Методы и инструменты инжиниринга методологий информационной безопасности Любимов Александр Вилиевич к. т. н., доцент СПб ГПУ С.-Петербургский Государственный Политехнический Университет Факультет Управления и информационных технологий

2 Общая терминология: методология и ее модель Методология - описание знаний предметной области с точки зрения определенной системы взглядов и понятий. Как правило содержит: Методология - описание знаний предметной области с точки зрения определенной системы взглядов и понятий. Как правило содержит: определенную исходную концептуальную схему, отражающую содержание и связь основных понятий (концептов)определенную исходную концептуальную схему, отражающую содержание и связь основных понятий (концептов) некоторый набор образцов постановки задач и методов их решения, выраженных в понятиях концептуальной схемынекоторый набор образцов постановки задач и методов их решения, выраженных в понятиях концептуальной схемы Модель методологии – система моделей определенной структуры, степени формализации и полноты, представляющая методологию (интегральная модель). Как правило содержит: Модель методологии – система моделей определенной структуры, степени формализации и полноты, представляющая методологию (интегральная модель). Как правило содержит: статическую проекцию, представляющую наборы концептуальных схем методологии и ее задач статическую проекцию, представляющую наборы концептуальных схем методологии и ее задач динамическую проекцию, представляющую наборы действий по решению задач методологии динамическую проекцию, представляющую наборы действий по решению задач методологии

3 Общая терминология: инжиниринг и его виды Инжиниринг – (исходно) извлечение знаний из предметной области и представление их в виде системы моделей в определенной парадигме моделирования и с определенной точки зрения Инжиниринг – (исходно) извлечение знаний из предметной области и представление их в виде системы моделей в определенной парадигме моделирования и с определенной точки зрения Инжиниринг методологии (интегральный, полная схема) Инжиниринг методологии (интегральный, полная схема) обратныйобратный »анализ предметной области и создание моделей внутреннийвнутренний »преобразование и согласование моделей прямойпрямой »модификация предметной области по моделям

4 Общая терминология: типы моделей неформальная модель – сформулированная на естественном языке (структурированный текст) неформальная модель – сформулированная на естественном языке (структурированный текст) полуформальная модель – сформулированная на языке с ограниченным (как правило – графическим) синтаксисом и явно определенной семантикой полуформальная модель – сформулированная на языке с ограниченным (как правило – графическим) синтаксисом и явно определенной семантикой нет логического выводанет логического вывода нет прогнозированиянет прогнозирования динамика - в виде прецеденций, логики и ресурсных связей процессовдинамика - в виде прецеденций, логики и ресурсных связей процессов формальная модель – сформулированная на языке с ограниченным синтаксисом и явно определенной семантикой, основанном на установившихся математических концепциях формальная модель – сформулированная на языке с ограниченным синтаксисом и явно определенной семантикой, основанном на установившихся математических концепциях

5 Мотивации разнообразие и независимость стандартов ИБ разнообразие и независимость стандартов ИБ »нормативные риски организаций => необходимость согласования стандартов и НМД=> необходимость согласования стандартов и НМД => необходимость разработки комплайентных систем ИБ или их согласования=> необходимость разработки комплайентных систем ИБ или их согласования разнообразие, независимость и узкая специфичность целей моделирования в конкретных решенных задачах полуформального моделирования ИБ разнообразие, независимость и узкая специфичность целей моделирования в конкретных решенных задачах полуформального моделирования ИБ различие в языках, нотациях, методах и инструментах моделированияразличие в языках, нотациях, методах и инструментах моделирования различие в границах моделирования и структурах моделейразличие в границах моделирования и структурах моделей => несводимость моделей=> несводимость моделей => невозможность повторного использования моделей=> невозможность повторного использования моделей => потеря аналитической информации и опыта=> потеря аналитической информации и опыта => необходимость хотя бы частичной унификации методов моделирования и структур моделей => необходимость хотя бы частичной унификации методов моделирования и структур моделей

6 Организационная методология ИБ заключена в семействе стандартовзаключена в семействе стандартов »рассматриваются только стандартизованные методологии Рассматриваемые семейства стандартов »управленческие, организационные, архитектурные стандарты ИБ »прилегающие стандарты ИТ и бизнеса ISO 2700* - Information security management systems (ISMS - СУИБ) ISO 2700* - Information security management systems (ISMS - СУИБ) ISO 15408, ISO Common Criteria (CC - ОК) ISO 15408, ISO Common Criteria (CC - ОК) семейство стандартов ЦБ РФ (СТО БР ИББС) семейство стандартов ЦБ РФ (СТО БР ИББС) семейство стандартов ФСТЭК РФ семейство стандартов ФСТЭК РФ ISO 9001 Quality Management Systems (QMS) ISO 9001 Quality Management Systems (QMS) Information Technology Infrastructure Library (ITIL) Information Technology Infrastructure Library (ITIL)

7 Уровни и языки моделирования управленческие, организационные, архитектурные задачи ИБ управленческие, организационные, архитектурные задачи ИБ => используются полуформальные языки моделирования => используются полуформальные языки моделирования Уровень моделирования Виды моделей Языки моделирования функционально - структурный функциональные, информационные IDEF0, DFD, BPD-BPMN ER, IDEF1X объектныйобъектныеUML и его расширения онтологическийсемантические сети, онтологии IDEF5, OWL, RDF Для каждой методологии ИБ на каждом уровне строится пара согласованных моделей (проекций) логическая – концепты ИБ (системы, объекты, субъекты, документы, …) и их логические связи логическая – концепты ИБ (системы, объекты, субъекты, документы, …) и их логические связи процессная – задачи, деятельности, процессы ИБ, их иерархии и ресурсные связи процессная – задачи, деятельности, процессы ИБ, их иерархии и ресурсные связи

8 Ф уровень Функционально - структурный уровень уровень экспертов предметной области уровень экспертов предметной области основное содержание: основное содержание: сбор и первичная структуризация информации сбор и первичная структуризация информации » информационные модели: словарь - базовые концепты словарь - базовые концепты отношения базовых концептов отношения базовых концептов представление данных базовых концептов (атрибуты) представление данных базовых концептов (атрибуты) » функциональные модели: виды деятельности и процессы верификация моделей экспертами предметной областиверификация моделей экспертами предметной области основное использование: основное использование: разработка НМД разработка НМД обучение специалистов обучение специалистов создание внешних (функциональных и информационных) спецификаций ПО поддержки создание внешних (функциональных и информационных) спецификаций ПО поддержки бизнес-планирование работ по внедрению бизнес-планирование работ по внедрению

9 Объектный уровень уровень информационных технологий уровень информационных технологий основное содержание: основное содержание: преобразование словарей и отношений базовых концептов в полную логическую модель методологиипреобразование словарей и отношений базовых концептов в полную логическую модель методологии согласование логической и процессной проекций модели методологиисогласование логической и процессной проекций модели методологии объединение логической и процессной проекций в единую модель методологииобъединение логической и процессной проекций в единую модель методологии основное использование: основное использование: модификация моделеймодификация моделей коррекция и согласование стандартов ИБ в рамках семействакоррекция и согласование стандартов ИБ в рамках семейства проектирование и разработка ПО поддержкипроектирование и разработка ПО поддержки »создание проектных (внутренних) спецификаций создание первичных онтологийсоздание первичных онтологий

10 Онтологический уровень уровень представления знаний уровень представления знаний основное содержание: основное содержание: преобразование логической модели методологии в первичную онтологию преобразование логической модели методологии в первичную онтологию уточнение первичной онтологии уточнение первичной онтологии формализация первичной онтологии формализация первичной онтологии реализация процессов ЖЦ онтологии реализация процессов ЖЦ онтологии основное использование: основное использование: согласование методологий на концептуальном уровне согласование методологий на концептуальном уровне источник каскадных модификаций для моделей других уровней источник каскадных модификаций для моделей других уровней создание тезаурусов, баз знаний и поисковых систем создание тезаурусов, баз знаний и поисковых систем

11 Методы инжиниринга методы обратного инжиниринга методы обратного инжиниринга полуформальный семантический анализполуформальный семантический анализ функционально - структурный анализфункционально - структурный анализ методы внутреннего инжиниринга методы внутреннего инжиниринга преобразование моделей (межуровневое)преобразование моделей (межуровневое) согласование моделей (межметодологическое)согласование моделей (межметодологическое) методы (инструменты) прямого инжиниринга методы (инструменты) прямого инжиниринга логические схемы модификации объектов и систем предметной области (стандартов ИБ, НМД, ПО,...) по модифицированным моделямлогические схемы модификации объектов и систем предметной области (стандартов ИБ, НМД, ПО,...) по модифицированным моделям методики применения логических схем методики применения логических схем

12 Методы обратного инжиниринга Источник данных = текст стандарта + НМД + описание практик реализации стандартов 1-я стадия обратного инжиниринга 1-я стадия обратного инжиниринга полуформальный семантический анализ стандартовполуформальный семантический анализ стандартов функционально - структурный анализ стандартовфункционально - структурный анализ стандартов => логическая модель методологии стандарта »семантическая сеть, представленная в виде UML модели => процессная модель методологии стандарта »одна или несколько иерархий процессов в UML и/или DFD 2-я стадия обратного инжиниринга 2-я стадия обратного инжиниринга полуформальный семантический анализ НМД и практикполуформальный семантический анализ НМД и практик функционально - структурный анализ НМД и практикфункционально - структурный анализ НМД и практик => детализированная и уточненная структурная модель методологии стандарта => детализированная и уточненная процессная модель методологии стандарта

13 Демонстрация моделей ISO => ISMS Functional Model ISO => ISMS Functional Model ISO => ISMS Object Model ISO => ISMS Object Model ISO => ISS Object Model ISO => ISS Object Model ISO => ISRM Functional Model ISO => ISRM Functional Model I SO => CC CEM Functional Model I SO => CC CEM Functional Model ISO => СС Object Model ISO => СС Object Model

14 ISO => ISMS Functional Model

15 ISO => ISS Object Model

16 Методы внутреннего инжиниринга межуровневый инжиниринг межуровневый инжиниринг преобразование (transformation) моделейпреобразование (transformation) моделей »метод преобразования моделей DFD UML - разработан »метод преобразования моделей UML OWL – разрабатывается рекомендации проекта стандарта OMG ODM (Ontology Definition Metamodel, Version 1.0) рекомендации проекта стандарта OMG ODM (Ontology Definition Metamodel, Version 1.0) –разделы 14.2 (UML Profile for OWL) и 16 (Mapping UML to OWL) межметодологический инжиниринг межметодологический инжиниринг согласование (coordination) моделейсогласование (coordination) моделей »общее описание методов согласования онтологических моделей представлено в европроекте NeOn (Networked Ontologies Project – EC 6-th FP) »выполняется уточнение и модификация методов для использования в объектной парадигме для использования в объектной парадигме с учетом специфики предметной области (стандартизованные организационные методологии ИБ) с учетом специфики предметной области (стандартизованные организационные методологии ИБ)

17 Общая структура метода трансформации моделей базисные наборы элементов моделей в двух языках моделирования базисные наборы элементов моделей в двух языках моделирования правила приведения моделей к базисным наборам правила приведения моделей к базисным наборам таблица соответствия простейших элементов моделей (включая базисные) таблица соответствия простейших элементов моделей (включая базисные) неоднозначностьнеоднозначность правила принятия решений преобразования над таблицей соответствия правила принятия решений преобразования над таблицей соответствия правила преобразования составных элементов моделей (иерархий, композитов, диаграмм) правила преобразования составных элементов моделей (иерархий, композитов, диаграмм) Задача автоматизации трансформаций »пока не ставится, но учитывается

18 Методы прямого инжиниринга логические схемы модификации сущностей предметной области по моделям методологий, логические схемы модификации сущностей предметной области по моделям методологий, сущности - объекты и системы ИБ: стандарты ИБ, НМД, ПО, СиСЗИ и т. д.сущности - объекты и системы ИБ: стандарты ИБ, НМД, ПО, СиСЗИ и т. д. модели - исходные или модифицированныемодели - исходные или модифицированные примеры - будут нижепримеры - будут ниже методы применения логических схем методы применения логических схем метод включает выбор (или построение) надлежащей модели для модификации предметной областиметод включает выбор (или построение) надлежащей модели для модификации предметной области схемы и методы строятся для конкретных типов практических задач ИБ схемы и методы строятся для конкретных типов практических задач ИБ

19 Основные инструменты инжиниринга Библиотека моделей методологий стандартов ИБ - текущее состояние: Библиотека моделей методологий стандартов ИБ - текущее состояние: 9 моделей для стандартов из 4-х семейств9 моделей для стандартов из 4-х семейств »7 моделей в разработке Набор логических схем и методов прямого инжиниринга - текущее состояние: Набор логических схем и методов прямого инжиниринга - текущее состояние: 5 схем для разных типов практических задач5 схем для разных типов практических задач »3 схемы в разработке

20 Библиотека согласованных моделей СтандартФункционально - структурная Объектная ISO ISMS - Overview and vocabulary завершена ISO/IEC ISMS Requirements завершена завершена ISO/IEC ISMS Code of practice в разработке ISO/IEC ISMS implementation guidance завершена в разработке ISO/IEC Information security risk management завершена завершена

21 Библиотека согласованных моделей - продолжение СтандартФункциональнаяОбъектная ISO Introduction and general model завершена ISO Common evaluation methodology завершена (ru) в разработке ISO TR Guide for the production of PPs and STs запланирована в разработке IS Standard of the Central Bank of Russia запланирована в разработке ISO 9001 Quality Management Systems завершена (ru)в разработке Онтологическая модель методологии ISMS на основе объектной модели - в разработке

22 Логические схемы инжиниринга логические схемы модификации объектов и систем предметной области общего характера общего характера например, логическая схема гармонизации сущностей предметной области на основе моделейнапример, логическая схема гармонизации сущностей предметной области на основе моделей »см. Entities harmonization прикладные прикладные например, логическая схема оценки соответствия СУИБ организации стандарту ISO 27001например, логическая схема оценки соответствия СУИБ организации стандарту ISO »см. Entity verification + ISMS

23 Логическая схема гармонизации сущностей предметной области на основе моделей

24 Логическая схема оценки соответствия СУИБ организации стандарту ISO 27001

25 Типы практических задач ИБ для которых разработаны прикладные логические схемы и методы их использования (=> области применимости метода) для которых разработаны прикладные логические схемы и методы их использования (=> области применимости метода) Вид прикладной задачиСтатус схемы Анализ и совершенствование стандарта ИБапробирована Согласование стандартов ИБв разработке Разработка гибридных нормативных документов ИБ (отраслевых, ведомственных, корпоративных) запланирована Верификация и перепроектирование отраслевых и корпоративных стандартов и систем ИБ апробирована Верификация, специфицирование и проектирование ПО поддержки ИБ (анализ риска, документооборот) апробирована Разработка и верификация корпоративной НМД по ИБв разработке Разработка методов снижения нормативных рисков организаций в мультистандартной среде запланирована Подготовка информации для разработчиков ИТ и заказчиков сертификаций по Общим Критериям апробирована Профессиональное образование и повышение квалификации в области организации ИБ апробирована

26 Реализованные проекты Бизнес-планирование работ по оценке безопасности ИТ, включая обоснованный выбор и согласование оценочного уровня доверия по Общим Критериям Бизнес-планирование работ по оценке безопасности ИТ, включая обоснованный выбор и согласование оценочного уровня доверия по Общим Критериям Верификация свидетельств оценки и технического отчета оценки безопасности ИТ по Общим Критериям Верификация свидетельств оценки и технического отчета оценки безопасности ИТ по Общим Критериям Разработка шаблонов функциональности и документооборота СУИБ и методов их настройки под конкретную организацию Разработка шаблонов функциональности и документооборота СУИБ и методов их настройки под конкретную организацию Проектирование СУИБ телекоммуникационной организации Проектирование СУИБ телекоммуникационной организации Верификация и коррекция словаря семейства стандартов ISO Верификация и коррекция словаря семейства стандартов ISO Анализ, оценка соответствия и выбор программного обеспечения для управления риском ИБ Анализ, оценка соответствия и выбор программного обеспечения для управления риском ИБ

27 Заключение – Методика инжиниринга методологий ИБ единая методическая база для решения широкого спектра теоретических и практических задач в области управления и организации ИБ единая методическая база для решения широкого спектра теоретических и практических задач в области управления и организации ИБ основана на применении известных и апробированных методов и инструментов моделирования основана на применении известных и апробированных методов и инструментов моделирования применение не требует создания специального программного обеспечения и длительной целевой подготовки специалистовприменение не требует создания специального программного обеспечения и длительной целевой подготовки специалистов является открытой является открытой свободно может пополняться необходимыми семействами стандартов и типами моделейсвободно может пополняться необходимыми семействами стандартов и типами моделей позволяет эффективно решать задачи, рассмотрение которых изначально не планировалосьпозволяет эффективно решать задачи, рассмотрение которых изначально не планировалось реальный спектр применений шире, чем тот, что видится в настоящий моментреальный спектр применений шире, чем тот, что видится в настоящий момент созданные методы и инструменты будут применимы к перспективным задачам ИБ без значительных дополнительных затратсозданные методы и инструменты будут применимы к перспективным задачам ИБ без значительных дополнительных затрат Недостатки Недостатки определенная трудоемкость построения моделей методологий ИБопределенная трудоемкость построения моделей методологий ИБ высокие требования к уровню подготовки системных аналитиковвысокие требования к уровню подготовки системных аналитиков

28 Результаты и планы Имеется: Имеется: библиотека моделей стандартов ИБ (пополняется) библиотека моделей стандартов ИБ (пополняется) рабочий набор методов прямого, внутреннего и обратного инжиниринга методологий ИБ (пополняется) рабочий набор методов прямого, внутреннего и обратного инжиниринга методологий ИБ (пополняется) Краткосрочные планы: Краткосрочные планы: разработка методов согласования методологий ИБ разработка методов согласования методологий ИБ разработка методов и средств публикации библиотеки разработка методов и средств публикации библиотеки Перспективы развития: Перспективы развития: создание сети моделей методологий ИБ и смежных методологий (QMS, ITIL, CobIT, …) создание сети моделей методологий ИБ и смежных методологий (QMS, ITIL, CobIT, …) распространение методики инжиниринга на методологии ИБ технологического уровня распространение методики инжиниринга на методологии ИБ технологического уровня »использование библиотеки при формализации технологических задач использование моделей онтологического уровня при построении датацентрических автоматизированных систем использование моделей онтологического уровня при построении датацентрических автоматизированных систем » ISO «Промышленные автоматизированные системы и интеграция Интеграция жизненного цикла данных производств с непрерывным процессом, включая нфтегазовый комплекс»

29 Вопросы ? к. т. н. Любимов Александр Вилиевич