УДК 004.054.53
ОСОБЕННОСТИ ВЫБОРА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
В.В. Селифанов, С.В. Степанова, Н.А. Стрихарь, П.А. Звягинцева, Д.В. Чернов
Рассматриваются особенности выбора средств защиты информации для государственных информационных систем. Даны основные виды средств защиты, которые использовались на территории Российской Федерации ранее, а также средства, используемые в настоящее время. Приведены результаты работ, проведенных регулирующими органами, относительно введения классификации средств защиты информации и мер, которые предпринимаются оператором государственных информационных систем. Определены тенденции развития и создания новых средств защиты информации.
Ключевые слова: информационная безопасность, средства защиты информации, государственные информационные системы.
Развитие науки и техники не останавливается. Это обусловлено тем, что люди стараются найти более продуманные, современные и выгодные решения повседневных задач. Данная тенденция распространяется и на сферу обеспечения защиты информации. Ежедневно появляются новые вирусы, совершаются различного рода хакерские атаки и взломы. Чтобы обеспечивать приемлемый уровень безопасности систем различного рода и характера, специалист по информационной безопасности обязан разбираться в тенденциях и новых технологиях в области защиты информации. Также необходимо грамотно подходить и к выбору средств защиты информации (далее - СЗИ): учитывая цели, особенности и возможности заказчика информационной системы. Данные утверждения непосредственно касаются и особенностей выбора СЗИ в государственных информационных системах (далее - ГИС).
В ограниченный набор СЗИ, существовавший ранее, входили средства вычислительной техники (далее - СВТ) - программные и технические элементы систем обработки данных, способные функционировать самостоятельно или в составе других автоматизированных систем (далее - АС). В настоящее время, в соответствии с [1] существуют следующие виды средств защиты информации:
- технические средства и системы в защищенном исполнении - аппаратура передачи видеоинформации по оптическому каналу, ip-телефония и т.п;
- технические средства защиты информации от несанкционированного доступа (далее - НСД) - электронные замки, генераторы шума и побочных электромагнитных излучений и наводок, пломбы и т.п;
- программные средства защиты информации от НСД антивирусные программы, межсетевые экраны, системы предотвращения вторжений и т.п;
- защищенные программные средства обработки информации, к которым можно отнести программные средства автоматизированных систем управления;
- программно-аппаратные средства защиты информации;
- специальные средства защиты от идентификации личности, например, такие как средства защиты от дактилоскопической экспертизы).
В соответствии с [2] выделяют семь классов защищенности СВТ от НСД к информации. Согласно нормативно-правового акта [3] в ГИС применяются СВТ не ниже 5 класса защищенности. Данный класс отличается наличием дискреционного управления доступом, т.е. возможностью устанавливать права доступа пользователей к различ-
18
ным ресурсам. Основополагающим этапом в процессе обеспечения защищенности информации, обрабатываемой и хранящейся в ГИС, является установка межсетевых экранов - средств, реализующих контроль за информацией, поступающей и выходящей из АС.
Для дифференциации требований к функциям безопасности межсетевых экранов выделяются шесть классов защиты межсетевых экранов. В отношении ГИС рассматриваются 4 и 5 классы защищенности [4]. Так же для каждой ГИС разрабатываются и утверждаются технические условия, которые могут включать в себя: требования к составу технических средств и операционных систем (далее - ОС), наличие модуля доверенной загрузки, антивирусного решения и т.д.
Вышеприведенные СЗИ можно считать недостаточно корректными, так как ранее не существовало документов, регулирующих выполнение тех или иных требований. Начиная с 2011 года ФСТЭК России начала реализацию деятельности, направленной на систематизацию и разработку классификации СЗИ. Были установлены три класса защищенности информационных систем, а также требования к каждому из них. Класс защищенности определяется в зависимости от уровня значимости информации, обрабатываемой в ИС и ее масштаба. В приказе ФСТЭК России [5] приведен состав мер по ЗИ для каждого класса защищенности ГИС.
Для обеспечения защиты информации, содержащейся в ГИС, проводятся следующие мероприятия: формируются требований к защите информации, разрабатывается и внедряется СЗИ для ГИС, проводится аттестация ГИС на соответствие требованиям по защите информации. ФСТЭК России выпустила ряд документов, систематизирующих классификацию СЗИ, а также описывающих тот или иной класс. Приказами ФСТЭК России были утверждены требования к системам обнаружения вторжений, межсетевым экранам, средствам антивирусной защиты, средствам контроля съемных машинных носителей, введена классификация ОС для обеспечения защиты информации. ФСБ России определила классы криптографических СЗИ и средств защиты электронной подписи. Разработан государственный реестр сертифицированных СЗИ, поддерживаемый ФСТЭК России. Аналогичный перечень сертифицированных СЗИ имеет и ФСБ России в рамках своей компетенции.
Веб-сервисы, применяемые в ГИС и их структура постоянно развиваются. На этой почве возникала потребность в создании новых решений по защите информации. Одним из таких решений стал Web Application Firewall (далее - WAF) - экран для защиты веб-приложений.
Продвинутые модели WAF могут анализировать XML, JSON и другие протоколы современных порталов и мобильных приложений. Это позволяет противодействовать обходу межсетевого экрана, что является немаловажным фактом, так как большое количество людей имеет доступ к ГИС. В качестве примера можно привести портал «Госуслуги», для регистрации на котором гражданину необходимо вводить личные данные. В этом случае использование WAF в роли СЗИ поможет предотвратить большое количество инцидентов информационной безопасности. В качестве другого примера можно привести использование личного кабинета на сайте банковской организации, отнесенному регулятором к ГИС. Пользователь заходит на сайт, проходит аутентификацию, а в другой вкладке открывает ресурс, который оказывается зараженным. Плагин JavaScript, загрузившийся в другом окне, может запросить информацию о переводе денежных средств. В данной ситуации браузер предоставит все необходимые параметры для осуществления финансовой транзакции, так как сеанс связи пользователя с банком ещё не окончился.
Таким образом, можно выявить слабые стороны в алгоритме аутентификации. Очевидным решением данной проблемы является генерация уникальных токенов для каждой формы, содержащейся на странице сайта.
Большинство WAF могут самостоятельно внедрять подобную защиту в веб-формы и защищать, таким образом, клиента, в том числе его запросы, данные, URL и cookie-файлы. В ходе работы WAF запускается основной компонент защиты - машинное обучение, которое характеризуется способностью понимать группы протоколов и зависимостей, свойственных для веб-приложений, которые строятся над прикладными протоколами http/https [6]. Таким образом формируется список допустимых идентификаторов доступа.
Проводя анализ информации, указанной выше, в качестве прикладного решения для защиты ГИС можно применять межсетевой экран Positive Technologies Application Firewall, предназначенный для защиты от кибератак. Данный межсетевой экран успешно прошел сертификационные испытания ФСТЭК России и стал первым решением в классе WAF, подтвердившим соответствие требованиям технических условий и руководящих документов по 4 уровню контроля отсутствия недекларированных возможностей [7]. Наличие сертификата означает, что данный межсетевой экран может применяться в государственных информационных системах до первого класса защищенности включительно и ИСПДн до первого уровня защищенности включительно.
Мы можем сделать вывод, что работа по систематизации и классификации СЗИ оказалась колоссальной. ФСТЭК и ФСБ России продолжают работу в данном направлении. В современном мире информационное поле может использоваться в качестве оружия в руках людей, преследующих корыстные цели. Это значит, что защита информации - важная составляющая современной системы защиты государства, а также международной информационной безопасности.
Список литературы
1. Приказ ФСБ России от 13.11.1999 г. № 564 «Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия».
2. Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992.
3. Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
4. Приказ ФСТЭК России от 09.02.2016 г. №9 «Требования к межсетевым экранам».
5. Методический документ. «Меры защиты информации в государственных информационных системах». Утвержден ФСТЭК России 11.02.2014.
6. Positive Technologies. Чем защищают сайты, или зачем нужен WAF? [Электронный ресурс] URL: https://habr.com/company/pt/blog/269165/ (дата обращения: 10.10.2018).
7. Positive Technologies. PT Application Firewall сертифицирован ФСТЭК России. [Электронный ресурс] URL: https://www.ptsecurity.com/ru-ru/about/news/43455/ (дата обращения: 10.10.2018).
Селифанов Валентин Валерьевич, доцент, [email protected], Россия, Новосибирск, Сибирский государственный университет геосистем и технологий,
Степанова Софья Васильевна, студент, [email protected], Россия, Новосибирск, Новосибирский государственный университет экономики и управления,
Стрихарь Никита Алексеевич, студент, strihar.nikita@,mail.ru, Россия, Новосибирск, Новосибирский государственный университет экономики и управления,
Звягинцева Полина Александровна, старший преподаватель, p.a,[email protected], Россия, Новосибирск, Сибирский государственный университет геосистем и технологий,
Чернов Денис Владимирович, ассистент, cherncib@,gmail. com, Россия, Тула, Тульский государственный университет
FEA TURES OF THE CHOICE OF MEANS OF PROTECTION OF INFORMA TION IN THE STA TE INFORMA TION SYSTEMS
V. V. Selifanov, S. V. Stepanova, N.A. Strikhar, P.A. Zvyagintseva, D. V. Chernov
The article discusses the features of the choice of information security tools for public information systems. The main types of protection means that were used in the territory of the Russian Federation earlier, as well as the means currently used are considered. The results of the work carried out by the regulatory authorities on the introduction of classification of information security tools and measures taken by the operator of state information systems are presented. Tendencies of development and creation of new means of information protection are defined.
Key words: information security, means of information protection, state information
systems.
Selifanov Valentin Valerievich, docent, sfo1@,mail.ru, Russia, Novosibirsk, Siberian State University of Geosystems and Technologies,
Stepanova Sofya Vasilyevna, student, stepanova. sofva a mail. ru, Russia, Novosibirsk, Novosibirsk State University of Economics and Management,
Strychary Nikita Alekseevich, student, strihar.nikita@,mail.ru, Russia, Novosibirsk, Novosibirsk State University of Economics and Management,
Zviagintseva Polina Aleksandrovna, Senior Lecturer, p. a, zvjaginceva@sgugit. ru, Russia, Novosibirsk, Siberian State University of Geosystems and Technologies,
Chernov Denis Vladimirovitch, assistant, cherncib@gmail. com, Russia, Tula, Tula State University