CC BY
164
УДК 004.056.5
СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Валентин Валерьевич Селифанов
Управление ФСТЭК России по СФО, 630091, Россия, г. Новосибирск, Красный пр., 41, начальник отдела
Александр Сергеевич Гордеев
Управление ФСТЭК России по СФО, 630091, Россия, г. Новосибирск, Красный пр., 41, заместитель начальника отдела, e-mail: a.s.gordeev.90@gmail.com
Диана Георгиевна Макарова
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, ассистент кафедры информационной безопасности, тел. (383)343-91-11, e-mail: kaf.ib@ssga.ru
Алена Алексеевна Старикова
Новосибирский государственный университет экономики и управления, Россия, 630099, г. Новосибирск, ул. Каменская, 52, магистрант, e-mail: starikova.alena.123@gmail.com
Ключевые слова: государственная информационная система, информационная безопасность, защита информации, утечка информации.
В статье рассмотрена актуальная система защиты информации в государственных информационных системах, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней.
INFORMATION PROTECTION SYSTEM OF THE STATE INFORMATION SYSTEM
Valentin V. Selifanov
Department of the Federal Service for Technical and Export Control of Russia in the Siberian Federal District, 41, Krasny Prospect, Novosibirsk, 630091, Russia, Head of Department
Aleksandr S. Gordeev
Department of the Federal Service for Technical and Export Control of Russia in the Siberian Federal District, 41, Krasny Prospect, Novosibirsk, 630091, Russia, Deputy Head of Department, e-mail: a.s.gordeev.90@gmail.com
Diana G. Makarova
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, Assistant, Department of Information Security, phone: (383)343-91-11, e-mail: kaf.ib@ssga.ru
Alena A. Starikova
Novosibirsk State University of Economics and Management, 52, Kamenskaya St., Novosibirsk, 630099, Russia, Graduate, e-mail: starikova.alena.123@gmail.com
The article considers the current system of protecting information contained in public information systems, from leaks through technical channels, unauthorized access, special effects on such information (information carriers) for the purpose of extracting, destroying, distorting or blocking access.
Key words: state information system, information security, information leakage.
Информация, содержащиеся в государственных информационных системах (далее - ГИС), должна быть защищена от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней.
Для защиты информации, содержащейся в ГИС, необходимо реализовать следующие задачи:
• нейтрализовать все актуальные угрозы безопасности;
• применить средства защиты информации, соответствующие предъявляемым к ним требованиям;
• не оказывать отрицательного влияния на штатный режим функционирования.
Для реализации последней задачи существующие требования [1] предписывают три этапа:
• предварительные испытания;
• опытная эксплуатация;
• приемочные испытания.
При принятии решения о необходимости защиты информации, содержащейся в информационной системе, порядок действий и их объем определяется непосредственно оператором в соответствии с п. 14.1 приказа ФСТЭК России от 11 февраля 2013 г. № 17 [1].
Для определения необходимых работ, оператор информационной системы, исходя из сложности системы, должен определить последовательность действий при проведении испытаний, а также перечень, и содержание разрабатываемых документов с учетом следующих стандартов:
• ГОСТ 34.601-90 [2];
• ГОСТ 34.603 [3];
• ГОСТ Р 51583-2014 [4].
Испытания проходят с учетом этих стандартов, но не в полном соответствии с ними, а в дополнение к существующим требованиям. Выполнение всех требований стандарта может привести к негативным последствиям - от срыва сроков до невозможности реализации контракта. Рассмотрим необходимые и достаточные требования для каждого этапа.
В соответствии с ГОСТ 34.603 предварительные испытания автоматизированной системы могут быть автономными и (или) комплексными.
Предварительные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34.603 [3] и включают проверку рабо-
тоспособности системы защиты информации информационной системы, а также принятие решения о возможности опытной эксплуатации системы защиты информации информационной системы [7].
В программе автономных испытаний указывают:
• перечень функций, подлежащих испытаниям;
• описание взаимосвязей объекта испытаний с другими частями автоматизированной системы;
• условия, порядок и методы проведения испытаний и обработки результатов;
• критерии приемки частей по результатам испытаний.
Подготовленные и согласованные тесты (контрольные примеры) на этапе
автономных испытаний должны обеспечить:
• полную проверку функций и процедур по перечню, согласованному с заказчиком;
• необходимую точность вычислений, установленную в техническом задании (частном техническом задании);
• проверку основных временных характеристик функционирования программных средств (в тех случаях, когда это является существенным);
• проверку надежности и устойчивости функционирования программных и технических средств.
В случае если проведенные автономные испытания будут признаны недостаточными, либо будет выявлено нарушение требований регламентирующих документов по составу или содержанию документации, указанная часть автоматизированной системы может быть возвращена на доработку, и назначен новый срок испытаний.
Документация получается объемная и не всегда необходимая, например, если реализуемая ГИС состоит из одного автоматизированного рабочего места. Минимум же документов установлен постановлением Правительства РФ от 6 июля 2015 г. № 676 [5] и он состоит из:
• программы и методики предварительных испытаний;
• протокола предварительных испытаний;
• акта о приемке системы в опытную эксплуатацию.
Стоит отметить, что ГОСТ 51583 уточняет работы на этапе «Проведение предварительных испытаний» и устанавливает проведение следующих работ:
• испытание системы защиты информации (ЗИ) на работоспособность и соответствие техническому заданию в соответствии с программой и методикой предварительных испытаний;
• устранение недостатков, выявленных в процессе испытаний, и внесение изменений в документацию на систему ЗИ, создаваемой (модернизируемой) автоматизированной системы ЗИ, в том числе эксплуатационную, в соответствии с протоколом испытаний;
• принятие решения о возможности опытной эксплуатации системы ЗИ автоматизированной системы ЗИ.
Опытная эксплуатация системы защиты информации информационной системы проводится с учетом ГОСТ 34.603 [4] и включает проверку функционирования системы защиты информации информационной системы, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации системы защиты информации информационной системы [1].
На этом этапе ГОСТ 34.603 [3] практически идентичен постановлению Правительства от 6 июля 2015 г. № 676 [5] за исключением того, что в стандарте жестко закреплены требования к содержанию документов, и добавлена обязанность ввести журнал опытной эксплуатации.
Таким образом, обязательны к оформлению следующие документы [6]: программа, методика и акт о завершении опытной эксплуатации.
Так же необходимо подтвердить квалификацию пользователей информационной системы - это могут быть как зачетные ведомости, так и сертификаты, свидетельства об обучении, повышении квалификации или переподготовке. Жесткие требования здесь не установлены, однако, оператору ГИС необходимо помнить, что обязанность по доказательству проведения этого этапа будет лежать на нем, и действовать, исходя из этого.
Приемочные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34.603 [2] и включают проверку выполнения требований к системе защиты информации информационной системы в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.
Проверку полноты и качества выполнения функций автоматизированной системы рекомендуется проводить в два этапа. На первом этапе проводят испытания отдельных функций (задач, комплексов задач). При этом проверяют выполнение требований технического задания (частного технического задания) к функциям (задачам, комплексам задач). На втором этапе проводят проверку взаимодействия задач в системе и выполнение требований к системе в целом [2].
Действующие нормативные правовые акты Российской Федерации предоставляют оператору ГИС широкие возможности по оценке влияния системы защиты информации на качество и надежность работы системы в целом.
Таким образом, можно сказать, что подготовка и проведение испытаний системы защиты информационной системы является сложным и нелинейным процессом. Этапы, а также состав и содержание проводимых работ определяются с учетом ГОСТ 34.603 и ГОСТ 51583, квалификации интегратора (исполнителя) и оператора информационной системы, и в соответствии с требованиями нормативных правовых актов обязательных для конкретных объектов защиты.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации: постановление Правительства РФ от 6 июля
2015 г. № 676 / Правовой сервер «Консультант Плюс» / [Электронный ресурс]. - Режим доступа: www.consultant.ru.
2. Голубева Е.В., Коротеева А.Д., Евстратенко Е.С. Центр реагирования и мониторинга инцидентов информационной безопасности (SOC) // В сборнике: Наука. Технологии. Инновации. - Сборник научных трудов: в 9 частях. 2016. С. 13-14.
3. Евстратенко Е.С. Особенности управления проектами в сфере информационной безопасности // В сборнике: Концепции фундаментальных и прикладных научных исследований, сборник статей международной научно-практической конференции: в 4 частях. - 2017. С. 18-19.
4. Курносов К.В., Селифанов В.В Требования к системе защиты информации для виртуальной инфраструктуры // Известия ЮФУ. Технические науки. 2014. № 8 (157). С. 16-24.
5. Пестунова Т.М., Селифанов В.В., Слонкина И.С., Юракова Я.В. Автоматизированная технология сопоставления угроз и уязвимостей безопасности информации в информационных систмах // В сборнике: Актуальные проблемы обеспечения информационной безопасности, труды Межвузовской научно-практической конференции. - 2017. С. 156-160.
6. Селифанов В.А., Селифанов В.В.Способ моделирования процессов управления техническими средствами и система для его осуществления // Патент на изобретение RUS 2331096 08.02.2007.
7. Селифанов В.В. Оценка эффективности системы защиты информации государственных информационных систем от несанкционированного доступа [Текст] // Интеграция науки, общества, производства и промышленности: сборник статей Международной научно-практической конференции, 2016. С. 109-113.
© В. В. Селифанов, А. С. Гордеев, Д. Г. Макарова, А. А. Старикова, 2018
