CC BY
0
ПРОВЕДЕНИЕ АТТЕСТАЦИИ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ
ИНФОРМАЦИИ
И.А. Какорин, магистрант
Волгоградский государственный университет
(Россия, г. Волгоград)
001:10.24412/2411-0450-2024-11-3-145-148
Аннотация. В статье рассматривается важность аттестации объектов информатизации в контексте обеспечения информационной безопасности. Обсуждаются основные угрозы, с которыми сталкиваются информационные системы, включая угрозы конфиденциальности, целостности и доступности информации. Подробно описываются виды аттестации — обязательная и добровольная, а также процесс проведения аттестационных испытаний, который включает проверку соответствия техническим требованиям, аудит безопасности и оценку знаний сотрудников. Статья подчеркивает необходимость системного подхода к защите информации и важность регулярной аттестации для предотвращения негативных последствий от кибератак.
Ключевые слова: информационная безопасность, аттестация, угрозы безопасности, конфиденциальность, целостность, доступность, обязательная аттестация, добровольная аттестация, кибератаки, защита информации.
С каждым годом методы получение несанкционированного доступа к информации становятся все более изощренными, что приводит к значительным убыткам, все это приводит к необходимости развития технологий обеспечения информационной безопасности и механизмов реагирования на угрозы. Для определенных объектов информатизации оценка их защищенности и соответствия установленным законодательством требованиям осуществляется через процесс аттестации.
Следует отметить, что термин "аттестация" иногда неправильно интерпретируется: многие воспринимают его как подготовку и защиту информационной системы или проведение аттестационных испытаний. На самом деле, аттестация включает в себя комплекс мероприятий, по завершении которых выдается "Аттестат соответствия" — документ, подтверждающий полное соответствие вашей системы действующим нормам и стандартам в области информационной безопасности. Кроме того, аттестация может быть как обязательной, так и добровольной, и в процессе ее проведения можно учитывать требования заявителя [1].
Основная цель защиты информации, как соответственно и аттестации - это противодействие угрозам безопасности и предотвра-
щение их негативного воздействия. Можно выделить основные типы угроз:
1. Угроза нарушения конфиденциальности информации, которая может привести к неправомерному доступу к защищенным данным и раскрытию конфиденциальной информации третьим лицам.
2. Угроза нарушения целостности информации, при которой данные могут быть незаконно изменены, повреждены или подменены, что может привести к искажению информации или нарушению ее целостности и достоверности.
3. Угроза нарушения работы системы, которая включает манипуляции с компонентами системы обработки информации, их повреждение, незаконное изменение или подмену. Это может привести к неправильным расчетам, отказам в передаче информации и др.
4. Угроза несанкционированного распространения открытой информации [2].
Также угрозы можно классифицировать по способам реализации. Такой способ дает возможность провести классификацию более глубоко.
Классифицировать можно по цели атаки. Целью может быть несанкционированные: доступ, нарушение целостности и доступности информации. В редких случаях, целью
злоумышленника может быть полное уничтожение объекта информатизации.
Классификация по способу воздействия и виду использованного канала утечки. Злоумышленник может использовать открытый канал утечки (например, штатные средства ОС), скрытый канал (воспользоваться уязви-мостями программного обеспечения). Также, может быть создан новый канал утечки, например путем использования аппаратных закладок или внедрения вирусов в систему.
Угрозы могут возникать из-за недостаточной защищенности объекта. Ошибка может быть допущена со стороны администратора безопасности, например в принятой политике безопасности. Могут быть уязвимости в установленном ПО, вовремя не выявленные и не устраненные. Из-за отсутствия достаточной антивирусной защиты, злоумышленник может внедрить программные закладки, что также будет являться серьезной угрозой.
Злоумышленники смогли получить доступ к информации ограниченного доступа в 47% случаев успешных атак на организации. Украденные персональные данные составляют 36%, 17% - коммерческая тайна. Удалось получить 14% - учетных записей. Частные
По принципу воздействия на ОИ угрозы можно поделить на два типа: активное и пассивное воздействие. В первом случае нарушитель осуществляет непосредственное взаимодействие с системой, а во втором наблюдает за процессами со стороны.
Классификация угроз по способу действий нарушителя. Нарушитель может действовать как в полностью ручном режиме, так и использовать специальное ПО.
По применяемым для атаки средствам угрозы можно поделить на два вида: атака с помощью встроенных в ОС средств либо атака с использованием специального вредоносного ПО [3].
Угрозы со стороны пользователя также включают два вида угроз. Это превышение полномочий и работа под чужой учетной записью с неизбежным взаимодействием с его данными. Также, необходимо выделить основные цели, которые, в большинстве случаев, преследуют злоумышленники (рис. 1).
9 Персональные данные в Коммерческая тайна Учетные данные Медицинская информация 9 Переписка
Данные платежных карт Другая информация
Ф Positive Technology
лица потеряли свои данные в 64% случаев, из них 41% составляет компрометация учетных данных, 28% персональные данные и 15% платежные данные.
Действия злоумышленников не прошли стороной и организации (рис. 2).
14%
17%
Рис. 1. Последствия атак на организации
Рис. 2. Последствия атак на организации
В 8 из 10 случаев функционирование организации нарушилось, что проявлялось в утрате доступа к данным и сетевой инфраструктуре, сбоях в работе с клиентами и утрате контроля над внутренними процессами в организации. В 55% случаев, организации столкнулись с кражей информации ограниченного доступа, как правило, украденными данными были персональные данные и коммерческая тайна. В 12% атак организации понесли финансовые убытки, включая выплаты выкупа и потери из-за простоя.
Аттестация может быть разделена на добровольную и обязательную. Добровольная аттестация может быть проведена с целью оценки функциональных показателей объекта или для получения экспертной оценки его безопасности.
Обязательная аттестация обязательна для объектов информационной инфраструктуры в соответствии с требованиями действующего законодательства Российской Федерации и соответствующих правовых актов, устанавливающих нормы в области защиты информации. Объекты, в которых присутствует информация, относящаяся к государственной тайне, к государственным и муниципальным информационным системам и т.д. нуждаются в проведении процедуры обязательной аттестации. Кроме того, аттестация является обязательным условием для лицензирования в определенных сферах деятельности.
Хотелось бы выделить ряд необходимых мероприятий при проведении процедуры аттестации:
а) Установление соответствия технического паспорта объекта информатизации принятым требованиями;
б) Проверка разработанной модели угроз безопасности информации, которая должна быть обязательно согласованна с ФСТЭК России, а также наличие ТЗ на разработку и создание ОИ (только для ГИС);
в) Проведение аудит ОИ на предмет соответствия требованиям, проверка условий эксплуатации и процесс обработки информации;
г) Проверка знаний персонала;
д) Проверка наличия установленных и сертифицированных средств защиты;
е)Проверка наличия приказа о назначении ответственных за обеспечение безопасности информации сотрудников;
Проверка наличия документов, подтверждающих проведение анализа уязвимостей;
ж) Для защищаемых помещений провести оценку защищенности от утечки по техническим каналам;
з) Оценка защищенности от НСД и от актуальных угроз безопасности информации;
и) Оценка соответствия требованиям принятых организационных мер;
В заключение, можно отметить, что аттестация объектов информатизации является неотъемлемой частью системы обеспечения информационной безопасности. В условиях постоянного совершенствования методов несанкционированного доступа к информации и увеличения числа кибератак, необходимость в регулярной оценке защищенности информационных систем становится особенно акту-
альной. Аттестация не только подтверждает высить общую осведомленность сотрудников соответствие систем установленным требова- о важности соблюдения мер безопасности. ниям и стандартам, но и служит важным ин- Таким образом, систематический подход к
струментом для выявления уязвимостей и аттестации и постоянное совершенствование угроз, что позволяет организациям своевре- методов защиты информации являются клю-менно реагировать на потенциальные риски. чевыми факторами в борьбе с киберугрозами. Процесс аттестации, будь то обязательная или Важно, чтобы организации осознавали значи-добровольная, включает в себя комплекс ме- мость этих процессов и активно внедряли их в роприятий, направленных на оценку как тех- свою практику, что в конечном итоге будет нических, так и организационных аспектов способствовать созданию более безопасной безопасности. Это позволяет не только защи- информационной среды. тить информацию от утечек и атак, но и по-
Библиографический список
1. Пономарев, П.В. Автоматизация в информационной безопасности и ее применение при проведении работ по аттестации объекта информатизации / П.В. Пономарев // Научный аспект. -2024. - Т. 29, № 3. - С. 3696-3702.
2. Бакшинский, О.В. Глобальное пространство угроз: мировые практики иб / О.В. Бакшинский // Методы и технические средства обеспечения безопасности информации. - 2016. - № 25. -С. 41-43.
3. Шивдяков, Л.А. Угрозы информационной безопасности и необходимость защиты информации / Л.А. Шивдяков // Вопросы защиты информации. - 2008. - № 4(83). - С. 33-39.
4. Куприянов, А.О. Некоторые вопросы при проведении специальных исследований технических средств и работ по аттестации объектов информатизации / А.О. Куприянов // Вопросы защиты информации. - 2005.
5. Моргунов, А.В. Особенности процесса аттестации объектов информатизации и информационных систем / А.В. Моргунов, Я.И. Борцова // Проблемы правовой и технической защиты информации. - 2018. - № 6. - С. 51-55.
CERTIFICATION FOR COMPLIANCE WITH INFORMATION SECURITY
REQUIREMENTS
I.A. Kakorin, Graduate Student Volgograd State University (Russia, Volgograd)
Abstract. The article discusses the importance of certification of informatization objects in the context of information security. The main threats faced by information systems, including threats to confidentiality, integrity and accessibility of information, are discussed. The types of certification are described in detail — mandatory and voluntary, as well as the process of conducting certification tests, which includes verification of compliance with technical requirements, safety audit and assessment of employee knowledge. The article emphasizes the need for a systematic approach to information protection and the importance of regular certification to prevent negative consequences from cyber attacks.
Keywords: information security, certification, security threats, confidentiality, integrity, accessibility, mandatory certification, voluntary certification, cyber attacks, information protection.
