ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4105
Скачиваний: 24
По форме аудит ИБ может быть
внутренним
и
внешним.
Внут
ренний аудит ИБ проводится самой организацией или от ее име
ни для внутренних целей и может служить основанием для при
нятия декларации о соответствии требованиям стандартов или
нормативных документов по защите информации и обеспечению
информационной безопасности. Внешний аудит ИБ проводится
внешними независимыми коммерческими организациями, имею
щими лицензии на осуществление аудиторской деятельности в
области И Б.
Внешний аудит И Б обязателен для всех государственных или
негосударственных организаций, являющихся собственником или
пользователем конфиденциальной информации, требующей за
щиты в соответствии с законодательством Российской Федера
ции, а также для всех организаций, эксплуатирующих объекты
ключевых систем информационной и телекоммуникационной
инфраструктуры Российской Федерации. Внешний аудит ИБ осу
ществляется в соответствии с Федеральными законами, стандар
тами и иными нормативными или правовыми актами по проведе
нию аудита ИБ.
Основной целью
аудита И Б является установление степени со
ответствия применяемых в организации защитных мер выбран
ным критериям аудита ИБ.
Целями аудита И Б могут быть:
• потребности руководства организации в оценке защищенно
сти конфиденциальной информации, полноты и качества выпол
нения требований по обеспечению ИБ и защите информации;
• оценка полноты и качества выполнения требований, предъяв
ляемых к организации или АС, при их сертификации на соответ
ствие законодательным требованиям, стандартам по И Б, норма
тивным документам или политикам безопасности либо требова
ниям, предусмотренным контрактом;
• установление соответствия требованиям потребителей или
потребностям заинтересованных сторон;
• необходимость оценки поставщика услуг;
• оценка результативности системы управления ИБ для дости
жения конкретных целей;
• определение областей совершенствования обеспечения ИБ
организации и защиты конфиденциальной информации.
Цели аудита ИБ определяет заказчик аудита ИБ. Исходя из
целей аудита ИБ, заказчиком внешнего аудита ИБ может быть
проверяемая организация или любая другая организация, имею
щая регулирующее или контрактное право заказывать аудит И Б.
Аудитором по ИБ является физическое лицо, отвечающее ква
лификационным требованиям и имеющее квалификационный ат
тестат аудитора по ИБ, выдаваемый уполномоченным федераль
ным органом или органом по аккредитации аудиторской деятель
ности в области ИБ. Аудитор может осуществлять свою деятель
ность
индивидуально
или в
составе аудиторской организации
по ИБ.
Аудиторская организация по ИБ — это коммерческая органи
зация, осуществляющая аудиторские проверки по ИБ, оказываю
щая сопутствующие аудиту ИБ услуги. Аудиторская организация
по ИБ осуществляет свою деятельность после получения лицен
зии от уполномоченного Федерального органа по аккредитации и
лицензированию для выполнения аудита в области ИБ.
Гл а в а 2 0
Методы и модели оценки
эффективности КСЗИ
20.1. Показатель уровня защищенности,
основанный на экспертных оценках
Многие методы и модели оценки эффективности КСЗИ были
рассмотрены нами в предыдущих главах. В гл. 11 были приведены
формальные модели безопасности, в гл. 19 — рассмотрены веро
ятностный и оценочный подходы
к
оценке безопасности, а также
требования руководящих документов. В настоящей главе мы про
должим разговор об оценке эффективности КСЗИ и остановимся
на двух основных аспектах, не рассмотренных в предыдущих гла
вах. В разд. 20.1 показано, как можно ввести показатель защи
щенности, основанный на экспертных оценках, а в разд. 20.2 при
ведены различные подходы к проведению необходимого для это
го экспертного опроса. Раздел 20.3 посвящен вопросам экономи
ческой эффективности КСЗИ, поэтому он в какой-то степени
перекликается с разд. 1.4.
Для определения состояния безопасности информации в уч
реждениях, автоматизированных системах на основе совокупно
сти сформированных тестов можно использовать показатель, при
меняемый для оценки уровня защищенности, базирующийся на
оценках тестируемого (он предложен в работе [19]).
Указанный уровень определяется по результатам ответов со
трудников предприятия на предлагаемые экспертами
п
вопросов.
Предварительно эксперты определяют коэффициенты важности
(КВ)
P j J - \ , n
каждого задаваемого вопроса, используя метод
относительного ранжирования, в котором список всех вопросов
заносится в таблицу относительного ранжирования (попарного
сравнения). Такой метод позволяет сравнить два элемента, игно
рируя все остальные, что значительно облегчает процесс приня
тия решения. Эксперт принимает решение путем голосования за
один из вопросов (1 голос) либо путем разделения своего голоса
(если значимость вопросов, по его мнению, одинакова, то в таб
лицу заносятся числа 0,5 и 0,5). После формирования КВ они
нормализуются по формуле
P N J =
р ] / ъ
р 1
(20.1)
н
таким образом, чтобы выполнялось условие
JtPNJ =L
(20.2)
м
Далее вводится лингвистическая переменная (ЛП) — «уро
вень защищенности», базовое терм-множество которой представ
ляется пятью нечеткими термами Т = {Т,, Т2, Т3, Т4, Т5}, имею
щими соответственно названия «низкий» (Н), «ниже среднего»
(НС), «средний» (С), «выше среднего» (ВС) и «высокий» (В).
Диапазон изменения параметров (носителей)
Xh i = \,L
(/. = 5 -
количество термов) можно отобразить на универсальное множе
ство
U=[
0, 4], а функции принадлежности д(,
i = \,L
определить
следующим образом:
И/ = 1 Ту 1 - п 2'
(20-3)
1 + ( Л , - / + I ) 2
В результате получаются следующие эталонные нечеткие чис
ла (НЧ), отражающие введенную ЛП:
Н = {1.0 / 0, 0.5 / 1, 0.2 / 2, 0.1 / 3, 0.06 / 4},
НС = {0.5/0,1.0/1, 0.5/2, 0.2/3, 0.1/4},
С = {0.2/0, 0.5/1, 1.0/2, 0.5/3, 0.2/4},
(20.4)
ВС = {0.1/0, 0.2/1, 0.5/2,1.0/3, 0.5/4},
В = {0.06/0, 0.1/1, 0.2/2, 0.5/3,1.0/4},
графическое изображение которых представлено на рис. 20.1.
Для построения показателя сотрудник должен ответить на
п
вопросов по ѵѴ-балльной шкале, причем значение
N
может быть
различным для каждого вопроса.
Далее диапазон
[Kj
= 0
, Xj = Nj )
изменения парамет
ра
Xj , j = \,n
(количество баллов по каждому вопросу) отобража
ется на универсальное множество^ U = [0,
L -
1]. Пересчет фик
сированного значения
X* eX_j , Xj
в соответствующий элемент
U* е
[0,
L
- 1] выполняется по формуле
^ =
(20-5)
Л j - Л_]
Рис. 20.1. Эталонные нечеткие числа
а функции принадлежности
|
= l,L
нечеткого терма с но
мером / определяются так:
1
1 + 0 W + 1 ) 2.
P N j
(
20
.
6
)
где
PNj, j =
1,
п —
коэффициенты важности, определенные экс
пертом по каждому вопросу.
В завершение формируется показатель уровня защищенности,
образованный на основании следующего нечеткого логического
выражения:
Ы * ; ) = У ,
а ц
/,
(20.7)
/ = 1
7 = 1
где y = l,Z/ — номер терма из базового терм-множества
Т; j = \,п —
номер вопроса.
В работе [19] приведен следующий пример. Пусть служащему
организации были заданы следующие вопросы
(п
= 4):
1. Хранятся ли свежие копии данных за пределами организа
ции (дайте оценку в пределах от нуля до трех)?
2. Часто ли производится резервное копирование данных (оцен
ку произведите в диапазоне от нуля до пяти)?
3. Производится ли антивирусный контроль (для ответа выбе
рите значение от нуля до десяти)?
4. Всегда ли удаляются ненужные файлы (ответ лежит в преде
лах от нуля до четырех)?
1 3
Грибунин
385