О.М. Голембиовская, А.П. Горлов
advertisement
УДК: 004.021 О.М. Голембиовская, А.П. Горлов АВТОМАТИЗАЦИЯ ПРОЦЕССА ОЦЕНКИ УРОВНЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЪЕКТА ИНФОРМАТИЗАЦИИ В статье рассматривается процесс автоматизации оценки уровня информационной безопасности объекта информатизации, путем создания автоматизированной системы. Основными функциями разработанной системы являются: проведение аудита информационной безопасности, формирование модели угроз ИБ, формирование рекомендаций по созданию системы защиты информации, формирование организационнораспорядительной документации. Ключевые слова: информационная безопасность, оценка, аудит информационной безопасности, модель угроз, автоматизированная система, объект информатизации, защищенность. Широкое использование в процессе информатизации общества современных методов и средств обработки информации создало не только объективные предпосылки повышения эффективности всех видов деятельности личности, общества и государства, но и ряд проблем защиты информации, обеспечивающей требуемое ее качество. Сложность решения этой проблемы обусловлена необходимостью создания целостной системы комплексной защиты информации, базирующейся на стройной её организации и регулярном управлении. Комплексная система защиты информации – это система, в которой действуют в единой совокупности правовые, организационные, технические, программно – аппаратные и другие нормы, методы, способы и средства, обеспечивающие защиту информации от всех потенциально возможных и выявленных угроз и каналов утечки. Современное понятие защиты информации в настоящее время ассоциируется, как правило, с проблемами защиты информации на объектах информатизации (ОИ). Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров. Рассматривая концептуальную модель процесса защиты информации, становится очевидным, что защита информации – динамический процесс [1]. Чем совершеннее современные способы несанкционированного доступа и более реальны источники угроз, тем более актуальнее ставится проблема создания необходимого рубежа защиты информации. В тоже время, чем грамотнее выбраны направления и способы защиты, тем дальше отходят угрозы от защищаемой информации. Рубеж защиты “плавает” во времени в зависимости от тех или иных выше названных факторов. Таким образом, проектировать (разрабатывать заново или в большинстве случаев, как показывает практика, модифицировать существующую) комплексную систему защиты информации (КСЗИ) следует для конкретного момента времени, объективно оценивая положение рубежа защиты. В целях обеспечения соответствия КСЗИ современному уровню обеспечения безопасности и для снижения трудоемкости, обеспечения качества проектных решений, а главное, сокращения сроков её проектирования целесообразно применять специализированные системы автоматизированного проектирования. В настоящее время задача автоматизации проектирования КСЗИ сводится к обработке экспертных данных с выдачей решений общего рекомендательного характера [4]. Первым шагом на пути к автоматизации проектирования КСЗИ является автоматизация процесса оценки уровня информационной безопасности с целью выявления уязвимостей системы защиты ОИ. Для решения задачи автоматизации процесса оценки уровня информационной безопасности объекта информатизации следует использовать специализированную АС (АСИБ). В данной системе в основу положена оценка защищенности объекта информатизации согласно положениям законодательной базы РФ, требованиям государственных стандартов, а так же проверка наличия организационно распорядительной документации регламентирующей защищенную обработку конфиденциальной информации. Основной задачей разрабатываемой АС является выявление уязвимостей существующих систем обработки и защиты информации. Алгоритм работы АС включает ряд этапов: 1. Ввод исходных данных. 2. Формирование информационной модели объекта информатизации. 3. Оценка состояния защищенности ОИ. 4. Формирование модели угроз ИБ. 5. Формирование рекомендаций по совершенствованию системы защиты информации. 6. Формирование организационно-распорядительной документации, регламентирующей защиту конфиденциальной информации. При создании автоматизированной системы оценки уровня информационной безопасности была реализована структурно-функциональная схема представленная на рис.1. Рис. 1. – Структурно-функциональная схема АС оценки уровня ИБ. На начальных этапах работы АС производится сбор сведений, которые позволят выявить вид обрабатываемой информации, существующие средства защиты информации, угрозы ИБ, уязвимости системы защиты информации, а так же прочие данные позволяющие составить информационную модель объекта информатизации. Далее осуществляется оценка состояния защищенности ОИ. Выделяется 3 основных направления оценки защищенности: 1. Оценка на соответствие требованиям стандартов (ГОСТ, СТР-К, ISO) . 2. Определение наличия технических средств защиты информации на объекте информатизации. 3. Выявление организационно-распорядительной документации регламентирующей защищенную обработку конфиденциальной информации. По результатам данного этапа формируется отчет о состоянии защищенности объекта информатизации. На этапе формирования модели угроз информационной безопасности формируется описание системы обработки информации, выявляются пользователи данной системы, определяется уровень исходной защищенности, степень актуальности угроз, рассчитывается вероятность реализации угроз. Актуальность рисков определяется исходя из типа обрабатываемой информации, объема обрабатываемых в системе данных, структуры информационной системы, режиму обработки данных и т.д. [2]. Однако для того чтобы определить актуальность угроз для данного объекта информатизации целесообразно выделить критерии актуальности каждой конкретной угрозы. Так для угрозы сетевой атаки можно выделить такие критерии актуальности как наличие доступа к глобальной сети, наличие в структуре локальной вычислительной сети средств межсетевого экранирования, антивирусной защиты и т.д. Основываясь на выделенных критериях актуальности возможно формализовать расчет вероятности реализации угроз: ∑ 𝒇(𝒋) 𝑷(𝒊) = 𝑵 ∗ 𝟏𝟎𝟎% , (1) P(i) – вероятность реализации i-ой угрозы, f(j) – функция расчета влияния j-го критерия на защищенность системы от i-ой угрозы, N – кол-во критериев актуальности для данной угрозы. Результатом работы данного блока является модель угроз, на основании которой можно выделить оптимальные средства защиты от наиболее актуальных и вероятных угроз. Для обеспечения защиты от таких угроз предусмотрен процесс выборки программных и аппаратных средств защиты информации из базы данных. Выборка производится исходя из стоимости средств защиты и оптимальных технических характеристик необходимых для обеспечения требуемого уровня защищенности. Формализацию процесса формирования модели угроз можно представить в виде кортежа: M=<Di, T, Th, Ka, P(i)>, (2) где Di – уровень исходной защищенности, T – тип системы обработки информации, Th – совокупность угроз информационной безопасности, Ka – критерии актуальности угроз, P(i) – вероятность реализации угроз. Затем осуществляется формирование рекомендаций по совершенствованию системы защиты информации. Рекомендации разделяются на 3 основных раздела: 1. Рекомендации по организационной защите информации. 2. Рекомендации по инженерно-технической защите информации. 3. Рекомендации по программно-аппаратной защите информации. По каждому разделу приводится ряд мер выполнение которых необходимо для защиты от выявленных угроз. Так же на данном этапе происходит подбор оптимальных средств технической и программно-аппаратной защиты информации исходя из допустимой стоимости и набора необходимых характеристик. Результатом работы заключительного блока системы является формирование организационно-распорядительной документации регламентирующей защиту конфиденциальной информации. На данном этапе производится оценка наличия организационно-распорядительной документации на объекте, выявляются недостающие документы, если необходимо, производится сбор дополнительных данных необходимых для формирования дополнительных документов. В качестве выходных данных по результатам работы данного блока является комплект организационно-распорядительной документации регламентирующей защиту конфиденциальной информации. Результатом работы АСИБ является разработка документированных рекомендаций, определяющих комплексное использование правовых, организационных, инженернотехнических, программно-аппаратных и криптографических методов, средств и способов защиты информации ОИ. Таким образом, разработанная автоматизированная система позволяет значительно ускорить процесс оценки уровня информационной безопасности, а так же сократить материальные и временные затраты на разработку комплексной системы защиты информации. СПИСОК ЛИТЕРАТУРЫ 1. Аверченков, В.И. Организационная защита информации/ В. И. Аверченков, М.Ю. Рытов.- Брянск: Изд-во БГТУ, 2010. - 184 с. – (Серия «Организация и технология защиты информации») 2. Аверченков, В.И. Аудит информационной безопасности/ В. И. Аверченков.Брянск: Изд-во БГТУ, 2010. - 210 с. – (Серия «Организация и технология защиты информации») 3. Аверченков, В.И. Автоматизация проектирования комплексных систем защиты информации: монография/ В. И. Аверченков, М.Ю. Рытов.- Брянск: Изд-во БГТУ, 2012. - 147 с. – (Серия «Организация и технология защиты информации»). 4. В.И. Аверченков, М.Ю. Рытов, Т.Р. Гайнулин, О.М. Голембиовская Формализация выбора решения при проектировании комплексных систем защиты информации от несанкционированного доступа //"Известия ВолгГТУ", серия «Актуальные проблемы управления, вычислительной техники и информатики в технических системах». – Волгоград, № 4, 2011. Режим доступа:http://www.vstu.ru/research/pub/izvestiya/aktualnye-problemyupravleniya. Голембиовская Оксана Михайловна Брянский Государственный Технический Университет, кандидат технических наук, доцент кафедры "Системы информационной безопасности" ФГБОУ ВПО БГТУ, раб. тел.:(4832) 51-13-77, e-mail: tu-bryansk@yandex.ru Горлов Алексей Петрович Брянский Государственный Технический Университет, студент кафедры «Системы информационной безопасности» ФГБОУ ВПО БГТУ, тел. +7-980-302-53-80, e-mail: apgorlov@gmail.com Bryansk State Technical University, Bryansk, Russia AUTOMATION EVALUATING INFORMATION SECURITY LEVEL ON OBJECT OF INFORMATION PROCESSING This article discusses the process of assessing the level of automation object's information security information, by creating an automated system. The main functions of the proposed system are: an audit of information security, information security threats formation model , the formation of recommendations for establishing information security systems , the formation of organizational and administrative documentation. Key words: information security , assessment , auditing information security , threat model , an automated system , to information, protection.
