УДК 004.056.53 ББК 32.371.3 О 11
Тельный Андрей Викторович
Доцент, кандидат технических наук, доцент кафедры информатики и защиты информации Владимирского государственного университета им. Александра Григорьевича и Николая Григорьевича Столетовых (ВлГУ), Владимир, тел. (4922) 479746, e-mail: [email protected] Монахов Михаил Юрьевич
Доктор технических наук, профессор, зав. кафедрой информатики и защиты информации Владимирского государственного университета им. Александра Григорьевича и Николая Григорьевича Столетовых (ВлГУ), Владимир, тел. (4922) 479746, e-mail: mmonakhov@)vlsu.ru Романова Алина Георгиевна
Студент 4 курса Владимирского государственного университета им. Александра Григорьевича и Николая Григорьевича Столетовых (ВлГУ), тел. (4922) 479746, Владимир, e-mail: [email protected] Яковлева Екатерина Игоревна
Студент 5 курса Владимирского государственного университета им. Александра Григорьевича и Николая Григорьевича Столетовых (ВлГУ), Владимир, тел. (4922) 479746, e-mail: [email protected]
О методике оценки защищенности организационного канала утечки информации на предприятии
Аннотация. В настоящее время для большинства предприятий наиболее вероятной причиной утечки информации является именно ее разглашение. На предприятии имеется постоянная необходимость объективного контроля исполнения требований нормативных документов по обеспечению безопасности информационного обмена. Основной целью данной статьи является формирование методики аудита (оценки) защищенности организационного канала утечки информации на предприятии. Разработанная по предложенной методике система поддержки принятия решений для проведения аудита информационной безопасности по организационному каналу позволяет: обеспечить беспристрастное, объективное оценивание состояния защищенности по организационному каналу утечки информации; обеспечить проведение аудита без привлечения высококвалифицированных специалистов в данной предметной области; выявлять направления (групповые показатели по направлениям), по которым состояние защищенности по организационному каналу является неудовлетворительным; масштабировать и усложнять, а также адаптировать систему поддержки принятия решений для проведения аудита информационной безопасности для конкретного объекта.
Ключевые слова: информационная безопасность, утечка информации, аудит защищенности организационного канала, нормативно-распорядительная документация, организационные и технические механизмы защиты, экспертные оценки.
Telny Andrey Viktorovich
Associate Professor, Candidate of Technical Sciences, Associate Professor of Iformatics and Information Security Department, Vladimir State University named after Aleksandr Grigoryevich and Nikolay Grigoryevich Stole-tovs (VlSU), Vladimir, ph. (4922) 479746, e-mail: [email protected] Monakhov Mikhail Yuryevich
Doctor of Technical Sciences, Professor, Head of Iformatics and Information Security Department, Vladimir State University named after Aleksandr Grigoryevich and Nikolay Grigoryevich Stoletovs (VlSU), Vladimir, ph. (4922) 479746, e-mail: mmonakhov@)vlsu.ru Romanova Alina Georgievna
Fourth-year student of Vladimir State University named after Aleksandr Grigoryevich and Nikolay Grigoryevich Stoletovs (VlSU), Vladimir, ph. (4922) 479746, e-mail: [email protected] Yakovleva Ekaterina Igorevna
Fifth-year student of Vladimir State University named after Aleksandr Grigoryevich and Nikolay Grigoryevich Stoletovs (VlSU), Vladimir, ph. (4922) 479746, e-mail: [email protected]
On the methodology of evaluating the protection of the organizational channel of information leakage at the enterprise
Abstract. At present, for most enterprises, the most likely cause of information leakage is precisely its disclosure. At the enterprise there is a constant need for an objective control over the compliance with the requirements of regulatory documents for ensuring the security of information exchange. The main purpose of this article is to develop a methodology for auditing (evaluating) the security of the organizational channel of information leakage at the enterprise. The decision support system developed for the audit of information security developed on the basis of the proposed method along the organizational channel allows: to provide an impartial, objective assessment of the state of security on the organizational channel for information leakage; ensure that an audit is carried out without attracting highly qualified specialists in this subject area; to identify the directions (group indicators in the directions), for which the state of
protection along the organizational channel is not satisfactory; scale and complicate, as well as adapt the decision support system to conduct information security audits for a particular facility.
Keywords: information security, information leakage, organizational channel security audit, regulatory and administrative documentation, organizational and technical protection mechanisms, expert assessments.
Для формирования методики оценки защищенности организационного канала утечки информации на предприятии можно выделить 23 групповых показателя (причин утечки информации) для оценки защищенности организационного канала утечки информации «типовой» организации, которые приведены в таблице 1.
Таблица 1
Групповые показатели оценки защищенности организационного канала утечки информации
Номер показателя Содержание
Ki Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушение требований конфиденциального (секретного) делопроизводства»
K2 Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушение требований проведения совместных работ, выполняемых предприятием по направлениям его производственной деятельности и иной деятельности»
K Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушение требований проведения совещаний (конференций и т.д.), в ходе которых обсуждаются вопросы конфиденциального (секретного) характера»
K4 Оценка степени выполнения требований нормативно-правовых документов по направлению «Выезд за границу сотрудников, допущенных к информации ограниченного распространения, в том числе служебные командировки»
K5 Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушения в проведении рекламной и издательской (публикаторской) деятельности»
K Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушение требований сотрудничества с иностранными государствами (их представителями и организациями), связанные с обменом информацией»
K Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушение установленных требований при осуществлении научных исследований, научно-исследовательских и опытно-конструкторских работ»
K8 Оценка степени выполнения требований нормативно-правовых документов по направлению «Передача сведений о деятельности предприятия и данных о его сотрудниках в территориальные инспекторские и надзорные органы»
K9 Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушение требований установленного контрольно-пропускного режима»
K10 Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушение требований установленного объектового режима»
Kn Оценка степени выполнения требований нормативно-правовых документов по направлению «Ошибочные технические и организационные решения по размещению систем контроля и управления доступом, позволяющие осуществить несанкционированный доступ»
K12 Оценка степени выполнения требований нормативно-правовых документов по направлению «Ошибочные технические и организационные решения по размещению охран-но-тревожной сигнализации и элементов инженерно-технического укрепления строительных конструкций, позволяющие осуществить несанкционированный доступ»
Ki3 Оценка степени выполнения требований нормативно-правовых документов по направлению «Ошибочные технические и организационные решения по защите информации в каналах передачи информации
K14 Оценка степени выполнения требований нормативно-правовых документов по направлению «Ошибочные организационные решения по использованию технических средств защиты информации от утечки по техническим каналам»
K15 Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушение требований по уничтожению носителей информации ограниченного доступа»
Ki6 Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушение требований по утилизации производственного брака»
K17 Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушение требований по хранению и транспортированию продукции конфиденциального (секретного) характера»
Таблица 1 (Окончание)
Номер показателя Содержание
Ki8 Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушение общих установленных правил приема на работу персонала»
K19 Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушение общих установленных правил допуска к информации ограниченного доступа»
K20 Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушение требований по контролю недопущения физического и психологического воздействия на персонал предприятия»
K21 Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушение требований по контролю морально-психологического состояния сотрудников и климата в коллективе»
K20 Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушение требований по обучению персонала и сотрудников предприятия обращению с информацией ограниченного доступа и носителями такой информации»
K23 Оценка степени выполнения требований нормативно-правовых документов по направлению «Нарушение установленных требований по защите персональных данных сотрудников»
Состояние защиты организационного канала по групповым показателям определяется оценкой частных показателей действующих на предприятии организационных и технических механизмов защиты, как это показано в таблице 2.
Таблица 2
Источники, причины утечки информации по организационным каналам и защитные механизмы (пример структуры таблицы)
1. Нарушения требований конфиденциального делопроизводства
_(защищенного документооборота)_
ОРГАНИЗАЦИОННЫЕ МЕХАНИЗМЫ
1.1. Инструкция по организации конфиденциального делопроизводства;
1.2. Положение о подразделении, осуществляющем конфиденциальное (секретное) ДП;
1.3. Перечень сведений, составляющих КИ (КТ);
1.4. Наличие постоянно действующей экспертной комиссии (ПДЭК);
1.5. Режим КТ и Положение о разрешительной системе доступа к КИ;
1.6. Инвентаризация документов и носителей КИ;
1.7. Хранение и обработка документов и носителей КИ в специальных помещениях и выполнение требований к ним;
1.8. Инструкция по использованию ЭЦП (при наличии) и специального ПО в СЭД;
1.9. Должностные обязанности лиц, занимающихся КДП;
1.10. Документальное сопровождение работы с КИ, в том числе ведение соответствующих журналов (по внутренним распорядительным документам) приема-сдачи помещений с КИ под охрану (или протоколы АРМ), выдачи ключей, выдачи носителей с КИ (карточки-заместители) и т. д.;
1.11. Аудит информационной безопасности СЗЭД, отключение от глобальных и беспроводных сетей, использование антивирусного ПО, сетевых экранов и т.д.;
1.12. Использование сертифицированного ПО (аттестация и категорирование СВТ при необходимости и т.д.).
ТЕХНИЧЕСКИЕ МЕХАНИЗМЫ
2.1. Контроль перемещения сторонних сотрудников по протоколам СКУД;
2.2. Контроль лиц, находящихся в служебных командировках в служебное и неслужебное время по каналам связи;
2.3. Контроль лиц, находящихся на территории предприятия посредством СВН._
2. Нарушения требований проведения совместных работ, выполняемых предприятием
_по направлениям его производственной и иной деятельности_
ОРГАНИЗАЦИОННЫЕ МЕХАНИЗМЫ
..--//.................//--..................--//.................//--............--//.................//-ТЕХНИЧЕСКИЕ МЕХАНИЗМЫ
..--//.................//--..................--//.................//--............--//.................//--_
...--//.................//--..................--//.................//--............--//.................//--
Таблица 2 (Окончание)
23. Нарушение установленных требований по защите персональных данных сотрудников_
ОРГАНИЗАЦИОННЫЕ МЕХАНИЗМЫ
23.1. Соответствие целей и объемов сборов информации ПДн сотрудников;
23.2. Отсутствие или недостатки в документации по ПДн сотрудников (по той документации, которая обязательно должна вестись);
23.3. Отсутствие или недостатки в документации по использованию ТС защиты ПДн сотрудников;
23.4. Результаты служебных проверок по фактам разглашения ПДн сотрудников._
ТЕХНИЧЕСКИЕ МЕХАНИЗМЫ
23.1. Фактическое отсутствие или недостатки в ИБ технических средств обработки ПДн сотрудни-_ков, нарушения политики ИБ._
Фактически проверку состояния организационных и технических защитных механизмов при проведении аудита организации можно проводить следующим образом: документальная проверка (по факту наличия); документальная проверка бумажных документов или анализ протоколов (логов) программного обеспечения; по опросам подчиненных; по результатам негласных проверок; по результатам протоколов работы программного обеспечения; по факту работоспособности и достаточности (для технических средств). Для каждого частного показателя выбирается своя методика (совокупность методик) [1-3].
Пусть Ыу - оценка степени выполнения требований для частного показателя, где г -номер группового показателя; ] - номер частного показателя (табл. 1).Частные показатели защищенности организационного канала входят в состав групповых показателей и представлены в виде вопросов, ответы на которые дают возможность определить оценки, которые затем формируют оценки групповых показателей. Оценка группового показателя К вычисляется из оценок входящих в него частных показателей:
K =
ZJ= К • v-) ZJ=d-
j
j
> f
• k
) \
EJ (M.. • vti) EJ d
¿—¡j=1 V j V > ^ A-ij=1 i
J
J
\
• k
(1)
где Уу - оценка важности частного показателя; ^ - оценка достоверности частного показателя; к - корректирующий коэффициент.
Не все частные показатели оценки (в зависимости от специфики организации, в которой проходит аудит) подлежат оценке. Если частный показатель предназначен для оценки требований, которые не относятся к деятельности организации или на момент оценки не являются актуальными для организации, что зафиксировано документами организации, то данный частный показатель определяется как неоцениваемый и не учитывается в формировании дальнейших результатов оценки. Если в рамках группового показателя все входящие в него частные показатели определены как неоцениваемые, указанный групповой показатель также определяется как неоцениваемый и не учитывается в формировании дальнейших результатов оценки. В этом случае групповой показатель не учитывается в формулах расчета. Корректирующий коэффициент зависит от количества частных показателей, оценки которых равны нулю (полностью не выполняются). (Например, количество показателей от 0 до 5 - к = 1; от 0 до 20 - к = 0,85 ; более 20 - к = 0,7 ). Возможны и другие оценки параметра к, устанавливаемые с помощью экспертных оценок. Оценка важности частного показателя Уу и оценка достоверности частного показателя ^ устанавливаются с помощью экспертных оценок в рамках значений от 0 до 1.
Для частных показателей можно, например, установить следующую шкалу степени их выполнения:
- «нет» - оценке присваивается значение, равное нулю;
- «частично» - оценке присваиваются значения 0,25, 0,5 или 0,75;
- «да» - оценке присваивается значение, равное единице.
При проведении оценки частных показателей, для которых оценивается как степень их установления в организации, так и степень выполнения, можно использовать следующий общий подход: оценка «0» - если требования частного показателя не установлены во внут-
ренних документах проверяемой организации; оценка «0,25» - если требования установлены во внутренних документах проверяемой организации, но не выполняются; оценка «0,5» - если требования установлены во внутренних документах проверяемой организации, но выполняются в неполном объеме; оценка «0,5» - если требования установлены во внутренних документах проверяемой организации и выполняются почти в полном объеме; оценка «1» - если требования частного показателя установлены во внутренних документах проверяемой организации и выполняются в полном объеме.
Полученные свидетельства оценки соответствия защищенности организационного канала утечки информации и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств оценки соответствия защищенности организационного канала.
Если оценка ^ лежит в интервале от 0 до 0,25, то данному направлению оценки присваивается нулевой уровень соответствия требованиям нормативно-правовых документов по недопущению утечки информации по организационному каналу. Соответственно, от 0,25 до 0,5 - 1-й уровень; от 0,5 до 0,7 - 2-й уровень; от 0,7 до 0,85 - 3-й уровень; от 0,85 до 0,95 - 4-й уровень и от 0,95 до 9 - 5-й уровень соответствия требованиям нормативно-правовых документов по недопущению утечки информации по организационному каналу. Для общей оценки защищенности организационного канала можно ввести интегральный показатель R = шт^,K2,...,K23}, при этом используются только оцениваемые групповые показатели.
Значения R, соответствующие четвертому и пятому уровню, являются рекомендуемыми. При R < 0,86 защищенность организационного канала следует считать неудовлетворительной.
Полная методика, разработанная на кафедре информатики и защиты информации Владимирского государственного университета, использует более 500 частных показателей по 23 групповым показателям (по табл. 2). Кроме того, по каждому частному показателю сформированы данные экспертных оценок vij важности и dij достоверности. При реализации методики шкалы оценивания могут быть сформированы более подробно, чем предложенные авторами.
Примечания:
1. Тельный А.В., Монахов М.Ю. Динамическая модель достаточности инженерно-технического укрепления элементов строительных конструкций территорий, зданий и помещений объектов для предотвращения несанкционированного доступа // Динамика сложных систем - XXI век. 2016. № 1. С. 41-48.
2. Тельный А.В., Монахов Ю.М., Монахов М.Ю. Оценка защищенности информационных ресурсов организации от несанкционированного доступа нарушителей в здания и помещения // Известия высших учебных заведений. Технология текстильной промышленности. 2016. № 5. С. 259-263.
3. Тельный А.В., Монахов М.Ю., Монахов Ю.М. Автоматизация оценки достаточности технических средств охраны и безопасности для защиты от несанкционированного доступа производственного объекта // Известия высших учебных заведений. Технология текстильной промышленности. 2016. № 5. С. 263-267.
References:
1. Telny A.V., Monakhov M.Yu. Dynamic model of the adequacy of engineering and technical strengthening of elements of building structures of territories, buildings and facilities premises of objects to prevent an unauthorized access // Dynamics of Complex Systems - 21st century. 2016. No. 1. P. 41-48.
2. Telny A.V., Monakhov Yu.M., Monakhov M.Yu. Evaluation of the security of information resources of the organization from unauthorized access of violators into buildings and premises // News of Higher Educational Institutions. Technology of the Textile Industry 2016. No. 5. P. 259-263.
3. Telny A.V., Monakhov M.Yu., Monakhov Yu.M. Automation of an estimation of sufficiency of technical means of protection and safety for protection against an unauthorized access of a production facility // News of Higher Educational Institutions. Technology of the Textile Industry. 2016. No. 5. P. 263-267.