CC BY
75
УДК 004.056.5
ТРЕБОВАНИЯ К МЕТОДИКАМ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ, ИСПОЛЬЗУЮЩИХ ВИРТУАЛИЗАЦИЮ
Валентин Валерьевич Селифанов
Управление ФСТЭК России по СФО, 630091, Россия, г. Новосибирск, Красный пр., 41, начальник отдела
Диана Георгиевна Макарова
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, ассистент кафедры информационной безопасности, тел. (383)343-91-11, e-mail: kaf.ib@ssga.ru
Тамара Михайловна Пестунова
Новосибирский государственный университет экономики и управления, 630099, Россия, г. Новосибирск, ул. Каменская, 52, кандидат технических наук, доцент, зав. кафедрой информационной безопасности, e-mail: t.m.pestunova@nsuem.ru
Кирилл Викторович Курносов
Новосибирский государственный университет экономики и управления, 630099, Россия, г. Новосибирск, ул. Каменская, 52, аспирант, тел. (913)753-21-81, e-mail: k.v.kurnosov@nsuem.ru
Ключевые слова: цифровая экономика, информационная безопасность, оценка безопасности, информационные системы, виртуализация.
В статье рассмотрено определение требований к методикам оценки безопасности информационных систем, построенных на базе виртуальной инфраструктуры. Анализ текущего состояния нормативно-методического обеспечения в сфере безопасности виртуальных инфраструктур позволил выделить актуальные проблемы, связанные с нормативно-методической базой и стандартизацией.
REQUIREMENTS TO METHODS OF SECURITY ASSESSMENT OF INFORMATION SYSTEMS USING VIRTUALIZATION
Valentin V. Selifanov
Department of the Federal Service for Technical and Export Control of Russia in the Siberian Federal District, 41, Krasny Prospect, Novosibirsk, 630091, Russia, Head of Department
Diana G. Makarova
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, Assistant, Department of Information Security, phone: (383)343-91-11, e-mail: kaf.ib@ssga.ru
Tamara M. Pestunova
Novosibirsk State University of Economics and Management, 52, Kamenskaya St., Novosibirsk, 630099, Russia, Ph. D., Associate Professor, Head of Department of Information Security, e-mail: t.m.pestunova@nsuem.ru
Kirill V. Kurnosov
Novosibirsk State University of Economics and Management, 52, Kamenskaya St., Novosibirsk, 630099, Russia, Student, phone: (913)753-21-81, e-mail: k.v.kurnosov@nsuem.ru
The article considers the definition of requirements to methods for assessing the security of information systems built on the basis of a virtual infrastructure. The analysis of the current state of normative and methodological support in the sphere of security of virtual infrastructures made it possible to outline current problems related to the regulatory and methodological base and standardization.
Key words: digital economy, information security, security assessment, information systems, virtualization.
Виртуализация является одной из самых быстро растущих областей ИТ-рынка России - по оценкам компании IDC объем рынка облачных услуг в 2016 году вырос на 20 % относительно 2015 года, а в 2017 еще на 11 % [1]. В утвержденной постановлением правительства Российской Федерации от 28 июля 2017 г. № 1632-р программе «Цифровая экономика Российской Федерации» информационная безопасность отнесена к числу базовых направлений развития цифровой экономики. Одним из основных препятствий, при этом, являются нерешенные проблемы обеспечения информационной безопасности в сложных иерархичных информационно-телекоммуникационных системах, широко использующих виртуализацию. В соответствии с дорожной картой реализации работ по информационной безопасности в программе цифровой экономики, важной задачей является разработка методик оценки показателей информационной безопасности в информационных системах (ИС), в том числе построенных с использованием технологий виртуализации.
Целью статьи является определение требований к методикам оценки безопасности ИС, построенных на базе виртуальной инфраструктуры. Анализ текущего состояния нормативно-методического обеспечения в сфере безопасности виртуальных инфраструктур позволяет выделить следующие проблемы, связанные с нормативно-методической базой и стандартизацией.
1. Недостаточная нормативная база обеспечения безопасности ИС, использующих технологии виртуализации.
Область нормативного обеспечения только начала свое развитие. Утвержден ГОСТ Р 56938-2016 «Защита информации при использовании технологий виртуализации» [3]. Помимо этого, использование виртуализации регламентируется в приказах ФСТЭК №17 [4], №21 [5], №31 [6]. В банковском секторе представлен стандарт РС БР ИББС-2.8-2015 [7]. В тех областях, на которые эти документы не распространяются, использование технологий виртуализации никак не регламентировано.
2. Дефицит методического обеспечения для построения систем защиты и оценки уровня защищенности систем, использующих технологии виртуализации.
О виртуализации говорится только в методическом документе ФСТЭК России «Меры защиты информации в ГИС» [8] и неутвержденной методике оп-
ределения угроз безопасности [9]. В остальных случаях предполагается использование общих методик, которые не всегда применимы к специфике виртуальных инфраструктур или могут не учитывать особенности построения ИС с использованием технологий виртуализации.
3. Оценка уровня доверия к платформам виртуализации и разработанных для них средствам защиты.
Подавляющее большинство платформ виртуализации разработано западными вендорами. Отечественные продукты «Сервионика» и «Росплатформа» также основаны на использовании иностранных разработок. При этом большинство платформ предоставляются с частично или полностью закрытым исходным кодом, что создает проблемы при оценке уровня доверия к ним. Задача осложняется отсутствием методик оценки, учитывающих особенности, присущие технологиям виртуализации.
По результатам анализа пяти нормативно закрепленных отечественных методик рекомендаций по определению угроз и оценке безопасности в ИС разного назначения [8-12] и пяти методик, предложенных другими авторами [13-17], были сделаны следующие выводы.
1. Существующие методики позволяют получить статическую оценку системы в определенный момент времени и не учитывают изменения в инфраструктуре и (или) внешней среде. Данная оценка не может считаться актуальной после даже незначительных изменений, примерами которых являются установка обновлений, замена ПО, публикация информации о новых методах атак, изменение уровня важности защищаемой информации. Пересчет показателей при подобных изменениях выполняется вручную, являясь достаточно трудоемким даже для высококвалифицированных специалистов.
2. Компоненты системы в данных методиках рассматриваются как отдельные элементы. Не учитывается специфическая связь между объектами, присущая виртуальным инфраструктурам, и влияние реализации одних угроз на возможность реализации других. Например, компрометация гипервизора практически всегда будет нести за собой компрометацию виртуальных машин, управляемых им.
3. Основным критерием оценки угроз является субъективная оценка экспертов. Такой подход к оценке рассматривает угрозу как отдельную сущность, а не взаимосвязанный набор компонентов, из которых она сформирована, что ограничивает возможность формализации и математических обоснований [9].
В данной работе предложены требования, которым должна отвечать методика оценки безопасности ИС, функционирующих на базе технологий виртуализации.
1. Пространство понятий.
В настоящий момент нормативно-методическая база информационной безопасности находится в стадии активного развития. В связи с этим нередко встречаются ситуации, когда одно и то же понятие в разных документах трактуется по-разному. Примером является даже понятие «угроза», имеющее раз-
личные толкования [18]. В целях унификации в методике должны использоваться понятия, определяемые соответствующим ГОСТом [3].
2. Формализация.
Методика должна оперировать понятиями, поддающимися математической формализации и состоящими из простых элементов, допускающими количественные оценки или имеющими качественные характеристики, представленные конечными списками возможных состояний.
3. Спецификация.
Методика оценки безопасности ИС на виртуальных инфраструктурах должна учитывать их специфику. Виртуализация имеет принципиальные отличия от технологий, работающих на физических сущностях. Многие особенности, такие как наличие гипервизора, моментальных снимков («снапшотов») или эталонных образов, не имеют аналогов в обычных ИС, поэтому некорректно оценивать их безопасность по общим методикам.
4. Взаимосвязанность.
При использовании технологий виртуализации многие компоненты взаимосвязаны гораздо теснее, чем компоненты обычных ИС. Такие компоненты как гипервизор, виртуальная машина, виртуальная сеть невозможно рассматривать изолированно ввиду их технологической реализации. Любые угрозы, настройки и изменения в одном из компонентов имеют значительное влияние на смежные. Важной особенностью является то, что одни самостоятельные объекты являются просто данными для других, являющихся их носителями [19].
5. Динамичность.
Информационная система и внешняя среда не являются статическими объектами: регулярно обнаруживаются новые уязвимости программного обеспечения, появляются новые методы атак, выходят обновления и патчи, способные за несколько недель значительно изменить функционал платформ виртуализации. Важность информации и ее свойств тоже не является постоянной величиной. Если речь идет о реальном обеспечении безопасности, а не о разовом выполнении нормативных требований при аттестации, то методика должна иметь механизмы, позволяющие с минимальными затратами ресурсов актуализировать оценку уровня безопасности ИС «на лету». На практике это означает, что методика должна иметь возможность автоматизации процесса оценки при изменении ИС или внешней среды.
Соблюдение данных требований является необходимым условием для качественного улучшения методик оценки показателей информационной безопасности в ИС, построенных с применением технологий виртуализации.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Гаврилов, Д. А. Russian Cloud Services Market 2017-2021 Forecast and 2016 Vendor Shares [Электронный ресурс] / Д.А. Гаврилов // International Data Corporation (IDC) - международная исследовательская и консалтинговая компания. 2017. Режим доступа: http://idcrussia.com/ru/research/published-reports/65018-russian-cloud-services-market-2017-2021-forecast-and-2016-vendor-shares/2-abstract - (Дата обращения: 11.02.2018).
2. Программа «Цифровая экономика Российской Федерации»: утверждена распоряжением Председателя Правительства Российской Федерации от 28.07. 2017 г. № 1632-р - М., 2017. - 88 с.
3. ГОСТ Р 56938-2016 «Защита информации при использовании технологий виртуализации». — Введ. 2016-07-01.— М.: Изд-во стандартов, 2016.— 36 с.
4. Об утверждении требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: приказ ФСТЭК России от 11 февраля 2013 года № 17 [Электронный ресурс]. - Режим доступа: https://fstec.ru/component/attachments/download/566. - (Дата обращения: 11.02.2018).
5. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: приказ ФСТЭК России от 18 февраля 2013 года № 21 [Электронный ресурс]. - Режим доступа: https://fstec.ru/component/attachments/download/561. - (Дата обращения: 11.02.2018).
6. Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды: приказ ФСТЭК России от 14 марта 2014 года № 31 [Электронный ресурс]. - Режим доступа: https://fstec.ru/component/attachments/download/718. - (Дата обращения: 11.02.2018).
7. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации: рекомендации в области стандартизации банка России РС БР ИББС-2.8-2015 - Введ. 2015-05-01 [Электронный ресурс]. - Режим доступа: https://www.cbr.ru/credit/Gubzi_docs/rs-28-15.pdf. - (Дата обращения: 11.02.2018).
8. Меры защиты информации в государственных информационных системах: методический документ ФСТЭК России. — Утв. 2014-02-11. - М., 2017. - 176 с.
9. Методика определения угроз безопасности информации в информационных системах: проект методического документа ФСТЭК России [Электронный ресурс]. - Режим доступа: https://fstec.ru/component/attachments/download/812. - (Дата обращения: 11.02.2018).
10. Определения актуальных угроз безопасности персональных данных при их обработке в информационных системах (ИС) персональных данных: методический документ ФСТЭК России. — Утв. 2008-02-14. - М., 2008. - 10 с.
11. Определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры: методический документ ФСТЭК России (ДСП). — Утв. 2008-11-18.
12. ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Методы и средства обеспечения безопасности. Часть 3. — Введ. 2007-06-07.— М.: Изд-во стандартов, 2007.— 49 с.
13. Попов А. М., Золотарев В. В., Бондарь И. В. Методика оценки защищенности информационной системы по требованиям стандартов информационной безопасности // Информатика и системы упр. / Тихоокеан. гос. ун-т. Хабаровск, 2010. № 4 (26). С. 3-12.
14. Барабанов А.В., Марков А.С., Цирлов В.Л. Методический аппарат оценки соответствия автоматизированных систем требованиям безопасности информации // Спецтехника и связь. 2011. № 3. С. 48-53.
15.Еременко В.Т. Автоматизация процесса оценки состояния защищенности объекта информатизации с использованием ингибиторных, вероятностных и раскрашенных сетей Петри от утечки информации / В. Т. Еременко, М. Ю. Рытов, А.П. Горлов // Информация и безопасность. - 2015. - Т. 18. - № 1. - С. 123-126.
16. Плетнев П. В., Белов В. М. Методика оценки рисков информационной безопасности на предприятиях малого и среднего бизнеса // Доклады ТУСУРа. - № 1(25), 2012. - С. 83-86.
17. Баранова Е.К., Гусев А.М. Методика анализа рисков информационной безопасности с использованием нечеткой логики на базе инструментария Ма1!аЬ // Образовательные ресурсы и технологии. 2016. № 1 (13). С. 88-96.
18. Курносов К.В. Системный анализ угроз безопасности информации, обрабатываемой виртуальными инфраструктурами // Материалы 54-й международной научной студенческой конференции МНСК-2016 / Новосибирский нац. иссл. гос. ун-т — Новосибирск, 2016. - С. 32
19. Курносов К.В. Модель идентификации угроз виртуальной инфраструктуры / Курносов К.В. // Материалы VII Всероссийской молодежной школы-семинара по проблемам информационной безопасности «Перспектива-2016». - Таганрог: Изд-во ЮФУ, 2016. - С. 11-17.
© В. В. Селифанов, Д. Г. Макарова, Т. М. Пестунова, К. В. Курносов, 2018
