Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание




НазваниеАудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание
страница9/17
Дата30.01.2013
Размер2.05 Mb.
ТипУчебное пособие
1   ...   5   6   7   8   9   10   11   12   ...   17

W0=? a,xWt,


где а. — коэффициенты значимости частных показателей W.; т — число частных показателей W. в обобщенном показателе Wo.

Модель объединения частных показателей может быть построена на основе теории полезности, когда используется метод свертывания векторного (обобщенного) показателя с помощью системы предпочтений. Правило объединения может быть также основано на системе предпочтений одних частных показателей над другими, что дает возможность оценивать процесс, ориентируясь на предпочтительные(ый) частные(ый) показатели(ль). Например, если установленная система предпочтений указывает на предпочтение частного показателя Wt над Wz и Wz над W3 (W1 у W2 у W3)r то процесс, оцениваемый обобщенным показателем, может иметь оценку, равную наиболее предпочтительному частному показателю (в нашем случае WJ.).

Модель объединения обобщенных показателей тоже представляет собой алгоритм или вычисление, соединяющие обобщенные показатели по определенному правилу. Это правило тоже может быть также основано на системе предпочтений. В этом случае оценка совокупности процессов будет отражать оценку предпочтительных(ого) обобщенных(ого) показателей(ля). В результате объединения обобщенных показателей ИБ будет получен комплексный показатель, отражающий ИБ организации и(или) системы.

При выборе и формировании частных, обобщенных и комплексных показателей следует принимать во внимание, например, следующие критерии:

  • соответствие целям процессов и целям проверки;

  • осуществимость сбора данных;

  • доступность кадровых ресурсов для сбора и управления данными;

  • простота сбора данных;

  • степень вмешательства в деятельность персонала;

  • доступность соответствующих инструментальных средств; обеспечение конфиденциальности;

  • потенциальное сопротивление поставщиков данных;

  • простота интерпретации показателя потребителями и специалистами оценки;

  • число потребителей результатов оценки, использующих показатель;

  • чувствительность к особенностям проверяемых организаций и систем;

  • стоимость использования показателей: связанная с каждым показателем стоимость сбора данных, автоматизации вычисления значений показателя (где это возможно), анализа данных, интерпретации результатов анализа и сообщения результатов проведенной оценки.

Интерпретация результатов оценивания представляет собой объяснение, связывающее количественную оценку показателей с потребностями в измерении процессов обеспечения ИБ на языке потребителей результатов измерений. Такая интерпретация может отражать, например, нарушение свойств ИБ, возможные негативные последствия для деятельности организации или функционирования систем по результатам оценивания.


3.3.2. Оценивание информационной безопасности на основе моделей зрелости процессов

обеспечения информационной безопасности

3.3.2.1. Источники методологии оценки зрелости

Понятие «модель зрелости» или, если более точно, «модель зрелости возможностей» (Capability Maturity Model — СММ) была разработана в программной индустрии для оценки зрелости процессов разработки программных продуктов и определения ключевых действий, необходимых для дальнейшего развития этих процессов. Исходная модель СММ стала стандартом де-факто для оценки и совершенствования процессов создания программного обеспечения.

В ноябре 1986 г. Институт программной инженерии США (Software Engineering Institute — SEI) совместно с фирмой Mitre Corporation приступил к разработке структуры оценки зрелости процессов, направленной на оказание содействия организациям в совершенствовании их процессов, связанных с разработкой программного обеспечения. Данные работы были начаты в ответ на запрос федерального правительства США, в котором была обозначена потребность в оценке способностей организаций, с которыми правительственные организации планируют заключить контракт на разработку программного обеспечения, по контролю процесса разработки программных продуктов.

Мотивация потребности в такой оценке для тех, кто прямо или косвенно соприкасается с программным обеспечением, очевидна. Уже к середине 80-х гг. прошлого века было ясно, что складывающаяся динамика увеличения сложности программного продукта в ближайшей перспективе не позволит в рамках его приемочного тестирования выявить все недостатки, имевшие место в период проектирования программного продукта, его разработки, интеграции разработанных компонентов продуктов в конечный продукт.

Одно из предложенных решений предполагало обратиться к оценке по некоторой методологии самого процесса разработки программных продуктов. Целью такой оценки являлось формирование основ уверенности (неуверенности) в том, что процесс разработки программных продуктов в организации контролируется, он стандартизирован, осуществляется необходимое совершенствование процесса и т.д.

В 1993 г. была опубликована рабочая версия методологии СММ, заложившая основу самостоятельного направления оценочной деятельности в оценке зрелости возможностей процессов. Позже данная методология с определенными изменениями легла как в основу международных стандартов информационных технологий и информационной безопасности, таких, как IS0/IEC 15504 и IS0/IEC 21827, так и иных отраслевых или профильных стандартов, таких, как C0BIT (Control Objectives for Information and related Technology) и URSIT (Uniform Interagency Rating System for Information Technology).

Широкое распространение и развитие методология СММ получила не в последнюю очередь в связи с тем, что ее оценки в конечном итоге более ориентированы в будущее, нежели на решение текущих задач, как это следует, например, из оценки соответствия.

В стандарте C0BIT следующим образом комментируется использование модели зрелости СММ для каждого из 34 ИТ-процессов, определяемых данным стандартом:

  • оценка текущего состояния организации — то, где организация находится сегодня;

  • оценка текущего состояния относительно лучших представителей отрасли — сравнение;

  • оценка текущего состояния относительно международных стандартов — дополнительное сравнение;

  • определение стратегии организации в области усовершенствования — то, где организация хочет быть.

Базовая методология СММ определяет критерии и выделяет 5 уровней зрелости процессов от первого — «начального», характеризующегося тем, что некая целенаправленная деятельность осуществляется, но она не контролируется, не формализуется и т.д., до пятого — «непрерывно совершенствующегося», характеризующегося тем, что деятельность в рамках процессов не только основывается на стандартах и лучших практиках, но и непрерывно улучшается и оптимизируется.

Идею выделения и классификации уровней зрелости модели СММ иллюстрирует рисунок 24, демонстрирующий то, насколько «видимыми» и, следовательно, управляемыми могут быть процессы, характеризующиеся различными уровнями зрелости.

На первом уровне зрелости процесс видится как «черный ящик»,

где осязаемы только входы и выходы.

На втором уровне зрелости становятся «видимыми» отдельные работы, составляющие процесс, и те продукты и сущности, которые отдельные работы либо потребляют, либо имеют на выходе.

На третьем уровне зрелости проявляются более частные сущности — элементарные задачи, слагающие работы в рамках процессов, а также отдельные продукты этих задач.

На пятом уровне зрелости обеспечивается такой уровень «видимости» процессов, что дает возможность их оптимизации и развития.

На рисунке 24 данная возможность иллюстрируется заменой в рамках оптимизации двух отдельных работ в рамках процесса, имеющего пятый уровень зрелости, одной новой, реализующей всю необходимую функциональность двух замещаемых работ.

Свое развитие, как отмечалось ранее, исходная модель оценки зрелости (СММ) получила в самых различных стандартах, включая и стандарты для области обеспечения информационной безопасности.

Далее рассмотрим наиболее известные из них.




3.3.2.2. Модель зрелости процессов в соответствии с требованиями ISO/EC 15504 «Информационная технология.

Оценка процесса»


Международный стандарт IS0/IEC 15504 определяет основные понятия, сущности и деятельности для оценки зрелости процессов как программирования, так и жизненного цикла систем. Первые версии стандарта, вышедшие в 1998 г. и базирующиеся на методологии СММ, носили статус технического отчета (рекомендаций), однако позже было принято решение о пересмотре статуса международного документа с технического отчета на международный стандарт.

Стандарт включает 5 частей, определяющих:

  • общее введение в понятие «оценка процесса» и глоссарий терминов, связанных с оценкой зрелости;

  • минимальные требования к проведению оценки, обеспечивающие согласованность и воспроизводимость рейтингов;

  • руководство для интерпретации требований к проведению оценки зрелости;

  • оценки процесса как мероприятий, которые могут выполняться либо как часть инициативы по совершенствованию процесса, либо как часть подхода определения возможностей процесса, где целью совершенствования процесса является постоянное улучшение эффективности и результативности организации. Целью определения возможностей процесса является идентификация сильных и слабых сторон и рисков выбранных процессов по отношению к конкретному определенному требованию для использованных процессов и их сочетания с бизнес-потребностями организации.

  • базовую модель оценки процесса, которая основывается на эталонной модели процесса.

Оценка осуществляется посредством оценивания выбранных процессов относительно модели (моделей) процессов, выбранных для оценки. Основные элементы процесса оценивания и сущности оценки согласно требованиям IS0/IEC 15504 иллюстрирует рисунок 25.





Идентифицированные атрибуты оцениваемых процессов, представляющих измеримые характеристики возможностей того или иного процесса, и методы их оценивания составляют основу оценки зрелости по IS0/IEC 15504. Рисунок 25 также иллюстрирует взаимосвязи модели оценки по IS0/IEC 15504.

Стандартом определена следующая шкала рейтингов оценки процесса, определяющих степень достижения определенных значений для оцениваемого атрибута процесса:

  • N — «не достигнуто». Мало или отсутствуют свидетельства достижения определенным атрибутом оцениваемого процесса некоторого желаемого значения;

  • Р — «частично достигнуто». Существуют некоторые свидетельства приближения к желаемому значению определенного атрибута оцениваемого процесса;

  • L — «в значительной степени достигнуто». Существуют свидетельства систематического приближения к определенному значению атрибута оцениваемого процесса. В оцениваемом процессе могут существовать некоторые слабые места, связанные с этим атрибутом;

  • F — «полностью достигнуто». Существуют свидетельства полного и систематического приближения к определенному значению атрибута оцениваемого процесса. Никаких слабых мест, связанных с этим атрибутом, в оцениваемом процессе не существует. Фактически рассматриваются определенные показатели атрибутов процессов, которые ранжируются по 4-уровневой шкале оценивания.

Значения для оцениваемых параметров определены следующими:

  • N — «не достигнуто» — от 0 до 15%;

  • Р — «частично достигнуто» — от >15 до 50%;

  • L — «в значительной степени достигнуто» — от >50 до 85%;

  • F — «полностью достигнуто» — от >85 до 100%.

  • Модель зрелости, определенная IS0/IEC 15504 [32],

  • интерпретирует эталонную модель зрелости СММ в терминах рейтингов уровней

  • возможностей (табл. 5)







Как показывает приведенный пример, исходная модель оценки зрелости СММ претерпела достаточно серьезные изменения (интерпретацию) за более чем 10-летний период ее использования для целей оценки зрелости процессов, связанных с разработкой программных продуктов.


3.3.2.3. Модель зрелости процессов в соответствии с требованиями IS0/IEC 21827 «Инжиниринг безопасности систем — модель зрелости возможностей»

Международный стандарт ИСО/МЭК 21827 «Модель зрелости процесса инжиниринга безопасности систем (SSE-CMM)» был подготовлен Международной ассоциацией по инжинирингу безопасности систем (International Systems Security Engineering Association — ISSEA).

Модель SSE-CMM разработана на основе концепций СММ и СММ системной ин инженерии (SE-CMM), где оба указанных метода являются результатом работ SEI — Института программной инженерии США и Университета Карнеги—Меллоун.

Положения SSE-CMM разработаны как на основе общетехнических стандартов:

  • IS0/IEC 12207/ГОСТ Р ИСО/МЭК 12207-99 Информационная технология. Процессы жизненного цикла программных средств;

  • IS0/IEC 15288 Systems engineering. System Life Cycle Processes;

  • ISO/IEC 15504 (рассмотрен в предыдущем пункте); стандартов обеспечения информационной безопасности:

  • IS0/IEC 17799 Information Technology. Code of practice for information security management;

  • ISO/IEC 13335 Information Technology. Security techniques.

  • Management of information and communications technology security.

SSE-CMM и метод оценки предназначены для использования в качестве:

  • средства для проектных организаций, чтобы оценивать их практики инжиниринга безопасности и определять потребности в улучшениях;

  • метода, с помощью которого организации по оценке инжиниринга безопасности могут обеспечивать уверенность в возможностях организации, способствующих обеспечению доверия в безопасности производимого ей продукта или эксплуатируемой ею системы;

  • стандартного механизма для заказчиков, чтобы оценивать возможности поставщика по проектированию безопасности.

Под инжинирингом безопасности в рассматриваемом документе понимаются:

  • непрерывность — знание, приобретенное в прежних работах, используется в будущих проектах;

  • повторяемость — направление, по которому обеспечивается уверенность в том, что проекты могут повторять успешные результаты;

  • эффективность — способ помочь как разработчикам, так и оценщикам работать более эффективно;

  • доверие — уверенность в том, что потребности безопасности учтены.

Модель зрелости для 11 процессов обеспечения безопасности, определенных данным международным стандартом, имеет определенные отличия в базисе оценки от модели СММ.

Таблица б иллюстрирует, как организованы уровни оценки зрелости возможностей инжиниринга безопасности SSE-CMM.




Как показано в таблице б, основой модели зрелости стандарта ISO/ IEC 21827 (уровень 1) является то, что все базовые практики (в стандарте определена 61 базовая практика) относительно 11 процессов безопасности, идентифицированных в стандарте, выполнены. На этом фундаменте «выстраивается» и вся последующая структура уровней зрелости. Общим, пожалуй, для моделей зрелости СММ и ISO/IEC 21827 является то, что в обеих моделях третий уровень основываются на

неких стандартизированных процессах, а пятый уровень предполагает непрерывное улучшение процессов.

Пять уровней, определенных SSE-CMM, представлены на рисунке 26.




Базовые практики, на которых основываются положения IS0/IEC 21827, составляющие 11 процессов безопасности стандарта, последовательно реализуют риск-ориентированный подход к обеспечению информационной безопасности, где наряду с вопросами безопасности предполагается учитывать и экономические факторы, такие, как выделение необходимых ресурсов и эффективное их использование.

1   ...   5   6   7   8   9   10   11   12   ...   17

Похожие:

Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Издательство ТулГУ
Бродовская, Е. В. Переговоры: стратегии, тактики, техники: Учебное пособие [Текст] / Е. В. Бродовская, А. А. Лаврикова. – Тула: Изд-во...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconА. В. Непомнящий Рынок ценных бумаг Учебное пособие Москва 2008
Учебное пособие предназначено для студентов вузов специальностей «Менеджмент организаций», «Бухгалтерский учёт, анализ и аудит» и«Финансы...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебно-методическое пособие Для студентов, аспирантов Таганрог 2008
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие для студентов второго образовательного уровня Таганрог 2010
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
«Концепция информационной безопасности, анализ безопасности информационных систем»
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность»
Учебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность», 090105 «Комплексное...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconКонтрольные вопросы по курсу «Технические средства предприятий сервиса» (сервиса электронных систем безопасности) Глава Сущность курса «Технические средства предприятий сервиса», оборудование и технические, средства предприятий и подразделений безопасности
«Технические средства предприятий сервиса» студентам специальности «Сервис» специализация «Сервис электронных систем безопасности...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Москва 2008 удк машкин М. Н. Информационные технологии: Учебное пособие. М.: Вгна, 2008. 200 с
Учебное пособие по курсу Информационные технологии содержит учебный материал для подготовки к зачету по указанной дисциплине
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие. Таганрог: Изд-во трту, 2003
Учебное пособие cодержит описание теоретических и практических подходов к разработке и отбору инвестиционных проектов в условиях...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconН. Л. Михайлов архитектура вычислительных систем учебное пособие
Михайлов Н. Л. Архитектура вычислительных систем: Учебное пособие. – Рыбинск, ргата, 2008. – 87 с
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница