СОДЕРЖАНИЕ ПРОГРАММЫ И МЕТОДИК ПРОВЕДЕНИЯ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ ИНФОРМАЦИОННЫХ СИСТЕМ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Макеев С. А.*
Аннотация. Статья посвящена вопросам оценки соответствия информационных систем требованиям по безопасности информации. Приведен краткий обзор законодательной и нормативно-правовой базы аттестации объектов информатизации по требованиям безопасности информации. Проведен анализ особенностей разработки программы и методик проведения аттестационных испытаний информационных систем на соответствие требованиям безопасности информации. Предложен подход к формированию методик испытаний, учитывающий требования современного законодательства в области защиты информации.
Ключевые слова: оценка эффективности, система защиты информации, контроль защищенности, меры защиты информации, угрозы.
Процедура оценки эффективности принятых организационно-технических мер защиты информации в информационных системах занимает особое место в жизненном цикле их создания. На практике наиболее распространенной формой такой оценки информационных систем является аттестация на соответствие требованиям безопасности информации, являющейся составной частью Системы сертификации средств защиты информации по требованиям безопасности информации Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) [1].
В настоящее время получило определенное развитие законодательство в области сертификации средств защиты информации, в том числе применяемых для защиты информации, циркулирующей в информационных системах различных типов, которое привело к утверждению специальных нормативных правовых актов и методических документов ФСТЭК России. Характер внесенных изменений позволяет утверждать о необходимости как совершенствования текущего нормативного и методического обеспечения в области проведения аттестационных испытаний, так и формирования новых механизмов, основанных на риск-ориентированном подходе [2].
Цель настоящей статьи заключается в определении содержания типовой программы и методик проведения аттестационных испытаний информационных систем на соответствие требованиям безопасности информации, применение которых позволит качественно повысить эффективность проведения оценки соответствия информационных систем.
Выделим положения национального стандарта Российской Федерации ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения», определяющие следующие стадии создания системы защиты информации (далее -СЗИ) информационной системы (подпункт 6.1):
• формирование требований к СЗИ информационной системы;
• разработка (проектирование) СЗИ информационной системы;
• внедрение СЗИ информационной системы;
• аттестация информационной системы на соответствие требованиям безопасности информации и ввод ее в действие;
• сопровождение СЗИ в ходе эксплуатации информационной системы.
Подпункт 1.4 руководящего документа «Поло-
* Макеев Сергей Александрович, руководитель группы Департамента аттестации ЗАО «НПО «Эшелон», Российская Федерация, г. Москва.
E-mail: [email protected]
жение по аттестации объектов информатизации по требованиям безопасности информации» (Гостехкомиссия России, 1994 г.) определяет аттестацию объектов информатизации как «комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России».
Целью аттестации объекта информатизации является подтверждение соответствия его системы защиты информации в реальных условиях эксплуатации требованиям безопасности информации, установленным федеральными законами Российской Федерации, нормативными правовыми актами Президента Российской Федерации, Правительства Российской Федерации, а также уполномоченных федеральных органов исполнительной власти (ФСТЭК России, ФСБ России и др.).
В общем случае в процессе аттестационных испытаний производится комплексная проверка объекта испытаний в реальных условиях эксплуатации, в процессе которой подтверждается его соответствие требованиям по защите информации:
• от несанкционированного доступа к ней, в том числе от деструктивного воздействия вредоносных программ;
• от утечки за счет побочных электромагнитных излучений и наводок, в том числе при специальных воздействиях на объект испытаний;
• от утечки или воздействия с помощью специальных устройств, возможно внедренных в объект информатизации.
Проанализировав требования нормативных документов ФСТЭК России по защите информации, находящейся в информационных системах различных типов, отметим следующие положения в части требования по обязательному проведению аттестационных испытаний:
• приказ ФСТЭК России от 31 августа 2010 г. № 489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования» - требование по обязательной аттестации информационных систем общего пользования отсутствует;
• приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных
информационных системах» - установлена обязательность аттестации государственной информационной системы до ввода ее в действие (подпункт 17.5);
• приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» - установлена обязательность проведения оператором оценки эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных, однако форма такой оценки явно не указана (пункт 6).
• Как правило, процедура проведения аттестации включает в себя следующие этапы:
• подача и рассмотрение заявки на аттестацию;
• предварительное ознакомление с аттестуемым объектом;
• испытание несертифицированных средств защиты информации, используемых на аттестуемом объекте (при необходимости);
• разработка программы и методик аттестационных испытаний;
• заключение договоров на проведение аттестации;
• проведение аттестационных испытаний объекта информатизации;
• оформление, регистрация и выдача «Аттестата соответствия»;
• осуществление контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
• рассмотрение апелляций.
Особо выделим этап разработки и согласования программы и методик проведения аттестационных испытаний (далее - ПМИ). ПМИ разрабатывается организацией-лицензиатом ФСТЭК России, оказывающей услуги по аттестации, и до начала проведения работ подлежит согласованию с организацией-заявителем данных работ. При необходимости отдельные положения ПМИ могут корректироваться по согласованию со всеми участниками работ.
Общие требования к структуре и содержанию ПМИ устанавливает национальный стандарт Российской Федерации ограниченного распространения ГОСТ РО 0043-004-2013. Структура типовой ПМИ раскладывается на две взаимосвязанные составляющие:
• программа испытаний, представляющая собой план действий по проведению аттестации («дорожная карта», roadmap), полное выполнение которых позволяет сделать вывод о соответствии проверяемого объекта заявленным требованиям.
• методики испытаний, детально описывающие порядок выполнения каждого пункта Программы испытаний с указанием критериев оценки выполнения требований и итогового результата проверок.
Кроме того, отдельным разделом определяются общие положения об аттестуемом объекте, раскрывающие информацию о наименовании объекта, его расположении, классификации, составе аттестационной комиссии, целях, задачах, сроках проведения аттестации, методах контроля, в том числе сведений о применяемых средствах контроля защищенности информации.
Применительно к аттестации информационных систем программа испытаний может состоять из следующих мероприятий:
• проверка структуры, состава и условий эксплуатации информационной системы;
• проверка состояния организации работ и выполнения требований по защите информации;
• проверка выполнения требований для обеспечения установленного уровня защищенности персональных данных при их обработке в информационной системе (для информационных систем, содержащих персональные данные);
• проверка выполнения требований к составу мер защите информации при ее обработке в информационной системе в соответствии с выбранным классом защищенности и/или уровнем защищенности обрабатываемых персональных данных.
В случае если в модели угроз безопасности информации, обрабатываемой в информационной системе, угрозы, связанные с утечкой информации по техническим каналам, определены как актуальные, также проводится проверка выполнения требований по защите информации от данного класса угроз.
Стоит заметить, что грамотное составление ПМИ позволяет решить некоторые проблемные вопросы, возникающие при проведении аттестации информационных систем, а именно [3-5]:
• процедура проведения дополнительной проверки эффективности СЗИ информационной системы в случае изменения условий
ее эксплуатации [6];
• процедура аттестации информационных систем, построенных на технологии виртуализации и использующих технологии «облачных вычислений» [7-8];
• организация периодического контроля соответствия СЗИ информационной системы требованиям безопасности информации [9];
• процедура распространения действия аттестата соответствия на типовые сегменты информационной системы [4].
Для распределенных информационных систем с множеством сегментов требуется установить критерии соответствия каждого сегмента требованиям, например, путем проведения выборочного контроля сегментов информационной системы [10].
Отметим, что наибольшую сложность представляет собой разработка методик аттестационных испытаний информационных систем. Необходимо отметить, что национальный стандарт Российской Федерации ограниченного распространения ГОСТ РО 0043-004-2013 не учитывает особенности проверки информационных систем на выполнение требований приказа ФСТЭК России от 11 февраля 2013 г. № 17 и приказа ФСТЭК России от 18 февраля 2013 г. № 21 в части требований к внедренному набору мер защиты информации.
Возросший объем проверок по сравнению с традиционными автоматизированным системам, в которых требования по защите информации установлены в руководящем документе ФСТЭК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (например, только базовый набор мер защиты информации для государственной информационной системы третьего класса защищенности К3 уже включает в себя 46 мер), а также вариант возможного внедрения компенсирующих мер защиты в составе СЗИ информационной системы со сложной структурой, делает решение задачи по определению соответствия выполнения той или иной меры нетривиальным.
В таком случае чрезвычайно важно определить формальные критерии и показатели выполнения каждой меры, а также алгоритм действий проверяющего [11-13]. В качестве источника формирования критериев оценки следует использовать методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах». Например, такими крите-
риями могут быть как полнота и достаточность выполнения конкретной меры защиты информации, полученные экспертно-документальным методом, так и корректность реализации меры защиты в составе СЗИ информационной системы, проверенная инструментальным методом с помощью сертифицированных средств анализа защищенности (группа мер АНЗ) [14].
Эксперт из состава аттестационной комиссии, руководствуясь установленными в ПМИ критериями, принимает решение о соответствии выполнения мера защиты информации из набора мер ([соответствует; частично соответствует; не соответствует]) установленным требованиям и подводит общий результат выполнения ([успешно; неуспешно]).
Для составления протокола аттестационных испытаний результаты комплексных испытаний вносятся в опросный лист соответствующей формы (табл. 1), который в дальнейшем может подлежать автоматизированной обработке с помощью специализированного программного обеспечения.
В случае применения в информационной системе сертифицированных средств защиты информации целесообразно создать справочную базу данных, в которой будет приведена информация о реализованных в средствах защиты информации мерах защиты информации. Тем самым данная база данных позволит облегчить выбор средств защиты информации для реализации набора мер защиты информации, адаптированного под конкретную информационную систему [12, 13].
Таблица 1
Предлагаемая форма представления результатов испытаний
№ п/п Наименование меры защиты информации Требования реализации меры Реализация меры в проверяемой системе Результат проверки
4.1 ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации Определение должностного лица (администратора) оператора, ответственного за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации [15] Реализовано с помощью мероприятий организационного характера: в наличии имеются утвержденные приказы и инструкции Соответствует требованиям
Установление характеристик пароля: длина пароля не менее шести символов, алфавит пароля не менее 30 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток Реализовано с помощью средства защиты информации от несанкционированного доступа ... Настройки произведены корректно. Попытки установить некорректный пароль не дали положительного результата. Превышение количества неуспешных попыток привело к блокировке учетной записи Соответствует требованиям
Итоговая оценка Успешно
В перспективе положения ПМИ должны быть направлены на определение не только критериев проверки способности СЗИ противостоять угрозам безопасности информации на момент проведения аттестации [16, 17], в том числе связанных с наличием уязвимостей [18], но и на определение критериев оценки возможностей СЗИ по поддержанию выбранного уровня защищенности информационной системы в ходе ее эксплуатации [13, 19].
Таким образом, содержание ПМИ напрямую влияет на качество проводимой процедуры аттестации. Предложенный подход к формированию методик испытаний информационных систем позволит повысить эффективность аттестации как механизма оценки, которая в конечном итоге приведет к повышению информационной безопасности информационных систем.
Литература
1. Марков А., Цирлов В. Сертификация программ: мифы и реальность // Открытые системы. СУБД. 2011. № 6. С. 26-29.
2. Марков А.С. Оценка соответствия средств защиты информации требованиям по безопасности информации: смена парадигмы. В сборнике: Информационные технологии и системы. Труды Четвертой Международной научной конференции. Ответственные редакторы: Ю.С. Попков, А.В. Мельников. 2015. С. 134-136.
3. Кузнецов А.В., Иржавский А.А., Захарченко А.Н. Методика оценки степени защищенности информации в автоматизированных информационных системах // Наукоемкие технологии. 2011. Т. 12. № 8. С. 43-47.
4. Макеев С.А. Проблемные вопросы аттестации информационных систем на соответствие требованиям безопасности информации // Защита информации. Инсайд. 2015. № 4 (64). С. 14-18.
5. Миронов А.С. Аспекты и проблемы при подготовке и проведении аттестации объекта информатизации предприятия на соответствие требованиям информационной безопасности // Безопасность регионов - основа устойчивого развития. 2012. Т. 1-2. С. 104-106.
6. Веряев А.С., Фадин А.А. Формализация требований безопасности информации к средствам анализа защищенности // Вопросы кибербезопасности. 2015. № 4 (12). С. 23-27.
7. Зубарев И.В., Радин П.К. Основные угрозы безопасности информации в виртуальных средах и облачных платформах // Вопросы кибербезопасности. 2014. № 2 (3). С. 40-45.
8. Юдичев Р.М., Горюнов М.Н. Оценка и ранжирование функциональных возможностей средств защиты среды виртуализации //Автоматизация и управление в технических системах. 2015. № 1 (13). С. 92-100.
9. Барабанов А.В., Марков А.С., Цирлов В.Л., Корсун-ский А.С. Инспекционный контроль за стабильно-
стью характеристик сертифицированных средств защиты информации // Автоматизация процессов управления. 2012. № 1. С. 10-14.
10. Язов Ю.К., Машин О.А., Платонов Б.Ф. К вопросу об оценке эффективности выборочного контроля защищенности информации в информационных системах от несанкционированного доступа // Вопросы кибербезопасности. 2015. № 3 (11). С. 15-22.
11. Барабанов В., Марков А.С., Цирлов В.Л. Методический аппарат оценки соответствия автоматизированных систем требованиям безопасности информации // Спецтехника и связь. 2011. № 3. С. 48-52.
12. Казарин О.В., Кондаков С.Е., Троицкий И.И. Подходы к количественной оценке защищенности ресурсов автоматизированных систем // Вопросы кибербезопасности. 2015. № 2 (10). С. 31-35.
13. Чобанян В.А., Шахалов И.Ю. Анализ и синтез требований к системам безопасности объектов критической информационной инфраструктуры // Вопросы кибербезопасности. 2013. № 1 (1). С. 17-27.
14. Барабанов А. Инструментальные средства проведения испытаний систем по требованиям безопасности информации // Защита информации. Инсайд. 2011. № 1 (37). С. 49-51.
15. Федичев А.В., Артамошин С.А. Систематизация видов отношений и ответственности при получении доступа к информации // Вопросы кибербезопас-ности. 2014. № 2 (3). С. 51-59.
16. Хорев А.А. Угрозы безопасности информации // Специальная техника. 2010. № 1. С. 50-63.
17. Шеремет И.А. Угрозы техносфере России и противодействие им в современных условиях // Вестник академии военных наук. 2014. № 1 (46). С. 27-34.
18. Марков А.С., Фадин А.А. Систематика уязвимостей и дефектов безопасности программных ресурсов//За-щита информации. Инсайд. 2013. № 3 (51). С. 56-61.
19. Нестеровский И.П., Язов Ю.К. Возможный подход к оценке ущерба от реализации угроз безопасности информации, обрабатываемой в государственных информационных системах // Вопросы кибербезопасности. 2015. № 2 (10). С. 20-25.