Проблеми розробки систем управління захистом інформації в корпоративних
інформаційних системах
Петров А.О.
СНУ ім. В. Даля, Луганськ
Аналіз зарубіжних і
сучасних вітчизняних стандартів в області управління ризиками ІБ показав, що
положення описаних вище стандартів не містять важливих деталей, які необхідно
конкретизувати на практиці, і їх успішне застосування для управління ризиками
вимагає додаткових методик оцінювання, враховують різні кількісні та якісні
показники [1].
Відзначемо, що
проблема створення наукової методології забезпечення заданого рівня захищеності
протягом усього періоду експлуатації ІС є важливою і актуальною. Рішення
проблеми забезпечення заданого рівня захищеності пов'язано з послідовним
вирішенням двох приватних завдань:
• кількісного оцінювання
рівня захищеності;
• прийняття рішення
про необхідність зміни властивостей і параметрів системи захисту інформації
(СЗІ) з метою підтримки заданого рівня захищеності.
Необхідність
отримання кількісних показників значень рівня захищеності інформації викликана
тим, що для прийняття обгрунтованого рішення про необхідність проведення
заходів по ЗІ потрібен аналіз динаміки зміни рівня захищеності КІС
(корпоративної інформаційної системи) в залежності від зміни як умов
функціонування, так і параметрів СЗІ.
Інструментальні
засоби оцінки рівня захищеності (ризиків порушення інформаційної безпеки (ІБ))
повинні бути засновані на сучасних базах даних і знань в області захисту
інформації (ЗІ), дозволяти будувати структурні об'єктно-орієнтовані моделі інформаційної
системи (ІС), а також моделі ризиків окремих сегментів КІС. Рішення проблеми
забезпечення заданого рівня захищеності пов'язано з послідовним вирішенням двох
приватних завдань: кількісного оцінювання рівня захищеності та автоматизованого
прийняття рішення про необхідність перерозподілу ресурсів або зміни параметрів
СЗІ.
Враховуючи, що сегмент
КІС є досить складним технічним об'єктом, а процес захисту інформації
характеризується великою кількістю і різноманіттям факторів, що впливають на
його результат, вплив яких часто не вдається однозначно виявити і описати
строго математично, проблема захисту інформації відноситься до числа складних
слабоструктурованих і слабосформульованих проблем.
У науці є досвід щодо
вирішення слабосформульованих проблем - це системний підхід до їх вирішення та
системний аналіз об'єктів дослідження. У системному аналізі акцентується увага
на труднощах формулювань завдань, на способах подолання цих труднощів. З
практичної точки зору сторони системний аналіз є теорія і практика поліпшуючого
втручання в проблемну ситуацію [2].
Застосування методів
системного аналізу до дослідження проблеми ЗІ диктується вимогами практики, яка
поставила фахівців із захисту інформації перед необхідністю проектувати складні
системи захисту інформації, вивчати процеси, управляти ними в умовах
невизначеності, неповноти інформації, дефіциту часу і обмеженості ресурсів.
Специфічною
особливістю розглянутих методик системного аналізу є те, що вони використовують
закономірності побудови, функціонування і розвитку систем, формування варіантів
структури системи і вибір найкращого варіанта. Методи системного аналізу - декомпозиція,
аналіз і синтез системи, що знімає або ослаблює проблему практики.
Таким чином,
рішення актуальної наукової-технічної проблеми управління СЗІ в КІС пов'язано з
необхідністю розробки комплексу науково-обґрунтованих і практично-застосовних
методів і методологій в рамках створення теорії інтелектуального забезпечення
безпеки.
Література
[1]
Доценко,
С. М. Аналитические информационные технологии и обеспечение безопасности
корпоративных сетей // Конфидент. - 2010. - № 2. - С. 16-21.
[2]
22.
Кузнецов, Н. А. Информационная безопасность систем организационного управления.
Теоретические основы - 2 т. / Н. А. Кузнецов, В. В. Кульбаэ, Е. А. Микрин — М.:
Наука, 2006.
| 
