ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ
УДК 004.056 ББК 32.97
ЕВ. БУРЬКОВА
ЗАДАЧА ОЦЕНКИ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
Ключевые слова: оценка защищенности, информационная система персональных данных, критерии оценки, классификационный и формальный подходы. Предложены результаты аналитического обзора современных подходов, методов и моделей оценки защищенности информационных систем. Рассмотрены основные этапы реализации процесса оценки защищенности, предложена структурная схема этапов оценки. Рассмотрены виды структурных моделей системы защиты информационных систем. Проанализированы современные программные комплексы оценки рисков информационной безопасности, выявлены их достоинства и недостатки.
Современные условия глобализации, увеличение количества электронных ресурсов, информационных баз, информационно-коммуникационных систем, в которых содержится конфиденциальная информация о гражданах, актуализируют задачу обеспечения защиты персональных данных. В соответствии с Федеральным законом № 152-ФЗ «О персональных данных» все организации обязаны обеспечить безопасность обрабатываемых персональных данных, причем реализовать меры защиты, соответствующие категории защищаемой информации и классу информационных систем персональных данных (ИСПДн). Важной задачей является корректная оценка уровня защищенности ИСПДн в условиях постоянно меняющегося состава угроз и вероятности их реализации. Необходимость такой оценки возникает при анализе защищенности информационных систем с целью выработки стратегических решений при построении оптимальной системы защиты. Своевременно выявленные уязвимости комплекса средств защиты ИСПДн помогут предотвратить риски нарушения конфиденциальности, целостности и доступности защищаемых персональных данных.
Оценка уровня защищенности информационной системы является одним из важных этапов разработки, а также модернизации комплексной защиты объекта информатизации. Задача оценки защищенности ИСПДн может быть рассмотрена как частный случай задачи оценки защищенности информационных систем. Отличие заключается лишь в том, что состав и содержание мероприятий по защите ИСПДн в Российской Федерации регламентируются законодательством, а также руководящими документами Федеральной службы по техническому и экспортному контролю РФ (ФСТЭК) и Федеральной службы безопасности (ФСБ)1.
1 О персональных данных: Фед. закон от 27 июля 2006 г. № 152-ФЗ. Доступ из справ.-прав. системы «КонсультантПлюс»; Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных: руководящий документ (утв. ФСТЭК России 15.02.2008 г.). Доступ из справ.-прав. системы «КонсультантПлюс».
При осуществлении оценки уровня защищенности ИСПДн возникают проблемы, связанные со следующими факторами:
- многообразие существующих нормативно-правовых документов, регламентирующих порядок обработки данных, состав и содержание организационно-технических мероприятий по защите информационных ресурсов для информации различного уровня конфиденциальности;
- отсутствие в нормативно-правовых документах количественных критериев оценки защищенности информационных систем персональных данных;
- сложность, многокомпонентность структуры оцениваемой информационной системы персональных данных;
- условия неопределенности и недостаточные знания об угрозах и вероятности их реализации для заданной информационной системы;
- постоянно меняющаяся статистика инцидентов информационной безопасности, в том числе киберугроз, возникающих в результате подключения к сети Интернет.
Реализация оценки защищенности информационной системы персональных данных представляет собой совокупность этапов, показанных на рисунке.
Выбор критериев оценки защищенности
Обследование ИСПДн:
- формирование
- определение уровня защищенности ИСПДн
- построение частной модели угроз
- формирование перечня актуальных угроз
- построение модели нарушителя
Формирование перечня организационных и технических
мероприятии защиты ИСПДн в соответствии с нормативно-правовой
для оцениваемой ИСПДн V_У
Схема этапов оценки защищенности ИСПДн
Цель оценки может быть различной и определяется заказчиком оценки защищенности, это может быть нахождение соответствия уровня защищенности ИСПДн установленным критериям в регламентирующих документах, необходимость совершенствования системы защиты и т.д.
На начальном этапе процесса оценки определяют вид оценки: независимая или самооценка. Независимая оценка должна быть проведена специальной группой, члены которой независимы от объекта оценки (лицензиаты). Заказчик оценки принимает участие в экспертной части процесса оценки,
обеспечивает взаимодействие. Это позволяет учесть специфику оцениваемой информационной системы, обеспечить достоверность результатов оценки. Самооценка выполняется организацией самостоятельно с целью снижения рисков безопасности либо при модернизации системы защиты ИСПДн.
Критерии оценки позволяют установить конкретные значения, характеризующие защищенность информационной системы. В качестве критериев оценки защищенности могут использоваться требования руководящих документов к безопасности информационных систем. Существуют как международные, так и отечественные стандарты, содержащие требования к безопасности информационных ресурсов. Международный стандарт ISO 15408 «Общие критерии оценки безопасности информационных технологий» содержит критерии оценки средств защиты программно-технического уровня. Общие критерии определяют функциональные требования безопасности и требования к адекватности реализации функций безопасности. Международный стандарт ИСО/МЭК 27001, который был подготовлен для того, чтобы предоставить модель для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения Системы менеджмента защиты информации [2].
В России используется руководящий документ Гостехкомисии России «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации», ГОСТ Р ИСО/МЭК 15408-1-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», а также национальный стандарт РФ ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».
Для реализации оценки защищенности информационных систем используются следующие методы: метод экспертных оценок, метод категорирова-ния, формальный метод, риск-ориентированный метод [1], оценка по экономическим показателям, лингвистический подход на основе теории нечетких множеств [4] и др.
Среди множества подходов существуют два основных подхода к оценке защищенности информационных систем: первый - классификационный [6], основанный на анализе соответствия классов сертифицированных средств защиты, применяемых на объекте, требованиям руководящих документов к данному классу информационной системы. Такой подход подразумевает проведение исследования исходной защищенности ИСПДн и проводится в процессе аттестации объекта информационной безопасности. Данный подход не дает количественного результата оценки защищенности, а только заключение о соответствии или несоответствии.
Второй подход - формальный [7], основанный на построении математических (формализованных) моделей объекта защиты и исследовании защищенности в соответствии с выбранными критериями и показателями для построенных моделей. Используемые критерии являются качественными, но не количественными. Для получения количественной оценки защищенности информационных систем используются вероятностные методы. Затруднительность статистического анализа данных при оценке защищенности вызвана необходимостью анализа большого количества признаков качественной природы, таких
как частота реализации угроз, отсутствие прогноза времени действия угроз, модель нарушителя, модель объекта, величина возможного ущерба и т. п.
Назначение математической модели заключается в создании представления объекта в виде совокупности взаимосвязанных функциональных модулей, для которых проводятся анализ уязвимостей, оценка состояния средств защиты, расчет вероятности реализации угроз безопасности для каждого модуля и для системы в целом [3].
Для проведения оценки защищенности информационных систем наибольшее распространение получили следующие общие модели:
- общая математическая модель системы защиты информационных систем отражает процесс защиты как процесс взаимодействия источников угроз и средств защиты, препятствующих действию этих угроз;
- обобщенная модель системы защиты информационной системы отображает основные процессы, осуществляемые в ней с целью оптимизации защиты и рассматриваемые как процессы распределения и использования ресурсов ее защиты;
- модель общей оценки угроз связана с оценкой возможного ущерба от реализации угроз безопасности, для нее характерен критерий экономической эффективности средств защиты;
- модель анализа разграничения доступа к информационным ресурсам характерна для решения задач анализа и синтеза механизмов разграничения доступа к различным видам информационных ресурсов информационной системы.
В рамках формального подхода наибольшее распространение получила структурная модель системы защиты информационных систем [7]. Данная модель основана на декомпозиции информационной системы на такие уровни, как уровень операционной системы, уровень системы управления базой данных, сетевой уровень, уровень прикладного программного обеспечения и т.д. При оценке защищенности информационной системы анализируется защищенность каждого уровня, анализируется стойкость средств защиты по отношению к актуальным угрозам безопасности, строятся вектор защищенности и матрица распределения вероятностей по обозначенным уровням информационной системы.
В исследованиях рассматривается построение системы структурных моделей основных компонентов системы защиты информационных технологий:
- структурная модель угрозы, в которой квалификация угрозы учитывает оценку активации угрозы, оценку успеха, оценку возможного ущерба; при этом сама угроза учитывает спецификацию актива, спецификацию агента (нарушителя) и спецификацию нападения;
- структурная модель контекста безопасности учитывает активы, уязвимости, риски, контрмеры;
- интегральная структурная модель контекста угрозы, которая включает характеристики таких составляющих модели безопасности, как модель угроз, модель нарушителя, активы, ущербы.
Данные модели учитывают контексты угроз, мотивацию и возможности нарушителей, условия реализации угроз, применяемые средства защиты и т.д. Результатом моделирования являются оценка возможности активизации угрозы (превращение угрозы в атаку), оценка успеха атаки, оценка ущерба. Одной из
ключевых задач является формирование набора функций безопасности объекта оценки, который определяет степень защищенности по каждому из показателей.
Сложность и большой объем работ по оценке защищенности информационных систем, выполняемых в настоящее время как за рубежом, так и в России, с неизбежностью приводят к необходимости применения программных комплексов поддержки деятельности по подготовке и проведению оценок. Для реализации математического моделирования системы защиты информационных систем с целью оценки их защищенности разработаны специализированные программные продукты, как зарубежные, так и отечественные. Рассмотрев некоторые из этих программных комплексов, можно сделать вывод о большом многообразии показателей оценки защищенности. Это означает, что есть возможность для каждой информационной системы подобрать программу, отвечающую требованиям к целям и результатам оценки.
Среди отечественных разработок известны программные комплексы АванГард, Кондор+, ГРИФ, РискМенеджер (Институт системного анализа РАН) (Россия) [5], среди зарубежных - Proteus, vsRisk, CRAMM, COBRA (Великобритания), MethodWare (Австралия), Callio Secura 17799 (Канада), Risk Watch (США). Сравнительный анализ некоторых из перечисленных программных комплексов оценки приведен в таблице.
Сравнительный анализ программных комплексов оценки
Параметр сравнения АванГард РискМенеджер Proteus vsRisk MethodWare
Поддерживаемые стандарты ГОСТ Р ИСО/МЭК 154082002 ИСО/ МЭК 27001, ISO/IES 17799 ГОСТ Р ИСО/МЭК 15408-2002 ИСО/МЭК 27001, ISO/IES 17799 ИСО/ МЭК 27001 ИСО/МЭК 27001, BS ISO/IES 17799 AS/NZS 4360:1999 ISO 17799
Построение модели угроз + + + - +
Построение структурной модели объекта + + + - -
Анализ, оценка и управление рисками + + + + +
Регулярно обновляемая база данных угроз и уязвимостей + + + + +
Построение модели защиты + + - - +
Расчет ущерба - + - + +
Выбор наиболее эффективных комплексов защиты + + + + +
Контроль соответствия требованиям стандарта + + + + +
Набор шаблонов опросников + + + + +
Расчет рископонижающих мер защиты + + + + -
Средства создания отчетов + + + + +
Разработка плана восстановления и действий в чрезвычайных ситуациях +
Данные программные комплексы являются мощными автоматизированными средствами оценки и управления рисками информационной безопасности, обладают многофункциональными возможностями построения моделей защиты, выбора эффективных комплексных мер защиты, сочетают количественные и качественные методы оценки безопасности информационных систем и значительно сокращают результирующее время анализа рисков.
Однако в основе каждого из этих программных продуктов лежит своя методика оценки, все они являются достаточно сложными, имеют высокую функциональность, требуют адаптации к конкретной оцениваемой информационной системе, имеют высокую стоимость, каждый из них имеет достоинства и недостатки. Задача разработки новых методик и новых автоматизированных программных комплексов оценки защищенности информационных систем остается актуальной и привлекательной для разработчиков, с одной стороны, и для заказчиков - с другой.
Литература
1. Астахов А.М. Искусство управления информационными рисками. М.: ДМК Пресс, 2010. 312 с.
2. Искусство управления информационной безопасностью [Электронный ресурс]. URL: http: // www.iso27000.ru/informacionnye-rubriki/upravlenie-riskami/programmnye-produkty-dlya-analiza-riskov.
3. Курило А.П., Финько В.Н., Зарубин В.С., Фомин А.Я. Моделирование как системообразующий фактор при оценке защищенности информационных процессов в компьютерных системах // Безопасность информационных технологий. 2010. № 2. С. 19-21.
4. Нестеров С.А. Анализ и управление рисками в информационных системах на базе операционных систем Microsoft. СПб.: Санкт-Петербургский политехн. ун-т, 2009. 136 с.
5. Программный комплекс Риск менеджер [Электронный ресурс]. URL: http://www.srisks.ru.
6. Ступина А.А., Золотарев А.В. Сравнительный анализ методов решения задачи оценки защищенности автоматизированных систем // Вестник Сибирского аэрокосмического университета. 2012. № 4. С. 56-60.
7. Суханов А.В. Формальные модели защищенности информационных технологий на основе общих критериев: автор. дис. ... канд. техн. наук. СПб., 2006. 24 с.
БУРЬКОВА ЕЛЕНА ВЛАДИМИРОВНА - кандидат педагогических наук, доцент кафедры вычислительной техники и защиты информации, Оренбургский государственный университет, Россия, Оренбург (evb99@yandex.ru).
E. BURKOVA THE TASK OF ASSESSING THE SECURITY OF INFORMATION SYSTEMS OF PERSONAL DATA
Key words: security assessment, information system staff, data evaluation criteria, classification and formal approaches.
In the article the results of an analytical review of modern approaches, methods and models of assessing the security of information systems. Describes the main stages of the implementation process of security evaluation of the proposed block diagram of the evaluation stages. Describes the types of structural models of the system of protection of information systems. Analyzes the modern program complexes of information security risk assessment, identified their advantages and disadvantages.
References
1. Astakhov A.M. Iskusstvo upravleniya informatsionnymi riskami [The art of information risk management]. Moscow, DMK Press, 2010, 312 p.
2. Iskusstvo upravleniya informatsionnoi bezopasnost'yu [The art of information security management]. Available at: http://www.iso27000.ru/informacionnye-rubriki/upravlenie-riskami/prog-rammnye-produkty-dlya-ana-liza-riskov.
3. Kurilo A.P., Fin'ko V.N., Zarubin V.S., Fomin A.Ya. Modelirovanie kak sistemoob-razuyushchii faktor pri otsenke zashchishchennosti informatsionnykh protsessov v komp'yuternykh sistemakh [Modeling as a backbone factor in assessing the security of information processes in computer systems. Security of information technologies]. Bezopasnost' informatsionnykh tekhnologii [Security of information technologies], 2010, no. 2, pp. 19-21.
4. Nesterov S.A. Analiz i upravlenie riskami v informatsionnykh sistemakh na baze operatsion-nykh sistem Microsoft [Analysis and management of risks in information systems based on Microsoft operating systems]. St. Petersburg, 2009, 136 p.
5. Programmnyi kompleks Risk menedzher [Software complex Risk Manager]. URL: http://www.srisks.ruyu.
6. Stupina A.A., Zolotarev A.V. Sravnitel'nyi analiz metodov resheniya zadachi otsenki zashchishchennosti avtomatizirovannykh sistem [Comparative analysis of methods of solving the task of assessing the security of automated systems]. Vestnik Sibirskogo state aerokosmic university [Bulletin of Siberian state aerospace University], 2012, no. 4, pp. 56-60.
7. Sukhanov A.V. Formal'nye modeli zashchishchennosti informatsionnykh tekhnologii na os-nove obshchikh kriteriev: avtor. dis. kand. tekhn. nauk [Formal models of security of information technologies on the basis of common criteria.. Abstract of PhD thesis]. St. Petersburg, 2006, 24 p.
BURKOVA ELENA - Candidate of Pedagogical Sciences, Assistant Professor of Department of Computer Science and Information Security, Orenburg State University, Russia, Orenburg.
Ссылка на статью: Бурькова Е.В. Задача оценки защищенности информационных систем персональных данных // Вестник Чувашского университета. - 2016. - № 1. - С. 112-118.