Аннотация
Оценивание эффективности системы менеджмента информационной безопасности является важным
этапом в циклической взаимосвязи видов деятельности системы менеджмента информационной безопасности, в ходе которого определяется соответствие системы заданным требованиям информационной безопасности организации. Исходя из анализа текущей практики оценивания эффективности систем менеджмента информационной безопасности, можно сделать вывод о том, что в большинстве случаев проводится независимое оценивание отдельных атрибутов информационной безопасности без учета их взаимодействия, в ходе измерений атрибутов не учитывается наличие неопределенности стохастического характера. Существует перечень взаимосвязанных мер и средств контроля и управления, однако конструктивные элементы измерений для оценки данных взаимодействий отсутствуют. Таким образом, возникает важная и актуальная задача совершенствования методологии оценки эффективности системы менеджмента информационной безопасности, решение которой возможно путем введения нового интегрального показателя эффективности системы, который бы позволил учесть вышеуказанные недостатки.
В работе предлагается использовать новый интегральный показатель эффективности – время реакции системы на инциденты информационной безопасности. Использование этого показателя позволит перейти от бинарной оценки эффективности системы «удовлетворяет – не удовлетворяет» к количественной. Предложенный показатель эффективности позволяет учесть неопределенности стохастического характера атрибутов мер и средств управления и контроля, дает количественную оценку состояния информационной безопасности, имеет ясную физическую трактовку для руководства организации и службы информационной безопасности. Динамика изменения показателя от проверки к проверке позволяет судить о состоянии системы менеджмента информационной безопасности в целом и о результативности принимаемых мер и средств управления и контроля. Методика расчета нового показателя эффективности системы менеджмента информационной безопасности основана на применении методологического аппарата теории планирования экспериментов. Достоинство методики – в том, что персоналу службы информационной безопасности предоставляется возможность управления измерениями атрибутов, обеспечивается одинаковая точность оценок параметров атрибутов в процессе измерений, с помощью коэффициентов регрессии выявляется степень взаимодействия атрибутов и их значимость в расчете показателя эффективности системы менеджмента информационной безопасности, а также формируется аналитическая модель показателя эффективности.
Ключевые слова: информационная безопасность, эффективность систем менеджмента информационной безопасности, показатель качества, оценка эффективности
Список литературы
1. ISO/IEC 19011:2011. Guidelines for auditing management systems. 11.11.2011. Geneva, International Organization for Standardization. 44 p.
2. Аксенов В.В. Аудит системы менеджмента информационной безопасности. Руководство [Электронный ресурс]. Режим доступа: itsec.by/wp-content/uploads/2012/10/Auditors-Guide-ISO-27001-on-Russian.pdf, свободный. Яз. рус. (дата обращения 20.04.2014).
3. ISO/IEC 27000:2013. Information security management systems – Overview and vocabulary. 14.01.2013. Geneva, International Organization for Standardization. 25 p.
4. ISO/IEC 27001:2013, Information security management systems – Requirements. 25.09.2013. Geneva, International Organization for Standardization. 23 p.
5. Приказ ФСТЭК России №17. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Введ. 11.02.2013. М.: ФСТЭК РФ. 37 с.
6. Зикратов И.А., Одегов С.В., Смирных А.В. Оценка рисков информационной безопасности в облачных сервисах на основе линейного программирования // Научно-технический вестник информационных технологий, механики и оптики. 2013. № 1 (83). С. 141–144.
7. ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения. Введ. 01.01.2012. М.: Стандартинформ, 2012. 62 с.
8. Шаго Ф.Н., Зикратов И.А. Методика оптимизации планирования аудита системы менеджмента информационной безопасности // Научно-технический вестник информационных технологий, механики и оптики. 2014. № 2 (90). С. 111–117.
9. Critical Security Controls for Effective Cyber Defense [Электронныйресурс]. Режим доступа: http://www.sans.org/critical-security-controls/, свободный. Яз. англ. (дата обращения 20.04.2014).
10. Зикратов И.А., Одегов С.В. Оценка информационной безопасности в облачных вычислениях на основе байесовского подхода // Научно-технический вестник информационных технологий, механики и оптики. 2012. № 4 (80). С. 121–126.
11. Catteddu D., Hogben G. Cloud computing: benefits, risks and recommendations for information security. Heraklion: ENISA, 2009. 125 p.
12. Macaulay T. Upstream intelligence: anatomy, architecture, case studies and use-cases // Information Assurance Newsletter. 2011. V. 14. P. 18–22.
13. Мартыщенко Л.А., Ивченко В.П., Монастырский М.Л. Теоретические основы информационно-статистического анализа сложных систем. СПб: Лань, 1997. 320 с.
14. Айвазян С.А., Енюков И.С., Мешалкин Л.Д. Прикладная статистика. Исследование зависимостей. М.: Финансы и статистика, 1985. 487 с.
15. Лебедев А.Н., Куприянов М.С., Недосекин Д.Д., Чернявский Е.А. Вероятностные методы в инженерных задачах: Справочник. СПб: Энергоатомиздат, 2000. 333 с.
16. Зедгенидзе И.Г. Планирование эксперимента для исследования многокомпонентных систем. М.: Наука, 1976. 390 с.
17. Бендат Дж., Пирсол А. Прикладной анализ случайных данных: Пер. с англ. М.: Мир, 1989. 540 с.
18. Спиридонов А.А. Планирование эксперимента при исследовании технологических процессов. М.: Машиностроение, 1981. 184 с.