Разработка модели управления составом технических средств защиты информации в государственных информационных системах

Автор: Бабенко Алексей Александрович

Журнал: НБИ технологии @nbi-technologies

Рубрика: Инновации в информатике, вычислительной технике и управлении

Статья в выпуске: 2 т.13, 2019 года.

Бесплатный доступ

Рассмотрена проблема управления составом системы технической защиты информации в государственных информационных системах. Проанализированы угрозы безопасности информации в государственных информационных системах. Определены критерии оценки технических средств защиты информации в государственных информационных системах. Разработана формальная модель управления составом системы технической защиты информации в государственных информационных системах.

Государственная информационная система, информационная безопасность, технические средства защиты, система управления, система защиты информации

Короткий адрес: https://sciup.org/149129788

IDR: 149129788 | DOI: 10.15688/NBIT.jvolsu.2019.2.1

Текст научной статьи Разработка модели управления составом технических средств защиты информации в государственных информационных системах

DOI:

Актуальность проблемы обеспечения информационной безопасности (ИБ) информации в государственных информационных системах (ГИС) обоснована высоким спросом на системы такого класса. Эффективность ГИС в значительной степени зависит от уровня ее безопасности. Защита информации в ГИС обусловлена требованиями Федерального закона от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [6; 9; 11].

В [8] отмечается роль ГИС – «для устойчивого функционирования информационной инфраструктуры Российской Федерации устанавливается необходимость обеспечения единства государственного регулирования, централизованные мониторинг и управление функционированием информационной инфраструктуры РФ на уровне информационных систем и центров обработки данных».

Исходя из этого, сформулируем цель данного исследования: формализация процесса управления составом системы технической защиты информации в государственных информационных системах.

Анализ угроз безопасности информации в государственных информационных системах

Особенностями ГИС, влияющих на защищенность информации являются:

– сложный состав программно-аппаратных платформ и систем защиты информации (СЗИ);
– деление информационного потока на внутренний и внешний;
– территориальная распределенность компонентов;
– взаимодействие с открытыми сетями передачи данных;
– различные виды обрабатываемой информации, определяющие ее ценность;
– требования правовых, технических и иных норм эксплуатации ГИС на различных этапах жизненного цикла.

По статистическим данным компании Infowatch статистике в I кв. 2017 года боль- ше половины всех атак было направлено на автоматизированные рабочие места (АРМ) (табл. 1), внутренний нарушитель является наиболее частой причиной утечек информации – 64,5 %, на внешние атаки приходится 35,5 % [1].

Наиболее ценной информацией для злоумышленников являются персональные данные (ПДн) и платежная информация. Наиболее вероятными каналами утечки этих видов информации являются сеть и бумажные документы.

Отметим, что наряду с традиционными угрозами нарушения конфиденциальности, целостности и доступности для информации, обрабатываемой в ГИС, характерны:

– угроза несанкционированного доступа (НСД);
– угроза отказа сетевого оборудования;
– вредоносное программное обеспечение;
– хищение данных;
– промышленный шпионаж;
– компрометация учетных данных;
– подмена исполнительных модулей;
– человеческий фактор.

Наибольший ущерб для ГИС наносят угрозы нарушения целостности и угрозы, присущие центрам обработки данных (ЦОД), серверам и баз данных [3; 7]. Среднему ущербу могут подвергнуть угрозы получения НСД к информации в ГИС, АРМ пользователей или файловому серверу [4]. Анализ угроз информации в ГИС позволяет соотнести угрозы нарушения ИБ с техническими мерами и средствами ее предотвращения [5; 6; 9].

Таблица 1

Угрозы АРМ ГИС

Угроза	Техника воздействия
Подбор паролей	Попытки подбора аутентификационной информации для доступа к сервисам и ресурсам контролируемых организаций – RDP, SSH, SMB, DB, Web
Нарушение политик ИБ	Нарушение пользователями/администраторами контролируемых ресурсов требований политик ИБ в части использования устаревших версий или недоверенного ПО, которое может быть использовано злоумышленником для атаки путем эксплуатации уязвимости. Также использование ресурсов компании для получения собственной выгоды (майнинг bitcoin/ethereum). Использование торрент-трекеров
Вредоносное ПО	Заражение конечной системы, распространение вируса по локальной сети, отключе-ние/блокировка служб, препятствующих распространению вируса, попытки проведения иных атак внутри сети для получения критичной информации и передачи на командные серверы
Попытки эксплуатации уязвимостей	Использование недостатков в системе для нарушения контроля целостности данных и воздействие на правильную работу системы. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ошибки конфигурации, отсутствия обновлений. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты

Определение критериев оценки технических средств защиты информации в государственных информационных системах

Состав мер защиты информации в ГИС представлен в [6; 9]. Если организация подключена к ГИС, то [9] обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации, имеющие действующие сертификаты ФСТЭК или ФСБ. Государственный реестр сертифицированных СЗИ и перечень СЗИ, сертифицированных ФСБ России представлен в [10], а перечень ФСТЭК в [2].

Мера защиты информации считается выполненной, если:

1. В организационно-распорядительных документах по обеспечению безопасности информации определена процедура установки средств безопасности в ГИС.
2. Принятые организационные и технические меры, а также используемые СЗИ исключают несанкционированную установку, использование неразрешенных средств или их компонент.
3. В ГИС отсутствуют запрещенные к использованию программные и технические средства или их компоненты, целостность установленного СЗИ не нарушена.
4. Обеспечивается периодический контроль установленного в ГИС средства защиты на предмет его соответствия перечню, разрешенных к установке средств защиты в ГИС.

Для СЗИ, применяемых в ГИС, регулятор предъявляет требования. Так в ГОСТ Р ИСО / МЭК 15408 определяется профиль защиты (ПЗ) – совокупность требований безопасности в отношении определенной категории изделий ИТ, независящую от реализации.

Для ГИС, обрабатывающих информацию, не содержащую сведения, отнесенные к ГТ, актуальным ПЗ является четвертый класс.

В результате анализа технических СЗИ в ГИС установлены классы используемых СЗИ: межсетевые экраны (МЭ), средства обнаружения вторжений (СОВ), средства антивирусной защиты информации (САВЗ), средства доверенной загрузки (СДЗ), средств контроля съемных носителей (СКН). Эти клас- сы были проанализированы по следующей схеме: 1) выявление нормативно-правовых актов, содержащих требования к классу СЗИ; 2) определение класса СЗИ, типа и области его применения; 3) определение соответствия классов защищенности ГИС и классов защиты СЗИ; 4) определение соответствия СЗИ с типом и классом защиты ГИС. Данная процедура является универсальной и может быть использована для выбора не только технических средств защиты информации, но и программных и применятся для всех классов информационных систем.

Учитывая требования нормативно-правовых актов, сформулируем критерии оценки для анализа технических средств защиты информации в ГИС (табл. 2).

Таблица 2

Критерии оценки для анализа технических СЗИ в ГИС

Обозначение	Название
К 1	Срок действия сертификата ФСТЭК/ФСБ
К 2	Многофункциональность, выполнение СЗИ нескольким требованиям, например к САВЗ и МЭ
К 3	Уровень контроля на отсутствие НДВ в ПО СЗИ
К 4	Стоимость СЗИ

Перечисленные критерии будут использоваться для определения наиболее эффективных СЗИ ГИС.

Формальная модель управления составом системы технической защиты информации в государственных информационных системах

Под управлением составом системы технической защиты информации в ГИС будем понимать оценку эффективности средств защиты информации в ГИС и выбор наиболее эффективных СЗИ для защиты информации в ГИС.

Формализовано процедуру оценки эффективности средств защиты информации в ГИС можно представить вектором критериев.

K = ( K 1 , K 2 , K 3 , K 4 ) , (1)

K ₁ – срок действия сертификата

ФСТЭК/ФСБ:

0, заканчивается в 2019

K 1 = 1

0,5 заканчивается в 2020

1, заканчивается в 2021 – 2023

K ₂ – многофункциональность – выполнение средством защиты нескольких функций защиты (например, программный комплекс Электронный замок «Витязь» версия 2.2, на соответствие требованиям СДЗ (ИТ.СДЗ.УБ2.ПЗ) и САВЗ (ИТ.САВЗ.Г2.ПЗ)).

K 2 =

0 – нет

1 – да

K ₃ – соответствие заявленного в программном обеспечении средства защиты информации уровня контроля на отсутствие не-декларированных возможностей (НДВ):

0 – нет

K 3 = 1 1

I 1 - да

K ₄ – стоимость СЗИ ГИС;

[ 0,высокая,C > C_n

K = J i ¹ ^cp

⁴ I 1, низкая, C i < C_cp

где С _i – стоимость i -го СЗИ ГИС, С_ср – среднее значение стоимости в группе СЗИ ГИС, n – количество в группе СЗИ ГИС.

n _C

__ i = 1 ⁱ

C cp

Идеальному СЗ соответствует вектор K^* , в котором все значения критериев равны единице. Для оценки эффективности СЗИ вводится скалярная величина, равная Евклидову расстоянию между наилучшим вектором и вектором критериев, полученным для i -го оцениваемого СЗИ:

K i = ( K i , k 2 , k 3 , K 4 ) (7)

Евклидово расстояние для i -ой группы СЗИ ГИС рассчитывается по формуле:

E =^4 = 1 ( K * - K j ) ² (8)

СЗИ, для которой расстояние до наилучшего вектора окажется наименьшим, можно считать наиболее эффективным для защиты информации в ГИС.

Предложенная формальная модель позволяет принимать управляющие решения по выбору наиболее эффективных СЗИ в ГИС.

Результаты экспериментальных исследований

В результате проведенных экспериментов были установлены эффективные технические средства для защиты информации в ГИС:

1. МЭ «Универсальный шлюз безопасности “UserGate UTM”», выполняющий требования к МЭ ИТ.МЭ.А4.ПЗ, ИТ.МЭ.Б4.ПЗ и требования к СОВ ИТ.СОВ.С4.ПЗ.
2. Маршрутизаторы ESR-1000, ESR-200, ESR-100, выполняющие требования к МЭ ИТ.МЭ.А5.ПЗ.
3. МЭ Huawei Eudemon (модель Eudemon 8000E-X3) версии V500, маршрутизаторы серии Huawei AR (модели: AR2220E, AR2240, AR161FG-L) версии V200, МЭ серии Cisco ASA 5500-X (модели: ASA 5506-X, ASA 5508-X, ASA 5516-X) с установленным ПО Cisco ASA версии 9.х, выполняющие требования к МЭ ИТ.МЭ.А6.ПЗ и ИТ.МЭ.Б6.ПЗ.
4. ПАК «Горизонт-ВС», выполняющий требования к ИТ.СДЗ.ПР4.ПЗ.

Перечисленные технические СЗИ рекомендуются для защиты информации в ГИС, не обрабатывающих сведения, отнесенные к государственной тайне, содержащих в своем составе ИСПДн и имеющие подключения к сетям общего пользования 2 класса.

Заключение

Разработанная модель управления составом технических средств защиты информации в государственных информационных системах, позволяет определить наиболее эффективный состав системы защиты информации в ГИС. Если изменятся требования к анализируемым средствам защиты информации, то изменив значения в оптимальном векторе K* , можно прийти к верному решению. Следовательно, разработанная модель управления составом технических средств защиты информации в ГИС является универсальной и эффективной.

Список литературы Разработка модели управления составом технических средств защиты информации в государственных информационных системах

Глобальное исследование утечек конфиденциальной информации в I полугодии 2018 года. - Электрон. текстовые дан. - Режим доступа: https://www.infowatch.ru/report2018_half (дата обращения: 05.03.2019). - Загл. с экрана.
Государственный реестр сертифицированных средств защиты информации. - Электрон. текстовые дан. - Режим доступа: https://fstec.ru/tekhnicheskaya-zaschita-informatsii/dokymenty-po-sertifickatsii/153-sistemasertifikatsii/591 (дата обращения: 05.03.2019). - Загл. с экрана.
Козунова, С. С. Автоматизация управления инвестициями в информационную безопасность предприятия / С. С. Козунова, А. А. Бабенко // Вестник компьютерных и информационных технологий. - 2015. - № 3 (127). - С. 38-44.
Козунова, С. С. Система оптимизации рисков инвестирования информационной безопасности промышленных предприятий / С. С. Козунова, А. А. Бабенко // Вестник компьютерных и информационных технологий. - 2016. - № 7 (145). - С. 22-29.
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных: утв. зам. директора ФСТЭК России 14 февраля 2008 г.). - Электрон. текстовые дан. - Режим доступа: https://fstec.ru/component/attachments/download/290 (дата обращения: 05.03.2019). - Загл. с экрана.
Методический документ "Меры защиты информации в государственных информационных системах": утв. ФСТЭК России от 11 февраля 2014 г. - Электрон. текстовые дан. - Режим доступа: https://fstec.ru/component/attachments/download/675 (дата обращения: 05.03.2019). - Загл. с экрана.
Нестеровский, И. П. Возможный подход к оценке ущерба от реализации угроз безопасности информации, обрабатываемой в государственных информационных системах / И. П. Нестеровский, Ю. К. Язов // Вопросы кибербезопасности. - 2015. - 2(10). - С. 20-25.
О Стратегии развития информационного общества в Российской Федерации на 2017-2030 годы: Указ президента РФ от 09.05.2017 № 203 // Собрание законодательства РФ. - 2017. - № 20. - Ст. 2901.
Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: Приказ ФСТЭК России от 11 февраля 2013 г. № 17: (ред. от 15.02.2017). - Электрон. текстовые дан. - Режим доступа: http://fstec.ru/component/attachments/download/567 (дата обращения: 05.03.2019). - Загл. с экрана.
Перечень средств защиты информации, сертифицированных ФСБ России. - Электрон. текстовые дан. - Режим доступа: http://clsz.fsb.ru/certification.htm (дата обращения: 05.03.2019). - Загл. с экрана.
Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" // Собрание законодательства РФ. - 2017. - № 31 (Ч. I). - Ст. 4736.

Еще

Статья научная