РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ НА МАЛОМ ПРЕДПРИЯТИИ С ПОМОЩЬЮ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ
Аннотация и ключевые слова
Аннотация (русский):
В статье рассматривает поиск оптимальной политики безопасности информационной системы малого предприятия с помощью модели полного перекрытия. С помощью реализованной автоматизированной модели можно быстро и качественно найти нужный набор барьеров защиты за определенные затраты.

Ключевые слова:
оптимальный набор, комплексная защита информации, малое предприятия, моделирование
Текст
Текст произведения (PDF): Читать Скачать

Введение

С развитием новых информационных технологий и появление доступных мощных компьютеров позволило малому бизнесу их использовать в безнес-процессе. Также появилась необходимость в повышение уровня защиты в связи с развитием  хранения и обработки информации. Так постепенно защита  экономической информации становится обязательной: разрабатываются возможные документы по защите информации, формируются  рекомендации по защите информации,  даже проводиться федеральный закон о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решают некоторые уникальные вопросы защиты информации.

Следует, что угрозы защиты информации сделала средства обеспечением информационной безопасности одной из обязательных элементов информационной системы.

Под информационной безопасностью Российской Федерации(информационной системы) подразумевается техника защита информации от преднамеренного или случайного несанкционированного доступа и нанесения тем, самым вред нормальному процессу документооборорота и обмена данными в системе, а также хищения, модификации и уничтожения информации [1*].

Вопрос защиты информации на малом предприятии  решаются для того, чтобы изолировать нормально работоспособную информационную систему от несанкционированных управляющих воздействий и доступа посторонних лиц или программ к данным с целью хищения.

Успешная реализованная угроза на информационную система малого предприятии может привести временной остановки и финансовым потерям. Процесс реализации угрозы за последние года усовершенствовался. Для реализации уже не нужно специализированные знания, а требуется приобрести специализированное обеспечение которое по нажатию кнопки может обойди все барьеры защиты информации. Можно выделить распространенные меры защиты информации на малом предприятии: антивирусная защита, регулярное обновление программного обеспечения и также тонкая настройка политики безопасности в информационной системы.

Процесс проектирование системы защиты информации трудоемкий. Для того чтобы спроектировать нужно нанимать в штат специалиста. Выход из такой сложной ситуации приходиться находить специалистам, которые смогут выполнять ряд задач других сотрудников.  Для того, чтобы настроить всю информационную систему предприятия, необходимо иметь в штате инженера-программиста, который сможет проанализировать информационные потоки, и на основе анализа построить систему и внедрить на предприятие, а также в дальнейшем ее сопровождать при возникновении проблем.

 

1. Описание модели

Автоматизированные системы используют различные модели. Наиболее подходящей моделью для проектировании автоматизированной системы можно использовать модель “Клементса - Хофмана”. Данная модель позволяет найти оптимальный набор средств защиты информации (рис.1).

Рис. 1. Модель системы полного перекрытия (модель Клементса – Хофмана)

 

Модель проста в использовании, можно рассчитать защищённость барьеров системы, рассчитать экономические затраты при проектировании системы защиты информации, а самое главное определить оптимальный вариант построения системы безопасности. 

Таким образом, процесс защиты информации представляет собой кортеж:

,                                                                (1)

Где        O - множество защищаемых объектов;

              U - множество возможных угроз;

              M - множество средств защиты;

              V - множество уязвимых мест в системе защиты информации;

              B - множество барьеров.

Чтобы получить доступ, злоумышленнику необходимо выполнить ряд этапов и процессов, которые можно свести к трем условиям разведывательного контакта злоумышленника с источником информации:

  • поиск ценной информации (Pпр - пространственный фактор);
  • размещение программно-аппаратных средств для получения информации на удалении от источника, при котором гарантируется приемлемое отношение сигнал/шум на входе средства (Pэн - энергетический фактор);
  • совпадение времени проявления демаскирующих признаков объекта защиты

или передачи информации и работы средства добывания (Pвр - временный фактор).

Угрозы выполняются одновременно при трех условиях, а общая вероятность равна произведению:

,                                                                     (2)

Аппарат нечетких множеств позволяет производить простейшие операции непосредственно со значениями лингвистических переменных без промежуточного перевода их в числовые значения.

Принцип обобщения Заде может найти функцию принадлежности нечеткого числа, советующего значению четкой функции от нечетких аргументов

((3)

Требуется в таких условиях найти нечеткое число

                                                             (4)

Дефазификация вероятности проявления угрозы определяем по формуле:

.                                                                (5)

Прочность барьера системы защиты информации характеризуется величиной остаточного риска Riski, связанного с возможностью осуществления угрозы ui в отношении объекта oj, при использовании барьера bq. Определяется по формуле :

                         (6)

Где        Pi - вероятность появления угрозы ui,

              Qi - величина ущерба при удачном осуществлении угрозы ui в отношении защищаемого объекта oj. Величина ущерба рассчитывается в условных единицах,

              Bq- степень сопротивления барьера, величина характеризует вероятность его преодоления.

По формуле можно определить величину защищенности всей системы:

((7)

 

2. Структура автоматизированной системы, составные модули

Созданы универсальные алгоритмы в виде модулей, входящие в состав системы. Структурно-функциональная модель проектирования системы защиты информации представлена на рис. 2.

Задача моделирования защиты информации состоит в объективном описании объектов защиты, с помощью которых будет происходить процесс защиты. Защищаемый объект в модели (данные, сервер базы данных и т.д.) должен быть представлен на схеме системы защиты информации в виде некоторой структуры.

Свойствами этой структуры являются наиболее важные характеристики объекта, такие как перебор пароля, открытые порты в сервисе, установление антивирусного ПО и т.д. В моделирование объектов защиты так же входит: источник угрозы, описание основных моментов, где возможно произвести атаку для несанкционированного получения данных, описание с указанием характеристик существующих барьеров на путях проникновения за пределы защиты. На основе полученных данных происходит иерархическое построение модели объекта защиты.

После создания модели защищаемого объекта происходит построение системы его защиты. Согласно принципам системного подхода, каждый элемент в программном комплексе строится отдельным модулем, что позволяет динамически расширять возможности системы [2, с. 28].

В системе защиты информации основополагающим является программно-аппаратные средства защиты. Разработанные модули (рис. 3), позволяющие оценить и категорировать данные в соответствии в них определенных условий (в качестве таких условий выступают стойкость барьера, его цена и т.д.). Оценка основных  элементов барьеров защиты таких как: персональный межсетевой экран, антивирусная программа, электронная цифровая подпись позволяют оценить их устойчивость к взломам, в случае нехватки стойкости предложить варианты по их замене или модернизации. Данные меры позволяют защитить максимально данные и увеличить время необходимое для злоумышленника, чтобы реализовать несанкционированный доступ. Данный запас позволяет системе проинформировать администратора, что был реализован несанкционированный доступ, и отреагировать, вычислив место нахождения, для задержания злоумышленника [1, с. 45].

 

3. Процесс проектирования

В ходе разработки web-сайта реализованы следующие списки:

  1. Список угроз в БД.
  2. Список источников угроз.
  3. Список защищаемых объектов.
  4. Список барьеров защиты в БД.
  5. Список последствий от реализации угроз.

Открыв список угроз в БД (рис. 4) открывается окно, в котором представлены названия угроз и список действий, таких как: изменить, удалить и добавить запись. Все эти кнопки говорят сами за себя. Кнопка «Удалить» вызывает функцию, которая удалит тот элемент, напротив которого будет располагаться данная кнопка.

При нажатии на кнопку «Изменить» открывается окно управления данными (рис. 5), где можно увидеть ID угрозы, описание угрозы, ее источники, и последствия, а также можно изменить эти поля, введя другое название или описание, также выбрав один или несколько пунктов в полях: «Источники угроз» и «Последствия реализации угрозы», затем нажать кнопку «Сохранить».

В окне «Список защищаемых объектов» (рис. 6) представлены названия объектов и список действий над этими объектами: «Добавить запись», «Изменить» и  «Удалить».

На странице списков барьеров защиты базы данных (рис. 7), также приведены названия барьеров и список действий, среди которых есть кнопка «Стойкость», которая позволяет просмотреть стойкость каждого барьера и внести изменения в случаях, когда данные неверны, либо потеряли свою актуальность.

Нажав на кнопку «Стойкость» переходим в окно «Стойкость угрозам» (рис. 8), где указано:

  1. Название барьера.
  2. Название угрозы.
  3. Стойкость барьера против данной угрозы.

Где также можно изменить поля в случаях, когда данные неверны, либо потеряли свою актуальность.

Выбрав пункт «Моделирование» пользователю необходимо выбрать объекты, которые необходимо защитить, как показано ниже (рис. 9).

После чего, обработав данные, пользователю предоставляется результат (рис. 10), в котором описаны: наименования защищаемых объектов, наименования угроз, которым подвержены объекты и варианты барьеров, которые можно противопоставить данным угрозам с описанием затрат и стойкости.

Заключение

 

Автоматизированная система  позволила ускорить и увеличить качество защиты информации на малом предприятии в несколько раз, а (рис.11) также позволила сократить расходы на закупку только нужного перечня оборудования и его настройки для защиты информации. Благодаря нахождению оптимального варианта, автоматически время на проектирование комплексной системы защиты сократилось в 5 раз, уменьшилось появление ошибок при проектировании, а также закупка оборудование  сократилась на 30 процентов.

В результате работы для проектирования программного обеспечения была выбрана модель полного перекрытия, которая позволяет находить оптимальный вариант средств защиты информации. В конечном результате выдается перечень различных политик безопасности с общей стойкостью угроз и затрат на реализацию. Предложенные политики безопасности позволяют существенно сэкономить время на выборе необходимой. С помощью данного сайта малым предприятиям не нужно обращаться к дорогостоящим специалистам, ведь поиск оптимальной политики безопасности станет быстрым и удобным.

Разработанный программный продукт способен эффективно производить вычисления по нахождению оптимальной стоимости и стойкости барьеров. В перспективе планируется расширить функционал сайта для работы с более сложными информационными системами.

Список литературы

1. Алаухов С.Ф. Вопросы создания систем информационной безопасности для крупных промышленных объектов / С.Ф. Алаухов, В.Я. Коцеруба // Системы безопасности. – 2011. – № 41. – С. 93.

2. Аверченков В.И. Организационная защита информации / В.И. Аверченков, М.Ю. Рытов. – Брянск: Изд-во БГТУ, 2015. – 184 с. – (Серия «Организация и технология защиты информации»).

3. Алаухов С.Ф. Вопросы создания систем информационной безопасности для крупных промышленных объектов / С.Ф. Алаухов, В.Я. Коцеруба // Системы безопасности. – 2011. – № 41. – С. 93.

4. Анин Б.Ю. Защита компьютерной информации / Б.Ю. Анин. – СПб.: БХВ-Петербург, 2010.

5. Баранова Е.К. Моделирование системы защиты информации. Практикум: учеб. пособие / Е.К. Баранова, А.В. Бабаш. – М.: РИОР: ИНФРА-М, 2016. – 224 с.

6. Драгунова Е. В., Митев П. К. Моделирование бизнес-процесса выбора инвестиционного поведения предприятия // Молодой ученый. — 2010. — №10. — С. 35-38. — URL https://moluch.ru/archive/21/2103/ (дата обращения: 10.01.2019).

7. Луценко И.В. Способы и приемы оценки защищенности данных малого предприятия / И.В. Луценко, М.Ю. Рытов // Информационные системы и технологии. – 2018. - №3(107). – с. 125.

8. Мельников, В.П. Информационная безопасность и защита информации. / В.П.Мельников, С.А.Клейменов, А.М.Петраков // 3-е изд., стер. - М.: Академия, 2008. — 336 с.

9. Рытов М.Ю. Использование специализированной САПР для проектирования комплексных систем защиты информации / М.Ю. Рытов, И.В. Луценко, М.А. Луценко // Инновационные, информационные и коммуникационные технологии. – Москва. Ассоциация выпускников и сотрудников ВВИА им проф. Жуковского, 2018. – 652 с.