Bryansk, Bryansk, Russian Federation
Bryansk, Bryansk, Russian Federation
Bryansk, Bryansk, Russian Federation
This article discusses the process of automating the assessment of the effectiveness of software and hardware information protection by creating an automated system. The main functions of the proposed system are: conducting an audit of information security, forming a model of information security threats, forming recommendations for creating a software and hardware system for protecting information, and creating organizational-technical documentation. The developed automated system for evaluating the effectiveness of software and hardware protection of information allows in an automated way to build a model of information security threats, to form organizational and technical documentation governing the protection of confidential information, and also to make recommendations for improving the software and hardware system for protecting information. The use of this system will significantly reduce the time and material costs of auditing information security and developing additional measures to protect information.
information security, information protection, software and hardware protection, software and hardware information protection
Введение
На сегодняшний день проблема защиты конфиденциальной информации стоит особенно остро. Ущерб от реализации угроз компьютерным системам и обрабатываемой в них конфиденциальной информации превышает миллионы рублей.
По статистике за 2018 год на территории РФ зафиксировано около 300 тысяч преступлений в сфере информационной безопасности. К этим преступлениям относятся несанкционированный доступ к конфиденциальной информации, утечка и разглашение атрибутов доступа к подсистемам компьютерных систем, создание, использование или распространение вредоносных программ для ЭВМ или машинных носителей с такими программами.
Компьютерная система – любое устройство или группа взаимосвязанных, или смежных устройств, одно или более из которых, действуя в соответствии с программой, осуществляет автоматизированную обработку данных.
Объектом информатизации называется совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов, в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведений конфиденциальных переговоров.
Отсутствие на объектах информатизации программно-аппаратных систем защиты информации приводит к утечке конфиденциальной информации, так как разработка и внедрение таких систем является достаточно сложной и затратной процедурой. В общем случае на компьютерную систему влияет ряд факторов, который можно условно разделить на две категории: требования законодательства и стандартов в области защиты информации, а также различные угрозы информационной безопасности. Автоматизированная система оценки эффективности программно-аппаратных средств защиты информации позволит привести КС в соответствие установленным требованиям, противостоять актуальным угрозам, снизить трудоемкость работ, сэкономить время и значительно сократить материальные затраты на проведение аудита и разработку программно-аппаратных систем защиты информации.
1. Постановка задачи
Ввиду этого разработка системы автоматизированной оценки эффективности программно-аппаратных средств защиты представляется актуальной. На данный момент автоматизированная оценка уровня информационной безопасности производится исключительно по стандартам ISO, однако в РФ более распространена организационно-распорядительная документация.
В предлагаемом подходе в основу положена оценка защищенности объекта информатизации согласно положениям законодательной базы РФ, требованиям государственных стандартов, а также проверка наличия организационно-технической документации, регламентирующей защиту компьютерных систем.
Основной задачей, разрабатываемой автоматизированной системы является выявление уязвимостей существующих систем обработки и защиты информации. В качестве входных данных используются данные о компьютерных системах. Данные вводятся на основе специально разработанных опросных анкет.
2. Решение
Алгоритм работы АС:
1. Ввод исходных данных.
2. Формирование информационной модели компьютерной системы, определение целей и задач по защите информации.
3. Оценка состояния защищенности объекта информатизации.
4. Формирование модели угроз информационной безопасности.
5. Формирование рекомендаций по совершенствованию системы защиты информации.
6. Формирование организационно-технической документации.
Преимуществом данной методики является возможность снизить трудоемкость работ, сократить временные и материальные затраты на проведение оценки уровня информационной безопасности, повысить качество проектных решений.
Структурно-функциональная схема, разработанной автоматизированной системы представлена на рис. 1.
Ввод исходных данных представляет собой заполнение опросных анкет, которые позволят выявить вид обрабатываемой информации, существующие программно-аппаратные средства защиты информации, угрозы ИБ, уязвимости системы защиты информации, а также прочие данные позволяющие составить информационную модель объекта информатизации.
Следующим этапом является оценка состояния защищенности компьютерной системы. Выделяется 3 основных направления оценки защищенности:
1. Оценка на соответствие требованиям стандартов (ГОСТ, СТР-К, ISO).
2. Определение наличия программно-аппаратных средств защиты информации на объекте информатизации.
3. Выявление организационно-технической документации, регламентирующей защищенную обработку конфиденциальной информации.
По результатам данного этапа формируется отчет о состоянии защищенности компьютерной системы.
На этапе формирования модели угроз информационной безопасности формируется
описание системы обработки информации, выявляются пользователи данной системы, определяется уровень исходной защищенности, степень актуальности угроз, рассчитывается вероятность реализации угроз.
Актуальность рисков определяется исходя из типа обрабатываемой информации, объема обрабатываемых в системе данных, структуры информационной системы, режиму обработки данных и т.д.
Рис. 1. Структурно-функциональная схема автоматизированной системы
Однако для того чтобы определить актуальность угроз для данного объекта информатизации целесообразно выделить критерии актуальности каждой конкретной угрозы. Так для угрозы сетевой атаки можно выделить такие критерии актуальности как наличие доступа к глобальной сети, наличие в структуре локальной вычислительной сети средств межсетевого экранирования, антивирусной защиты и т.д.
Основываясь на выделенных критериях актуальности возможно формализовать расчет вероятности реализации угроз:
) – вероятность реализации i-ой угрозы, ) – функция расчета влияния j-го критерия на защищенность системы от i-ой угрозы, – кол-во факторов.
На данном этапе результатом работы является модель угроз на основании которой можно выделить оптимальные средства защиты от наиболее актуальных и вероятных угроз.
Для обеспечения защиты от таких угроз предусмотрен процесс выборки программных
и аппаратных средств защиты информации из базы данных. Выборка производится исходя из стоимости средств защиты и оптимальных технических характеристик необходимых для обеспечения требуемого уровня защищенности.
Формализацию процесса формирования модели угроз можно представить в виде кортежа:
где – уровень исходной защищенности, – тип системы обработки информации, – угрозы информационной безопасности, – критерии актуальности угроз, – вероятность реализации угроз
Следующим этапом является формирование рекомендаций по совершенствованию системы защиты информации. Рекомендации разделяются на 4 основных раздела:
1. Рекомендации по антивирусной защите информации.
2. Рекомендации по защите информации от несанкционированного доступа (НСД).
3. Рекомендации по применению средств межсетевого экранирования.
4. Рекомендации по применению средств обнаружения вторжений.
По каждому разделу приводится ряд мер, выполнение которых необходимо для защиты от выявленных угроз. Так же на данном этапе происходит подбор оптимальных средств программно-аппаратной защиты информации исходя из допустимой стоимости и набора необходимых характеристик.
Заключительным этапом является формирование организационно-технической документации, регламентирующей защиту конфиденциальной информации.
На данном этапе производится оценка наличия организационно-технической документации на объекте, выявляются недостающие документы, если необходимо, производится сбор дополнительных данных необходимых для формирования дополнительных документов.
В качестве выходных данных по результатам работы данного блока является комплект организационно-технической документации, регламентирующей эксплуатацию программно-аппаратных средств защиты.
Результаты работы автоматизированной системы представлены на рис.2.
Рис.2. Результаты работы АС
Заключительным этапом является формирование организационно-технической документации, регламентирующей защиту конфиденциальной информации.
На данном этапе производится оценка наличия организационно-технической документации на объекте, выявляются недостающие документы, если необходимо, производится сбор дополнительных данных необходимых для формирования дополнительных документов.
В качестве выходных данных по результатам работы данного блока является комплект организационно-технической документации, регламентирующей эксплуатацию программно-аппаратных средств защиты.
Результаты работы автоматизированной системы представлены на рис.2.
В результате проведенного вычислительного и имитационного моделирования полечено 255 вариантов построения программно-аппаратной системы защиты информации (рис. 3).
Рис. 3. Результаты имитационного моделирования
Учитывая финансовую целесообразность проводимых мероприятий, был выбраны 5 наиболее эффективных вариантов построения программно-аппаратной системы защиты информации на основе разработанного критерия эффективности (таблица 1).
Таблица 1. Варианты построения ПАЗИ
Номер варианта защиты Накопленный весовой коэффициент (W) Стоимость
(C) Набор средств защиты
№50 5799,763 10006
№52 5698,114 9961
№54 5698,231 9936
№146 5696,731 9957
№158 5699,865 9904
Было произведено моделирование работы выбранных вариантов построения ПАЗИ для 100 (рис. 4) и 10000 (рис.5) тактов работы построенной математической модели на основе раскрашенных сетей Петри, в результате которого было определено что значение накопленного весового коэффициента меняется с течением времени, что свидетельствует об адекватности модели, а также был определен наиболее эффективный набор технических средств защиты информации.
Рис. 4. Накопленный весовой коэффициент для вариантов защиты № 50, 52, 54, 146, 158 для 100 тактов
Рис. 5. Накопленный весовой коэффициент для вариантов защиты
№ 50, 52, 54, 146, 158 для 10000 тактов
Заключение
Таким образом разработанная автоматизированная система оценки эффективности программно-аппаратных средств защиты информации позволяет в автоматизированном режиме построить модель угроз информационной безопасности, сформировать организационно-техническую документацию регламентирующую защиту конфиденциальной информации, а также сформировать рекомендации по усовершенствованию программно-аппаратной системы защиты информации. Применение данной системы позволит значительно сократить временные и материальные затраты на проведение аудита информационной безопасности и разработку дополнительных мер защиты информациипо сравнению с неавтоматизированным проектированием программно-аппаратной системы защиты информации.
1. Averchenkov, V.I. Automation of personal data protection in the university / V.I. Averchenkov, M.Yu. Rytov, V.A. Shkaberin, OM Golembiovskaya // Proceedings of the International Association of Slavic Higher Education Institutions, № 1, 2011 - p. 126-134;
2. Ivanko, A.F. Automation of systems design and management tools: a tutorial / A.F. Ivanko, M.A. Ivanko, V.G. Sidorenko, G.B. Falk - M .: Publishing House of MGUP, 2001. - 148 p;
3. Andrianov, V.V. Ensuring information security of business / V.V. Andrianov, S.L. Zefirov, V.B.Golovanov, N.A. Golduev ed. A.P. Kurylo - M .: Alpina Publishers, 2011;
4. The basic model of threats to the security of personal data when they are processed in personal data information systems (extract), FSTEC, 2008;
5. Rytov, M.Yu. Automating the process of assessing the state of security of an informatization object using colored Petri nets from information leakage / M.Yu. Rytov, A.P. Gorlov, V.T. Eremenko // Information and Security. - 2015. - №1. - pp. 123-126;
6. Klimov, S.M. Countering computer attacks. Technological background: electronic educational edi-tion. / A.V. Astrakh, S.M. Klimov, M.P. Sychev // - M .: MSTU named after NE Bauman, 2013. - 108 p;
7. Lysov D.A. Authorization of users on the basis of the integrated application of the methods of face recognition [Text + Electronic Resource] / Rytov M.Yu., Shkaberin VA, Lysov DA, Gorlov AP // Information and security №1, 2016.- p. 106-109;
8. Lysov D.A. Automating the process of evaluating the effectiveness of integrated information security systems for industrial enterprises while simultaneously implementing threats [Text + Electronic Resource] / Rytov M.Yu., Gorlov AP, Lysov DA, Bulletin of Bryansk State Technical University №4, 2016 .-with. 199-206;
9. Lysov D.A. Methodical aspects of authentication of access control systems through the use of facial recognition technologies [Text + Electronic Resource] / Golembiovskaya OM, Gorlov AP, Leksikov EV, Lysov DA, Rytov M.Yu.// Information systems and technologies №6 (110), 2018.- p. 116-121;
10. Lyasko, V.I. Strategic development planning of the enterprise: a textbook for universities / V.I. Lyasko // - Moscow: Examination Publishing House, “Study Guide for Universities” series), 2005. - 288 p.;
11. Nesteruk, G.F. On the development of a model of adaptive information security / G.F. Nesteruk, A.A. Moldovyan, L.G. Osovetsky, F.G. Nesteruk, R.Sh. Farkhutdinov // Information Security Issues. 2005, No. 3. P. 11 - 16..