Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»

Хабаровск – 2017

Содержание

Введение 4

1 Обзор подходов к управлению информационной безопасностью 9

1.1 Анализ международной нормативной документации по вопросам управления информационной безопасностью 9

1.2 Обзор Российской нормативно-правовой документации по вопросам обеспечения защиты информации 18

1.3 Выявление основных мероприятий по обеспечению защиты информации 21

1.4 Выявление основных направлений управления информационной безопасностью в организациях 23

1.5 Формулирование задачи исследования 25

1.6 Вывод по главе 27

2 Определение роли метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений в рамках системы защиты информации 29

2.1 Формирование принципов управления информационной безопасностью 29

2.2 Классификации процессов управления информационной безопасностью 33

2.3 Формирование подхода к построению систем защиты информации 35

2.4 Роль метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений в рамках системы защиты информации 43

2.5 Выводы по главе 48

3 Метод управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений 49

3.1 Основные мероприятия по обеспечению информационной безопасности 49

3.2 Определение состава процессов управления информационной безопасностью 57

3.3 Процесс управления рисками и угрозами информационной безопасности 59

3.3.1 Общее описание процесса 59

3.3.2 Определение первоначальной возможности реализации угроз информационной безопасности на основе динамических экспертных систем поддержки принятия решений 65

3.3.3 Определение величины опасности реализации угроз информационной безопасности с учетом динамических экспертных систем поддержки принятия решений 69

3.4 Структура метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений 73

3.5 Выводы по главе 89

Заключение 90

Список использованных источников 92

Введение

В современном периоде формирования нашего общества, информация становится одним из значимых и нужных ресурсов. На сохранение и защиту информации выделяется преимущественно больше времени и средств. Поэтому, защита информации становится самым важным процессом в любой компании. Процедура управления информационной безопасностью неразделимо связана с процессами защиты информации. Целостность и корректность реализации процесса защиты, во многом характеризует эффективность системы защиты информации [19], но в обычной системе защиты информации, подсистема управления информационной безопасностью, часто отсутствует. Постоянно растущее число средств и мер защиты информации, вместе с имеющимися недостатками стандартной реализации системы защиты информации, повышают нагрузку на персонал компании, тем самым, увеличивая продолжительность принятия управленческих решений. Из-за невозможности повышения числа ресурсов, выделяемых на процессы обеспечения и управления информационной безопасностью до бесконечности, существует проблема рационализации их применения, благодаря новым информационным технологиям и средствам обработки информации.

Наиболее многообещающим направлением при решении существующей проблемы считается применение экспертных систем поддержки принятия решений. Такие системы способны брать на себя значительную долю задач и обычных действий, исполняемых персоналом, что сильно уменьшает время при принятии управленческих решений. В нынешних обстоятельствах регулярно изменяющихся условий по защите информации, перемены различных подходов и мнений специалистов по информационной безопасности, а кроме того смены условий, оказывающих действие на информацию, лучшим решением считается использование динамических экспертных систем. В процессе реализации систем управления информационной безопасностью на базе динамических экспертных систем поддержки принятия решений появляется большое число трудностей, связанных с отсутствием научно подтверждённого методического исследования, предусматривающего необходимые и характерные черты управления информационной безопасностью, в том числе включая мнение экспертов организации, но и имеющуюся специфику реализации информационных технологий инфраструктуры.

Актуальность диссертационной работы обуславливается отсутствием научно-методического исследования, учитывающего все потребности и характерные черты управления информационной безопасностью, а кроме того отсутствием систем управления информационной безопасностью, способных существенно увеличить результативность систем защиты информации за счет уменьшения временных затрат на осуществление процессов обеспечения информационной безопасности и принятия управленческих решений, на основе динамических экспертных систем.

Проблемы обеспечения информационной безопасности, формализации процессных составляющих, а также составные элементы управления информационной безопасностью являются предметом изучения как отечественных, так и иностранных ученных. Различные аспекты управления и обеспечения информационной безопасности рассматриваются в работах популярных отечественных и иностранных учёных, таких как: Г.П. Жигулин [42], О.Ю. Гаценко, Ю.А. Печеневский [22], М.Б. Будько, В.Г. Швед, H.H. Безруков, Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой, О.Ю. Домарева, А.А., Воробьева, Л.К. Бабенко, А.А. Анисимов, Ю.А. Печеневский, А.А. Малюк, А.Г. Корченко, Э. Уилсон, Д. Уотермен.

Подробное описание использования экспертных систем при реализации систем поддержки принятия решений в компании представлены в работах С.М. Суменкова, М.С. Суменкова, О.И. Ларичева, А.Б. Петровского [29], Т.А. Гавриловой, В.Ф. Хорошевского, К. Таунсенда, Д. Фохта. Механизмы управления информационной безопасностью при осуществлении деятельности организаций исполнительной государственной власти описывает А.М. Тарасов. Основы построения систем управления рассмотрены в трудах Д. Джарратано, Г. Райли. Совокупность всех подходов при осуществлении систем поддержки принятия управленческих решений изложены в статьях Э.А. Трахтенгерца. Большая часть отечественных и иностранных экспертов анализирует в собственных работах проблемы управления и обеспечения информационной безопасности, принципы построения систем управления, экспертные системы, по отдельности, но вопросы комплексного применения экспертных систем при построении систем управления информационной безопасностью практически не затронуты.

Целью диссертационной работы является увеличение эффективности систем защиты информации, за счет исследования научно-методического аппарата по управлению информационной безопасностью.

Задачи исследования. Ради достижения поставленной цели диссертационной работы решается следующая задача: исходя из требований и ограничений нормативно-методической документации в области информационной безопасности, основываясь на динамических изменениях экспертных оценок и логических связях процессов обеспечения информационной безопасности следует разработать такой метод управления информационной безопасностью обычной компании, который бы увеличил эффективность системы защиты информации из-за уменьшения временных затрат на принятие управленческих решений.

Решение задачи исследования, будет происходить поэтапно:

• исследование действующих международных и Российских нормативно-правовых документов, с целью выявления и систематизации единых требований, предъявляемым к системам защиты информации;

• изучение процессной составляющей управления информационной безопасности в компаниях;

• разработка метода управления информационной безопасностью, на основе динамических экспертных систем поддержки принятия решений.

Объектом исследования являются системы управления информационной безопасностью, связи и отношения между обычными процессами управления и обеспечения информационной безопасности.

Предметом исследования являются методы управления информационной безопасностью, базирующиеся на применении динамических экспертных систем, нынешних средств вычислительной техники и логических алгоритмов.

Научная новизна полученных результатов, диссертационной работы, состоит в том, что:

• выявлены и классифицированы основные типовые процессные составляющие управления информационной безопасностью, имеющие отличия от имеющихся тем, что имеют наиболее совершенную структуру, а также систематизирован набор требований, соответствующий положениям действующих нормативно-правовых документов Российской Федерации в области обеспечения информационной безопасности;

• разработан метод управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений. Созданный метод не похож на другие тем, что он предоставляет возможность своевременного, тактического и стратегического управления информационной безопасностью, учитывает специфику действующей в компании системы защиты информации и информационных технологий инфраструктуры, повышая результативность системы защиты информации.

Теоретическая значимость исследования состоит в том, что разработанный метод управления информационной безопасностью дополняют и развивают существующие разделы теории информационной безопасности в части управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений. Диссертационная работа способствует формированию взглядов по проблемным вопросам управления информационной безопасностью и расширению границ использования алгоритмов экспертных систем при построении сложных систем защиты информации.

Практическая значимость работы заключается в том, что теоретические исследования, полученные в ходе разработки метода управления информационной безопасностью, могут быть использованы в виде программного обеспечения, логических алгоритмов в различных компаниях, при создании систем защиты информации в качестве системы управления информационной безопасностью, что повысит качество применяемых мер по защите информации. Материалы диссертационной работы могут получить практическое применение в учебных целях при проведении обучения специалистов по информационной безопасности и руководящего состава IT подразделений, а также при обучении студентов высших профессиональных учреждений по специальности: 09.04.02 – Информационные системы и технологии.

Методология исследования. В методологическую основу диссертационного исследования заложены общенаучные и специализированные способы научного знания, научные труды и работы специалистов в сфере информационной безопасности, международные и Российские нормативно-правовые документы в области защиты информации и управления информационной безопасностью, справочная литература, исследования и работы научных работников в области информационной безопасности.

Методы исследования базируются на теории информационной безопасности, теории алгоритмов, теории управления, теории вычислительных систем и сетей.

Положения, выносимые на защиту:

• классифицирование процессных составляющих управления информационной безопасностью;

• метод управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений.

1 Обзор подходов к управлению информационной безопасностью

1.1 Анализ международной нормативной документации по вопросам управления информационной безопасностью

Управление информационной безопасностью довольно широко обсуждаемая тема в международном обществе. Подтверждением данного факта считается наличие серии международных стандартов [10,11,12,13,14,15,16,17,18,30], созданных всеобщими усилиями Международной организацией по стандартам и Международной электротехнической комиссией. Работа над стандартами была начата в 1999 году и в окончательном виде документы увидели свет в начале 2000 года, в виде первой части, в которой на довольно простом уровне описывалась сформировавшаяся проблематика сегодняшних тенденций развития информационной безопасности и давались практические рекомендации по осуществлению внедрения механизмов управления информационной безопасности. Через некоторое время, в 2002 году была выпущена вторая часть документа, описывающая единую спецификацию предлагаемых первой частью документа решений, далее следовали сопутствующие документы серии. Хотелось бы отметить, то что серия стандартов постоянно совершенствуется, а группа стандартов, входящих в серию, регулярно пересматривается и обновляется. Окончательная модификация второй составляющей важного документа приобрела обширную популярность и официальное одобрение в международном сообществе, итогом данных исследований стал выход стандарта ISO 27001.

В ходе выполнения диссертационного исследования стандартам ИСО 27001-2013 и ГОСТ Р ИСО 27000 было уделено особенное внимание. В частности, первый стандарт описывает основные принципы организации управления информационной безопасностью, для учреждений вида деятельности, в тот момент как другой стандарт уделял больше внимание прямым механизмам управления информационной безопасностью с поочерёдным разбиением шагов, согласно реализации, каждого из предложенных механизмов.

Стандарт ISO 27000 считается как бы предисловием к другим документам серии. Главное назначение ISO 27000 сводится к описанию области влияния каждого из стандартов, а кроме того к описанию общих принципов и факторов появления стандарта. Дается инструкция по использованию содержания стандартов при внедрении системы менеджмента информационной безопасности в компании, а кроме того определение главных процессных составляющих и актуальности внедрения этой системы. В соответствии со структурой ISO 27000, совокупность стандартов представляет из себя логично связанные документы, систему менеджмента информационной безопасности. Главной целью этой серии считается внедрение системы менеджмента информационной безопасности в организациях разной величины и рода деятельности. В дополнении к документу представлены словесные формы выражения стандартов, категорированный список определений по информационной безопасности, используемых в документе:

• ISO 27000 «Системы менеджмента информационной безопасности. Общий обзор и терминология»;

• ISO 27001 «Система менеджмента информационной безопасности. Требования»;

• ISO 27006 «Требования для органов, обеспечивающих аудит и сертификацию систем менеджмента информационной безопасности»;

• ISO 27002 «Свод правил по управлению защитой информации»;

• ISO 27003 «Руководство по реализации системы менеджмента информационной безопасности»;

• ISO 27004 «Менеджмент информационной безопасности. Измерения»;

• ISO 27005 «Управление рисками информационной безопасности»;

• ISO 27007 «Руководство для аудитора Системы менеджмента информационной безопасности»;

• ISO 27799 «Информатика в здравоохранении. Менеджмент информационной безопасности по стандарту ISO 27002»;

• ISO 270011 «Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002»;

• ISO 27013 «Руководство по совместному использованию стандартов ИСО\МЭК 27001 и ИСО/МЭК 20000-1»;

• ISO 27014 «Руководство по информационной безопасности»;

• ISO TR 27015 «Руководящие указания по менеджменту защиты информации для финансовых операций»;

• ISO TR 27016 «Менеджмент информационной безопасности - Организационная экономика».

Модель взаимосвязей документов, относящихся к серии, показана на рисунке 1.1.

Характеристики

Тип файла документ

Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.

Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.

Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.

Список файлов ВКР