Авторефераты по всем темам >>
Авторефераты по разным специальностям
На правах рукописи
ЛИВШИЦ Илья Иосифович МЕТОДЫ ОЦЕНКИ ЗАЩИЩЁННОСТИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, РАЗРАБОТАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ МЕЖДУНАРОДНОГО СТАНДАРТА ИСО/МЭК 27001:20Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность
Автореферат диссертации на соискание ученой степени кандидата технических наук
Санкт-Петербург 2012 год
Работа выполнена в Федеральном государственном бюджетном учреждении науки СанктПетербургском институте информатики и автоматизации Российской академии наук.
Научный консультант: доктор технических наук, профессор Молдовян Александр Андреевич.
Официальные оппоненты: доктор технических наук, профессор Саенко Игорь Борисович кандидат технических наук, с.н.с.
Емелин Вадим Иванович
Ведущая организация: Санкт-Петербургский государственный электротехнический университет ЛЭТИ им. В.И. Ульянова (Ленина).
Защита состоится л28 июня 2012 г. в 15:30 на заседании диссертационного совета Д.002.199.при Федеральном государственном бюджетном учреждении науки Санкт-Петербургском институте информатики и автоматизации Российской академии наук по адресу:
199178, Санкт-Петербург, В.О., 14 линия, 39.
С диссертацией можно ознакомиться в библиотеке Федерального государственного бюджетного учреждения науки Санкт-Петербургском институте информатики и автоматизации Российской академии наук.
Автореферат разослан л25 мая 2012 г.
Ученый секретарь диссертационного совета Д.002.199.кандидат технических наук Ф.Г. Нестерук
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность работы. На современном этапе проблема обеспечения информационной безопасности (ИБ) в Российской Федерации (РФ) находится в фокусе внимания как одна из ключевых для обеспечения стабильности как бизнес-сообщества, так и информационной инфраструктуры на уровне государства. Техническое обеспечение для решения данной проблемы постоянно совершенствуется, появляются новые средства защиты информации (СЗИ), препятствующие или существенно затрудняющие попытки несанкционированного доступа (НСД). В области законодательного регулирования в РФ принят ряд нормативных правовых актов (НПА), прежде всего Стратегия национальной безопасности РФ до 2020 года (в которой отражена потребность в разработке и внедрении современных технологий ИБ в системах государственного и военного управления), Доктрина информационной безопасности РФ, Федеральные законы ФЗ-149 Об информации, информационных технологиях и о защите информации, ФЗ-98 О коммерческой тайне, ФЗ-152 О персональных данных, ряд Постановлений Правительства и иных (например, Методические материалы ФСТЭК).
В РФ активно вводятся в оборот международные стандарты (МС), призванные восполнить пробел в создании современных систем менеджмента информационной безопасности (СМИБ), отвечающих требованиям как бизнеса (прежде всего эффективности), так и законодательным требованиям различных регуляторов (т.н. compliance). Среди наиболее известных МС необходимо отметить стандарты ИСО/МЭК серии 27000; стандарты BSI 10012 (лPersonal Data Protection) и 25999 (лBusiness Continuity Process), стандарты NIST серии 800, стандарт Австралии и Новой Зеландии AS/NS 4360 и пр. По данным ИСО (Отчет ISO in figures for the year 2011 (at 31 December) рис. 1) сектор стандартов ИСО для электроники, ИТ и телекоммуникаций демонстрирует стабильный рост как по количеству новых стандартов (268 из 1208, или 22%), так и по общему количеству (3186 из 19023, или 16%), что является 2-м результатом в рейтинге, уступая только общеинженерным стандартам.
Рис. 1 Статистика разработки новых стандартов ИСО 2011 г.
За последние 4-5 лет практически все современные МС ИСО/МЭК в области ИБ, приняты в РФ в качестве ГОСТ Р ИСО/МЭК (прежде всего серии 27000). В тоже время необходимо отметить, что применение техник аудита (как независимого процесса оценки ИБ), выполняется в РФ недостаточно широко, несмотря на принятый более 10 лет назад ГОСТ Р ИСО/МЭК 19011:2002 Руководящие указания по аудиту систем менеджмента качества и/или экологического менеджмента (актуальная новая версия МС ИСО/МЭК 19011:2011) и издание специального лцелевого стандарта МС ИСО/МЭК 27006:2007 Информационные технологии.
Методы обеспечения безопасности. Требования к органам аудита и сертификации систем менеджмента информационной безопасности.
Одним из наиболее критичных видов информации, защита которой затронула практически все слои современного общества, являются персональные данные (ПДн). О фактах крупнейших утечек ПДн как в РФ, так и в мире, известно достаточно; причем ущерб, в отличие от хищения, например, материальных средств (денег с банковских счетов), больше имиджевый - несколько атак подряд на сервера Sony привели к утечке личной информации более 1 млн.
пользователей (по данным Reuters). В частности, в июне 2011 очередное нападение было осуществлено хакерской группой LulzSec. Взломщики опубликовали имена, даты рождения, почтовые и электронные адреса, номера телефонов и пароли нескольких тысяч участников конкурсов, которые проводит Sony.
Обеспечение защиты ПДн является важной практической проблемой в силу сложности оценки различных информационных систем (ИС). Проблема защиты ПДн актуальна в силу незащищённости (недостаточной защищённости) ИС, которые могут в базовом варианте разработки и поставки не содержать встроенных систем СЗИ НСД. Тем не менее, даже при наличии достаточного количества ранее введенных российских НПА (например, ГОСТ Р 515832000 Порядок создания автоматизированных систем в защищенном исполнении и др.) обработка ПДн в ряде ИС проходит без должного внимания к проблемам ИБ даже у крупнейших операторов (Пример - в сахалинском филиале OAO Дальсвязь выложили на публичный FTP-сервер файлы с исчерпывающими служебными и личными данными как минимум 11 тыс. текущих или бывших клиентов).
Известно, что анализ СМИБ - процесс непрерывный и должен выполняться на постоянной планируемой основе в течении всего жизненного цикла с должным вниманием к ресурсам и оперативным анализом результатов, что является базовыми требованиями при выполнении практики аудитов ИБ. Анализ НПА в области ИБ в РФ и МС показал, что до настоящего времени не уделялось должного внимания вопросам формирования требований и критериев оценки защищённости СМИБ (и как частной задачи - ПДн). Для формирования эффективной системы оценки защищённости СМИБ необходимо применять комплексный подход, включающий ряд взаимоувязанных мероприятий, одним из которых является формирование системы критериев и разработка адекватных моделей СМИБ. Как показал анализ публикаций на специализированных научно-практических конференциях, на практике недостаточно только информации о реализуемых в СМИБ функциях и/или механизмах ИБ (в терминах МС ИСО/МЭК 27001:2005 - контролей). Иными словами, провести типизированный анализ защищённости СМИБ весьма затруднительно; по этой причине используется экспертный подход, позволяющий получить качественные и/или количественные оценки СМИБ, которые могут быть предложены менеджменту организаций (лицам принимающим решения, ЛПР) для принятия эффективных управленческих решений.
При оценке защищённости СМИБ эксперты сталкиваются с рядом проблем, связанных с формализацией и анализом требований (критериев) реальных ИС и использованием доступной и релевантной поставленной задаче информации, прежде всего статистики (например, данных по инцидентам ИБ). Это обусловлено неоднородностью доступных для анализа данных, возникающей из-за разнообразия компонент ИС, программного обеспечения и различных СЗИ, задействованных при построении СМИБ. Также необходимо опираться только на факты (известно требование к аудиторам - принятие решений, основанных на фактах), но факты утечек (или любых инцидентов ИБ) редко становятся публично известны в силу нежелания менеджмента предавать огласке факты уязвимостей в СМИБ и/или управленческих ошибок. По этим объективным причинам для оценивания защищённости СМИБ применяются экспертные оценки (например, бальные системы оценки в Комплексе СТО БР), что вносит неопределенность в итоговые данные и является причиной сложностей при их анализе, интерпретации и формировании оперативного и эффективного управляющего решения.
Основные теоретические аспекты проблемы обеспечения ИБ и оценка анализа свойств защищённости сложных объектов (таких как современные СМИБ) нашли отражение в работах ряда современных российских и зарубежных специалистов: Р.М. Юсупова, Саенко И.Б., Н.В.
Хованова, А.А. Молдовяна, В.Ю. Осипова, В.И. Емелина, В.М. Зимы, Л. Заде, Т. Саати и др.
Анализ работ вышеуказанных ученых показал, что при всей значимости проведенных исследований, касательно применения моделей для оценки защищённости (в т.ч.
экономической эффективности), в современном состоянии уровня техники модели СМИБ изучены и практически проработаны не в полной мере. Сделан вывод, что для повышения достоверности и оперативности оценки защищённости СМИБ необходимо разработать и применять методы оценки моделей СМИБ, позволяющие описать сложные иерархические структуры ИС. Актуальность диссертационной работы прямо следует из указанной выше необходимости.
Цель исследования - Повышение оперативности и достоверности оценки защищённости СМИБ, разработанных в соответствии с требованиями МС ИСО/МЭК 27001:2005 и практического применения моделей СМИБ и методов оценки защищенности в практике аудитов ИБ, в том числе при оценке защищённости ПДн, необходимой и достаточной менеджменту для принятия адекватных мер на основе современных математических методов проведения оценки и лучшей практики.
Объект исследования - Система менеджмента информационной безопасности.
Предмет исследования - Модели и методы анализа сложных (иерархических) систем.
Для достижения указанной цели исследования поставлены и решены следующие задачи:
1. Выполнить анализ требований НПА в области ИБ и создания СМИБ, в том числе, в области обеспечения защищённости ПДн;
2. Разработать подходы и принципы синтеза эффективных моделей оценки защищённости СМИБ;
3. Разработать иерархические модели СМИБ, учитывающие множество критериев (в т.ч.
требования защищённости ПДн), с использованием современного математического аппарата анализа иерархий - метода анализа иерархий (МАИ);
4. Синтезировать методы оценки защищённости СМИБ с использованием современного математического аппарата (модификации МАИ - сравнения относительно стандартов);
5. Выполнить апробацию моделей и методов оценки СМИБ в практике проведения аудитов ИБ в соответствии с требованиями ИСО/МЭК 27001:2005.
Теоретическая значимость выполненных исследований состоит в применении новых методов оценки сложных (иерархических) систем и синтезе моделей СМИБ для систематического процесса получения достоверных оценок защищённости моделей СМИБ.
Практическая значимость разработанных методов оценки защищённости СМИБ определяется тем, что модели СМИБ позволяют получать оперативные и достоверные оценки (в том числе и оценки защищённости ПДн) в процессе аудитов ИБ (различных типов) с использованием независимых (групповых) экспертных оценок. Разработанные модель СМИБ и методика позволяют повысить объективность и корректность оценки защищённости, сократить сроки проведения - например, в рамках планового проведения аудитов ИБ в организации.
Применение независимых экспертных оценок дополнительно дают преимущества получения объективных, математически согласованных и практически обоснованных управленческих решений для ЛПР. Более того, накапливаемые результаты оценок СМИБ могут быть использованы для долгосрочного стратегического анализа, снижения издержек при проведении последующих аудитов ИБ, эффективного обучения персонала, а также для поддержки принятия решений по адекватному выбору технических и/или организационных мер (лконтролей).
В ходе исследования получены следующие научные результаты, выносимые на защиту:
1. Модели оценки защищённости СМИБ:
a. Модель формирования статической оценки защищённости СМИБ;
b. Модель формирования динамической оценки защищённости СМИБ.
2. Методы оценки защищённости моделей СМИБ:
a. Метод оценки защищённости моделей СМИБ (статический), основанный на МАИ (модификация МАИ относительно стандартов) и статической матрице предпочтения стандартов;
b. Метод оценки защищённости моделей СМИБ (динамический), основанный на МАИ (модификация МАИ относительно стандартов) и динамической (функциональной) матрице предпочтения стандартов.
Научная новизна работы состоит в следующем:
1. Разработаны иерархические модели оценки защищённости СМИБ, служащие для описания предметной области и формирования множества альтернатив на основе модификации МАИ сравнения стандартов. Модели имеют вид иерархической структуры, отличающейся 3-х уровневой универсальной компоновкой: уровень глобальной цели, уровень триады безопасности (в соответствии с требованиями МС ИСО/МЭК 27001:2005), уровень критериев безопасности (в соответствии с требованиями Приложения А ИСО/МЭК 27001:2005 в аспекте экономической целесообразности, необходимой для формирования эффективного лцелевого управленческого решения), а так же альтернатив (лстандартов). Разработанные модели позволяют дополнительно применять в широком объеме независимые экспертные оценки, широко варьировать (конструировать) альтернативы - не быть жестко привязанным к фиксированному множеству стандартов в области ИБ. Предложенные модели отличаются внутренними механизмами математической самопроверки (вычисляется индекс согласованности, не допуская несогласованных экспертных оценок, способных повлиять на достоверность итоговой оценки) и дополнительно - оценками рисков экспертных мнений.
2. Разработаны методы оценки защищённости СМИБ, базирующиеся на представленных в диссертационной работе моделях СМИБ, обладающие рядом новых особенностей, подтверждающих ее новизну: применение единого подхода к формированию критериев защищённости СМИБ (в соответствии с требованиями МС ИСО/МЭК 27001:2005), расчет ряда численных показателей, учитывающих применение (равно как и возможность исключения на основе оценки рисков ИБ) произвольного числа контролей (СЗИ НСД, организационных мер и набора политик пр.), а также практической применимостью.
Обоснованность и достоверность положений, выводов и рекомендаций подтверждена корректностью использованного математического аппарата, результатами ряда выполненных экспериментальных работ (проведенных аудитов ИБ в течение 2008-2012 гг.), положительными результатами внедрения разработанных моделей оценки защищённости СМИБ в практику проведения аудитов СМИБ в ряде организаций (Набережные Челны, Санкт-Петербург, Владивосток, Омск).
Апробация результатов. Основные положения и результаты диссертационной работы докладывались и обсуждались на 7-й международной конференции Инфокоммуникационные технологии Глобального информационного общества (Казань), 2009 г., 2-й, 3-й и 4-й Межбанковской конференции по информационной безопасности (Башкирия), 2010 - 2012 г.г., 16-й научно-практической конференции Комплексная защита информации (Гродно), 2011 г.
Успешная практическая апробация подтверждена результатами внедрения разработанной модели в практику проведения аудитов СМИБ (в т.ч. защищённости ПДн) в ряде организаций (КАМАЗ-Дизель, г. Набережные Челны, ЗАО Ниеншанц, г. Санкт-Петербург, ОАО Дальневосточное морское пароходство, г. Владивосток, ОАО ПРП Омскэнергоремонт).
Публикации. Основные результаты диссертационного исследования представлены в 4-х статьях, опубликованных в ведущих научных журналах и изданиях, рекомендованных ВАК Министерства образования и науки РФ, и в 17 публикациях в материалах научно-практических конференций, иных научных журналах и специализированных изданий. Всего по теме диссертации 21 публикация, в т.ч. 5 свидетельств об официальной регистрации Роспатента.
Реализация. Методика аудита защищённости СМИБ используется в ряде организаций:
ОАО КАМАЗ-Дизель, ОАО ПРП Омскэнергоремонт и ОАО Дальневосточное морское пароходство при проведении аудитов ИБ. Использование представленной методики позволяет повысить объективность оценки СМИБ (и ПДн в частности) в соответствии с действующими НПА, сократить сроки проведения аудитов ИБ (в соответствии требованиями МС ИСО/МЭК серии 27000) и число привлекаемых экспертов (аудиторов), что подтверждается соответствующими актами реализации (отзывами).
Структура и объем диссертации. Диссертация состоит из введения, 4-х глав, заключения, списка литературы из 154 наименований. В работе содержится 41 таблица и рисунков. Объем основной части работы - 171 страница. В приложении приведен глоссарий и отзывы о практическом применении результатов диссертационной работы.
ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ
Во введении обоснована актуальность выбранной темы диссертационного исследования, изложены цель и сформулированы задачи исследования. Определены научная новизна и практическая значимость полученных результатов, структура диссертации, приведены основные положения, выносимые на защиту.
В первой главе диссертации рассмотрены основные существующие методы анализа защищённости ИБ, основное внимание уделено применяемым методикам на основе менеджмента рисков (например, ИСО/МЭК 27005, NIST SP 800-30, COBIT 4.1, ОCTAVE 3.0).
Показано, что современное понимание проблемы обеспечения ИБ четко взаимоувязано с практикой риск-менеджмента и в доказательство этого подхода приведены факты пересмотра современных стандартов ИСО и ИСО/МЭК с учетом анализа аспектов риск-менеджмента.
Например, актуальная версия стандарта ИСО 19011:2011 по аудитам систем менеджмента включает рекомендации по риск-менеджменту, а также содержит в приложении регламентирующие требования, в т.ч. для проведения аудитов СМИБ.
Выполнен обзор и подробный анализ национальных НПА в области ИБ в составе ГОСТ Р, Комплекса СТО БР ИББС, рекомендаций СТО НАПФ и ряда других НПА. Дана краткая оценка существующих НПА, разработанных в РФ, применительно к целям оценки ИБ (в частности, ПДн) и отражено текущее положение, при котором не предложено единого нормативного документа, утвержденного как ГОСТ Р или Технический регламент. Подтверждено, что современная практика защиты ИБ (и обеспечения защищённости ПДн) основана на документах, в большинстве разработанных более 20 лет назад в СССР и ранее предназначенных для защиты государственной тайны. Отмечено, что отсутствие единого нормативного документа, принятого на уровне ГОСТ Р или Технического регламента, серьезно осложняет процесс анализа рисков ИБ и обеспечение защищённости СМИБ и, как следствие, оставляет возможность различным организациям создавать свои собственные лотраслевые документы, содержащие разноплановые требования к обеспечению ИБ.
Выполнен обзор и подробный анализ международных НПА актов в области ИБ, прежде всего МС ИСО/МЭК серии 27000. Отмечено, что широко известный цикл Дёминга-Шухарта (цикл PDCA) нашел свое логичное применение и к задачам менеджмента ИБ: к построению, внедрению, аудиту и непрерывному развитию СМИБ в соответствии с требованиями МС ИСО/МЭК 27001:2005. Дополнительно к МС ИСО/МЭК рассмотрены стандарты BS серии 25999, стандарт PCI DSS, а также ряд рекомендаций, применимых к оценке защищённости:
рекомендации ITU-T X.1051, SAS 70, Закон Sarbanes-Oxley Act (SOX), закон KonTraG, Европейская директива 95/46/ЕС и новая редакция Базель III. Проведен подробный анализ системных противоречий, которые начинаются даже на уровне используемой терминологии, например, для одного из важнейший терминов control применяются следующие варианты:
защитная мера (ГОСТ Р ИСО/МЭК 13335-1-2006, п 2.24 ) мера управления (ГОСТ Р ИСО/ТО 13569-2007, п. 3.17);
мера и средство контроля и управления (ИСО/МЭК 27005-2009 п. 2.10) луправляющее воздействие (ГОСТ Р 52380.1-2005, п. 2.8);
Следующие диспропорции наблюдаются в соотношение стандартов ГОСТ Р и ИСО/МЭК, точнее в разработке национальных НПА (за последние 5 лет их количество не превысило 500) и прямого применения МС (как перевода ИСО/МЭК в национальные ГОСТ Р ИСО/МЭК) в области ИТ и ИБ (за тот же интервал 5 лет их количество лет превышает 2.000). Также наблюдается существенное расхождение в требованиях по хранению журналов аудита (логфайлов). В Таблице 1 приведены рекомендуемые различными НПА сроки хранения данных (например, для анализа в дальнейшем инцидентов ИБ). Как видно, рекомендованные значения находятся в широчайшем диапазоне.
Таблица Требования Длительность хранения SOX 7 лет PCI DSS 1 год Директивы Евросоюза (EU Directive) 2 года Basel II 7 лет HIPAA 7 лет СТО БР ИББС 7 лет Ведомственные РД 3 года Дополнительно изучены аспекты проведения аудитов ИБ в соответствии с требованиями МС ИСО/МЭК 27006:2007, проанализированы слабые и сильные стороны этого процесса, полученные из практики за последние 5 лет, а также выполнено сопоставление требований к компетенции аудиторов ИБ. Отмечено, что в практике проведения аудитов ИБ требуется фиксация несоответствий (лнаблюдений аудита в терминах МС ИСО 9000:2005, п. 3.9.5) в формальных чек-листах и категорирование их по фиксированной градации (например, незначительные, и значительные в терминах МС ИСО/МЭК 17021:2011, п. 9.1.9.6).
Соответственно, одним из перспективных направлений для аудитов ИБ является разработка достоверных математических моделей и соответствующих методик (алгоритмов), базирующихся на иерархических структурах, способных предоставить для анализа достоверное описание СМИБ, достаточное для проведения численной оценки.
Анализ современных подходов (в равной степени в России и в мировой практике) к оценке СМИБ показал, что в настоящее время 3 основные фактора являются драйверами проблемы оценки защищённости (применительно к практической задаче оценке защищённости ПДн):
1. Возросший уровень угроз, в том числе принципиально новых (сложные социальноориентированные фишинг-атаки, распределенные бот-сети, SMS-мошенникиЕ);
2. Постоянное изменение требований регуляторов (ФСБ, ФСТЭК, Роскомнадзор);
3. Разработка лотраслевых стандартов и установление практики аудитов на соответствие этим отраслевым стандартам (СТО БР ИББС и пр.) Вместе с тем, перечисленные выше драйверы не в полной мере воспринимаются ЛПР как прямое руководство к действию: в силу ряда причин при создании и/или внедрении СМИБ, например, применительно к ИСПДн на практике встречается такой подход:
максимально снизить класс ИСПДн с тем, чтобы минимизировать затраты на технические и иные меры защиты ПДн (посредством сегментации ПДн, изоляции ИС и пр.). Показано, как это можно объяснить доминирующим принципом пообъектовой защиты, который наследуется еще со времен 90-х годов прошлого века на базе Руководящих документов Гостехкомиссии при Президенте РФ. Отмечено, что при выполнении проектов по защите реальных ИСПДн свыше 70% проектов (по данным ряда экспертов) выполнялось собственными специалистами по типовым комплектам документов. Очевидно, что при изменении требований к СМИБ, на первый план выходят новые подходы к обеспечению защищённости, прежде всего, основанные на лучших международных практиках, в т.ч. стандартах ИСО и ИСО/МЭК.
В результате проведенного анализа выполнена общая постановка задачи исследования.
Во второй главе предложены подходы к формированию моделей СМИБ, рассмотрены теоретические аспекты применительно к решению сложных задач, в частности, отмечается, что задача синтеза адекватной модели СМИБ требует учета экспертами и ЛПР множества как контролируемых, так и неконтролируемых элементов, отражающих реальную ситуацию.
Для моделей реальных СМИБ учтены существенные последствия ошибок, которые могут привести к несогласованным выводам экспертов, и для того, чтобы экспертные оценки (экспериментальные опыты, аудиты ИБ, сертификация СМИБ) адекватно воспроизводили реальную СМИБ, сформированы следующие предположения для создаваемой модели СМИБ:
1. Физическая реальность СМИБ согласованна посредством оценок независимых групп экспертов и при определенных условиях (независимые аудиты ИБ) обеспечивается воспроизводимость одинаковых результатов оценки.
2. Экспертные оценки должны стремиться к согласованности, и модель СМИБ допускает корректировку при получении недостоверных оценок матриц парных сравнений.
3. Для получения адекватных оценок модели СМИБ по сравнению с реальной СМИБ, при сборе, обработке и оценке экспертных суждений предлагается постоянно контролировать выполнение требований беспристрастности, объективности и должного профессионального усердия.
4. Для получения достоверных результатов моделирования СМИБ для целей оценки защищённости СМИБ предлагается обеспечить:
Точный и практически применимый математический аппарат, позволяющий обеспечить достоверные результаты численной оценки сравнительных измерений;
практически пригодную шкалу оценки, обеспечивающую прямое соответствие между качественными суждениями экспертов и численными значениями шкалы;
возможность воспроизводить достоверные измерения реальной модели СМИБ, которые могут быть известны (например, по данным технического задания и/или аудиторского заключения).
Отдельно рассмотрены способы решения многокритериальных задач и отмечено, что наиболее обоснованным способом решения таких сложных задач с иерархическими структурами, включающими факторы самой разнообразной природы, является МАИ, который представляется более эффективным, чем подход, основанный на линейной и/или нечеткой логике. Представлено обоснование выбора модифицированного МАИ для решения сложных управленческих задач - оценки защищённости по моделям СМИБ.
Предложена следующая последовательность этапов для решения задачи в МАИ:
1. Выполняется структуризация задачи в виде иерархической структуры с несколькими уровнями: Цель - Критерии - Альтернативы.
2. Выполняется парное сравнение элементов каждого уровня экспертами. Результаты сравнения имеют количественный (числовой) характер.
3. Выполняется расчет приоритетов (весов) для элементов каждого уровня и проверка согласованности экспертных суждений.
4. Выполняется иерархический синтез - подсчет количественной оценки представленных альтернатив. Анализируется выбор наилучшей альтернативы.
Показано, что иерархический синтез в МАИ используется для взвешивания собственных векторов матриц парных сравнений альтернатив весами критериев, имеющихся в иерархии, а также для вычисления суммы по всем соответствующим взвешенным компонентам собственных векторов нижележащих уровней иерархии. Иерархический синтез в модифицированном МАИ выполняется в 3 этапа, каждый из которых имеет четко выраженный результат, используемый далее в формировании итогового решения по глобальной цели.
A Шаг 1. На 1-м шаге определяются векторы приоритетов альтернатив W( Ei ) относительно j Ei элементов Ei предпоследнего уровня иерархии (т.е. i = S). Здесь через обозначим j j элементы иерархии (факторы ИБ), причем верхний индекс i указывает на уровень иерархии, а нижний индекс j указывает порядковый номер элемента на уровне. Вычисление множества WSA векторов приоритетов альтернатив относительно S - уровня иерархии осуществляем с помощью итерационного алгоритма по данным матриц парных сравнений. В результате определяем множество векторов:
A A A A A WSA WE,WE,WE,WE ;...WE S S S S S 1 2 3 4 P Шаг 2. На 2-м шаге образом обрабатываются матрицы парных сравнений собственно Ei элементов, определяется предпочтительность элементов i-уровня иерархии относительно j элементов i+1 уровня (лтриада безопасности, контроли). В результате обработки матриц E W парных сравнений определяется множество векторов приоритетов элементов E W W(E ) Ei j E WE Полученные значения i используются далее при определении векторов приоритетов j альтернатив относительно всех элементов (факторов ИБ) иерархической модели СМИБ.
Шаг 3. На 3-м шаге осуществляется иерархический синтез, заключающийся в последовательном определении векторов приоритетов альтернатив относительно элементов Ei, находящихся на всех иерархических уровнях, кроме предпоследнего уровня, j S E содержащего элементы. Вычисление производится путем последовательного j перемножения соответствующих векторов и матриц. Общий вид выражения для вычисления векторов приоритетов альтернатив определяется следующим образом:
A A A A E W [W,W,...,W ]W i i i Eij E11 E21 En1 Eiji где W A ( E ) Ч вектор приоритетов альтернатив относительно элемента E1i-1, определяющий j j-й столбец матрицы;
A i Ч вектор приоритетов элементов E1i-1, E2i-1,..., Eni-1, связанных с элементом Ej W ( E ) j вышележащего уровня иерархии.
Предложено должным образом учесть мнения нескольких экспертов (групп), т.к. для повышения степени объективности и качества принятия управленческих решений целесообразно учитывать мнения нескольких экспертов. С этой целью предлагается проведение групповой экспертизы, причем множество экспертов предлагается разделить по нескольким доменам (например, в зависимости от области экспертизы ИБ - криптография, физическая защита активов, обеспечение непрерывности бизнеса и пр.), определяемых характером критериев, используемых в иерархии модели СМИБ. Для агрегирования мнений экспертов предлагается среднегеометрическое, вычисляемое по следующему соотношению:
A 1 2 n n aij aij aij...aij где: aАij Ч агрегированная оценка элемента, принадлежащего i-й строке и j-му столбцу матрицы парных сравнений;
п Ч число матриц парных сравнений, каждая из которых составлена одним экспертом.
Предлагается следующая разработанная методология формирования модели СМИБ:
1. Формулирование глобальной цели для иерархии.
2. Анализ системных взаимосвязей (в т.ч. петель обратных связей).
3. Анализ свойств альтернатив и формирование множества альтернатив.
4. Формирование всех элементов иерархии и анализ точности определения элементов, для устранения неопределенности (рисков ИБ).
5. Идентификация множества критериев, влияющие на достижение глобальной цели.
6. Формирование матриц парных сравнений.
7. Расчет векторов приоритетов.
8. Формирование весов альтернатив в иерархии для получения общих приоритетов, которые определяют результат расчет по модели.
9. Выбор среди множества альтернатив одной альтернативы с наибольшим приоритетом.
10. Оптимизация модели в фокусе выбранной альтернативы и рисков ИБ (в т.ч. остаточных).
Известны ограничения применения классического метода парного сравнения альтернатив в МАИ в некоторых практических ситуациях (моделях):
1. Экспертам может быть предложено для анализа свыше 9 альтернатив, что крайне усложняет построение согласованных матриц парных сравнений;
2. При добавлении новых альтернатив изменяется порядок ранее прошедших сравнение альтернатив относительно установленных ЛПР критериев качества, что нежелательно при решении ряда прикладных задач (в т.ч. ресурсоемких и/или критических);
3. Альтернативы могут поступать экспертам для сравнения не одновременно, а через определенные промежутки времени, поэтому невозможно попарно сравнивать объекты.
С учетом выполненного анализа для создания достоверных моделей СМИБ сделан вывод о необходимости применения модифицированного варианта МАИ - МАИ относительно стандартов. В такой иерархической модели стандарты присваиваются элементам, имеющим непосредственную связь с альтернативами (см. рис. 2). На практике в предлагаемой модели число стандартов по каждому элементу может быть различно и определяется экспертами, как правило, по согласованию с ЛПР. По каждому стандарту экспертом устанавливается относительная степень предпочтения, которая указывает значимость стандарта для эксперта.
Численное значение каждого стандарта определяется их парным сравнением по шкале отношений и вычислением главного собственного вектора.
E2 2 Em E1 EЕ.
i i i Ek E1 E.
Е.
S S S E1 E2 EP.
Е.
. L H M L H H M L H M M M L Ai A1 AЕ.
Рис. 2 Иерархическая модель МАИ относительно стандартов.
Ai Предложен алгоритм создания модели СМИБ по иерархии, учитывающей стандарты и использующей алгоритм вычисления векторов приоритетов альтернатив:
1. Формирование системы шкал С = {Сбаз, Cдоп} Ч множество стандартов, включающее два подмножества, устанавливающие основную {Сбаз} и дополнительную {Сдоп} шкалы. Для конкретного элемента Esj, включенного в иерархию из множества С, определяется подмножество стандартов Сj, такое, что Сj С, Сj Esj. На практике могут быть назначены различные значения для одних и тех же по наименованию стандартов, относящихся к Esp.
2. Формирование подмножества стандартов s E Для конкретного элемента i в составе иерархии на множестве M, определяется s E подмножество стандартов Mj, такое что Mj | M, Mj | i Вычисление векторов приоритетов альтернатив относительно элементов иерархии в модели сравнения объектов с учетом стандартов, осуществляется по следующему алгоритму:
s E 1. Для каждого элемента иерархии, непосредственно связанного со стандартами, i устанавливается подмножество Mj | M. Стандарты, входящие в подмножество Mj сравниваются по методу парных сравнений по шкале предпочтений (рекомендуется количественная 9-бальная шкала). Относительные предпочтения стандартов фиксируются s W в матрицах, для которых необходимо определить правые собственные вектора.
i 2. Группа экспертов присваивает каждой альтернативе Аi значение 1-го стандарта, и такая s процедура присваивания повторяется для всех элементов E. В результате формируется i матрица A S S Ep E1...
A1...
w11 w1 p A A2 w21... w2 p ............
Aq wq1... wqp в которой через wij обозначается численное значение стандартов, соответствующих Es альтернативе Ai и элементу i.Таким образом, столбцы матрицы [А] образуют ненормированные векторы приоритетов всех альтернатив по соответствующим элементам s E i.
3. Для получения нормированных векторов WAj приоритетов альтернатив матрица [А] умножается на диагональную матрицу [S] следующего вида:
S S S E1 E2... EP q wi1 0... j 1 q S 0 wi ... 2 j q 0 0... wip j p Множество нормированных векторов приоритетов альтернатив относительно всех элементов нижнего уровня иерархии (непосредственно связанного с альтернативами в принятой иерархической модели) определяется перемножением матриц по формуле:
[WA] = [A] * [S] В итоговой матрице [WA] столбцами будут являться нормированные векторы приоритетов s E альтернатив WiA для каждого элемента иерархии i Представлено описание учета динамических предпочтений и приоритетов. В практике применения МАИ для решения управленческих задач МАИ часто появляется необходимость анализа изменения суждений. В качестве решения предлагается параметризованное решение задачи о собственном векторе A (t) w (t) = max ( t) w ( t ) как функции времени для обеспечения совместимости не только того, что могут оценить эксперты сейчас, но и того, что могут оценить на определенной перспективе (прогнозные расчеты).
В третьей главе предложено описание новых научных решений для оценки защищённости модели СМИБ, представлены походы к формированию моделей СМИБ, показано, что с учетом современной практики рекомендуется выбор стандартов, применимых для целей создания моделей СМИБ даны результаты прогноза (функции вида y = k + x, y = exp(kx + m), y = kx + mq). Представлены оценки точности экспериментальных данных по модифицированной модели в МАИ, т.к. очевидно, что для ЛПР могут быть востребованы как оценки As Is, позволяющие оценить статический срез защищённости по сформированной модели СМИБ, так и прогнозные оценки To Be. В данной работе оценки экспериментальных данных выполняются в соответствии с действующими НПА Государственной системы измерений (ГСИ), прежде всего Р 50.2.038-2004 Измерения прямые однократные. Оценивание погрешностей и неопределенности результата измерений.
Дополнительно представлены решения для оценки рисков по модифицированной модели в МАИ, т.к. одним из критичных аспектов для формирования адекватной модели СМИБ, следовательно, всей методики оценки защищённости по модели СМИБ, является менеджмент рисков. Предложены способы формирования системы критериев для синтеза модели в МАИ.
Поскольку для формирования управленческих решений, применительно к оцениванию сложных объектов (СМИБ), наилучшие возможности предоставляет модификация МАИ относительно стандартов, то предложено в качестве критериев рассматривать контроли из Приложения А стандарта ИСО/МЭК 27001:2005.
Предложенная система иерархии критериев СМИБ будет выглядеть так:
на первом уровне иерархии критериев находятся домены Аi, соответствующие точно разделам Приложения А стандарта ИСО/МЭК 27001:2005, всего их 11 - с А.5 до А.(например А.5 Политики безопасности);
на втором уровне иерархии находятся группы, которых может быть несколько в одном домене (например, А.5.1 Политики ИБ), всего таких элементов 39;
на третьем уровне иерархии находятся конкретные средства защиты (меры противодействия), которых также может быть несколько в одном домене (например, А.5.1.1 Документ политики ИБ), всего таких элементов 133.
Предложено описание концептуальной модели оценки защищённости СМИБ по уровням иерархии (см. рис. 2 как пример иерархической модели СМИБ):
1. на 1-м уровне иерархической модели находится глобальная цель - оценка Eзащищённости модели СМИБ, например, применительно к ПДн (как будет рассмотрено далее в практическом примере);
2. на 2-м уровне иерархической модели находятся домены Аi, соответствующие точно 2 разделам Приложения А стандарта ИСО/МЭК 27001:2005, E1 - E11;
3. на 3-м уровне иерархической модели находятся группы контролей, связанных с E1 Eлдоменами безопасности - ;
4. на 4-м уровне иерархической модели находятся конкретные средства защиты, контроли, 4 связанные с группами контролей E1 - E133;
5. Множество {A} альтернатив представлено основными НПА (Стандарты ИСО/МЭК серии 27000, Комплекс СТО БР ИББС, Руководящие документы ФСТЭК / ФСБ, возможно расширение иными НПА - стандарты BS, PCI DSS, CobIT и пр.) Предложена методика оценки защищённости модели СМИБ.
В соответствии с предлагаемым подходом в методике выделяются 2 фазы (см. рис. 3).
Фаза 1 (лсбор информации и идентификации проблемы принятия решения ЛПР) - на выходе формируется оценка оптимальности модели СМИБ в аспекте рисков ИБ и, соответственно, Фаза 2 (Оценивание защищённости СМИБ) - на выходе формируется статическая и/или динамическая оценка защищённости модели СМИБ для ЛПР.
Синтез модели СМИБ по реальной ИС (ИСПДн) Оценка модели СМИБ методом анализа иерархий (МАИ) Цель - ИБ объекта ИС (ИСПДн) Да Постановка Да Постановка Получение Анализ Синтез Оптимально задачи задачи оценки статической / Оценка элементов модели в аспекте создания защищенности динамической приемлема СМИБ СМИБ рисков ИБ СМИБ ИС (ИСПДн) оценки ? ? Нет Нет ЛПР Выбор метода оценки Активы Контроли Риски Синтез матриц приоритетов Оптимизация СМИБ НПА Рис. 3 Методика оценки защищённости модели СМИБ Представлено описание методики оценки защищённости модели СМИБ (Таблица 2):
Таблица Фаза Этап Детализация задач 1. Идентификация проблемы ЛПР Проектная организация 2. Формирование независимых групп экспертов 1. Определение глобальной цели 2. Оценка критических активов ИБ Сбор 3. Синтез модели СМИБ информации 4. Формирование системы критериев 5. Формирование альтернатив {A} 1. Оценка рисков по модели СМИБ (1-й цикл) Построение 2. Уточнение перечня критериев и контролей (в аспекте 1-го цикла альтернатив риск-менеджмента) 3. Построение альтернатив {A} 1. Построение матрицы предпочтения стандартов 2. Построение шкал оценки (основной и дополнительной) Выбор альтернатив 3. Оценка рисков по модели СМИБ (2-й цикл) 4. Расчет модели СМИБ и выбор альтернативы Ai Таблица 2 (продолжение) 1. Анализ результатов выбора альтернативы Ai 2. Анализ возможности конструирования {A} Оценка результатов 3. Анализ экономической модели достижения Ai 4. Подготовка отчета ЛПР.
1. Оценка ЛПР приемлемости Ai для поставленной глобальной цели 2. Оценка необходимости мягкой оптимизации через итерационный пересмотр матриц векторов приоритетов альтернатив 3. Оценка необходимости жесткой оптимизации через итерационный пересмотр модели СМИБ (активов, рисков, Оптимизация применимых контролей и пр.) 4. Оценка необходимой оптимизации с учетом новых внешних возмущений (НПА, доступных альтернатив {A} и пр.) 5. Принятие оценки защищённости по модели СМИБ и реализации управляющих воздействий (сертификация, оценка применимости, аттестация и пр.) В четвертой главе представлен пример расчета оценки защищённости ПДн по модели СМИБ, сформированной в соответствии с предлагаемой методикой на базе модифицированного МАИ относительно стандартов. На рис. 4 и рис. 5 показаны 2 части модели СМИБ, построенной по иерархическому принципу для глобальной цели Оценка защищённости ПДн.
Формирование независимых групп экспертов (4-е полностью независимые лотраслевые группы) выполнено с учетом неукоснительного выполнения требований как стандарта ИСО/МЭК 27006 (специальные требования к экспертам ИБ), так и ИСО 19011 (общие требования к техническим экспертам ИБ), все требования (опыт, образование и пр.) Оценка E защищенности ПДн 2 E12 E2 EКонфиден- Целостность Доступность циальность 3 EE1 EEA.12 A.9 A.10 A.Information Physical and Communications Business continuity systems environmental and operations management acquisition, security management A.14.1.development and A.10.5.1 УDeveloping and maintenance A.9.2.4 УInformation implementing A.12.3.1 УEquipment back-upФ continuity plans A.12.3.2 maintenanceФ including information securityФ Рис. 4 Пример построения модели иерархической структура с учетом Триады безопасности и контролей ИСО/МЭК 27001:203 EEE1 EA.12 A.9 A.10 A.Information systems Physical and Communications Business continuity acquisition, environmental security and operations management development and management A.14.1.3 УDeveloping and maintenance A.9.2.4 implementing continuity УEquipment A.10.5.1 plans including A.12.3.1 maintenanceФ УInformation back-upФ information A.12.3.2 securityФ B C Н B C CH Н B C Н B C Н ИСО/МЭК Комплекс Система 27001:2005 СТО БР РД ФСТЭК PCI DSS ИББС A1 A2 A3 AРис. 5 Пример построения модели СМИБ иерархической структура с учетом 4 стандартов.
Расчет оценки защищённости ПДн по статической модели СМИБ Представлены примеры расчета оценки защищённости ПДн по модели СМИБ, построенной в соответствии с предлагаемой методикой на базе МАИ относительно стандартов:
a. Глобальная цель: Оценка защищённости ПДн b. Альтернативы:
Стандарт ИСО/МЭК 27001:2005;
Комплекс СТО БР ИББС;
Руководящие документы ФСТЭК / ФСБ;
Стандарт PCI DSS.
c. Критерии верхнего уровня:
Конфиденциальность Целостность Доступность d. Критерии нижнего уровня:
A.10.1. А.9.2. А.6.1. A.7.1.Результат расчета по статической матрице:
W = {0,432; 0,217; 0,215; 0,136}T Иными словами, приоритет отдается стандарту ИСО/МЭК 27001:2005, далее с примерно равными весами следуют Комплекс СТО БР ИББС и Руководящие документы ФСТЭК и ФСБ, наименьший приоритет отдан стандарту PCI DSS.
Расчет оценки защищённости ПДн по динамической модели СМИБ a. Глобальная цель: Оценка защищённости ПДн, аналогично как в статической модели b. Альтернативы:
аналогично как в статической модели c. Критерии верхнего уровня:
аналогично как в статической модели d. Критерии нижнего уровня:
аналогично как в статической модели e. Функции для динамической матрицы предпочтения стандартов:
F1 c1*exp(c2*T) + c F2 b1*Ln(T+b2) + b F3 a1(T) + a F4 d1*T2 + d2*T + d F5 a1(T) + a F6 c1*Exp(T) + cРезультат расчета по динамической матрице (выбран диапазон -1 T 2) показан далее (см. Таблицу 3) и отдельно - графически (см. рис. 6):
Таблица T A1 (ИСО) А2 (СТО) А3 (РД) А4 (PCI) Год -1 0,502 0,212 0,188 0,098 200 0,448 0,210 0,202 0,141 201 0,451 0,248 0,203 0,098 202 0,430 0,271 0,213 0,086 20Результат расчета по динамической матрице (выбраны функции времени при Т = 0) показал:
W = {0,448; 0,210; 0,202; 0,141}T Представляется полезным оценить совместно результаты расчетов по двум моделям СМИБ и определить практическую ценность и качество как синтезированных моделей на базе модифицированного МАИ относительно стандартов, так и предложенной методики оценки защищённости на базе представленных моделей СМИБ.
Рис. 6 Результаты расчета по динамической модели СМИБ Сопоставление 2-х моделей (статической и динамической при Т = 0) показало, что расчетные значения вполне близки, относительная погрешность находится в приемлемом интервале (см. Таблицу 4).
Таблица Модель Погрешность Динамическая Статическая (при Т = 0) Альтернатива A1 (ИСО/МЭК) 0,432 0,448 0,016 3,53% А2 (СТО БР ИББС) 0,217 0,210 0,007 3,45% А3 (РД ФСТЭК/ФСБ) 0,215 0,202 0,014 6,73% А4 (PCI DSS) 0,136 0,141 0,005 3,54% ЗАКЛЮЧЕНИЕ Полученные в результате работы научные результаты касаются решения актуальных проблемы оценки защищённости СМИБ, разработанных в соответствии с требованиями МС ИСО/МЭК 27001:2005 и практического применения этих методов и моделей СМИБ в практике аудитов ИБ, в том числе при оценке защищённости ПДн.
Основные научные результаты:
1. Выполнен анализ требований современных НПА в области оценки защищённости СМИБ, разработанных в соответствии с требованиями МС ИСО/МЭК 27001:2005 и практики оценки защищённости ПДн в СМИБ, как частной задачи. Проведен обзор существующих подходов к решению проблемы оценки защищённости СМИБ, построению моделей СМИБ, пригодных для анализа защищённости, предлагаемых методов оценки защищённости на базе различных НПА, в т.ч. актуальных МС.
2. Разработаны методы оценки защищённости СМИБ:
Метод оценки защищённости ПДн (статический), основанный на МАИ (модификация МАИ относительно стандартов) и статической матрице предпочтения стандартов. Положительным отличием предлагаемого метода является получение экспресс-оценки защищённости СМИБ и предоставления ЛПР объективных данных, полученных в результате расчета модели СМИБ и взвешенного мнения группы экспертов (статической матрицы предпочтения). Существенным преимуществом является применение в методе контуров обратной связи при оценке рисков СМИБ.
Предлагаемый метод позволяет оценить текущее (статическое) значение защищённости СМИБ как факта достижения глобальной цели в дополнение развития классического МАИ. При расчете модели предлагается несколько альтернатив для подтверждения корректности и эффективности выбранного множества контролей в терминах Приложения А ИСО/МЭК 27001:2005.
Метод оценки защищённости СМИБ (динамический), основанный на МАИ (модификация МАИ относительно стандартов) и динамической (функциональной) матрице предпочтения стандартов. Положительным отличием предлагаемого метода является прогнозирование защищённости СМИБ и предоставления ЛПР объективных данных, полученных в результате расчета модели СМИБ и данных прогнозирования группы экспертов (динамической матрицы предпочтения).
Существенным преимуществом также является применение в методе контуров обратной связи при оценке рисков СМИБ. Метод позволяет оценить значение защищённости как результат динамического суждения факта достижения глобальной цели в терминах МАИ и численного представления экспертов об изменениях трендов выбранных альтернатив на определенном временном интервале.
При расчете динамической модели СМИБ дополнительно предлагается несколько альтернатив для подтверждения корректности и эффективности (если применимо) выбранного множества контролей в терминах Приложения А ИСО/МЭК 27001:2005, а также предложены дополнительно ряд функций и коэффициентов, отражающих линтуитивные чувства экспертов по изменениям в тренде (постоянном, линейном, логарифмическом и пр.) 3. Разработаны новые модели оценки защищённости СМИБ, созданные в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005 и предложены алгоритмы применения этих моделей в практике аудитов ИБ, в том числе при оценке защищённости ПДн, как частной задачи:
Модель формирования статической оценки защищённости СМИБ;
Модель формирования динамической оценки защищённости СМИБ.
4. Проведен расчет оценки защищённости СМИБ (на базе и статической и динамической матриц предпочтения стандартов), выполнено практическое апробирование предложенных алгоритмов, получены количественные показатели (нормированные векторы приоритетов, сравнительные таблицы, графики) по синтезированным моделям СМИБ, пригодным для оценки ЛПР, дополнительно выполнено сопоставление точности предложенных моделей.
5. Предложенные новые подходы к оценке защищённости СМИБ, разработанных в соответствии с требованиями МС ИСО/МЭК 27001:2005, реализованы в практике аудитов ИБ, в том числе при оценке защищённости ПДн, для следующих отраслей:
Машиностроение (ОАО КАМАЗ-Дизель, г. Набережные Челны);
Транспорт (ОАО Дальневосточное морское пароходство, г. Владивосток);
Электроэнергетика (ОАО ПРП Омскэнергоремонт, г. Омск);
Нефтедобыча и нефтепереработка (ООО ТНК - Уват, г. Тюмень);
Системная интеграция (ИТ) - ЗАО Ниеншанц, г. Санкт-Петербург);
Медицина - ЗАО Клиника Доброго Стоматолога, г. Санкт-Петербург.
а также были реализованы в учебном процессе по тематике Аудитор/Ведущий аудитор системы менеджмента информационной безопасности (СМИБ) в соответствии с требованиями ИСО/МЭК 27001:2005.
ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ Статьи в изданиях, рекомендованных перечнем ВАК РФ 1. Лившиц И. И. Проектирование, создание и внедрение комплексных систем обеспечения информационной безопасности на базе международного стандарта ИСО/МЭК 27001:2005, журнал Электросвязь, № 4, 2010, 0,8 печ. листа;
2. Козин И.Ф., Лившиц И.И. Информационная безопасность. Интеграция международных стандартов в систему информационной безопасности России Информация и связь, № 1, 2010, 0,8 печ. листа;
3. Агаджанян Э. Г., Лапин А. В., Лившиц И. И., Информационное обеспечение процесса управления персоналом клиники на примере стоматологического программного комплекса MasterClinic // Менеджер здравоохранения, № 9, 2005 г., 0,64 печ. листа;
4. Агаджанян Э. Г., Лапин А. В., Лившиц И. И., Стоматологический программный комплекс MasterClinic. Технология автоматизации работы администратора клиники // Врач и информационные технологии, № 3, 2005 г., 0,64 печ. листа;
Статьи, опубликованные в прочих научных, технических изданиях и в материалах конференций 5. Лившиц И. И. Современные подходы к формированию стандартов качества банковских продуктов на основе моделей риск-менеджмента // 8-я научно-практическая конференция Банки. Процессы. Стандарты. Качество, Уфа, 11-13 марта 2012 г. 0,8 печ. листа;
6. Лившиц И.И. Современная практика проведения аудитов информационной безопасности // Журнал Управление качеством, № 7, 2011 г., 0,64 печ. листа;
7. Лившиц И.И. Современная практика проведения аудитов информационной безопасности // Журнал Управление качеством, № 6, 2011 г. 0,8 печ. листа;
8. Лившиц И. И. Современная практика проведения аудитов ИБ // 16-я научно-практическая конференция Комплексная защита информации, 17-20 мая 2011 г., Республика Беларусь, г. Гродно, 0,96 печ. листа;
9. Лившиц И. И. Современные аспекты менеджмента рисков. Применение международных стандартов для повышения эффективности операционной деятельности банка // 6-я научнопрактическая конференция Банки. Процессы. Стандарты. Качество, Уфа, 11-13 марта 20г. 0,96 печ. листа;
10. Лившиц И.И., Селиверстова Н.А., Жантуаров Б.Ж. Актуальные вопросы построения систем менеджмента с учетом требований международных стандартов информационной безопасности // Журнал Успех, № 3-4, 2010, Казахстан, Астана, 0,8 печ. листа;
11. Лившиц И.И. Практика обеспечения защиты персональных данных в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005, // 2-я межбанковская конференция Информационная безопасность банков, Республика Башкортостан, 15-февраля 2010 г., 0,8 печ. листа;
12. Лившиц И. И., Подолянец Л. А. лПерспективы применения системы менеджмента качества для синтеза и оптимизации моделей деятельности организаций. XIV Международная научно-практическая конференция Интеграция экономики в систему мирохозяйственных связей. 27 - 29 октября 2009 г. 0,32 печ. листа;
13. Лившиц И. И., Марцынковский Д.А., // Современные аспекты проектирования, создания и внедрения комплексных систем обеспечения информационной безопасности. Применение международного стандарта ИСО/МЭК 27001:2005 7-я международная конференция Инфокоммуникационные технологии Глобального информационного общества, 10-сентября 2009 г. Казань, 0,96 печ. листа;
14. Лившиц И. И. Развитие систем менеджмента информационной безопасности в России. // Международная конференция IQNet, 14-16 июня 2009 г., 0,32 печ. листа;
15. Лившиц И. И. Защита завтрашнего дня. Каким рискам подвержены информационные потоки // Журнал Кейс, № 15, 2008 г. 0,96 печ. листа;
16. Лившиц И. И., Подолянец Л. А. Экономическая безопасность системы стратегического управления организации. X Международная научно-практическая конференция Интеграция экономики в систему мирохозяйственных связей. 23 - 25 октября 2007 г. 0,печ. листа.
Свидетельства об официальной регистрации программ для ЭВМ 17. Лившиц И. И., Агаджанян Э. Г., Автоматизированное рабочее место системного администратора (АРМ Системный), № 2004610090, зарегистрировано в Реестре программ для ЭВМ г. Москва, 05.01.2018. Лившиц И. И., Агаджанян Э. Г., Автоматизированное рабочее место администратора стоматологической клиники (АРМ Администратора), № 2001611167, зарегистрировано в Реестре программ для ЭВМ г. Москва, 12.09.2001 г.
Авторефераты по всем темам >>
Авторефераты по разным специальностям