стандарт.
Первое издание. 2011-11-14. – 27 с.
6. ISO/IEC 31000:2009 Риск Менеджмент – Принципы и руководства.
Международный Стандарт. Первое издание. 2009-11-15. – 32 с.
7. Macaulay T. Upstream Intelligence Use Cases // IANewsletter. – 2011. – V. 14. –
P. 18–22.
8. NIST SP 800 – 53 Security and Privacy Controls for Federal Information
Systems and Organizations. 2013. [Электронный ресурс]. Режим доступа:
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf.
9. NIST SP 800 – 53A Guide for Assessing the Security Controls in Federal
Information Systems and Organizations, Building Effective Security Assessment
Plans. 2010 г. [Электронный ресурс]. Режим доступа:
http://csrc.nist.gov/publications/nistpubs/800-53A-rev1/sp800-53A-rev1-
final.pdf.
10. NIST SP 800 – 55 Performance Measurement Guide for Information Security.
106
2008 г. [Электронный ресурс]. Режим доступа:
http://csrc.nist.gov/publications/nistpubs/800-55-Rev1/SP800-55-rev1.pdf.
11. NIST SP 800 – 100 Information Security Handbook: A Guide for Managers.
2007 г. [Электронный ресурс]. Режим доступа:
http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf
12. NIST SP 800 – 115 Technical Guide to Information Security Testing and
Assessment. 2008 г. [Электронный ресурс]. Режим доступа:
http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
13. NIST SP 800 – 137 Information Security Continuous Monitoring for Federal
Information Systems and Organizations. 2011 г. [Электронный ресурс]. Режим
доступа: http://csrc.nist.gov/publications/nistpubs/800-137/SP800-137-Final.pdf.
14. Symantec 2014 Internet Security Threat Report, Volume 19. 2014 г.
[Электронный ресурс]. Режим доступа:
http://www.symantec.com/security_response/publications/threatreport.jsp
15. The Critical Security Controls for Effective Cyber Defense: Consensus Audit
Guidelines (CAG) Version 5. SANS Institute. 2014 г. [Электронный ресурс]. –
Режим доступа: http://www.sans.org/critical-security-controls/, свободный. Яз.
англ. (дата обращения 20.04.2014).
16. Айвазян С.А. и др. Прикладная статистика. Исследование зависимостей:
Справ.изд./ С.А. Айвазян, И.С. Енюков, Л.Д. Мешалкин; Под ред. С.А.
Айвазяна. – М.: Финансы и статистика, 1985 г. – 485 с., ил.
17. Аксенов В.В. Аудит системы менеджмента информационной безопасности.
Руководство. 2012 г. [Электронный ресурс]. – Режим доступа: http://itsec.by/,
свободный. Яз. рус. (дата обращения 09.09.2013).
18. Астахов А.М. Искусство управления информационными рисками. – М.:
ДМК Пресс, 2010. – 314 с.
19. Бендат Дж., Пирсол А. Прикладной анализ случайных данных. Пер. с англ.
– М.: Мир, 1989. – 540 с., ил.
20. Гвоздев А.В., Зикратов И.А., Лебедев И.С., Лапшин С.В., Соловьев И.Н.
Прогнозная оценка защищенности архитектур программного обеспечения. //
107
Научно-технический вестник информационных технологий, механики и
оптики. – 2012. – № 4(80). – С. 126 – 130.
21. Голов. А. Журнал " Информационная безопасность" #1, Information Security.
2008.25 c ISBN: 978-5-222-17389-3
22. ГОСТ Р ИСО/МЭК 27003-2012. Методы и средства обеспечения
безопасности. Системы менеджмента информационной безопасности.
Руководство по реализации системы менеджмента информационной
безопасности. Введ. 01.01.2014. – М.: Госстандарт России. – 95 с.
23. ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и
средства обеспечения безопасности. Менеджмент информационной
безопасности. Измерения. Введ. 01.01.2012. – М.: Госстандарт России. – 62
с.
средства обеспечения безопасности. Менеджмент риска информационной
безопасности. Введ. 30.11.2011. – М.: Госстандарт России. – 51 с.
средства обеспечения безопасности. Требования к органам,
осуществляющим аудит и сертификацию систем менеджмента
информационной безопасности. Введ. 30.09.2009. – М.: Госстандарт России.
– 40 с.
26. ГОСТ Р 51897-2011 Руководство ИСО 73:2009 Менеджмент риска. Термины
и определения. Введ. 01.12.2012. – М.: Госстандарт России. – 16 с.
27. Домарев В. В. Безопасность информационных технологий. Системный
подход — К.: ООО ТИД Диа Софт, 2004. 992 с. ISBN: 966-7992-36-5
28. Лебедев А.Н., Куприянов М.С., Недосекин Д.Д., Чернявский Е.А.
Вероятностные методы в инженерных задачах: Справочник. – СПб.:
Энергоатомиздат. Санкт-Петербургское отделение, 2000. – 333 с.:ил.
29. Зедгенидзе И.Г. Планирование эксперимента для исследования
многокомпонентных систем. – М.: Наука, 1976. – 390 с., ил.
30. Зикратов И.А., Одегов С.В. Оценка информационной безопасности в
108
облачных вычислениях на основе байесовского подхода. // Научно-
технический вестник информационных технологий, механики и оптики. –
2012. – № 4(80). – С. 121 – 126.
31. Зикратов И.А., Одегов С.В., Смирных А.В. Оценка рисков информационной
безопасности в облачных сервисах на основе линейного программирования.
// Научно-технический вестник информационных технологий, механики и
оптики. – 2013. – № 1(83). – С. 141 – 144.
32. Комлев Н.Г. Словарь иностранных слов. СПб: Эксмо, 2006. 320 с. ISBN 5-
04-002298-0.
33. Кравцов А.А. Сезон охоты на секреты российского ОПК. / Кравцов А.А. //
Независимое военное обозрение. – 2013. – 9 августа [Электронный ресурс].
Режим доступа: http://nvo.ng.ru/spforces/2013-08-09/14_opk.html?print=Y
34. Куканова Н. "Защита информации. Инсайд.".№1/2007.34 c.
35. Мартыщенко Л.А., Ивченко В.П., Монастырский М.Л. Теоретические
основы информационно-статистического анализа сложных систем.–СПб:
Лань, 1997. – 320 с.
36. Постановление Правительства Российской Федерации от 1 ноября 2012 г. N
1119.
37. Пилипенко. В. Ф. Безопасность: теория, парадигма, концепция, культура.
Словарь-справочник . 2-е изд., доп. и перераб. — М.: ПЕР СЭ-Пресс, 2005.
ISBN 5-9292-0131-5
38. Приказ ФСТЭК России №17. Об утверждении Требований о защите
информации, не составляющей государственную тайну, содержащейся в
государственных информационных системах. Введ. 11.02.2013. – М:
ФСТЭК России. – 37 с.
39. Приказ ФСТЭК России №21 Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах
персональных данных. Введ. 18.02.2013. – М: ФСТЭК России. – 20 с.
40. Приказ ФСТЭК России №31 Об утверждении Требований к обеспечению
109
защиты информации в автоматизированных системах управления
производственными и технологическими процессами на критически важных
объектах, потенциально опасных объектах, а также объектах,
представляющих повышенную опасность для жизни и здоровья людей и для
окружающей природной среды. Введ. 14.03.2014. – М: ФСТЭК России. – 42
с.
41. Рекомендации по стандартизации «Информационные технологии. Основные
термины и определения в области технической защиты информации» (Р
50.1.053-2005).Российский стандарт. Первое издание. 2005-04-11. 9 с.
42. Спиридонов А.А. Планирование эксперимента при исследовании
технологических процессов. М.: Машиностроение, 1981. – 184 с., ил.
43. Федеральный закон Российской Федерации N 152-ФЗ «О персональных
данных» Российский закон. Третье издание. 2009-09-11. 32 с.
44. ХабрХабр - Стандарт BS 7799 — Часть 12012 г. [Электронный ресурс].
URL:http://habrahabr.ru/. Режим доступа: свободный. Яз. рус. (дата
обращения 30.02.2014).
45. Шаго Ф.Н., Зикратов И.А. Методика оптимизации планирования аудита
системы менеджмента информационной безопасности. // Научно-
технический вестник информационных технологий, механики и оптики. –
2014. – № 2(90). – С. 111 – 118.
46. Шаго Ф.Н., Зикратов И.А. Оптимизация мероприятий аудита системы
менеджмента информационной безопасности. // Научно-технический
журнал «Информация и космос». – 2014. – № 2. – С. 59 – 65
47. Шаго Ф.Н. Методика оценки эффективности системы менеджмента
информационной безопасности по времени реакции системы на инциденты
информационной безопасности. // Научно-технический вестник
информационных технологий, механики и оптики. – 2014. – № 4(92). – С.
115 – 124.
48. Шаго Ф.Н., Нестеров С.Ю. Об определении оптимального числа испытаний
комплексов средств малой автоматизации РТВ ВВС. Тематический научный
110
сборник № 13 СПб: СПВВУРЭ (ВИ), 2005.
49. Шаго Ф.Н. Использование робастных оценок при обработке результатов
испытаний радиоэлектронной техники. Тезисы доклада. "8 Всероссийская
НПК "Актуальные вопросы разработки и внедрения информационных
технологий двойного применения". Ярославль, 2007г., стр. 252-253."
50. Шаго Ф.Н. Оценка результатов испытаний радиоэлектронной техники с
использованием семейств распределений и робастных оценок. Тезисы
доклада. Материалы VII военно-научной конференции «Информационные
технологии в радиоэлектронных системах. Подготовка специалистов»,
СПВВУРЭ (ВИ), 2007г.
51. Шаго Ф.Н. Оптимизация испытаний комплексов средств малой
автоматизации РТВ ВВС. Материалы II Всероссийской научной
конференции с международным участием «Проблемы развития и
интеграции науки, профессионального образования и права в глобальном
мире». Санкт-Петербург. Часть I. стр. 366-369. 2010 г.
52. Шаго Ф.Н., Кивалов А.Н. Проблема идентификации закона распределения в
условиях малой выборки. САНКТ-ПЕТЕРБУРГСКИЙ
ГОСУДАРСТВЕННЫЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
Международная научно-практическая конференция «XXXIX НЕДЕЛЯ
НАУКИ СПбГПУ». Санкт-Петебург, 2010г. стр. 145-146.
53. Шаго Ф.Н. Проблемы аудита программно-технических комплексов защиты
информации. Тезисы доклада. «Всероссийская НПК «ИБРР -2013» СПб
НИУ ИТМО. Санкт-Петербург, стр. 264-265.
111

Диссертация Шаго PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Диссертация Шаго PDF

Загружено:

Авторское право:

Доступные форматы

Санкт-Петербургский национальный исследовательский университет

информационных технологий механики и оптики

Шаго Фёдор Николаевич

Модель и методика оценки системы менеджмента информационной

05.13.19 – Методы и системы защиты информации, информационная

Диссертация на соискание ученой степени

Глава 1. Обзор подходов к оценке системы менеджмента информационной безопасности в

1.1 Анализ состояния и направления развития систем менеджмента информационной

1.2 Структура показателей качества систем менеджмента информационной безопасности,

1.3 Особенности современной практики оценивания систем менеджмента

1.4 Обоснование и содержание проблемы обеспечения качества оценивания систем

Глава 2. Разработка модели оценки системы менеджмента информационной безопасности ..... 55

2.1 Обоснование интегрального показателя эффективности системы менеджмента

2.2 Выбор аппроксимирующего полинома для модели показателя эффективности системы

2.3 Разработка модели оценки эффективности системы менеджмента информационной

Глава 3. Разработка методики повышения качества оценивания системы менеджмента

3.1. Обоснование исходных данных для решения задачи оптимизации распределения

3.2 Методика повышения качества оценивания системы менеджмента информационной

3.3 Практические рекомендации применения методика повышения качества оценивания

Заключение ......................................................................................................................................... 102

Список сокращений ........................................................................................................................... 105

Литература .......................................................................................................................................... 106

Научная новизна и теоретическая значимость диссертационной работы

1.1 Анализ состояния и направления развития систем менеджмента

Внедрение мер и Выходные данные

Анализ СМИБ для

Рисунок 1. Основные этапы жизненного цикла СМИБ.

Требования Требования к органу сертификации

Свод правил по управлению Руководство по аудиту

Рисунок 2. Взаимосвязь документов семейства стандартов ISO 27000

Уровень управления 1/2

Уровень управления 2/3

Принятие решений по управленческим рискам

Рисунок 3. Типовая схема построения системы менеджмента ИБ.

Рисунок 4. Структура средств (мер) управления (контроля) категории

В документе Национального института стандартов и технологий США

Изучение руководящих документов ФСТЭК России показывает, что

1.3 Особенности современной практики оценивания систем менеджмента

Предварительный анализ документов

Подготовка к проведению аудита на месте

Проведение аудита на месте

Анализ собранных данных

Подготовка отчета по результатам аудита

Этапы аудита СМИБ

Рисунок 4. Этапы аудита СМИБ.

2. Предварительный анализ документов.

План аудита согласовывается с заинтересованными сторонами.

Результатом данного этапа является заполнение рабочих документов и

Внедрение мер и Выходные данные

Анализ СМИБ для

Рисунок 5. Виды деятельности СМИБ, связанные с измерениями («входы-

Процессы управления Результаты

Объект измерений Измерения

Рисунок 6. Модель измерений проводимых в структуре СМИБ.

Состояния и перспектив Современных

Сложность и Ограниченная Структуры

Разработка нового интегрального показателя эффективности СМИБ

Разработка научно-методологического аппарата расчета интегрального показателя

Обоснование распределения ресурса назначенного для проведения измерений СМИБ

Рисунок 7. Структура исследований по обеспечению качества оценивания

2.1 Обоснование интегрального показателя эффективности системы

Внедрение мер и Выходные данные

Анализ СМИБ для