МЕТОД АУДИТА ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ

Проведен анализ существующей в настоящее время нормативной базы и методик анализа защищенности информационных ресурсов. Отмечено, что в основе методик лежит использование технических методов анализа, которые предполагают применение как активного, так и пассивного тестирования системы защиты информации. Еще одним существующим вариантом решения данной задачи является применение экспертных оценок. Однако, оба подхода являются трудоемкими и, зачастую, субъективными. На основе теории нечетких множеств предложена математическая модель аудита защищенности автоматизированных систем на основании которой предложен соответствующий метод. Рассмотрены нечеткие модели как инструмент для проведения аудита автоматизированных систем, обрабатывающих конфиденциальную информацию. В качестве примера использования предложенного метода рассматривается оценка одного из аспектов информационной безопасности — защищенность доступа к конфиденциальной информации в автоматизированной системе. Предлагаемый метод позволит эффективно использовать полученные оценки для решения задачи обеспечения безопасности информации в автоматизированных системах. Основным преимуществом метода является то, что он не требует проведения сложных процедур тестирования, расчета вероятностей, привлечения и подбора экспертов и др. и может быть использован для оценивания большинства различных аспектов информационной безопасности.

1. Астахов, А. Анализ защищенности корпоративных систем / А. Астахов // Открытые системы, 2002. – № 7 – 8.

2. International standard ISO/IEC 15408:1999, “Information technology – Security techniques –Evaluation criteria for IT security – Part 1- Part 3”.

3. International standard ISO/IEC 17799:1999, “Information technology – Code of practice for information security management”.

4. С. Лыдин. Тестирование на проникновение при помощи Rapid7 Metasploit: - https://www.anti-malware.ru/practice/methods/penetrationtesting-using-rapid7-metasploit

5. Захаров, А. П. Методология оценки информационной безопасности профиля защиты / А. П. Захаров. – http://beda.stup.ac.ru/rv-conf/.

6. Димов Э.М. Управление информационной безопасностью корпорации с применением критериев риска и ожидаемой полезности, Маслов О.Н., Раков А.С.; Информационные технологии. 2016. Т. 22. № 8. С. 620-627.

7. Разработка методов и алгоритмов проверки работы предприятия с точки зрения информационной безопасности его функционирования. Остроух Е.Н., Чернышев Ю.О., Мухтаров С.А., Богданова Н.Ю.; Инженерный вестник Дона. 2016. Т. 41. № 2 (41). С. 31.

8. Борисов В.В. Нечеткие модели и сети. / В.В. Борисов, В.В. Круглов, А.С. Федулов. – М: Горячая линия – Телеком, 2007. – 284 с.