CC BY
73
УДК 004.056
ОЦЕНКА СООТВЕТСТВИЯ ПАРАМЕТРОВ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ
Н. В. Сабельфильд Научный руководитель - В. Г. Жуков
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: triwer212842@mail.ru
Рассматривается вопрос проведения оценки соответствия параметров средств защиты информации требованиям безопасности.
Ключевые слова: оценка соответствия, средства защиты информации, требования безопасности.
EVALUATION OF COMPLIANCE OF INFORMATION SECURITY MEANS WITH SAFETY REQUIREMENTS
N. V. Sabelfild Scientific Supervisor - V. G. Zhukov
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: triwer212842@mail.ru
The question of conducting theevaluation of compliance of information security means with safety requirements.
Keywords: evaluation of compliance, information security means, safety requirements.
В связи с широким распространением средств защиты информации (далее - СЗИ) во многих сферах остро встает вопрос об оценки соответствия данных средств требованиям безопасности. Оценка параметров СЗИ может (и должна) происходить на двух этапах:
1) до ввода СЗИ в эксплуатацию;
2) периодически во время эксплуатации.
Необходимость оценки параметров СЗИ регламентируется несколькими документами:
1) пунктом 4 приказа ФСТЭК № 21 [1];
2) пунктом 11 приказа ФСТЭК № 17 [2] (в случае использования государственных информационных систем (далее ГИС));
3) пунктом 11 приказа ФСТЭК № 31 [3] (в случае использования автоматизированных систем управления технологическим процессом);
4) пунктом 2 статьи 19 ФЗ № 152 [4].
В общем случае под оценкой соответствия понимается доказательство того, что заданные требования к продукции, процессу, системе, лицу или органу выполнены. Основным механизмом оценки с точки зрения регулирующих органов является сертификация СЗИ, эффективность которой сильно зависит от общей организованности и компетентности экспертов испытательных лабораторий и органов по сертификации. Однако это лишь одна из форм оценки соответствия, которая является обязательной только в случае использования ГИС, но даже ее использование не освобождает специалистов/администраторов по защите информации от необходимости конфигурировать и контролировать СЗИ после ввода в эксплуатацию.
Секция «Методы и средства зашиты информации»
В настоящее время очень малый процент организаций производит оценку соответствия параметров СЗИ требованиям безопасности на протяжении всего жизненного цикла СЗИ, зачастую проводится лишь начальная оценка на этапе ввода в эксплуатацию, используя рекомендации производителя по настройке, документы по лучшим практикам настройки и использования СЗИ или просто сертифицированное СЗИ (что существенно дороже), считая это достаточным подтверждением соответствия. При этом во всех случаях внутренние требования безопасности не разрабатываются, а оценка параметров СЗИ во время эксплуатации вовсе не производится.
Процедуру оценки СЗИ требованиям безопасности (если не используются ГИС) можно проводить в форме «испытания», которая определенна в пункте 3 статьи 7 ФЗ №184 [5]. В процессе испытания средств защиты информации должны быть разработаны как минимум следующие документы:
1) программа и методики испытаний СЗИ;
2) протокол испытаний СЗИ;
3) акт испытаний СЗИ.
Также целесообразно разработать общий акт, содержащий вывод об оценке соответствия всех СЗИ, которые планируется применять. Испытания должны проводиться только для мер защиты, которые реализуются с учетом уровня защищенности информационной системы и актуальных угроз. Испытания должны проводиться на соответствие требованиям, установленными нормативными документами регулирующий органов и внутренними документами организации, расширяющими эти требования. Перечень необходимых параметров СЗИ, с помощью которых реализуются требования безопасности целесообразно утвердить в виде инструкций к СЗИ. В случае если формой оценки соответствия до ввода СЗИ в эксплуатацию являлась сертификация, разработанные перечни требований и параметров также будут актуальны, так как, как уже было сказано выше, оценку соответствия необходимо проводить на протяжении всего жизненного цикла СЗИ.
Одной из проблем оценки соответствия является ее пересмотр. Например, в случае сертификации изменения в самом продукте или изменения требований обязательно ведут к повторной сертификации. Данный процесс занимает продолжительное время, поэтому организации очень часто вынуждены использовать устаревшие версии СЗИ, не соответствующие новым требованиям, в ожидании нового сертификата. Ручная оценка соответствия собственных требований может быть довольно проблематичной, особенно в крупных организациях с большим количеством СЗИ, поэтому стоит задуматься об автоматизации данного процесса.
Рассмотрим решение MaxPatrol в качестве примера средства автоматизации процесса оценки соответствия требованиям безопасности.
Режим сканирования Compliance позволяет получить оценку соответствия просканирован-ных узлов требованиям безопасности (встроенные и/или заданные пользователем стандарты) [6]. Решение позволяет устанавливать расписание проведения оценки, настраивать запуск оценки сразу же после внесения изменений в сохраненные пользователем требования, таким образом, полностью автоматизируя процесс оценки соответствия параметров СЗИ.
Внедрение данного решения значительно снижает трудозатраты на проведение оценки соответствия за счет автоматизации, повышает эффективность работы подразделений по защите информации и общий уровень защищенности организации. Однако, из-за высокой стоимости внедрения, MaxPatrol подходит далеко не всем организациям.
Библиографические ссылки
1. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс] : Приказ ФСТЭК России от 18.02.2013 № 21. URL: http://www.consultant.ru/document/cons_doc_LAW_146520/(дата обращения: 15.04.2017).
2. Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах [Электронный ресурс]: Приказ ФСТЭК России от 11.02.2013 № 17 (ред. от 15.02.2017). URL: http://www.consultant.ru/ document/cons_doc_LAW_147084/(дата обращения: 15.04.2017).
3. Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды [Электронный ресурс] : Приказ ФСТЭК России от 14.03.2014 № 31. URL: http://www.consultant.ru/document/ сош_ёос_ЬЛ,^1б5503/(дата обращения: 15.04.2017).
4. О персональных данных [Электронный ресурс] : федер. закон от 27.07.2006 № 152-ФЗ (посл. ред.). URL: http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 15.04.2017).
5. О техническом регулировании [Электронный ресурс] : федер. закон от 27.12.2002 № 184-ФЗ (посл. ред.). URL: http://www.consultant.ru/document/cons_doc_LAW_40241/ (дата обращения: 15.04.2017).
6. Элвис-плюс [Электронный ресурс]. URL: http://www.elvis.ru/services/is_mngmt/security_ analysis/ (дата обращения: 15.04.2017).
© Сабельфильд Н. В., 2017
