Аннотация
В статье представлена поэтапная методика получения количественной оценки требуемого уровня обеспечения безопасности информационных ресурсов, циркулирующих в автоматизированных системах обработки информации и управления, с привлечением экспертных групп. Существующий подход к агрегированию требований по защищенности информационных ресурсов на основе учета и первостепенного обеспечения ее конфиденциальности (секретности), в то время как требования к обеспечению целостности и доступности информации учитываются среди общих требований к автоматизированным системам обработки этих данных лишь косвенно, на практике не всегда себя оправдывает. Следовательно, вопросы получения количественной оценки требуемого уровня защищенности информационных ресурсов в рамках автоматизированных систем обработки информации и управления с учетом промежуточного оценивания степени критичности нарушения того или иного свойства информационной безопасности по-прежнему актуальны. Предложенная автором процедура подразумевает подробный анализ и декомпозицию исследуемой информационной системы на звенья, обеспечивающие функции или участвующие в обработке, хранении, передаче информационных ресурсов системы. Кроме того, в рамках методики в процессе анализа обрабатываемой информации осуществляется учет ее ценности, а также основных свойств информационной безопасности: степени критичности нарушения ее целостности, доступности и конфиденциальности для функционирования всей автоматизированной системы обработки информации и управления или для собственника. Описанная методика может применяться на практике в организациях любого масштаба в виде самостоятельной процедуры либо в составе мероприятий на этапах предварительного анализа систем обработки информации перед внедрением или совершенствованием подсистем их безопасности.
Ключевые слова: оценка уровня защищенности, показатель требуемого уровня защищенности, информационная безопасность, автоматизированная система обработки информации и управления, экспертная оценка, целостность информации, конфиденциальность информации, доступность информации
Список литературы
1. Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий [Электронный ресурс]. – URL: http://telecomlaw.ru/studyguides/osn_bez_IT.pdf (дата обращения: 14.12.2016).
2. Управление информационной безопасностью / С.В. Белов, А.Н. Савельев, И.Ю. Кучин, Ш.Ш. Иксанов, А.Х. Бисалиева. – Астрахань: Сорокин Р.В., 2015. – 132 с.
3. Ажмухамедов И.М., Князева О.М. Унификация подходов к управлению уровнем информационной безопасности в организациях различного профиля // Вестник Астраханского государственного технического университета. Серия: Управление, вычислительная техника и информатика. – 2015. – № 1. – С. 66–77.
4. Космачева И.М., Сибикина И.В., Галимова Л.В. Алгоритм оценки риска нарушения информационных сервисов в организации // Вестник Астраханского государственного технического университета. Серия: Управление, вычислительная техника и информатика. – 2015. – № 2. – С. 58–64.
5. Давидюк Н.В., Космачева И.М., Сибикина И.В. Процедура оценки показателей обнаружительной способности системы безопасности для объектов информатизации // Информация и безопасность. – 2012. – № 4. – С. 537–542.
6. Давидюк Н.В., Белов С.В. Процедура оценки защищенности автоматизированной системы обеспечения физической безопасности объектов // Математические методы в технике и технологиях: сборник трудов XXI Международной научной конференции, Саратов, 27–31 мая 2008 г. – Саратов, 2008. – Т. 6. – С. 269–271.
7. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. – М.: Энергоатомиздат, 1994. – 575 с.
8. Об утверждении перечня сведений конфиденциального характера: указ Президента Российской Федерации от 06.03.1997 N 188 (в редакции указов Президента РФ от 23.09.2005 г. N 1111; от 13.07.2015 г. N 357) [Электронный ресурс]. – URL: http://pravo.gov.ru/proxy/ips/?docbody=&nd=102046005 (дата обращения: 14.12.2016).
9. Об утверждении перечня сведений, отнесенных к государственной тайне: указ Президента Российской Федерации от 30.11.1995 N 1203 (с изменениями) [Электронный ресурс]. – URL: http://pravo.gov.ru/proxy/ips/?docbody=&nd=102038480 (дата обращения: 14.12.2016).
10. Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (с изменениями и дополнениями) [Электронный ресурс]. – URL: http://base.garant.ru/12148567/ (дата обращения: 14.12.2016).
11. Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» (с изменениями и дополнениями) [Электронный ресурс]. – URL: http://base.garant.ru/12136454/ (дата обращения: 14.12.2016).
12. Ларичев О.И. Теория и методы принятия решений. – М.: Логос, 2002. – 391 с.
13. Цирлов В.Л. Основы информационной безопасности автоматизированных систем. – М.: Феникс, 2008. – 174 с.
14. Ажмухамедов И.М., Князева О.М. Принципы обеспечения комплексной безопасности информационных систем // Вестник Астраханского государственного технического университета. Серия: Управление, вычислительная техника и информатика. – 2015. – № 1. – С. 66–77.
15. Попов Г.А., Попова Е.А., Мельников А.В. Анализ параметров информационной безопасности автоматизированных систем на основе использования уточненных экспертных оценок // Вестник Астраханского государственного технического университета. Серия: Управление, вычислительная техника и информатика. – 2015. – № 1. – С. 33–39.