CC BY
182
УДК 004.054.53
ОЦЕНКА ЭФФЕКТИВНОСТИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ИСПДН С УЧЕТОМ ПРОФИЛЯ ЗАЩИТЫ
Валентин Валерьевич Селифанов
Управление Федеральной службы по техническому и экспортному контролю по Сибирскому федеральному округу, 630091, Россия, г. Новосибирск, ул. Красный пр ., 41, начальник 6-го отдела, тел. (923)247-25-81, e-mail: sfo1@mail.ru
Полина Александровна Звягинцева
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, старший преподаватель кафедры наносистем и оптотехники, тел. (383)343-91-11, e-mail: polina11-03@mail.ru
Анастасия Сергеевна Голдобина
Новосибирский государственный университет экономики и управления, 630099, Россия, г. Новосибирск, ул. Каменская, 52/1, студент 3-го курса, тел. (923)220-80-89, e-mail: nastya-gold09@mail. ru
Юлия Алексеевна Исаева
Новосибирский государственный университет экономики и управления, 630099, Россия, г. Новосибирск, ул. Каменская, 52/1, студент 3-го курса, тел. (913)980-23-09, e-mail: Isaeva.D.W@gmail.com
Рассматривается процесс проведения оценки эффективности на примере аттестации. Оценка эффективности основывается на ГОСТе ИСО\МЭК 15408, однако этот ГОСТ не охватывает всех критически важных моментов. Поэтому следует обратить внимание на создание методологического подхода, основанного на ГОСТе ИСО \МЭК 19791, что позволит применить новые подходы к сертификации средств защиты информации при их интеграции в автоматизированную систему.
Ключевые слова: информация, защита информации, оценка эффективности, аттестация.
ASSESSMENT OF EFFICIENCY INFORMATION PROTECTION SYSTEM PERSONAL DATA TAKING INTO ACCOUNT SECURITY PROFILE
Valentin V Selifanov
The office of the Federal service for technical and export control in the Siberian Federal district, 630091, Russia, Novosibirsk, 41 Krasny Prospect, Chief of the 6-th Department, tel. (923) 247-25-81, email: sfo1@mail.ru
Polina A. Zviagintcheva
Siberian State University of Geosystems and Technologies, 630108, Russia, Novosibirsk, 10 Plakhotnogo St., Senior lecturer, Department of Nanosystems and Optics Engineering, tel. (383)343-91-11, e-mail: polina11-03@mail.ru
Anastasia S. Goldobina
Novosibirsk State University of Economics and Management, 630099, Russia, Novosibirsk, 52/1 Ka-menskaya St., tel. (923)220-80-89, e-mail: nastya-gold09@mail.ru
Julia A. Isaeva
Novosibirsk State University of Economics and Management, 630099, Russia, Novosibirsk, 52/1 Ka-menskaya St., tel. (913)980-23-09, e-mail: Isaeva.D.W@gmail.com
The process evaluation of effectiveness on the example certification. Evaluation of effectiveness is based on the national standard ISO\IEC 15408. However, this national standard does not cover all critical points. Therefore, you should pay attention to the creation of a methodological approach based on the national standard ISO\IEC 19791. This will allow to apply new approaches to certification of means of information protection when their integration into automated system.
Key words: information, information protection, performance evaluation, attestation.
Построение защищенной автоматизированной системы (АС) сложный и длительный процесс. Все действия по построению описаны с ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения». С появлением защиты информационных систем персональных данных, защиты автоматизированных систем управления производственными и технологическими процессами, защиты информации (ЗИ), постепенно начал смещаться вектор в построении систем ЗИ.
Раньше основной упор делался на аттестацию объекта информатизации и для ряда объектов эту процедуру упрощали и называли оценкой эффективности. Начиная с 2007 года информационные системы (ИС) стали намного сложнее, начали активно взаимодействовать с внешними системами. В создании систем защиты тоже наметился перелом, который уже предусматривался не только в методических документах и нормативных правовых регуляторах, например, приказы ФСТЭК России № 17, 31. Прежде всего, этот вектор направлен на формирование требований, проектирование и испытание систем защиты, а также повышенное внимание на эффективное управление этими системами в процессе эксплуатации.
В настоящее время в системе документов ФСТЭК России отсутствует методология разработки процедур, правил и политик ЗИ. При этом, значительное усложнение ИС, их постоянное взаимодействие с открытыми системами и постоянное развитие выводят задачу управления системой защиты информации в число наиболее важных.
ГОСТ Р 51583 рекомендует использовать «инструменты», описанные во всем комплексе стандартов 2700Х для оценки эффективности системы. При этом, стоит отметить, что поиск «механизмов» интеграции подходов в процесс создания и эксплуатации объектов информатизации является отдельной не тривиальной задачей, которую мы планируем решить в данной работе.
В настоящее время осуществляется переход к системе требований нового поколения, основанных на стандартах ИСО/МЭК 15408. Однако это вызывает ряд проблем при интеграции таких средств и соответственно последующей оценки эффективности.
Это происходит из-за универсальности системы требований на основные руководящие документы Гостехкомиссии России, что позволяло использовать ее
как для разработки средств ЗИ и последующей сертификации, так и в процессе аттестации и оценки эффективности. Для современных объектов защиты необходимы новые критерии, которыми стала система требований нового поколения, основанная на системе стандартов ИСО/МЭК 15408.
В эту систему стандартов можно включить пять стандартов. ГОСТ Р ИСО/МЭК 15408 часть 1, 2, 3, ГОСТ Р ИСО/МЭК ТО 15446, ГОСТ Р 18045.
Три стандарта 15408 используются при оценке характеристик безопасности продуктов или систем информационных технологий и устанавливают общую базу критериев.
Первая часть включает общие принципы, концепцию, модель оценки безопасности ИТ. Вторая часть устанавливает совокупность функциональных компонентов как стандартный способ выражения функциональных требований к объекту оценки. Третья - устанавливает совокупность компонентов доверия как стандартный способ выражения требований доверия к объекту оценки. ГОСТ Р ИСО/МЭК ТО 15446 -это руководство по разработке профилей защиты и заданий по безопасности продуктов и систем ИТ в соответствии с комплексом стандартов ИСО/МЭК 15408. ГОСТ Р ИСО/МЭК 18045 включает методологию оценки по ИСО/МЭК 15408, включая критерии и свидетельства оценки.
Основным документом, на соответствие которому, происходит оценка соответствия, стал профиль защиты, в котором помимо функций безопасности и доверия, определены и угрозы, нейтрализуемые оцениваемым средством защиты.
Введение такого подхода решило многие вопросы сертификации, но появились определенные пробелы, связанные с оценкой эффективности и испытаниями интегрированных средств защиты информации. С другой стороны, часть проблем решило введение методического документа ФСТЭК России «Меры защиты информации в государственных информационных системах», но лишь фрагментарно и только в сегменте государственных информационных систем. Таким образом, вторая задача, решаемая в работе - поиск методик, позволяющих применять подходы ГОСТ Р ИСО/МЭК 15408 при создании объекта информатизации.
Анализ ГОСТ Р 51583 показал, что применение международных подходов при создании, аттестации и эксплуатации АС возможно в порядке, указанном в приложении А данного ГОСТа.
Изучение документов, приведенных в ГОСТ Р 51583 показало, что в качестве основы для решения поставленных задач необходимо выбрать ГОСТ ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности АС. Он дает возможность включать продукты безопасности, оцененные в соответствии с требованиями стандартов серии ИСО/МЭК 15408, в АС и проводить её оценку как единого целого на всех стадиях жизненного цикла. Однако, ограничивается оценкой безопасности АС и не распространяется на другие формы оценки систем, а также не определяет методы и средства идентификации, оценки и принятия эксплуатационного риска.
ГОСТ ИСО/МЭК ТО 19791 включает в себя определение и модель АС, описание расширений концепции оценки безопасности, методологию и процесс выполнения оценки безопасности АС, а также дополнительные критерии оценки безопасности.
Требования стандарта базируются на трехэтапном подходе к обеспечению необходимого уровня безопасности АС:
- оценка рисков безопасности;
- уменьшение рисков для противодействия или устранения рисков безопасности посредством выбора обеспечения безопасности;
- аттестация для подтверждения того, что остаточные риски, остающиеся в системе после применения мер обеспечения безопасности, являются приемлемыми для системы, чтобы ее эксплуатировать.
Также в стандарте рассматривается второй этап процесса. Для выбора методов оценки рисков предлагается использовать стандарт ИСО/МЭК 27005. Аттестация, как административная процедура только предполагается, в данном документе нет ограничений по введению подобных процедур. Это позволяет интегрировать его в систему аттестации объектов информатизации ФСТЭК России.
Далее следует уменьшение рисков посредством выбора, применения и оценки мер обеспечения безопасности. Для этого используется подход, определенный в стандартах серии ИСО/МЭК 15408. Это позволит получить максимальные доказательства корректного интегрирования.
ГОСТ ИСО\МЭК 19791 рассматривает оценку АС посредством некоторых работ:
- определение целей безопасности для АС, которые уменьшат риски;
- выбор и спецификация технических и организационных мер безопасности, удовлетворяющих целям безопасности для АС, с учетом уже реализованных мер защиты информации;
- определение конкретных измеримых требований доверия, как к техническим, так и к организационным мерам, для достижения необходимого уровня защищенности;
- фиксирование всех решений в задании по безопасности;
- оценка соответствия АС заданию по безопасности;
- переоценка рисков безопасности АС и способности АС противостоять этим рискам.
Данный ГОСТ принимается во внимание на стадии жизненного цикла АС, то есть на стадии разработки, установки, эксплуатации, модификации. В нашей стране применение этого документа можно рассматривать с двух сторон:
- оценка соответствия системы ЗИ, совместимой с положениями соответствующих приказов ФСТЭК России, котор ая позволит получить максимальную уверенность в эффективности внедрения и эксплуатации средств ЗИ, сертифицированный в соответствии с классами защиты;
- оценка соответствия системы ЗИ, в процессе которой оценивается соответствие АС с интегрированными средствами защиты, сертифицированными в соответствии с руководящими документами Гостехкомиссии России.
В первом случае можно снизить финансовые и временные затраты, которые необходимы при проведении оценки соответствия по Общим критериям. При необходимости получения доказательств соответствия классам СЗИ указанным в приказах ФСТЭК можно воспользоваться вторым вариантом. Однако имеется ряд ограничений, таких как наличие у средств ЗИ подтверждения требуемому уровню контроля отсутствия недекларированных возможностей.
Для решения второй задачи, а именно интеграции международных подходов, таких как ГОСТ Р ИСО/МЭК 27005, позволяющих создать систему ЗИ, как систему нивелирующую возможность реализации существующих угроз информационной безопасности и перестраивающуюся для противодействия вновь возникающих угроз.
ГОСТ Р ТО 19791 позволяет не только применять новые подходы к сертификации средств ЗИ при их интеграции в АС, но построить систему организационно-распорядительных документов с учетом ГОСТ ИСО/МЭК 27005.
После изучения стандарта ГОСТ ИСО\МЭК 19791:2010, стало понятно, что стандарт необходимо принять для реализации адекватной оценки соответствия системы ЗИ, под особым контролем регуляторов. Потому что на данный момент этот стандарт позволяет применять описанные выше подходы для ограниченного количества средств ЗИ, а принятие данного стандарта не только снизит затраты на оценку соответствия, но и уменьшит трудозатраты оператора.
Исходя из проблемы оценки соответствия АС с интегрированными международными подходами оценки системы ЗИ, можно сделать вывод о том, что без принятия стандарта ГОСТ ИСО\МЭК 19791:2010 невозможно получить доказательства соответствия классам средств ЗИ, указанных в приказах ФСТЭК.
Подводя итоги, следует обратить внимание на принятие ГОСТ ИСО \МЭК 19791:2010, создание методического подхода для построения АС и проведение её оценки как единого целого на всех стадиях жизненного цикла. Для этого необходимо провести интеграцию подходов, основанных на модели оценки безопасности серии ИСО/МЭК 15408 и, описанных в ГОСТ ИСО\МЭК 19791, методологию и процесс оценки АС.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Евстратенко Е. С. Построение системы защиты информации государственной информационной системы с учетом политик информационной безопасности, разработанных в соответствии с ГОСТ Р ИСО/МЭК 27001 [Текст] / Е. С. Евстратенко, В. В. Селифанов, У В. Тара-тынова // Научные исследования: от теории к практике: материалы VII Междунар. науч. -практ. конф. (Чебоксары, 13 март 2016 г.) / редкол.: О. Н. Широков [и др.]. -Чебоксары: ЦНС «Интерактив плюс», 2016. - № 1 (7).
2. Евстратенко Е. С. Построение системы защиты информации государственной информационной системы с учетом управления рисками информационной безопасности [Текст] / Е.
С. Евстратенко, В. В. Селифанов, А. А. Старикова // Научные исследования: от теории к практике: материалы VII Междунар. науч. -практ. конф. (Чебоксары, 13 март 2016 г) / редкол.: О. Н. Широков [и др.]. - Чебоксары: ЦНС «Интерактив плюс», 2016. - № 1 (7).
3. Селифанов В.В. Испытания системы защиты информации государственной информационной системы // Вестник Науки и Творчества, 2016. - № 4 (4).
4. Селифанов В.В. Классификация автоматизированных систем // Science Time, 2016. -№ 4 (28).
5. Селифанов В.В. Оценка эффективности системы защиты информации государственных информационных систем от несанкционированного доступа [Текст] // Интеграция науки, общества, производства и промышленности: сборник статей Международной научно -практической конференции, 2016. С. 109-113.
©В. В. Селифанов, П. А. Звягинцева, А. С. Голдобина, Ю. А. Исаева, 2017
