CC BY
112
УДК 004.42 ББК 32.973.018.2 В 58
Власенко Александра Владимировна
Кандидат технических наук, доцент, зав. кафедрой компьютерных технологий и информационной безопасности института компьютерных систем и информационной безопасности Кубанского государственного технологического университета, Краснодар, e-mail: Alex_Vlasenko@list.ru
Клименко Ксения Викторовна
Аспирант кафедры компьютерных технологий и информационной безопасности института компьютерных систем и информационной безопасности Кубанского государственного технологического университета, Краснодар, e-mail: xeniya_super@mail.ru Егорихин Юрий Евгеньевич
Аспирант кафедры компьютерных технологий и информационной безопасности института компьютерных систем и информационной безопасности Кубанского государственного технологического университета, Краснодар, e-mail: yura.egor@rambler.ru
Программный модуль построения модели нарушителя для ИСПДн
Аннотация. Разработка программного модуля построения модели нарушителя для ИСПДн, написанного на языке C#, позволяющего автоматизировать процесс создания модели нарушителя по документам ФСТЭК и ФСБ.
Ключевые слова: информационная безопасность, защита информации, средства криптографической защиты информации, модель нарушителя, информационная система персональных данных, угрозы информационной безопасности.
Vlasenko Aleksandra Vladimirovna
Candidate of Technical Sciences, Associate Professor, Head of Computer Technologies and Information Security Department, Institute of Computer Systems and Information Security, Kuban State University of Technology, Krasnodar, e-mail: Alex_Vlasenko@list.ru
Klimenko Kseniya Viktorovna
Post-graduate student of Computer Technologies and Information Security Department, Institute of Computer Systems and Information Security, Kuban State University of Technology, Krasnodar, e-mail: xe-niya_super@mail. ru Egorikhin Yuriy Evgenyevich
Post-graduate student of Computer Technologies and Information Security Department, Institute of Computer Systems and Information Security, Kuban State University of Technology, Krasnodar, e-mail: yu-ra.egor@rambler.ru
A software module for creating a model of the offender for ISPD
Abstract. The paper presents the development of a software module for constructing a model of the offender for ISPD, written in C#, which allows automation of the process of creating a model of an offender according to the FSTEC and FSB documents.
Keywords: Information security, information protection, means of cryptographic information protection, model of the offender, information system ofpersonal data, information security threats.
Применение информационных технологий (ИТ) требует повышенного внимания к вопросам информационной безопасности. Разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести компании значительный материальный ущерб. Без должной степени защиты информации внедрение ИТ может оказаться экономически невыгодным в результате значительных потерь конфиденциальных данных, хранящихся и обрабатываемых в компьютерных сетях. Поэтому в настоящее время актуальным является разработка программного модуля построения модели нарушителя для информационной системы персональных данных (ИСПДн).
Целью определения угроз безопасности информации является установление того, существует ли возможность нарушения конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и приведет ли нарушение хотя бы одного из указанных свойств безопасности информации к наступлению неприемлемых негативных последствий (ущерба) для обладателя информации или оператора, а в случае обра-
ботки персональных данных и для субъектов персональных данных. Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания информационной системы и формирования требований по ее защите, так и в ходе эксплуатации информационной системы.
В обобщенном виде угрозы безопасности информации характеризуются источниками угроз, факторами, обуславливающими возможность реализации угроз, способами (методами) реализации угроз и последствиями от реализации угроз безопасности информации. Важным этапом в процессе определения угроз безопасности информации является идентификация лиц или событий (явлений), в результате действий (наступления, возникновения) которых возможно нарушение конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и возникновение неприемлемых негативных последствий (ущерба). Состав и содержание даны в [1, 2].
Для автоматизации процесса построения модели нарушителя для ИСПДн был разработан программный модуль, написанный на языке С#, позволяющий построить модель нарушителя, опираясь как на документы Федеральной службы по техническому и экспертному контролю (ФСТЭК), так и на документацию Федеральной службы безопасности (ФСБ) (рис. 1).
Рис. 1. Главное окно программного модуля
Если же в информационной системе имеются средства криптографической защиты информации (СКЗИ), то модель нарушителя будет базироваться на документах ФСБ.
На рисунке 2 обозначены категории нарушителей, из которых требуется выделить представляющие для конкретно взятой ИСПДн угрозу, основываясь на имеющихся сведениях о данной информационной системе.
Рис. 2. Выбор категорий нарушителя по ФСБ
При ответе положительно на любой из вопросов 1-10 - информационной системе (ИС) присваивается класс защищенности КС 1. При положительном ответе хотя бы на один вопрос 11-14 - системе присваивается класс защищенности КС2. Если имеется положительный ответ на вопрос 15-16 - ИС присваивается класс защищенности КС3. При положительном ответе на любой вопрос 18-19 - информационной системе присваивается класс защищенности КВ. При данном положительном ответе на вопрос 20-22 - выбранной системе присваивается класс защищенности КА.
Следующим шагом будет определение актуальных угроз безопасности для взятой системы (рис. 3).
ЙЗ Выбор категорий нарушителей по ФСБ
Нарушители категории КС1 Нарушители категории КС2 и КСЗ Нарушители категории КВ и КА Угрозы
Наименование угрозы
УБИ.001 Угроза автоматического распространения вредоносного кода в грид-системе □
УБИ.002 Угроза агрегирования данных, передаваемы* в грид-системе □
УБИ.ООЗ Угроза анализа криптографических алгоритмов и их реализации □
УБИ.004 Угроза аппаратного сброса пароля BIOS □
УБИ.005 Угроза внедрения вредоносного кода в BIOS □
УБИ.006 Угроза внедрения кода или данных □
УБИ.007 Угроза воздействия на программы с высокими привилегиями □
УБИ.008 Угроза восстановления аутентификационной информации □
УБИ.ООЭ Угроза восстановления предыдущей уязвимой версии BIOS □
УБИ.010 Угроза выхода процесса за пределы виртуальной машины □
УБИ.011 Угроза деавторизации санкционированного клиента беспроводной сети □
УБИ.012 Угроза деструктивного изменения конфигурации/среды окружения программ □
УБИ.013 Угроза деструктивного использования декларированного функционала BIOS □
УБИ.014 Угроза длительного удержания вычислительных ресурсов пользователями □
УБИ.015 Угроза доступа к защищаемым Файлам с использованием обходного пути □
УБИ.016 Угроза доступа к локальным Файлам сервера при помощи URL □
УБИ.017 Угроза доступа/перехвата/изменения HTTP cookies □
УБИ.018 Угроза загрузки нештатной операционной системы □
УБИ.01Э Угроза заражения DNS-кеша □
УБИ.020 Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг □
Вывести Excel
Рис. 3. Определение угроз безопасности информации
Если на первом шаге была выбрана информационная система без СКЗИ, то построение модели нарушителя станет производиться по методологии ФСТЭК (рис. 4).
Рис. 4. Выбор категорий нарушителей по ФСТЭК
Кроме самих категорий нарушителя имеется пункт «возможность сговора», позволяющий предположить процент сговора нарушителя и сотрудника данной информационной системы.
Конечным шагом в построении модели будет выгрузка полученных данных в Excel (рис. 5).
Номер Найме но в а вне нарушителя Тип нарушителя Возможные пели Возможные цели (мотивация) реализации угроз безопасности информации Потенциал нарушителей Возможные способы реализации угроз безопасности информации Преднамеренность угроз безопасности Классификация нарушители Возможность сговора
4 Внешне субъекш (физические таща) Внешний Идеологические или политические мотивы. Причинение имущественного ущерба путем мошенничества или иным преступным путем. Любопытство или желание самореализации (подтверждение статуса). Выявление уязвимостей с цепью их дальнейшей продажи и получения финансовой выгоды Нарушители с базовым (низким ) потенциалом УБ5, УБ6 Целенаправленная угроза H внешний Нет сговора
5 Конкуренты (конкурирующие организации) Внешний Получение конкурентных преимуществ. Причинение имущественного ущерба путем обмана или злоупотребления доверием Нарушители с базовым п о выш енным(среднн м) потенциалом УБ5, УБ6 Целенаправленная угроза H внешний Нет сговора
9 Пользователи ИС Внутренний Причинение имущественного ущерба путем мошенничества или иным преступным путем. Любопытство или желание самореализации (подтверждение статуса). Месть за ранее совершенные действия. Непреднамеренные, неосторожные или неквалифицированные действия Нарушители с базовым (низким ) потенциалом УБЗ. УБ4, УБ5 Целенаправленная угроза или не целенаправленная угроза HZ, нз Нет сговора
11 Бывшие работники (пользователи) Внешний Причинение имущественного ущерба путем мошенничества или иным преступным путем. Месть за ранее совершенные действия Нарушители с базовым (низким ) потенциалом УБ6 Целенаправленная угроза H внешний Нет сговора
Рис. 5. Выгрузка данных в Excel
Подводя итоги вышеизложенному, можно сделать вывод о том, что разработка программного модуля уменьшает затраты времени на построение модели нарушителя для ИСПДн, а также позволяет избежать привлечения специалистов по защите информации на этапе предпроектного обследования.
Примечания:
1. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности: приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378
г. Москва. URL:
http://www.edusite.ru/DswMedia/prikaz_fzb.pdf (дата обращения: 13.10.2017).
2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах: приказ ФСТЭК России от 14 февраля 2008 г. URL: http://fstec.ru/component/attachments/download/290 (дата обращения: 13.10.2017).
References:
1. Approval of the Composition and content of organizational and technical measures to ensure the security of personal data when processing them in personal data information systems using the means of cryptographic information protection necessary to fulfill the personal data protection requirements for each security level: order of the Federal Security Service of the Russian Federation dated by July 10, 2014. N 378 Moscow. URL:
http://www.edusite.ru/DswMedia/prikaz_fzb.pdf (access date: 13.10.2017).
2. Methods for determining the actual threats to the security of personal data when processing them in information systems: Order of the FSTEC of Russia dated by February 14, 2008. URL:
http://fstec.ru/component/attachments/download/290 (access date: 13.10. 2017).
