Метод и модель управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Исаев Александр Сергеевич

ВВЕДЕНИЕ

На современном этапе развития нашего общества информация становится одним из наиболее ценных и востребованных ресурсов, на сохранение и защиту которых выделяется все больше времени и средств. В связи с чем защита информации является одним из важных процессов любой организации. Процесс управления информационной безопасностью (далее -ИБ) неразрывно связан с процессами защиты информации, ведь полнота и корректность его реализации во многом определяет эффективность системы защиты информации [27] (далее -СЗИ), однако в типовой СЗИ, подсистема управления ИБ, как правило, отсутствует. Постоянно увеличивающееся количество средств и мер защиты информации, совместно с существующими недостатками типовой реализации СЗИ, увеличивают нагрузку на персонал организации, увеличивая таким образом время на принятие управленческих решений. Ввиду невозможности увеличения количества ресурсов, выделяемых на процессы обеспечения и управления ИБ до бесконечности, особо остро встает проблема рационализации их использования, с учетом современных информационных технологий (далее - ИТ) и средств обработки информации.

Одним из перспективных направлений при решении данной проблемы является использование экспертных систем поддержки принятия решений, способных взять на себя большую часть функций и рутинных операций, выполняемых персоналом, что существенно снизит временные рамки при принятии управленческих решений. В условиях постоянно меняющихся требований по защите информации, изменения методологических подходов и мнений экспертов по ИБ, а также изменения факторов, воздействующих на информацию, целесообразным является применение динамических экспертных систем. Однако, в процессе реализации систем управления ИБ на основе динамических экспертных систем поддержки принятия решений возникает ряд существенных затруднений, вызванных отсутствием научно обоснованного методического аппарата, учитывающего не только потребности и особенности управления ИБ, включая мнение экспертов организации, но и существующую специфику реализации ИТ инфраструктуры.

Таким образом, актуальность диссертационной работы обуславливается отсутствием научно-методического аппарата, учитывающего потребности и особенности управления ИБ, а также отсутствием систем\подсистем управления ИБ, способных повысить эффективность СЗИ за счет снижения временных затрат на выполнение процессов обеспечения ИБ и принятие управленческих решений, на основе динамических экспертных систем.

Степень разработанности темы исследования. Проблемы обеспечения информационной безопасности, формализации процессных составляющих, а также составные элементы управления информационной безопасностью являются предметом исследования как российских, так и иностранных ученных. Различные аспекты управления и обеспечения информационной безопасности рассматриваются в трудах известных российских и зарубежных ученных, таких как: Г.П. Жигулин [40], О.Ю. Гаценко, Ю.А. Печеневский [43], М.Б. Будько [46], В.Г. Швед, H.H. Безруков, Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой [49], О.Ю. Домарева, А.А., Воробьева, Л.К. Бабенко, А.А. Анисимов [50], Ю.А. Печеневский, А.А. Малюк, А.Г. Корченко, Э. Уилсон [48], Д. Уотермен [57].

Наиболее полное описание применения экспертных систем при реализации систем поддержки принятия решений на предприятии представлены в работах С.М. Суменкова, М.С. Суменкова [69], О.И. Ларичева, А.Б. Петровского [45], Т.А. Гавриловой, В.Ф. Хорошевского [54], К. Таунсенда, Д. Фохта [56]. Описание механизмов управления информационной безопасности при осуществлении деятельности органов исполнительной государственной власти описывает А.М. Тарасов [53]. Принципы построения систем управления рассмотрены в работах Д. Джарратано, Г. Райли [55]. Совокупность подходов при реализации систем поддержки принятия управленческих решений изложены в статьях Э.А. Трахтенгерца [42]. Таким образом, подавляющее большинство российских и зарубежных ученых рассматривают в своих трудах аспекты управления и обеспечения ИБ, принципы построения систем управления, экспертные системы, по отдельности, а вопросы комплексного применения экспертных систем при построении систем управления ИБ практически не затронуты.

Целью диссертационной работы повышение эффективности систем защиты информации, за счет разработки научно-методического аппарата по управлению информационной безопасностью.

Задачи исследования. Для достижения поставленной цели диссертационной работы решается следующая новая научная задача: по заданным требованиям и ограничениям нормативно-методической документации в области ИБ, основываясь на динамических изменениях экспертных оценок и логических связях процессов обеспечения ИБ необходимо разработать такие метод и модель управления ИБ типовой организации, которые бы обеспечили повышение эффективности системы защиты информации за счет сокращения временных затрат на принятие управленческого решения.

Декомпозиция задачи диссертационного исследования может быть представлена в виде следующих подзадач:

1. Анализ действующих международных и Российских нормативно-правовых документов, с целью выявления и систематизации общих требований, предъявляемым к системам защиты информации.

2. Исследование процессной составляющей управления информационной безопасности в организациях.

3. Разработка метода управления информационной безопасностью, на основе динамических экспертных систем поддержки принятия решений.

4. Разработка модели взаимодействия данных, при осуществлении управления информационной безопасностью.

5. Программная реализация метода и модели управления информационной безопасностью, на основе динамических экспертных систем поддержки принятия решений.

Объектом исследования является системы управления ИБ, связи и отношения между типовыми процессами управления и обеспечения ИБ.

Предметом исследования являются методы и модели управления информационной безопасностью, основывающиеся на применении динамических экспертных систем, современных средств вычислительной техники и логических алгоритмов.

Научная новизна результатов, полученных автором диссертационной работы, заключается в том, что:

1. Определены и классифицированы основные типовые процессные составляющие управления информационной безопасностью, отличающиеся от существующих тем, что что имеют более полную структуру и систематизированный набор требований, отвечающий положениям действующих нормативно-правовых документов Российской Федерации в области обеспечения информационной безопасности.

2. Разработан метод управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений. Разработанный метод отличается от существующих тем, что он дает возможность осуществления оперативного, тактического и стратегического управления информационной безопасностью, учитывая специфику действующей в организации системы защиты информации и ИТ инфраструктуры, увеличивая эффективность системы защиты информации.

3. Разработана комплексная модель управления взаимодействием данных в системе обеспечения ИБ на основе процессного подхода. Разработанная модель отличается от существующих тем, что она определяет строгое логическое взаимодействие не только между потоком данных одного процесса, но и при взаимодействии самих процессов управления ИБ.

Теоретическая значимость работы заключается в том, что разработанные метод и модель управления ИБ дополняют и развивают существующие разделы теории информационной безопасности в части управления ИБ на основе динамических экспертных систем поддержки принятия решений. Диссертационная работа способствует формированию системы взглядов на вопросы управления ИБ и расширению границ использования логических алгоритмов экспертных систем при построении комплексных СЗИ.

Практическая значимость работы заключается в том, что теоретические положения, полученные в ходе разработки метода и модели управления ИБ, были реализованы в виде программного обеспечения и логических алгоритмов, которые могут быть применены в государственных и коммерческих организациях при создании систем защиты информации в качестве системы\подсистемы управления ИБ, что способствует существенному увеличению эффективности применяемых организационных и технических мер по защите информации. Разработанная модель взаимодействия данных и формализованная процессная составляющая управления ИБ могут быть использованы при формировании новых нормативно-правовых документов, регламентирующих процессы управления ИБ, а также послужить основой для реализации системы поддержки-принятия решений по информационной безопасности. Материалы диссертационной работы могут получить широкое практическое применение в учебных процессах при проведения обучения специалистов по информационной безопасности и руководящего состава ГГ подразделений, а также при обучении студентов высших профессиональных учреждений по специальностям: 090103 - Организация и технология защиты информации, 090104 - Комплексная защита объектов информатизации, 0901105 - Комплексное обеспечение информационной безопасности автоматизированных систем.

Методология исследования. В методологическую основу диссертационной работы заложены общенаучные и специальные методы научного познания, научные труды и работы экспертов в области информационной безопасности, международные и Российские нормативно - правовые документы в сфере защиты информации и управления информационной безопасностью, справочная литература, исследования и труды ученых, опубликованные по результатам конференций и семинаров в сфере информационной безопасности.

Методы исследования основываются на теории информационной безопасности, теории алгоритмов, теории управления, теории вычислительных систем и сетей, теории графов.

Положения, выносимые на защиту:

1. Классификация процессных составляющих управления информационной безопасностью.

2. Метод управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений.

3. Комплексная модель управления взаимодействием данных в системе обеспечения ИБ на основе процессного подхода.

Степень достоверности полученных результатов диссертационного исследования обуславливаются использованием общепринятых методик исследования, экспертными опросами, использованием результатов диссертационного исследования в рамках создания СЗИ ряда коммерческих и государственных организаций, а также при построении центра управления СЗИ органов исполнительной государственной власти Санкт-Петербурга. Результаты, полученные в ходе практической реализации, не противоречат теоретическим заключениям, полученным в ходе выполнения диссертационного исследования. Результаты диссертационной работы используются на Кафедре мониторинга и прогнозирования информационных угроз Университета ИТМО в рамках подготовки по специальности «090900». В процессе проведения диссертационного исследования была подана заявка и получено решение о выдаче свидетельства о регистрации программы для ЭВМ «Система автоматизации процессов управления информационной безопасностью КЦБГГ».

Апробация работы. Основные и промежуточные результаты проведения диссертационного исследования, докладывались и обсуждались на 5 международных и Российских научно-практических конференциях, и круглых столах:

- V Всероссийская научно-техническая конференция ИКВО НИУ ИТМО «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур» (Санкт-Петербург 2014);

- 7-я Конференция «Обеспечение безопасности информации в корпоративных информационных системах. Теория вопросов, практика решений» (Москва 2013);

- «ИТ и ИБ: совмещать нельзя исключить - поставьте запятую» (Санкт-Петербург 2013);

- IV Всероссийская научно-техническая конференция «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур» (Санкт-Петербург 2013);

- II Всероссийская научно-техническая конференция ИКВО НИУ ИТМО «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур» (Санкт-Петербург 2011).

Основные и промежуточные результаты диссертационного исследования были представлены на различных конкурсах:

- Конкурс грантов для студентов, аспирантов вузов и академических институтов, расположенных на территории Санкт-Петербурга (Санкт-Петербург 2012, 2014), диссертационная работа была поддержана грантом Правительства Санкт-Петербурга в 2014 году;

- Конкурс «Аспирант года» (Санкт-Петербург 2014), по результатам конкурса был получен диплом победителя;

- Межвузовский конкурс научно-исследовательских проектов «The Big Bang» (Санкт-Петербург 2012).

Итоговые результаты диссертационного исследования используются в Комитете по информатизации и связи Санкт-Петербурга, Санкт-Петербургском государственном унитарном предприятии «Санкт-Петербургский информационно-аналитический центр» (СПб ГУП «СПб ИАЦ»), Университете ИТМО, ОАО «ЭЛВИС-ПЛЮС», что подтверждается актами о внедрении.

Публикации. По теме диссертационной работы опубликовано 11 статей, в том числе 2 работы в российских журналах, входящих в Перечень ведущих рецензируемых журналов и изданий ВАК. Остальные работы опубликованы в материалах научно-практических конференций, конгрессов и иных научных изданиях. В процессе проведения диссертационного исследования была подана заявка и получено решение о выдаче свидетельства о Государственной регистрации программы для ЭВМ «Система автоматизации процессов управления информационной безопасностью KUBIT» № 2013616993 от 30.07.2013.

Личный вклад. Содержание диссертационного исследования и положения выносимые на защиту, отражают личный вклад автора в данную работу. Все аналитические заключения и выводы были получены автором лично, либо при его непосредственном участии.

Структура и объем диссертационной работы. Диссертационная работа состоит из введения, трех глав, заключения и приложения. В список использованной литературы входит 72 наименования, включая труды автора. Диссертационная работа содержит 187 страниц машинописного текста и включает 29 рисунков, 5 таблиц и 1 приложение.

ГЛАВА 1. АНАЛИЗ МЕЖДУНАРОДНОЙ И РОССИЙСКОЙ НОРМАТИВНО-

ПРАВОВОЙ ДОКУМЕНТАЦИИ

1.1. Анализ международной нормативной документации по вопросам управления информационной безопасностью

Управление информационной безопасностью достаточно широко обсуждаемая тема в международном сообществе. Доказательством данного факта является наличие серии международных стандартов [17,18,19,20,21,22,23,24,25,26], разработанных общими усилиями Международной организацией по стандартам и Международной электротехнической комиссией. Работа над стандартами была начата в 1999 году и в итоговом варианте документы увидели свет в начале 2000 года, в виде первой части, в которой на достаточно простом уровне описывалась сложившаяся проблематика современных тенденций развития информационной безопасности [61] и давались практические рекомендации по осуществлению внедрения механизмов управления информационной безопасности. Спустя несколько лет, в 2002 году была выпущена вторая часть документа, описывающая общую спецификацию предлагаемых первой частью документа решений, затем последовали сопутствующие документы серии. Следует отметить, что серия стандартов продолжает развиваться, а ряд стандартов, входящих в серию, постоянно пересматривается и обновляется. Итоговая версия второй части документа получила широкую известность и одобрение в международном сообществе, результатом данных изысканий послужил выход стандарта ISO\IEC 27001.

В процессе проведения диссертационного исследования стандартам [17] и [18] было уделено особое внимание. В частности, первый стандарт описывает основные принципы организации управления информационной безопасности, для организаций различного рода деятельности, в то время как второй стандарт больше уделял внимание непосредственным механизмам управления информационной безопасностью, с последовательным разбиением шагов по реализации каждого из предложенных механизмов.

ISO\IEC 27000 является своего рода предисловием к остальным документам серии [60], основное назначение которого сводится к описанию сферы влияния каждого из стандартов, а также описанию общих принципов и причин возникновения стандарта. Дается руководство по использованию содержания стандартов при введении системы менеджмента информационной безопасности в организации, а также описание основных процессных составляющих и актуальности внедрения данной системы. Согласно структуре ISO\IEC 27000, семейство (серия)

стандартов представляет из себя логически связанные документы, систему менеджмента информационной безопасности. Схема связей документов, входящих в серию, представлена на рисунке 1. Основной целью данной серии является введение системы менеджмента информационной безопасности в организациях различной величины и рода деятельности. В приложении к документу представлены словестные формы выражения стандартов, категорированный перечень терминов по информационной безопасности, применяемых в стандарте.

!БО\!ЕС 27000 «Системы менеджмента информационной безопасности. Общий обзор и терминология»

!5О\!ЕС 27006 «Требования для органов, обеспечивающих аудит и сертификацию систем менеджмента информационной безопасности»

ISO\I EC 27001 «Система менеджмента информационной безопасности. Требования»

ISO\I EC 27002 «Свод правил по управлению защитой информации»

_А_

ISO\IEC 27799 «Информатика в здравоохранении.

Менеджмент информационной безопасности по стандарту ISO/IEC 27002»

!5О\! ЕС 270011 «Руководящие указания по управлению защитой информации

организаций, предлагающих телекоммуникационные услуги, на основе !БО/!ЕС 27002»

ISO\I EC 27007 «Руководство для аудитора Системы менеджмента информационной безопаности»

ISO\I EC 27005 «Управление рисками информационной безопасности»

ISO\I EC 27004 «Менеджмент информационной безопасности. Измерения »

ISO\I EC 27003 «Руководство по реализации системы менеджмента информационной безопасности»

Рисунок 1 - Схема логических связей документов, входящих в состав серии о системе менеджмента информационной безопасности

Согласно положениям 180\ГЕС 27001 система менеджмента информационной безопасности должна иметь процессный характер, придерживающийся положениям цикла Деминга - Шухарта, заключающимся в последовательности действий по планированию процесса, его осуществлении и последующей проверки, после чего должно идти изменение заключающееся в плавном пересмотре подходов и актуализации внимания на последующее планирование, после чего цикл повторяется.

В соответствии с требованиями стандарта, руководство организации должно определить границы действия систем управления информационной безопасностью, после чего сформировать политику управления информационной безопасностью, формирующую концептуальные характеристики бизнеса организации, совокупность её активов и применяемых информационных технологий. Следующим ключевым этапом должна являться оценка рисков и выбор метода их обработки, с целью формирования единой системы взглядов на вопросы обеспечения и управления информационной безопасностью в организации. Последующим этапом должно служить выявление рисков, согласно выбранному методу, подходящему для конкретной организации. Выявление рисков предполагается осуществлять посредством формирования перечня активов и их владельцев, с целью выявления слабых мест, уязвимости которых могут дать толчок для реализации угроз информационной безопасности, в совокупности с выявлением деструктивных воздействий на данные активы с точки зрения информационной безопасности.

Следующим промежуточным этапом является оценка выявленных рисков и формирование стратегии управлениям ими, заключающейся в:

- изменении параметров защиты и\или управления;

- принятии рисков, в случае удовлетворения условиям (ранее описываемой) политики;

- избавление от рисков;

- возложение ответственности за данные риски на сторонние организации, или передача рисков.

В результате принятия определенной стратегии управления рисками, согласно стандарту, должно последовать снижение уровня риска до приемлемого уровня - остаточного риска. Таким образом, система управления информационной безопасностью организации является документированной и готовой для внедрения. Согласно положениям КО\ШС 27001 процесс реализации и эксплуатации системы менеджмента информационной безопасности должен заключатся в:

1. Формулировке плана обработки рисков.

2. Реализации плана обработки рисков.

3. Формировании и применении средств управления.

4. Оценке эффективности принятых средств управления.

5. Подготовке и осуществлении плана повышения осведомленности персонала.

6. Управлении деятельностью системы менеджмента информационной безопасности.

7. Управлении ресурсами системы менеджмента информационной безопасности.

8. Внедрении в действие систем обнаружения инцидентов информационной безопасности.

Таким образом, согласно циклу Деминга - Шухарта, вышеописанные действия являются процессами планирования и осуществления, после которых должны следовать процессы проверки и пересмотра предыдущих действий (совершенствования), что и описывает оставшаяся часть стандарта. Особое внимание уделяется процессам документирования требований и политик организации в области информационной безопасности и их защиты, а также формализации механизмов реагирования на инциденты информационной безопасности, совместно с повсеместным «Управлением записями», которое подразумевает постоянное ведение журналов, протоколов и форм разрешения доступа, связанных как с активами и их рисками, так и с процессами обеспечения информационной безопасности организации. Также стоит отметить существенное акцентирование внимания содержания документа на вопросы совершенствования системы менеджмента информационной безопасности. Согласно данным акцентам совершенствование должно осуществляться по результатам проведения отдельной процедуры - собственного аудита системы, целью которого является проверка соответствия системы бизнес требованиям, эффективности механизмов управления информационной безопасностью и корректности выполнения функций защиты.

Результатом такой процедуры должно являться аналитическое заключение о возможности улучшения, дополнения или видоизменения системы, способствующее дальнейшему совершенствованию и развитию системы управления информационной безопасностью. В приложении к стандарту дается перечень приложений, основная цель которых - попытка формализованного представления целей и средств управления информационной безопасностью.

Своего рода логическим продолжением вышеописанного стандарта, является стандарт КО\ШС 27002. По сути данный стандарт дает более детальное описание действий, представленных в 27001, однако расширяющий область своего действия до описания процессов управления активами, описания последовательности приема в штат и подбора новых сотрудников, с целью выполнения требований по информационной безопасности и последовательности действий в случае прекращения дальнейшего сотрудничества с сотрудниками организации. Также отдельное внимание уделено таким аспектам как физическая и экологическая безопасности, включая защиту периметра, оборудования, сотрудников от внешних экологических угроз, раскрывая особенности процессов утилизации использованных носителей информации и оборудования, а также их повторного использования.

Таким образом 1Б0\1ЕС 27002 формирует свод правил управления информационной безопасностью, последовательно описывая действия, представленные в 1Б0\1ЕС 27001. Особое внимание стандарта уделяется процедурам управления средствами связи и операций, заключающихся в:

1. Формализации процедур эксплуатации ИТ оборудования организации, включая:

a. фиксирование изменений оборудования;

b. формализацию обязанностей персонала;

c. разделение обязанностей персонала;

ё. разграничение средств:

1. разработки; п. испытаний; ш. эксплуатации.

2. Определении механизмов управления предоставления услуг третьим лицам, включая:

a. Осуществление предоставления услуг третьим лицам;

b. Контроль за процессом предоставления услуг третьим лицам;

c. Анализ предоставляемых услуг третьим лицам и способов их предоставления;

ё. Фиксирование изменений условий предоставления услуг третьим лицам.

3. Планировании реализации и осуществления приемки новых систем, включая управление производительностью вводимых систем и формирование способов их приемки.

4. Защите от вредоносного кода, посредством описывая механизмов и средств защиты от данных воздействий.

5. Формализации процедуры и осуществления процессов резервного копирования информации.

Источник угрозы

Источник угрозы 1

Источник угрозы 2

Источник угрозы N

Для определения параметров взаимодействия источника угроз и способа реализации экспертам необходимо провести заполнение пересечения столбцов и строк матрицы исходя из следующих соображений:

- Невозможна (Н\В) - значение присваивается пересечению в том случае, если эксперт считает, что данный способ реализации не может быть применен данным источником угрозы;

- Низкая (Н) - значение присваивается пересечению в том случае, если эксперт считает, что данный способ реализации имеет низкую применимость данным источником угрозы;

- Средняя (С) - значение присваивается пересечению в том случае, если эксперт

считает, что данный способ реализации имеет среднюю применимость данным источником угрозы;

- Высокая (В) - значение присваивается пересечению в том случае, если эксперт считает, что данный способ реализации имеет высокую применимость данным источником угрозы.

Для получения первичных коэффициентов вероятности реализации угрозы каждому из параметров присваивается числовой коэффициент:

- Н\В = 0;

- Н = 0,2;

- С = 0,5;

- В = 1.

11 ■■■ 1М

Таким образом, мы имеем матрицу вида

N1 ■■■ ЫМ\

к1

где 1 - количество экспертов, N количество источников угроз, а М - количество способов реализации. При этом возможность реализации ^ угрозы информационной безопасности / описывается совокупным множеством способов реализации данной угрозы Е1 ЕМ.

Итоговая матрица кг возможности реализации угроз после заполнения всеми приглашенными экспертами будет иметь вид:

ку

=I

1=1

11 ■■■ 1М Ш1 ■■■

к1

Показатель возможности реализации угрозы ) нарушителем N рассчитывается как среднее арифметическое полной суммы показателей строки N матрицы кг для всех Е^.

В зависимости от используемой методологии расчета актуальности угроз и рисков информационной безопасности данные коэффициенты подлежат дополнительной трактовке, однако исходя из общей логики метода разброс возможных значений итоговых показателей следует трактовать:

- Е [0 ,0,2) - нереализуема;

- Е [0,2 , 0,5) - мало вероятно реализуема;

- Е [0,5 , 0,8) - вероятно реализуема;

- У[и Е [0,8 ,1] - крайне вероятно реализуема.

2.4.3. Определение степени опасности реализации угроз информационной безопасности с учетом динамических экспертных систем поддержки принятия решений

В основу определения степени опасности реализации угроз информационной безопасности заложены принципы динамических экспертных систем поддержки принятия решения. Зачастую при определении степени опасности реализации угрозы информационной безопасности понимают во внимание величину и степень влияния возможных деструктивных последствий при реализации угрозы. В основном данные степени опасности формализуют в виде предполагаемой суммы в денежном эквиваленте, однако такой подход не применим для случаев, когда последствия реализации угроз информационной безопасности неоценимы в денежном эквиваленте, либо, когда такая оценка неприемлема, исходя из важности самих активов организации. В таких случаях построение модели угроз имеет цель не определить наиболее приоритетные направления по защите информации для минимизации финансовых потерь и прибыли, а для определения наиболее уязвимых мест в системе защиты информации, а также формировании необходимого перечня мероприятий по их устранению.

Исходя из выше приведенных аспектов, в основу оценки степени опасности угроз информационной безопасности будет заложен метод экспертной оценки и принцип усреднения коэффициентов, для минимизаций, сопутствующих методу экспертной оценки недостатков. Следует учитывать, что с учетом подхода, предлагаемого методом управления информационной безопасностью настоящей диссертационной работы, рассмотрение угрозы как абстрактного дискретного объекта состоящего из целого ряда взаимосвязанных параметров и изменение одного из них ведет к неминуемому изменению всей цепочки связей, эти параметры будут влиять на степень опасности самой угрозы, при этом степень опасности угрозы будет варьироваться в зависимости от важности актива, в рамках которого будет рассматриваться сама угроза информационной безопасности.

Основываясь на данной логике была определена первостепенная взаимосвязь параметра, наиболее полно описывающего влияние конкретного источника угрозы на степень опасности самой угрозы. Данный параметр связан напрямую как с самим источником угрозы, так и рассматриваемой угрозой, и напрямую влияет на степень опасности угрозы - деструктивное воздействие [58, 59].

С учетом структуры динамических экспертных систем поддержки принятия решений,

оценка степени опасности угрозы будет заключаться в:

1. Конкретизации исследуемой проблемной области (степень опасности угроз информационной безопасности), для исключения комбинаторного взрыва.

2. Подборе экспертов.

3. Инженерии знаний экспертов.

4. Формировании рабочей базы данных.

5. Формализации принятия решений при получении результатов.

а с учетом применения метода экспертной оценки и принципа усреднения коэффициентов добавятся следующие пункты:

6. Определении степени опасности деструктивного воздействия реализации угрозы методом экспертной оценки.

7. Усреднении коэффициентов, полученных от экспертов.

8. Определении важности защищаемых активов.

Для первичного наполнения базы данных, отобранным экспертам по информационной безопасности представляется для заполнения матрица, представленная в таблице 2.4.3.1.

Таблица 2.4.3.1 - Матрица определения взаимосвязи источника угроз и деструктивного воздействия угроз информационной безопасности.

Деструктивное воздействие Деструктивное воздействие 1 Деструктивное воздействие 2 Деструктивное воздействие 3 Деструктивное воздействие 4 Деструктивное воздействие 5 Деструктивное воздействие 6 Деструктивное воздействие М

Источник угрозы

Источник угрозы 1

Источник угрозы N

Для оценки степени опасности необходимо предварительно провести анализ всех угроз информационной безопасности, рассматриваемых в рамках используемой методологии просчета актуальности угроз для определения всех сопутствующих им деструктивных воздействий,

основываясь на способах реализации угроз, в случае отсутствия данной классификации в рамках самой методологии.

Для определения параметров взаимодействия источника угроз и деструктивного воздействия экспертам необходимо провести заполнение пересечения столбцов и строк матрицы исходя из следующих соображений:

- Низкая (Н) - значение присваивается пересечению в том случае, если эксперт считает, что данное деструктивное воздействие имеет низкую степень влияния на защищаемые активы организации от данного источника угрозы;

- Средняя (С) - значение присваивается пересечению в том случае, если эксперт считает, что данное деструктивное воздействие имеет среднюю степень влияния на защищаемые активы организации от данного источника угрозы;

- Высокая (В) - значение присваивается пересечению в том случае, если эксперт считает, что данное деструктивное воздействие имеет высокую степень влияния на защищаемые активы организации от данного источника угрозы.

Для получения первичных показателей степени опасности угрозы каждому из параметров присваивается числовой коэффициент:

- Н = 0;

- С = 0,5;

- В = 1.

Таким образом, мы имеем матрицу вида

11 ■■• 1М N1 ■■■

к1

где 1 - количество экспертов, N количество источников угроз, а М - количество деструктивных воздействий. При этом степень опасности Д угрозы информационной безопасности / описывается совокупным множеством возможных деструктивных воздействий данной угрозы Qi ЕМ.

Итоговая матрица кг возможности реализации угроз после заполнения всеми приглашенными экспертами будет иметь вид:

ку

=I

1=1

11 ■■• 1М

Ш1 ■■■ ым\

к1

Показатель опасности угрозы (Д) нарушителем N рассчитывается как среднее арифметическое полной суммы показателей строки N матрицы кг для всех Qi.

В зависимости от используемой методологии расчета актуальности угроз и рисков информационной безопасности данные коэффициенты подлежат дополнительной трактовке, однако исходя из общей логики метода разброс возможных значений итоговых показателей следует трактовать:

- Е [0 , 0,4) - низкая степень опасности;

- ^ Е [0,4 , 0,8) - средняя степень опасности;

- 0{ Е [0,8 , 1] - высокая степень опасности.

2.4.4. Определение пост априорной оценки возможности реализации угроз информационной безопасности

При определении пост априорной оценки возможности реализации угроз информационной безопасности заложены структура динамических экспертных систем поддержки принятия решений и метод экспертной оценки. Основой, для принятия решений при оценки возможности реализации угроз информационной безопасности является совокупность информации в статической и динамической базе данных. Динамическая база данных содержит перечень необходимой информации по информационной системе, включая сведения о типах и составе защищаемых активов, средств и механизмов защиты информации, совместно с уникальным перечнем атрибутов и метаинформации по каждому конкретному активу и средству защиты информации.

Статическая база данных содержит перечень служебной информации и составляемых правил взаимодействия, как внутри собственной структуры, так и внешних (динамической БД). В её состав входят:

- информация по каждой из существующих (в рамках модели) угроз безопасности информации, включая:

о объект воздействия;

о способы реализации уязвимости, характерной для данной угрозы;

- условие (совокупность условий) наличия данной угрозы для защищаемого актива (объекта воздействия).

Для построения первичных правил используется фиксированная привязка следующих параметров друг к другу:

- «Тип актива» - «Угроза»;

- «Угроза» - «Условие возникновения угрозы»;

- «Угроза» - «Меры перекрытия угрозы»;

- «Меры перекрытия угрозы» - «Средства перекрытия».

Поскольку условие возникновение угрозы напрямую зависит от сочетания типа актива и присущих ему угроз, значение параметра «Условие возникновения угрозы» будет варьироваться в значениях (а):

1 - условие возникновения угрозы существует;

0 - условие возникновения угрозы не существует.

Количество и состав условий определяется для каждой угрозы отдельно, на этапе работы по наполнению экспертной системы данными, с учетом совокупного мнения опрашиваемых экспертов.

Основываясь на знаниях об условиях возникновении угроз и типах активов, подверженных угрозе, на этапе наполнения экспертной системы данными происходит формализация мер перекрытия угрозы, для каждой из которых вводятся соответствующие средства перекрытия. В случае необходимости перекрытия угрозы совокупностью мер, для каждой из мер вводится процентная градация степени перекрытия угрозы (X).

Для каждого средства перекрытия конкретной меры определяется максимальное значение, устанавливающее полноту перекрытия меры данным средством. Основываясь на результатах опроса экспертов в области информационной безопасности, устанавливаются следующие значения полноты перекрытия меры средством перекрытия (Я):

0 - средство перекрытия угрозы отсутствует;

3 - средство перекрытия не обладает подтверждением реализации требуемых функций, корректности их настройки;

5 - средство перекрытия обладает подтверждением требуемых функций, но отсутствуют сведения о корректности;

7 - средство перекрытия обладает подтверждением требуемых функций и есть подтверждения корректности настройки.

Таким образом, расчет возможности реализации (V) угрозы будет определяться по следующей формуле:

Х1 + Х2 + ■■■ Хп = 100 а Е [0,1]

Rn - текущее значение полноты перекрытия меры средства R, для меры n.

Хп - коэффициент степени перекрытия угрозы X, для меры п.

а - наличие условия возникновения угрозы.

Основные преимущества использования предложенного подхода заключаются в:

- объективности оценки возможности реализации угрозы, с учетом совокупного мнения множества экспертов;

- формализации используемых параметров оценки вероятности реализации угроз информационной безопасности;

- автоматизации выполнения процесса;

- учете требований и существующих средств и мер защиты информации, действующих в организации;

- существенном сокращении периода проведения оценки:

- упрощении актуализации и проведения переоценки;

- сокращение нагрузки на аналитиков в области информационной безопасности;

- установление логической взаимосвязи параметров, используемых при оценки вероятности реализации угроз информационной безопасности;

- статистической достоверность полученных результатов;

- отсутствии человеческого фактора;

- возможности дальнейшего использования и актуализации собранной информации, достигаемой посредством использования средств автоматизации.

2.5. Структура метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений

В основу разработанного метода управления информационной безопасностью заложены динамические экспертные системы поддержки принятия решений. Исходя из уточнённого определения понятия «Управление информационной безопасностью», а также основываясь на процессом представлении обеспечения информационной безопасностью, управление всей информационной безопасностью в организации должно быть основано на комплексном подходе к управлению каждым из процессов обеспечения информационной безопасности в организации.

В процессе проведения анализа международной и Российской нормативно-правовой документации был выявлен следующий перечень основных процессов, на управлении которыми основывается метод управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений:

1. Управление активами организации.

2. Управление ресурсами системы защиты информации, реализованной в организации.

3. Управление рисками и угрозами информационной безопасности.

4. Управление документацией и информационной справочной системой в организации.

5. Управление аудитом системы защиты информации.

6. Управление анализом эффективности системы защиты информации.

7. Управление задачами и деятельностью сотрудников, осуществляющих процессы обеспечения информационной безопасности в организации.

8. Управление процессами обеспечения непрерывности работы информационных систем и информационно-телекоммуникационных сервисов.

9. Управление процессами обеспечения мониторинга, выявления и реагирования на события информационной безопасности.

10. Управление процессами обеспечения информационной безопасности на различных этапах развития информационных систем, а также поддержания и продления жизненных циклов информационных систем организации.

11. Управление процессами обеспечения информационной безопасности при осуществлении работы с сотрудниками организации, повышении их квалификации и общей компетенции по вопросам информационной безопасности.

12. Управление процессами обеспечения информационной безопасности при осуществлении информационного обмена и взаимодействии с третьими сторонами.

13. Управление процессами обеспечения разграничения прав доступа к информации и информационным системам пользователей организации, а также последующего контроля за данным процессом.

Структура типовой динамической экспертной системы поддержки принятия решений состоит из:

- пользовательского интерфейса системы, обеспечивающего работу целевых пользователей и экспертов с системой;

- целевой аудиторией пользователей системы;

- интеллектуального редактора базы знаний, обеспечивающего формирование новых сведений о системе и актуализации исходных данных;

- экспертной группы, участвующей в процессе формирования требований исходных данных по самой системе и её составным частям;

- группы инженеров знаний, участвующих в преобразовании, систематизации и распределении классификаторов по типам данных, сформированной экспертной группой;

- рабочей памяти системы, обеспечивающей взаимодействие данных;

- базы знаний с разработанными классификаторами от экспертной группы, преобразованной и распределенной по систематизированным правилам группой инженеров знаний;

- механизма вывода, осуществляющего анализ исходных и актуализированных данных на основе сформированных правил поведения системы;

- подсистемы объяснений, отвечающей за аналитическое обоснование принятых решений по результатам обработки данных механизмами вывода.

Таким образом, полный перечень рассмотренных и описанных выше процессов подлежит соответствующему разбиению на основные функциональные группы, исходя из их роли в рамках процессов обеспечения информационной безопасности, а именно:

1. Группа формирования требований и исходной информации к системе защиты информации и объектам защиты.

2. Группа систематизации информации по системе защиты информации и объектам защиты.

3. Группа актуализации информации по системе защиты информации и объектам защиты.

4. Группа аналитической обработки, контроля и анализа эффективности реализации механизмов защиты, действующих в рамках системы защиты информации.

5. Группа принятия решений по управлению информационной безопасностью и применению корректирующих и предупреждающих воздействий, в сочетании с планированием и совершенствованием механизмов защиты, действующих в рамках системы защиты информации.

Каждая из данных функциональных групп может быть представлена в виде одной из составных частей в структуре экспертной системы, отвечающей за конкретные действия в рамках данного метода управления информационной безопасностью. Если провести аналогию между процессами управления информационной безопасностью и структурой экспертной системы, отодвинув на второй план вопросы автоматизации самих процессов, мы получим полноправную экспертную систему, отвечающую за реализацию конкретного процесса в рамках организации.

Группа формирования требований и исходной информации к системе защиты информации и объектам защиты предназначена для систематизации требований внешней и внутренней нормативно-правовой документации в области обеспечения информационной безопасности в организации и должна обеспечивать формирование исходного набора информации по всем объектам защиты и механизмам системы защиты информации в привязке к возникающим нормативным требованиям. К данной группе будет относиться:

- процесс управления документацией и информационной справочной системой в организации;

- процесс управления активами организации;

- процесс управления ресурсами системы защиты информации, реализованной в организации;

- процесс управления процессами обеспечения информационной безопасности при осуществлении работы с сотрудниками организации, повышении их квалификации и общей компетенции по вопросам информационной безопасности;

- процесс управления процессами обеспечения информационной безопасности при осуществлении информационного обмена и взаимодействии с третьими сторонами;

- процесс управления процессами обеспечения разграничения прав доступа к информации и информационным системам пользователей организации, а также последующего контроля за данным процессом.

В рамках реализации функционального назначения данной группы процессов с учетом структуры динамических экспертных систем поддержки принятия решений, для детального формирования требований и исходной информации для смежных процессов должна быть привлечена группа экспертов в области обеспечения информационной безопасности. Данная функциональная группа призвана обеспечить формализацию и определить классификаторы по формируемым исходным данным для последующей их систематизации в рамках системы управления информационной безопасностью в организации. С точки зрения динамических экспертных [67, 68] систем, данная функциональная группа будет являться «Базой знаний».

Группа систематизации информации по системе защиты информации и объектам защиты предназначена для структуризации всех собранных исходных данных и требований по информационной безопасности, сформированным в рамках работы первой функциональной группы. При работе данной функциональной группы происходит формальное распределение собранной исходной информации по составляющим частям системы защиты информации. В рамках настоящего метода управления информационной безопасностью и с целью упрощения понимания принципов систематизации информации данная функциональная группа будет являться собирательным образом элементов каждого из процессов, задействованных в первой функциональной группе с единым полем систематизации. Результатом работы данной функциональной группы будет являться распределение потоков исходных данных и укрупнение их в рамках наиболее простой составляющей части в организации - информационной и\или автоматизированной системы К данной функциональной группе будут относится исходные данные по следующим процессам:

- процесс управления документацией и информационной справочной системой в организации;

- процесс управления активами организации;

- процесс управления ресурсами системы защиты информации, реализованной в организации;

- процесс управления процессами обеспечения информационной безопасности при осуществлении работы с сотрудниками организации, повышении их квалификации и общей компетенции по вопросам информационной безопасности;

- процесс управления процессами обеспечения информационной безопасности при осуществлении информационного обмена и взаимодействии с третьими сторонами;

- процесс управления процессами обеспечения разграничения прав доступа к информации и информационным системам пользователей организации, а также последующего контроля за данным процессом.

Основным результатом работы данной функциональной группы будет являться систематизированный перечень исходных данных по системе защиты информации и объектам защиты с распределенными классификаторами по типам данных и правил их взаимодействия внутри организации. С точки зрения динамических экспертных систем данная функциональная группа будет являться совокупностью «Экспертной группы» и «Группы инженеров знаний».

Группа актуализации информации по системе защиты информации и объектам защиты предназначена для внесения своевременных изменений, дополнений и расширения общей инфраструктурной информации по объектам и механизмам защиты, а также для поддержания общего уровня заданных параметров по требованиям нормативно-правовой документации, в сочетании с мониторингом протекающих процессов в рамках основных составляющих организации в привязке как к внутреннему, так и внешнему персоналу самой информационной и\или автоматизированной системы, а также представителям третьих сторон. Основная цель данной функциональной группы заключается в своевременном обновлении информации в процессе работы организации, а также мониторинг, выявление и реагирование на события информационной безопасностью, что также является одним из способов актуализации информации и отображения состояния системы защиты информации и объектов защиты. К данной функциональной группе относятся:

- процесс управления процессами обеспечения информационной безопасности на различных этапах развития информационных систем, а также поддержании и продлении жизненных циклов информационных систем организации;

- процесс управления процессами обеспечения непрерывности работы информационных систем и информационно-телекоммуникационных сервисов;

- процесс управления процессами обеспечения мониторинга, выявления и реагирования на события информационной безопасности;

- процесс управления процессами обеспечения разграничения прав доступа к информации и информационным системам пользователей организации, а также последующего контроля за данным процессом.

Основным результатом работы данной функциональной группы будет являться актуализация всех данных о системе защиты информации и объектах защиты, а также определении новых и\или недостающих параметров для определения тех или иных зависимостей и правил поведения системы защиты информации, необходимых для наиболее корректной и эффективной работы последующих функциональных групп. С точки зрения динамических экспертных систем данная функциональная группа будет являться «Редактором базы знаний».

Группа аналитической обработки, контроля и анализа эффективности реализации механизмов защиты, действующих в рамках системы защиты информации, предназначена для проведения структурированного анализа собираемых и актуализируемых данных в ходе работы первых трех функциональных групп, контроля за соблюдением требований нормативно-правовой документации и комплексного анализа эффективности применяемых средств защиты информации. Основная цель данной функциональной группы заключается в построении сложных аналитических расчётов, поведенческих прогнозов, построении моделей поведения объектов защиты и потенциальных нарушителей в привязке к реальному положению дел в организации. Данная функциональная группа опирается исключительно на опыт, квалификацию и ответственность экспертной группы, привлекаемой к процессу управления информационной безопасностью, и является наиболее важной и ресурсоёмкой группой в рамках настоящего метода управления информационной безопасностью. С точки зрения динамических экспертных систем и типовой структуры экспертной системы, данная функциональная группа будет являться «Решателем» или механизмом вывода данных на основе их анализа для последующего принятия решений. К данной группе будут относится:

- процесс управления рисками и угрозами информационной безопасности;

- процесс управления аудитом системы защиты информации;

- процесс управления анализом эффективности системы защиты информации.

Группа принятия решений по управлению информационной безопасностью и применению корректирующих и предупреждающих воздействий, в сочетании с планированием и совершенствованием механизмов защиты, действующих в рамках системы защиты информации, предназначена для тактического и стратегического управления информационной безопасностью на основе получаемых данных от других функциональных групп, формирования своевременного пула действий для применения корректирующих и предупреждающих воздействия на систему защиты информации, а также планирования работ по совершенствованию механизмов защиты информации, реализованных в рамках действующей системы защиты информации в организации. К данной функциональной группе относится процесс управления задачами и деятельностью сотрудников, осуществляющих процессы обеспечения информационной безопасности в организации. С точки зрения динамических экспертных систем данная функциональная группа будет являться «Подсистемой объяснения», а также подсистемой поддержки-принятия [70] решений по управлению информационной безопасностью в организации.

Общая структура метода управления информационной безопасностью, с разбиением по функциональным группам и их обобщением с учетом использования динамических экспертных систем, представлен на рисунке 2.5.1. Для упрощения визуального отображения процессов, полные названия процессов заменены более короткими обозначениями.

Документационное обеспечение

Ресурсы СЗИ

Персонал

Третьи стороны

Управление доступом

Информация по процессным составляющим, системе защиты информации и объектам защиты -

Структурная единица организации

Жизненный цикл информационных систем

Непрерывность работы информационных систем

Инциденты

Управление доступом

3

Угрозы, уязвимости и риски

Анализ эффективности

Аудит

Управление

+

Рисунок 2.5.1 - Структура метода управления информационной безопасностью

Таким образом, первым основным действием в рамках разработанного метода управления информационной безопасностью на основе динамических экспертных систем

поддержки принятия решений будет являться разделение процессных составляющих управления и обеспечения информационной безопасности в организации по функциональным группам, реализующим конечное множество действий. В результате выполнения первого действия происходит формирование элементов базы знаний экспертной системы поддержки принятия решений.

Вторым действием будет являться формализация общих и частных требований к процессам управления и обеспечения информационной безопасности в организации, исходя из требований внутренних и внешних нормативно-правовых документов по информационной безопасности. В зависимости от типа данных, размера организации и основной деятельности организации формализация частных требований может иметь значительное отличие, однако формализация общих требований, описанных во второй главе настоящей диссертационной работы, будет совпадать. В результате выполнения второго действия происходит формирование логических правил взаимодействия элементов базы знаний экспертной системы поддержки принятия решений.

Третьим действием будет являться сбор исходной информации по объектам защиты и системе защиты информации в целом. В рамках данного действия необходимо определить начальный перечень информации по приоритетным направлениям, а именно:

- информацию о защищаемых активах организации;

- информацию о ресурсах системы защиты информации, включая технические и организационные мероприятия, а также информацию о границах их применимости в рамках организации;

- информацию о составе и функциях обслуживающего персонала организации, а также пользователей автоматизированных и\или информационных систем;

- информацию о составе и характере взаимодействия и\или информационного обмена со сторонними организациями и третьими лицами;

- информацию о правилах и привилегиях доступа к защищаемым информационным активам, ресурсам системы защиты информации и автоматизированным и\или информационным системам организации.

В результате выполнения третьего действия произойдет наполнение базы знаний первичными знаниями экспертной системы поддержки принятия решений.

Четвертым действием будет являться систематизация полученных исходных данных по минимально значимым составным частям организации, а также присвоением определяемых

классификаторов взаимодействия и\или взаимозависимости данных по их типу. Такими частями могут являться автоматизированные и\или информационные системы, ответственные лица организации, административный персонал и т.д. В зависимости от состава и характера определенных минимально значимых составных частей организации будут зависеть поведенческие правила работы системы защиты информации, данные правила могут быть описаны в виде политик, регламентов и концепций по информационной безопасности. В результате выполнения четвёртого действия происходит определение метаданных или классификаторов данных, установление взаимозависимости информации по данным классификаторам, а также формализация принципов формирования новых знаний.

Пятым действием будет являться определение состава и степени возможной корректировки классификаторов и моделей взаимодействия, а также состава информации по основным минимально значимым составным частям организации, а также последующая формализация данного действия, закрепленного в руководящих и организационно-распорядительных документах организации по информационной безопасности. В результате выполнения пятого действия формируются логические правила динамического изменения экспертных оценок по возможным классификаторам и взаимозависимостям знаний, динамическое изменение содержания базы знаний экспертной системы поддержки принятия решений в ходе выполнения процессов ИБ.

Шестым действием будет являться определение, обоснование и применение методик определения актуальности угроз, уязвимостей и рисков информационной безопасности в организации, а также методик оценки эффективности работы системы защиты информации и её составных частей, методик проведения аудита и оценки степени соответствия требованиям внешних и внутренних регулирующих органов. В результате выполнения шестого действия происходит определения правил оценки соответствия СЗИ требованиям по ИБ и принятие решений на основе динамического изменения информации от процессов ИБ с течением времени.

Седьмым действием будет являться определение параметров и выработка основных управленческих концепций и регламентов по реагированию и своевременному применению управляющих, корректирующих и предупреждающих воздействий на события как внутри организации, так и внутри системы защиты информации. В результате выполнения седьмого действия происходит принятие решений и формирование оперативного управляющего воздействия на СЗИ и процессы ИБ.

Восьмым действием будет являться формирование и обоснование планов дальнейшего развития и совершенствования системы защиты информации в целом и механизмов защиты в частности, а также пересмотр применимости ранее выбранных методик, с целью повышения

эффективности действующей системы защиты информации. В результате выполнения восьмого действия происходит анализ динамических изменений информации от процессов ИБ после принятия решений, после чего происходит формирование планов дальнейшего совершенствования СЗИ.

Девятым действием будет являться формирование отдельной системы\подсистемы управления информационной безопасностью в организации, отвечающей за выполнение вышеописанных действий как с использованием средств автоматизации, так и без их использования, после чего процесс должен быть повторён, в связи с необходимостью обеспечения непрерывности процесса обеспечения информационной безопасности и защиты информации.

Таким образом, весь метод управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений можно свести к последовательному выполнению следующих действий:

1. Разделение процессных составляющих управления и обеспечения информационной безопасности в организации по функциональным группам, реализующим конечное множество действий.

2. Формализация общих и частных требований к процессам управления и обеспечения информационной безопасности в организации.

3. Сбор исходной информации по объектам защиты и системе защиты информации.

4. Систематизация полученных исходных данных по минимально значимым составным частям организации с определением и присвоением классификаторов взаимодействия и\или взаимозависимости данных по их типу.

5. Определение состава и степени возможной корректировки классификаторов и моделей взаимодействия, а также состава информации по ним, с последующей формализацией в виде руководящих документов организации.

6. Определение, обоснование и применение методик определения актуальности угроз, уязвимостей и рисков информационной безопасности в организации, а также методик оценки эффективности работы системы защиты информации и её составных частей, методик проведения аудита и оценки степени соответствия требованиям внешних и внутренних регулирующих органов.

7. Определение параметров и выработка основных управленческих концепций и регламентов по реагированию и своевременному применению управляющих,

корректирующих и предупреждающих воздействий на события как внутри организации, так и внутри системы защиты информации.

8. Формирование и обоснование планов дальнейшего развития и совершенствования системы защиты информации в целом и механизмов защиты в частности, а также пересмотр применимости ранее выбранных методик.

9. Формирование\доработка отдельной системы\подсистемы управления информационной безопасностью в организации.

10. Повторное выполнение действий, описанных в пунктах 2 - 10.

Последовательность действий, описанных в настоящем методе управления информационной безопасности является строго зависимой друг от друга, переход к последующему шагу не может быть произведен до момента полного завершения действий предыдущего шага. Прежде всего это вызвано строгой логикой получения, сбора, систематизации и установления взаимосвязи по собираемым данным и их параметрическим характеристикам, данное условие необходимо для применения четкой логики построения и создания возможности последующей доработки общей и частной модели данных для системы управления информационной безопасностью.

Как следует из положений настоящего метода управления информационной безопасностью одним из основополагающих действий является сбор и систематизация данных, однако ввиду сложности образующих процессов, а следовательно и большого потока данных, для реализации данного метода необходимо сформировать строгую модель взаимодействия и взаимозависимости данных как общую - охватывающую полный перечень формализованных процессов, так и частные модели - затрагивающие лишь взаимозависимости данных в рамках каждого процесса. Исходя из концептуальных основ и положений разработанного метода управления информационной безопасностью была составлена общая модель взаимодействия данных, при осуществлении управления информационной безопасностью, с сегментированным разбиением процессов обработки информации по составляющим частям, описанным в пункте 2.2. настоящей диссертационной работы.

К основным преимуществам разработанного метода управления информационной безопасностью относиться:

1. Гибкость метода управления информационной безопасностью учитывающего не только положения Российской и международной нормативно-правовой документации в области информационной безопасности, но и внутренние и отраслевые требования, характерные для специфики деятельности конкретной организации.

2. Возможность использования средств автоматизации для конечных процессов обеспечения информационной безопасности, при реализации единого механизма управления информационной безопасностью в организации.

3. Повышение эффективности системы защиты информации, путем формализации основных процессных составляющих обеспечения информационной безопасности.

4. Документирование основных процессных составляющих обеспечения информационной безопасности.

5. Снижение временных и материальных затрат на поддержание процессов обеспечения информационной безопасности в организации.

6. Формализация процессов управления информационной безопасностью.

7. Минимизация последствий реализации угроз информационной безопасности при осуществлении взаимодействия со сторонними организациями.

8. Минимизация последствий и времени разбора инцидентов информационной безопасности в организации.

9. Установление ярко выраженных взаимосвязей различных процессов и механизмов обеспечения информационной безопасности друг с другом, в рамках существующей системы защиты информации в организации.

10. Определение, применение и контроль за деятельностью сотрудников по управлению информационной безопасностью, включая возможность своевременного формирования управляющих воздействий на персонал организации.

11. Повышение общего уровня осведомленности и компетенции персонала по вопросам информационной безопасности в организации.

12. Формализованное ведение перечней основных механизмов и мер защиты информации, действующих в рамках системы защиты информации, а также установление взаимосвязи технических и организационных мер защиты информации.

13. Возможность установления обратной связи с механизмами защиты информации при применении средств автоматизации для управления информационной безопасностью согласно положениям предлагаемого метода.

14. Системный подход к процессу управления информационной безопасностью.

15. Возможность автоматизации основных рутинных операций по обеспечению информационной безопасности с учетом предлагаемого метода и динамических экспертных

систем поддержки принятия решений, что существенно сократит временные и финансовые затраты на персонал организации, освободив тем самым время для проведение детального анализа и последующего совершенствования системы защиты информации в целом, а также механизмов и мер защиты информации в частности.

Рассмотрим составляющие части модели взаимодействия данных при управлении информационной безопасностью, согласно логической структуре самих процессов обеспечения информационной безопасности.

Выводы по главе

1) Определен основной состав мероприятий по обеспечению информационной безопасности в организациях различной величины и видов деятельности.

2) Систематизирован и описан подход к управлению процессами обеспечения информационной безопасности.

3) Определена возможность и целесообразность применения современных средств автоматизации и логических алгоритмов [38] для работы с большим объемом аналитической информации, формируемой процессами.

4) Показана реальная возможность выполнения сложных рутинных операций по управления информационной безопасностью с использованием динамических экспертных систем поддержки принятия решений.

5) Сформулированы основные направления и аспекты управления информационной безопасностью при реализации каждого из процессов.

6) Разработан метод управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений.

ГЛАВА 3. КОМПЛЕКСНАЯ МОДЕЛЬ УПРАВЛЕНИЯ ВЗАИМОДЕЙСТВИЕМ ДАННЫХ В СИСТЕМЕ ОБЕСПЕЧЕНИЯ ИБ НА ОСНОВЕ ПРОЦЕССНОГО ПОДХОДА

3.1. Модель данных процесса формирования и поддержания актуальности информационно-справочной системы по вопросам информационной безопасности

Управление процессом формирования и поддержки актуальности информационно-справочной системы по вопросам информационной безопасности в организации является основополагающей составной части всего процесса управления информационной безопасностью. В рамках данного процесса формируются требования к системе защиты информации, опыту, квалификации и должностным\функциональным обязанностям сотрудников организации, формируется перечень мер и механизмов защиты информации, порядок проведения проверок, правила и принципы принятия решений в различных ситуациях, а также происходит анализ и корректировка требований для дальнейшего использования, опираясь на результаты работы и\или введения смежных процессов управления информационной безопасностью. С точки зрения метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений данный процесс будет являться одним из первоочередных в рамках функциональной группы процессов, относящихся к «Базе знаний».

Основным подходом к управлению настоящим процессом должно являться строгое разделение общего потока документов на два основных типа: внешние нормативно-правовые документы организации и внутренние документы организации, а также последующая их структуризация, основанная на результатах деятельности административного персонала организации, функционирования информационных и автоматизированных систем, взаимодействия со сторонними организациями (включая внешних регулирующих органов), изменений в законодательной базе и т.д. Общая схема модели взаимодействия данных процесса формирования и поддержания актуальности информационно-справочной системы по вопросам информационной безопасности при реализации метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений представлена на рисунке 3.1.1.

Управление потоком данных данного процесса является ключевым аспектом в деятельности организации и подразделений по защите информации при реализации системы защиты информации и служит плацдармом для построения дальнейшего взаимодействия между процессами информационной безопасности.

Процесс формирования и поддержания актуальности информационно-справочной системы по вопросам информационной безопасности

Рисунок 3.1.1 - Схема модели взаимодействия данных процесса формирования и поддержания актуальности информационно-справочной системы по вопросам информационной безопасности

3.2. Модель данных процесса управления защищаемыми активами организаций различного рода деятельности

Процесс управления защищаемыми активами организаций различного рода деятельности является следующей составной частью общего процесса управления информационной безопасностью в рамках предлагаемого метода. Общая схема модели взаимодействия данных процесса управления защищаемыми активами организации при

реализации метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений представлена на рисунке 3.2.1.

Рисунок 3.2.1 - Схема модели взаимодействия данных процесса управления защищаемыми

активами организации

Основываясь на деятельности группы экспертов, формирующих требования к настоящему процессу в привязке к требованиям информационно-справочной системы организации по вопросам информационной безопасности, проводится первичное определение общего количества, состава и классификации защищаемых активов организации. Определяются владельцы активов в рамках бизнес-процессов организации, а также ответственные за актив лица. Определяются правила предоставления доступа к активу со стороны внутренних пользователей организации и внешних привлеченных сотрудников сторонних организаций, осуществляемого в рамках информационного взаимодействия.

Таким образом формируется паспорт защищаемых активов, в которых в любой момент времени должна отображаться актуальная информация по текущему состоянию всех защищаемых активов, используемая в рамках смежных процессов управления информационной безопасностью.

В рамках настоящего метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений, из информации по защищаемым активам организации экспертной группой определяются основные минимально значимые структурные единицы организации, в отношении которых будет сроится дальнейшее управление. К таким единицам могут относится автоматизированные или информационные системы, функционирующие в организации. Данный подход дает возможность структурировать и систематизировать требования в области обеспечения информационной безопасности как ко всей системе в целом, так и к конкретным аспектам в частности. Следует отметить, что с точки зрения метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений данный процесс будет являться одним из составных частей в рамках функциональной группы процессов, относящихся к «Базе знаний», а процесс формирования структурных единиц к группе «Эксперт и инженер знаний»

3.3. Модель данных процесса управления ресурсами системы защиты информации

Процесс управления ресурсами системы защиты информации является составной частью общего процесса управления информационной безопасность в рамках предлагаемого метода. Данный процесс во многом схож с процессом управления защищаемыми активами организации и объясняется это прежде всего схожестью данных понятий. Также, как и для защищаемых активов, группа экспертов формирует требования к ресурсам системы защиты информации, основываясь на требованиях внешней и внутренней документации организации, сформированных в рамках информационно-справочной системы организации по вопросам информационной безопасности. Далее идет определение состава, количества и перечня выполняемых функций данных ресурсов, после чего определяется ответственный за функционирование данных ресурсов, а также определяются общие и частные правила доступа к ресурсу как со стороны внутреннего персонала, так и со стороны представителей сторонних организаций. Общая схема модели взаимодействия данных процесса управления ресурсами системы защиты информации при реализации метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений представлена на рисунке 3.3.1.

Совокупная информационная картина, отображающая сведения по составу, количественным и качественным характеристикам ресурсов системы защиты информации, включая наличие зависимых ресурсов, определение группы ресурсов, реализующих конечное

множество функций защиты, а также перечень защищаемых информационных активов, защита которых обеспечивается ресурсами системы защиты информации, формирует паспорт ресурса. После чего происходит дальнейшая обработка данной информации со стороны смежных процессов управления информационной безопасностью согласно предлагаемому методу. Данные о ресурсах системы защиты информации также должны участвовать в рамках определения минимально значимых структурных единиц по вопросам информационной безопасности в организации.

Процесс управления ресурсами системы защиты информации

Информационно-справочная система организации

I

Защищаемые активы организации

Управление рисками

Ресурсы СЗИ Сотрудники организации

Паспорт ресурса СЗИ:

ответственный за

ресурс;

тип ресурса;

сведения о ресурсе;

взаимодействие

ресурса;

доступ к ресурсу;

расположение

ресурса;

документация по ресурсу;

ценность ресурса; важность ресурса; критичность ресурса; меры,

обеспечиваемые ресурсом

наличие зависимых ресурсов;

состав защищаемых активов;

наличие резервных копий ресурса.

Управление непрерывностью работы организации

Управление доступом

Информационные\ автоматизированные системы организации

Рисунок 3.3.1 - Схема модели взаимодействия данных процесса управления ресурсами системы

защиты информации

Как и для защищаемых информационных активов, с точки зрения метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений данный процесс будет являться одним из составных частей в рамках функциональной группы процессов, относящихся к «Базе знаний», а процесс формирования структурных единиц к группе «Эксперт и инженер знаний».

3.4. Модель данных процесса управления информационной безопасностью при работе с персоналом организаций различного рода деятельности

Процесс управления информационной безопасностью при работе с персоналом организаций различного рода деятельности является одним из составных процессов управления информационной безопасностью в целом. Данный процесс является ключевым в рамках обеспечения информационной безопасности при найме новых сотрудников, поддержании общего уровня информационной безопасности в организации, а также при осуществлении взаимодействия смежных процессов управления информационной безопасностью. Как уже описывалось во второй главе настоящей диссертационной работы, данный процесс можно рассматривать относительно самого цикла трудовых отношений, начиная с отбора кандидатов и заканчивая увольнением сотрудника. Общая схема модели взаимодействия данных процесса управления информационной безопасностью при работе с персоналом в рамках реализации метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений представлена на рисунке 3.4.1.

Вне зависимости от текущего этапа трудовых отношений сотрудников и организации в рамках данного процесса необходим рациональный подход к ведению личных дел сотрудников, в составе которого помимо общего уровня квалификации и подготовки сотрудников необходимо вести учет и своевременную актуализацию таких сведений как:

- состав и содержание внутренних соглашений организации и ей сотрудников;

- сферу должностных и функциональных обязанностей сотрудника;

- сферу ответственности сотрудника;

- состав и привилегии доступа сотрудника к защищаемым активам и ресурсам системы защиты информации в организации;

- участие в инцидентах информационной безопасности;

наличие и состав проведения ознакомления и повышения осведомленности по ключевым вопросам информационной безопасности в организации;

возможности и характер взаимодействия со сторонними организациями;

перечень текущей нагрузки и основных задач.

Процесс управления информационной безопасностью при работе с персоналом организаций различного рода деятельности

Информационно-справочная система организации

Защищаемые активы организации

Ресурсы СЗИ

ИБ и жизненный цикл

Непрерывность работы организации

Нанимаемые сотрудники организации

Сотрудники организации

Личные дела сотрудников:

состав навыков и уровень квалификации сотрудников; состав внутренних соглашений с организацией

сфера обязанностей сотрудника; сфера ответственности сотрудника; состав функциональных обязанностей;

состав доступа к защищаемым активам;

уровень взаимодействия с ресурсами СЗИ; участие в инцидентах ИБ; ролевой состав участия в обработке информации в ИС организации; состав проведенных инструктажей; состав текущих задач; состав курсов повышения квалификации и обучения по вопросам ИБ;

состав и характер взаимодействия с третьими сторонами.

Управление доступом

Третьи стороны

Аудит

Инциденты ИБ

Управление задачами

Рисунок 3.4.1 - Схема модели взаимодействия данных процесса управления информационной безопасностью при работе с персоналом организации

Данный подход позволит обладать актуальной информацией не только о нагрузке и особенности трудовых взаимоотношений сотрудника, но и о его реальном участии в вопросах

обеспечения информационной безопасности в организации. Общей перечень данных сведений будет использоваться для дальнейшей обработки и систематизации в рамках смежных процессов управления информационной безопасностью согласно положениям предлагаемого метода, а также при систематизации и распределении информации по структурным единицам информационной безопасности организации. С точки зрения метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений данный процесс будет являться одним из составных частей в рамках функциональной группы процессов, относящихся к «Базе знаний», а процесс формирования структурных единиц к группе «Эксперт и инженер знаний».

3.5. Модель данных процесса управления информационной безопасностью при информационном обмене и сотрудничестве с третьими лицами

Процесс управления информационной безопасностью при информационном обмене и сотрудничестве с третьими лицами является одним из ключевых процессов в рамках деятельности любой организации. Наличие системного подхода к построению данного процесса дает возможность существенно увеличить общий уровень информационной безопасности в организации, исключить или существенно затруднить несанкционированное использование информации, а также наиболее эффективно оценивать возникающие риски при информационном обмене. В рамках данного процесса необходимо определить перечень организаций, с которыми предполагается осуществлять информационный обмен или взаимодействие. Наиболее простым и полным решением данного аспекта является формирование типовых соглашений и порядков предоставления доступа к защищаемым активам для абстрактной организации.

В данных документах должны быть отражены основания для информационного обмена или сотрудничества со сторонними организациями или третьими сторонами, возникающие в рамках основной деятельности организации. С учетом требований внешней и внутренней документации, действующей в организации, должны быть составлены типовые соглашения между взаимодействующими организациями, в которых должны быть однозначно определены:

- характер осуществляемого взаимодействия;

- состав защищаемых активов, к которым будут иметь доступ сторонние организации;

- ресурсы системы защиты информации, которые будут обеспечивать безопасное взаимодействие со сторонними организациями;

- порядок и правила доступа к информационным и автоматизированным системам организации;

- состав и ответственность персонала осуществляющего взаимодействие как внутреннего, так и внешнего;

- ответственность за нарушение правил взаимодействия организаций при информационном обмене и сотрудничестве;

- порядок разбора, закрытия и расследования инцидентов информационной безопасности, произошедших по вине или с участием представителей третьих сторон.

Строгая регламентация всех аспектов информационного обмена и взаимодействия со сторонними организациями является не простой необходимостью, данный аспект напрямую влияет на общий уровень информационной безопасности в организации, а отсутствие данного процесса как составляющей части системы защиты информации может нивелировать все используемые меры и механизмы защиты информации.

Следует отметить, что данный процесс практически полностью реализуется организационными мероприятиями по защите информации в организации, однако техническая составляющая не менее важна. Информация о взаимодействии со сторонними организациями напрямую влияет на процессы управления защищаемыми активами, ресурсами системы защиты информации, доступом, обеспечением непрерывности деятельности организации, инцидентами информационной безопасности, а также имеет косвенное влияние на смежные процессы управления информационной безопасностью в организации. Также следует учитывать, что данный процесс имеет равную направленность и подразумевает его использования для всех организаций, участвующих в информационном обмене и сотрудничестве.

С точки зрения метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений данный процесс будет являться одним из составных частей в рамках функциональной группы процессов, относящихся к «Базе знаний». Общая схема модели взаимодействия данных процесса управления информационной безопасностью при информационном обмене и сотрудничестве с третьими сторонами в рамках реализации метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений представлена на рисунке 3.5.1.

Рисунок 3.5.1 - Схема модели взаимодействия данных процесса управления информационной безопасностью при информационном обмене и сотрудничестве с третьими лицами

3.6. Модель данных процесса управления информационной безопасностью при осуществлении жизненного цикла автоматизированных и информационных систем

Процесс управления информационной безопасностью при осуществлении жизненного цикла информационных систем является одним из ключевых в рамках предлагаемого метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений. Данный процесс аккумулирует целый ряд совокупных данных по текущему состоянию автоматизированных и информационных систем, действующих в организации.

Данный процесс напрямую зависит от состава и требований внутренних и внешних нормативно-правовых документов, действующих в организации и систематизированных в рамках процесса формирования и актуализации информационно-справочной системы организации. В рамках данного процесса определяются, систематизируются и последующем актуализируются:

- состав защищаемых активов, сгруппированных в рамках рассматриваемой автоматизированной или информационной системы;

- состав и функции ресурсов системы защиты информации, реализующих защитные функции в рамках рассматриваемой автоматизированной или информационной системы;

- состав и характер функциональной нагрузки рассматриваемой автоматизированной или информационной системы;

- правила и привилегии доступа пользователей к системам;

- перечень сотрудников взаимодействующих с системами;

- ответственные лица за обслуживание систем;

- наличие, состав и характер взаимодействия систем друг с другом.

В результате функционирования данного процесса информация, собираемая и обрабатываемая в нем, будет передаваться для дальнейшей обработки в смежные процессы управления информационной безопасностью.

С точки зрения метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений данный процесс будет являться одним из составных частей в рамках функциональной группы процессов, относящихся к «Редактору базы знаний». Общая схема модели взаимодействия данных процесса управления информационной безопасностью при осуществлении жизненного цикла автоматизированных и информационных систем в рамках реализации метода управления информационной

безопасностью на основе динамических экспертных систем поддержки принятия решений представлена на рисунке 3.6.1.

Рисунок 3.6.1 - Схема модели взаимодействия данных процесса управления информационной безопасностью при осуществлении жизненного цикла автоматизированных и информационных

систем

Следует учитывать, что от данного процесса будет зависеть актуальность и корректность дальнейшей обработки информации не только в рамках метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений, но и в рамках всего подхода к обеспечению информационной безопасности, в связи с чем необходимость внедрения и поддержания данного процесса является одной из первоочередных задач в рамках деятельности любой организации. Помимо управления информационной безопасностью данный процесс существенно облегчает дальнейшее развитие системы защиты информации и обозначает наиболее приоритетные направления в её развитии, а также облегчает выполнение целого ряда смежных процессов управления и обеспечения информационной безопасности, снижая и распределяя нагрузку на персонал организации по защите информации, что существенно отражается на эффективности системы защиты информации в целом, и механизмах защиты в частности.

3.7. Модель данных процесса управления обеспечения непрерывности функционирования автоматизированных и информационных систем

Процесс управления обеспечения непрерывности функционирования автоматизированных и информационных систем является одним из основных звеньев при обеспечении непрерывности функционирования как отдельных структурных единиц организации, так и самой организации в целом.

В рамках данного процесса должны быть определены и поддерживаться заданные параметры функционирования и взаимодействия защищаемых активов организации, а также ресурсов системы защиты информации. При реализации данного процесса подавляющую часть работы занимают организационные мероприятия, в рамках которых однозначно определяются:

- состав и ключевые характеристики защищаемых активов, сгруппированных в рамках рассматриваемой автоматизированной или информационной системы;

- состав и характеристики ресурсов системы защиты информации, обеспечивающих защиту информации в рамках рассматриваемой автоматизированной или информационной системы;

- ключевые параметры функционирования рассматриваемой автоматизированной или информационной системы;

- порядок проведения регламентных работ в рассматриваемой автоматизированной или информационной системе;

- состав и наличие резервного оборудования или программного обеспечения, предназначенного для поддержания заданных эксплуатационных характеристик рассматриваемой автоматизированной или информационной системы;

- порядок реагирования в случае нарушения режима штатного функционирования автоматизированных или информационных систем;

- план проведения восстановительных работ, в случае наступления аварийных ситуаций;

- состав и обязанности персонала, ответственного за обеспечение непрерывности функционирования автоматизированных или информационных систем;

- порядок разрешения, расследования и закрытия инцидентов информационной безопасности, связанных с рассматриваемой автоматизированной или информационной системой;

- состав и критерии применения компенсирующих мер.

Информация, обрабатываемая и формируемая в рамках выполнения данного процесса, передается для дальнейшей обработки в смежных процессах управления информационной безопасностью и будет иметь ключевое значение при определении параметров управляющих, корректирующих и предупреждающих воздействий в организации. С точки зрения метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений данный процесс будет являться одним из составных частей в рамках функциональной группы процессов, относящихся к «Редактору базы знаний». Общая схема модели взаимодействия данных процесса управления обеспечения непрерывности функционирования автоматизированных и информационных систем в рамках реализации метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений представлена на рисунке 3.7.1.

Рисунок 3.7.1 - Схема модели взаимодействия данных процесса управления обеспечения непрерывности функционирования автоматизированных и информационных систем

3.8. Модель данных процесса управления инцидентами информационной безопасности

Процесс управления инцидентами информационной безопасности является составным элементом общего процесса управления информационной безопасностью в организации в целом и обеспечивает обработку инцидентов информационной безопасности согласно действующим требованиям, установленным в организации.

В рамках данного процесса должны быть однозначно определены:

- требования к инцидентам информационной безопасности исходя из действующих в организации внутренних и внешних нормативно-паровых документов;

- критерии отнесения события к инцидентам информационной безопасности;

- параметры инцидентов информационной безопасности;

- механизмы и правила обнаружения инцидентов информационной безопасности;

- ответственность сотрудников организации по обеспечению процесса управления инцидентами информационной безопасности;

- порядок регистрации инцидентов информационной безопасности;

- порядок информирования должностных лиц о факте обнаружения инцидентов информационной безопасности;

- порядок разрешения, оценки и расследования инцидентов информационной безопасности;

- порядок и критерии принятия управленческих решений по недопущению повторного возникновения инцидентов информационной безопасности в организации.

Информация, обрабатываемая и формируемая в рамках выполнения данного процесса, передается для дальнейшей обработки в смежных процессах управления информационной безопасностью и будет иметь ключевое значение при определении параметров управляющих, корректирующих и предупреждающих воздействий в организации. С точки зрения метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений данный процесс будет являться одним из составных частей в рамках функциональной группы процессов, относящихся к «Редактору базы знаний». Общая схема модели взаимодействия данных процесса управления инцидентами информационной

безопасности в рамках реализации метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений представлена на рисунке 3.8.1.

Рисунок 3.8.1 - Схема модели взаимодействия данных процесса управления инцидентами

информационной безопасности

3.9. Модель данных процесса управления доступом к защищаемым информационным активам, автоматизированным и информационным системам