Місце процесів оцінки в загальному циклі керування ризиками. Архітектура інтегрованих інформаційних систем. Зміст вхідних і вихідних інформаційних об'єктів. Моделювання в ARIS 5.0. Побудова моделей процесу вироблення стратегії захисту інформації OCTAVE.
Краткое сожержание материала:

Размещено на

МАГІСТЕРСЬКА АТЕСТАЦІЙНА РОБОТА

ARIS модель процесу вироблення стратегії захисту інформації OCTAVE

ЗМІСТ

• ПЕРЕЛІК УМОВНИХ СКОРОЧЕНЬ
• ВСТУП
• 1. ХАРАКТЕРИСТИКА ЗАГАЛЬНОГО ПІДХОДУ OCTAVE
• 1.1 Основні положення підходу
• 1.2 Короткий опис фаз підходу
• 1.3 Місце процесів оцінки в загальному циклі Керування безпекою інформації (ризиками)
• 2. АРХІТЕКТУРА ІНТЕГРОВАНИХ ІНФОРМАЦІЙНИХ СИСТЕМ
• 2.1 Введення в АRIS
• 2.2 Моделі ARIS
• 2.3 Концепція архітектури інтегрованих інформаційних систем
• 3. ЗМІСТ ВХІДНИХ І ВИХІДНИХ ІНФОРМАЦІЙНИХ ОБ'ЄКТІВ
• 4 СТРУКТУРА КРИТЕРІЇВ OCTAVE
• 4.1 Принципи
• 4.2 Атрибути процесу оцінювання
• 4.3 Ісходи
• 5. ПРОЦЕСИ (ФУНКЦІЇ) ОЦІНКИ
• 5.1 Процес 1: Побудова профілю погроз безпеки
• 5.2 Процес 2: Ідентифікація вразливостей
• 5.3 Процес 3: Розробка стратегії безпеки й планів захисту
• 6. ОПИС ДІЙ ПО ОЦІНЦІ РИЗИКІВ
• 7. МОДЕЛЮВАННЯ В ARIS 5.0
• 7.1 Опис програми
• 7.2 Модель дерева функцій (Function Tree)
• 7.3 Модель ланцюжка доданої вартості (Value-Added chaіn Dіagram)
• 7.4 Модель подійно-керованого процесу (еEPC)78
• 8. ПОБУДОВА МОДЕЛЕЙ ПРОЦЕСУ ВИРОБЛЕННЯ СТРАТЕГІЇ ЗАХИСТУ ІНФОРМАЦІЇ OCTAVE
• 8.1 Модель Functional Tree
• 8.2 Модель VAD
• 8.3 Модель еЕРС
• ВИСНОВОК
• СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ

ПЕРЕЛІК УМОВНИХ СКОРОЧЕНЬ

OCTAVE - The Operationally Critical Threat, Asset, and Vulnerability Evaluation

ІТС - інформаційно-телекомунікаційна система

БІ - безпека інформації

ІТІ - інформаційно-телекомунікаційна інфраструктура

ІБ - інформаційна безпека

АГ - аналітична група

ГА - група аналізу

FT - Function Tree

VAD - Value -Added chaіn Diagram

eEPC - Extended event driven process chain

ВСТУП

На сучасному стані інформатизації діяльності підприємств, організацій та відомств з'явилася потреба стратегічного погляду на шлях розвитку систем забезпечення безпеки інформації, які забезпечать стан зростання рівня безпеки інформації у довгостроковій перспективі. У зв'язку з цим в практиці управлінської діяльності захисту інформації пропонується застосувати методологію стратегічного управляння безпекою. Необхідність уведення в практику захисту інформації такого поняття та інструменту, як стратегія захисту інформації з метою чіткого обґрунтування принципових підходів до забезпечення безпеки інформації вказують роботи російських фахівців, а також у міжнародному стандарті ISO/IES13335. Але у відомій літературі ці поняття глибоко не проаналізовані, не визначено їх роль у практичній діяльності та в управлінні безпекою не розглядається питання розроблення стратегій захисту та ефективного застосування стратегічного управління безпекою за допомогою моделювання. Таким чином актуальним стає задача розробка стратегії захисту інформацій, яка буде адекватна реальному рівню загроз безпеці інформації.

Складність полягає в тому, що необхідно сформувати єдиний підхід до забезпечення безпеки інформації на адміністративному рівні або на рівні керування організацією. У цьому випадку необхідно розглядати проблему інформаційної безпеки з погляду інфраструктури організації та добре представляти інфраструктурну сутність цієї проблеми.

АРІС (АРхітектура Інтегрованих Систем) являє собою цілісний підхід до розробки й аналізу моделей бізнес-процесів. Структурний аналіз як сукупність моделей складних систем внаслідок великої розмірності розв'язуваних завдань повинен опиратися на потужні засоби комп'ютерної підтримки, що забезпечує автоматизацію праці системних аналітиків. У роботі для моделювання стратегії БІ обраний програмний продукт ARІS 5.0. Мета моделювання полягає в перетворенні загальних, розпливчастих знань про вихідну предметну область (стратегію захисту інформації OCTAVE) у точні моделі, що описують різні підсистеми.

1. ХАРАКТЕРИСТИКА ЗАГАЛЬНОГО ПІДХОДУ OCTAVE

На сьогоднішній день відсутні комплексні системні методики й методи, формального або неформального характеру, які дозволяють на систематичній основі вирішувати задачі по розробці концепції ІБ або корпоративної політики безпеки у великих організаціях. Найбільш конструктивним щодо цього підходом є підхід OCTAVE, розроблений Software Engineering Institute і Carnegie Mellon University. Він має достатню спільність, що дозволяє розробити практичні методи й системні методики для вирішення перерахованих вище задач. Підхід OCTAVE був узятий за основу для створення системної методики й відповідного науково-методичного апарата, що дозволяє формалізувати процеси розробки стратегії забезпечення безпеки інформації організації.

Метод Оперативної оцінки критичних ресурсів, погроз, активів і уразливостей (Operatіonally Crіtіcal Threat, Asset, and Vulnerabіlіty Evaluatіon^SM (OCTAVE^®)) - це підхід, що визначає стратегію оцінки й планування дій по забезпеченню безпеки інформації на основі оцінки ризиків (rіsk-based).

1.1 Основні положення підходу

OCTAVE є загальним підходом по оцінці погроз, ресурсів, і вразливостей на рівні організації в цілому. Основною посилкою (передумовою) є те, що ефективна оцінка ризиків повинна розглядатися як з організаційної так і технологічних точок зору, відображати те, як співробітники організації використовують інформаційно-телекомунікаційну інфраструктуру у своїй щоденній діяльності.

Оцінка ризиків є життєво важливим елементом для прийняття рішень по забезпеченню безпеки інформації. Саме результати оцінки ризиків дозволяють сформувати єдину системну позицію керівництва організації на ризики безпеки, а також формують основу для формування й реалізації стратегії безпеки.

Розглянутий підхід є стратегією оцінки й планування захисту інформації, що опирається на концепцію ризиків і забезпечення БІ. Принциповим моментом підходу є принцип внутрішнього керування процесами оцінки (принцип самоврядування), що означає, що в процесах вироблення корпоративної стратегії безпеки особисту участь приймають співробітники організації. Опираючись на свої знання співробітники дають реальну оцінку стану практичної діяльності по забезпеченню безпеки інформації (практики безпеки). Виявлені при цьому ризики для найбільш критичних активів (ресурсів) організації використовуються для визначення пріоритетних напрямків забезпечення безпеки інформації й загальної стратегії безпеки організації.

Більшість існуючих методик аналізу ризиків орієнтуються на технологічні ризики й на тактичні проблеми (захист інформації в конкретній системі або мережі). При цьому упускаються стратегічні цілі організації. У такий спосіб часте рішення завдань захисту інформації стає видно в мережі (системі). Рішення приймаються не залежно від реальних потреб у забезпеченні безпеки інформації й від реальних потреб організації в таких задачах. Це порушує основні принципи забезпечення безпеки інформації: про єдність цілей організації й цілей захисту інформації. Саме тому, особливо у великих компаніях, необхідно мати ефективні методики, які дозволять погоджувати задачі організації й завдання захисту інформації. Підхід OCTAVE орієнтований на організаційні ризики і в якості свого фокуса розглядає стратегічні проблеми інформаційної безпеки, пов'язані з організацією практичної діяльності по забезпеченню безпеки інформації. На інфраструктурному рівні при виробленні рішень необхідно забезпечити баланс між трьома ключовими аспектами: операційні ризики, практика безпеки й технології (рис.1.1).



Размещено на

Рисунок 1.1 - Тривимірна модель взаємодії

При роботі на рівні організації переважаючу роль грає два аспекти ризик і практика безпеки (площина операційного ризику). Технологія розглядається тільки у зв'язку з реалізацією практики безпеки, що дозволяє організації уточнити своє бачення поточної практики безпеки, що утворилася в організації. Таким чином, чим нижче рівень (якість, ефективність, культура) практичної діяльності по забезпеченню безпеки, тим вище операційний ризик.

Опираючись на підхід OCTAVE, можна розробити системну методику, що дозволяє організації виробити рішення по забезпеченню безпеки інформації, засноване на ризиках конфіденційності, цілісності й доступності критичних інформаційних активів і пов'язаних з ними інших ресурсів організації. Всі аспекти ризиків (активи, погрози, уразливості несприятливі для організа...