Методика оцінки захищеності інформаційних систем

Abstract

У роботі розглядається сучасний стан розробок в області оцінки захищеності. Проблема забезпечення безпеки інформаційних технологій займає все більш значне місце у реалізації комп'ютерних систем у міру того, як зростає їхня роль в інформатизації суспільства. Забезпечення безпеки інформаційних технологій є комплексною проблемою, що вирішується у напрямах удосконалення правового регулювання застосування інформаційних технологій, удосконалення методів та засобів їх розробки, розвитку системи сертифікації, забезпечення відповідних організаційно-технічних умов експлуатації. У роботі розглядаються системні проблеми безпеки інформаційних систем, наводиться перелік загроз, які можуть спричинити один або кілька шкідливих впливів на системи. У роботі наводиться перелік стандартів та нормативних документів за допомогою яких можна оцінити якість інформаційної системи чи окремі показники. Наводяться актуальність роботи, її мета та задачі. Ключовим аспектом вирішення проблеми безпеки інформаційних технологій є вироблення системи вимог, критеріїв та показників рівня безпеки інформаційних технологій. У роботі детально описується структура стандарту ISO 15408, який був обраний за основу методики, що розробляється. Стандарт ISO 15408 складається з трьох частин. У роботі використовується друга частина стандарту, яка містить універсальний систематизований каталог функціональних вимог безпеки та передбачає можливість їх деталізації та розширення за певними правилами. Наводиться розроблена методика оцінки захищеності інформаційних систем. В роботі описані основні показники, за допомогою яких проводиться оцінка захищеності інформаційних систем у методики, що розроблялась. Було розроблено програмний продукт, який реалізує описану методику і в роботі наводиться інтерфейс програми у вигляді основних вікон програми.

The paper considers the current state of developments in the field of security assessment. The problem of information technology security is becoming increasingly important in the implementation of computer systems as their role in the informatization of society. Ensuring the security of information technology is a complex problem that is solved in the areas of improving the legal regulation of information technology, improving methods and means of their development, development of certification systems, ensuring appropriate organizational and technical conditions of operation. The paper considers systemic problems of information systems security, lists the threats that can cause one or more harmful effects on systems. The paper provides a list of standards and regulations that can be used to assess the quality of the information system or individual indicators. The urgency of the work, its purpose and objectives are given. A key aspect of solving the problem of information technology security is to develop a system of requirements, criteria and indicators of the level of information technology security. The paper describes in detail the structure of the ISO 15408 standard, which was chosen as the basis of the developed methodology. The ISO 15408 standard consists of three parts. The paper uses the second part of the standard, which contains a universal systematized catalog of functional safety requirements and provides for the possibility of detailing and expanding them according to certain rules. The developed method of assessing the security of information systems is given. The paper describes the main indicators used to assess the security of information systems in the developed methodology. A software product has been developed that implements the described technique and the program interface is presented in the form of the main program windows.