CC BY
374
УДК 004.056.5
ОЦЕНКА ЭФФЕКТИВНОСТИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
Полина Александровна Звягинцева
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, старший преподаватель кафедры наносистем и оптотехники, тел. (383)343-91-11, e-mail: polina11-03@mail.ru
Ольга Александровна Крыжановская
Управление Федеральной службы по техническому и экспортному контролю по Сибирскому федеральному округу, 630091, Россия, г. Новосибирск, ул. Красный проспект, 41, главный специалист-эксперт, тел. (983)121-35-60, e-mail: krizanovskaya@ngs.ru.
Рассматривается процесс оценки эффективности средств защиты информации в соответствии с эксплуатационными и техническими показателями, установленными ФСТЭК России, способом, позволяющим смоделировать значения части параметров средства защиты, которые невозможно измерить физически.
Ключевые слова: информация, защита информации, средства защиты информации, оценка эффективности, оценка эффективности управления.
ASSESSMENT OF EFFECTIVENESS OF INFORMATION PROTECTION FACILITIES
Polina A. Zviagintcheva
Siberian State University of Geosystems and Technologies, 630108, Russia, Novosibirsk, 10 Plakhotnogo St., Senior lecturer, Department of Nanosystems and Optics Engineering, tel. (383)343-91-11, e-mail: polina11-03@mail.ru
Olga A. Kryzhanovskaya
The office of the Federal service for technical and export control in the Siberian Federal district, 630091, Russia, Novosibirsk, 41 Krasny Prospect, Chief specialist-expert, tel. (983)121-35-60, e-mail: krizanovskaya@ngs.ru
The process of assessing the effectiveness of information protection tools in accordance with operational and technical indicators established by FSTEC of Russia is considered, in a way that allows modeling the values of some of the parameters of the protective equipment that can not be measured physically.
Key words: information, information security, information protection tools, evaluation of effectiveness, evaluation of management effectiveness.
Оценка эффективности средств защиты информации представляет собой непрерывный во времени процесс, и проводить её анализ имеет смысл только в динамике. На настоящий момент оценка эффективности средств защиты информации осуществляется на основе эксплуатационных и технических показателей.
Эксплуатационные показатели, изложены в Приказах ФСТЭК России об утверждении требований безопасности к информации, содержащейся в информационных системах различного назначения: государственных, для обработки персональных данных, для управления производственными технологическими процессами.
Технические показатели отражены в Профилях защиты для соответствующих видов средств защиты информации.
Профиль защиты - это методический документ, представляющий собой совокупность задач защиты, функциональных требований, требований адекватности и их обоснование.
В 2012 году ФСТЭК России были выпущены первые отечественные профили защиты, они предназначены для средств обнаружения вторжений и средств антивирусной защиты. Затем были разработаны профили защиты для средств контроля подключения/отчуждения съёмных носителей, средств доверенной загрузки и операционных систем.
Требования безопасности к межсетевым экранам содержались в Руководящем документе и были дифференцированы для пяти классов защищённости. Согласно тенденции совершенствования требований оценки механизмов защиты, в 2016 году были утверждены профили защиты для межсетевых экранов. Обновлённый набор требований безопасности предназначен для пяти типов МЭ: уровня сети, уровня логических границ, уровня узла, уровня веб-сервера, уровня промышленной сети.
Межсетевые экраны составляют 25 % от общего числа сертифицированных средств защиты информации в Российской Федерации, таким образом, обновление устаревающих требований безопасности к ним произошло неслучайно. В соответствии с ГОСТ Р ИСО/МЭК 154G8 ранее действующие показатели защищённости дополнены и изложены как требования доверия и функциональные требования к безопасности объекта оценки. Компоненты доверия к безопасности к рассматриваемым МЭ соответствуют оценочному уровню доверия ОУДЗ, дополненного компонентами классов: ADV, ALC, AVA, AMA».
В устаревших требованиях были предусмотрены лишь немногие компоненты доверия: «Тестирование», «Правила по безопасной настройке», «Полное независимое тестирование», а также частичное отражение имели четыре иных компонента из ныне предусмотренных.
Функциональные требования безопасности содержат двадцать два компонента и принадлежат семействам: FAU, FIA, FDP, FMT, FTP, FRU.
В устаревших требованиях к рассматриваемым МЭ полностью отсутствуют компоненты семейства «Идентификация и аутентификация». Отсутствуют требования к режиму выполнения функций безопасности; просмотру и настройке аудита. Требования к фильтрации данных, тестированию и восстановлению не детализированы и предъявляются в меньшем объёме.
Эффективность функционирования средств защиты информации главным образом достигается квалифицированным и результативным управлением, следовательно, оценивая эффективность средств защиты информации в целом, целесообразно оценивать эффективность управления ими. На сегодняшний день существует множество способов оценки эффективности управления, в основе которых лежат оценка вероятности своевременного сбора всей необходимой информации для принятия решений, оценка квалификации персонала, принимающего решения и другие.
2GG
Однако, для решения данной задачи также подходит способ, позволяющий смоделировать значения части параметров средства защиты, которые невозможно измерить физически.
При этом достаточной мерой оценки эффективности управления, является, как минимум, соответствие ее частных показателей оговоренным требованиям, тогда уровень эффективности управления при выполнении всех без исключения норм принимается за достаточный уровень эффективности.
Оценка эффективности осуществляется в реальном масштабе времени. Исходными данными являются: частные показатели эффективности управления, нормативные значения, соответствующие каждому частному техническому и эксплуатационному показателю эффективности управления, сведения, полученные в процессе опроса экспертов в данной области знаний.
В соответствии с выбранной стратегией оценки эффективности управления моделируют процессы управления средством защиты, подсчитывают статистические характеристики этих процессов управления, исходные данные оценивают по программе оценки эффективности управления, в процессе подсчёта обеспечивается свертка частных показателей эффективности управления, соответствующих результатам анализа измеряемых параметров, далее анализируют, отображают и документируют результаты оценки. В результате получается обобщенный показатель эффективности управления.
Таким образом достигается расширение функциональных возможностей системы защиты информации путём повышения точности оценки эффективности управления средствами защиты информации с помощью обеспечения моделирования значений части параметров, которые невозможно измерить физиче ски.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Евстратенко Е. С. Построение системы защиты информации государственной информационной системы с учетом политик информационной безопасности, разработанных в соответствии с ГОСТ Р ИСО/МЭК 27001 [Текст] / Е. С. Евстратенко, В. В. Селифанов, У В. Тара-тынова // Научные исследования: от теории к практике: материалы VII Междунар. науч. -практ. конф. (Чебоксары, 13 март 2016 г.) / редкол.: О. Н. Широков [и др.]. -Чебоксары: ЦНС «Интерактив плюс», 2016. - № 1 (7).
2. Евстратенко Е. С. Построение системы защиты информации государственной информационной системы с учетом управления рисками информационной безопасности [Текст] / Е. С. Евстратенко, В. В. Селифанов, А. А. Старикова // Научные исследования: от теории к практике: материалы VII Междунар. науч. -практ. конф. (Чебоксары, 13 март 2016 г.) / редкол.: О. Н. Широков [и др.]. - Чебоксары: ЦНС «Интерактив плюс», 2016. - № 1 (7).
3. Селифанов В.В. Испытания системы защиты информации государственной информационной системы // Вестник Науки и Творчества, 2016. - № 4 (4).
4. Селифанов В.В. Классификация автоматизированных систем // Science Time, 2016. -№ 4 (28).
5. Селифанов В.В. Оценка эффективности системы защиты информации государственных информационных систем от несанкционированного доступа [Текст] // Интеграция науки, общества, производства и промышленности: сборник статей Международной научно-практической конференции, 2016. С. 109-113.
© П. А. Звягинцева, О. А. Крыжановская, 2017
