УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы А.С. ЛЫСОВ Тюменский государственный университет МЕТОДИКА АНАЛИЗА ИНФОРМАЦИОННЫХ РИСКОВ ДЛЯ ГОСУДАРСТВЕННЫХ УЧРЕЖДЕНИЙ В данной работе описывается разрабатываемая методика анализа информационных рисков для государственных учреждений, позволяющая оценить эффективность используемых технологий защиты информации для трех граней информационной безопасности: конфиденциальность, целостности и доступности. В настоящее время из-за возрастающей роли информационных технологий во многих областях жизни общества, увеличивается актуальность оценки безопасности использования этих технологий, как для коммерческих компаний, так и для государственных учреждений. Для автоматизации процесса оценки рисков на российском рынке, существует несколько программных комплексов: «Digital Security Office» от Digital Security, позволяющая выполнять анализ на основе стандарта ISO 17799, и система «АванГард» разработанная в ИСА РАН, позволяющая автоматизировать работу с профилями защиты. Но для анализа информационных рисков в соответствии с «российским стандартом» по защите информации (РД Гостехкомиссии России), если работа организаций, не связана с государственной тайной, методики анализа не существует. Проанализировав существующие иностранные и отечественные методики рисков и построенные на их базе программы: Cobra, RA2 art of risk, Cramm, Digital Security Office [1], можно выделить несколько этапов анализа рисков: 1. Определение границ исследования, на данном этапе собирается информации о системе, включающая: данные об инфраструктуре и её конфигурации, ресурсах и пользователях системы 2. Получение данных о существующих угрозах для данной инфраструктуры (экспертными методами или на основе статистики нарушений) 3. Оценивание информационных рисков на основе данных об угрозах 4. Генерация рекомендаций по уменьшению, уклонению и т.д. рисков В разрабатываемой методике, мы сохранили этапы работ по оценке рисков и учли потребности государственных учреждений: максимально упростив технические вопросы по определению данных об инфраструктуре, использовав терминологию из РД Гостехкомиссии России; использовав получение данных о существующих уязвимостях и угроз, на основе ISBN 5-7262-711-4. XIV Всероссийская научная конференция 87 УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы экспертных методов, по причине того что далеко не во всех государственных организациях введется детальная статистика информационных нарушений и является открытой (экспертами, в нашем случае являются - специалисты по защите информации которым, требуется ответить на ряд вопросов для оценки характеристик для каждой группы угроз); использовав процедуру оценки рисков, использующую данные не только об уязвимостях, но и о так называемый вес эксперта (обобщенные данные о компетентности данного эксперта), используя метод взвешенной суммы для оценки общей вероятности осуществления угроз для трех граней информационной безопасности: конфиденциальности, целостности и доступности; на последнем этапе формируется отчет со статистикой рисков и набор рекомендаций для их уменьшения. Разрабатываемую методику предполагается использовать в государственных учреждениях для оценки рисков информационной безопасности на основе открытой информации, что позволит оценивать уровень эффективности внедрения тех или иных средств обеспечения информационной безопасности. Список литературы 1. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность / Петренко С.А., Смирнов С.В. М.: Компания АйТи; ДМК Пресс, 2004. 384 с. ISBN 5-7262-711-4. XIV Всероссийская научная конференция 88