CC BY
40Решетневские чтения. 2017
УДК 004.056
ОЦЕНКА СООТВЕТСТВИЯ ПАРАМЕТРОВ ИНФОРМАЦИОННЫХ СИСТЕМ ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ
Н. В. Сабельфильд*, В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: [email protected]
Рассматривается вопрос необходимости проведения процедуры автоматизированной оценки соответствия параметров информационных систем требованиям безопасности.
Ключевые слова: защита информации, оценка соответствия, требования безопасности.
EVALUATING COMPLIANCE OF INFORMATION SYSTEMS WITH SAFETY REQUIREMENTS
N. V. Sabelfild*, V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: [email protected]
The article considers a question of the necessity to perform the procedure of automated evaluation of compliance of information systems with safety requirements.
Keywords: data protection, evaluation of compliance, safety requirements.
На сегодняшний день вопрос обеспечения информационной безопасности один из наиболее актуальных не только в сфере информационных технологий и в банковской отрасли, где защита информации всегда была на ведущих ролях, но и во множестве других отраслей экономики.
Корпоративные инфраструктуры компаний, особенно крупных, ежедневно претерпевают изменения -появляются новые узлы и целые системы, изменяется топология сетей и конфигурация оборудования. Эти динамичные системы нуждаются в регулярном анализе защищенности и незамедлительном устранении обнаруженных уязвимостей.
Одной из категорий уязвимостей информационных систем является уязвимость конфигурации. Конфигурации «по умолчанию», с которым поставляются оборудование, операционные системы и приложения обеспечивают простое и быстрое внедрение, однако в большинстве случаев небезопасны. Базовые настройки, большое количество ненужных сетевых сервисов, служб, пароли «по умолчанию», предустановленное, но не планируемое к использованию ПО - всё это активно используется злоумышленниками для компрометации систем. Выявление таких уязвимо-стей можно осуществить путем проведения оценки соответствия параметров системы заданным требованиям безопасности.
Необходимость оценки параметров регламентируется требованиями документов по защите информации, например:
1) пунктом 4 приказа ФСТЭК № 21 [1];
2) пунктом 11 приказа ФСТЭК № 17 [2] (в случае использования государственных информационных систем (далее - ГИС));
3) пунктом 11 приказа ФСТЭК № 31 [3] (в случае использования автоматизированных систем управления технологическим процессом);
4) пунктом 2 статьи 19 ФЗ № 152.
В общем случае под оценкой соответствия понимается доказательство того, что заданные требования к продукции, процессу, системе, лицу или органу выполнены. Допускается, что доказательство может быть прямым или косвенным, формальным или неформальным. Выдачу документально оформленного заявления (удостоверения) о соответствии заданным требованиям называют подтверждением соответствия. Примерами таких удостоверений могут быть сертификаты, аттестаты и заключения.
В 2015 году компанией Positive Technologies было проведено тестирование на проникновение многих крупных компаний. В итоговую статистику за год вошли результаты анализа защищенности 17 корпоративных систем, принадлежащих компаниям из различных стран и сфер экономики. Большинство исследованных систем были территориально распределенными и включали множество дочерних компаний и филиалов, расположенных в разных городах и странах [4].
По результатам исследования было выявлено, что доля корпоративных систем, содержащих критически
Методы и средства защиты информации
опасные уязвимости, связанные с недостатком конфигурации составила 81 %. Это говорит о том, что уязвимость конфигурации является серьезным и распространенным недостатком, ведущим к появлению опасных угроз таких как:
1) угроза обнаружения открытых портов и идентификации привязанных к нему служб;
2) угроза обнаружения хостов;
3) угроза обхода некорректно настроенных механизмов аутентификации;
4) угроза определения топологии вычислительной сети;
5) угроза определения типов объектов защиты.
Уязвимость конфигурации может проявляться как
на этапе ввода системы в эксплуатацию, так и процессе эксплуатации, соответственно и контролировать параметры систем необходимо на этих же этапах.
Проводить такой контроль необходимо с помощью процедуры оценки соответствия параметров информационных систем требованиям безопасности. Процедуру оценки можно проводить в форме «испытания», которая определенна в пункте 3 статьи 7 ФЗ № 184.
Испытания должны проводиться на соответствие требованиям, установленным нормативными документами регулирующих органов и внутренними документами организации, расширяющими эти требования.
Перечень необходимых параметров систем, с помощью которых реализуются требования безопасности целесообразно утвердить в виде инструкций к этим системам.
Важным моментом оценки является ее периодичность. Оценка соответствия должна проводиться каждый раз, когда меняются требования безопасности либо меняются сами параметры системы из-за обновлений, либо, независимо от этих факторов, периодически по соответствующему регламенту.
Ручная оценка соответствия собственных требований может быть довольно проблематичной, особенно в крупных организациях с большим количеством информационных систем и средств защиты, поэтому стоит задуматься об автоматизации данного процесса.
Так, в качестве примера средства автоматизации процесса оценки соответствия требованиям безопасности можно рассматривать решение MaxPatrol.
Режим сканирования Compliance позволяет получить оценку соответствия просканированных узлов требованиям безопасности (встроенные и/или заданные пользователем стандарты) [5]. Решение позволяет устанавливать расписание проведения оценки, настраивать запуск сразу же после внесения изменений в сохраненные пользователем требования, таким образом, полностью автоматизируя процесс оценки.
Внедрение данного решения значительно снижает трудозатраты на проведение оценки соответствия за счет автоматизации, повышает эффективность работы подразделений по защите информации и общий уровень защищенности организации. Однако из-за высокой стоимости внедрения, MaxPatrol подходит далеко не всем организациям.
Таким образом, конфигурация систем и, соответственно, контроль этих конфигураций является важной частью обеспечения информационной безопасности организации. Следует тщательно настраивать каждую систему в соответствии с собственными требованиями безопасности, опираясь на рекомендации производителя, лучшие практики по настройке и нормативно-правовые документы.
Библиографические ссылки
1. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных : Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля
2013 г. № 21 // Российская газета. 2013. № 6083. 22 мая.
2. Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах : Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. № 17 // Российская газета. 2013. № 6112. 26 июня.
3. Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды : Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 14 марта
2014 г. № 31 // Российская газета. 2014. № 6447. 6 августа.
4. Хабрахабр : блог компании Positive Technologies: Уязвимости корпоративных информационных систем - 2015: внутри хуже, чем снаружи [Электронный ресурс]. URL: https://habrahabr.ru/company/pt/ blog/304738/ (дата обращения: 01.09.2017).
5. Элвис-плюс [Электронный ресурс]. URL: http:// www.elvis.ru/services/is_mngmt/security_analysis/ (дата обращения: 01.09.2017).
References
1. The order of the Federal Service for Technical and Export Control (FSTEC of Russia) of February 18, 2013 no. 21 «About approval of the composition and content of organizational and technical measures to ensure the safety of personal data when processing them in personal information systems» // Rossiiskaiahazeta [Russian Newspaper]. 2013. 22 May. № 6083. (In Russ.)
2. The order of the Federal Service for Technical and Export Control (FSTEC of Russia) of February 11, 2013 no. 17 "About approval of the requirements for the protection of information that does not constitute state secrets contained in government information systems" // Rossiiskaiahazeta [Russian Newspaper]. 2013. 26 June. № 6112. (In Russ.)
PewemHeecKye umeHun. 2017
3. The order of the Federal Service for Technical and Export Control (FSTEC of Russia) of March 14, 2014. No. 31 «About approval of requirements to ensure the protection of information in automated production and process control systems to mission-critical sites, potentially dangerous objects and objects that represent an increased risk to human life and health and for the environment» // Rossiiskaiahazeta [Russian Newspaper]. 2014. 6 August. № 6447. (In Russ.)
4. Habrahabr: Blog of Positive Technologies: Vulnerabilities of corporate information systems - 2015: inside is worse than outside. Available at: https://habra-habr.ru/company/pt/blog/304738/ (accessed: 01.09.2017).
5. Elvis-plus. Available at: http://www.elvis.ru/ser-vices/is_mngmt/security_analysis/ (accessed: 01.09.2017).
© Ca6ejit$HJitg H. B., ÄyKOB B. T., 2017
