Research and analysis of international and national approaches in building information security system in GRID
Analysis of technical and organizational requirements to resources of the Ukrainian National Grid has been done and urgent need to provide these resources with specific areas ofinformation security has been grounded. Based on careful analysis of international experience ininformation security in an...
Збережено в:
| Дата: | 2018 |
|---|---|
| Автори: | , , |
| Формат: | Стаття |
| Мова: | Ukrainian |
| Опубліковано: |
PROBLEMS IN PROGRAMMING
2018
|
| Теми: | |
| Онлайн доступ: | https://pp.isofts.kiev.ua/index.php/ojs1/article/view/44 |
| Теги: |
Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
|
| Назва журналу: | Problems in programming |
| Завантажити файл: |  |
Репозитарії
Problems in programming| id |
pp_isofts_kiev_ua-article-44 |
|---|---|
| record_format |
ojs |
| resource_txt_mv |
ppisoftskievua/db/4153227785ec28f779c052f124245edb.pdf |
| spelling |
pp_isofts_kiev_ua-article-442018-07-25T14:00:23Z Research and analysis of international and national approaches in building information security system in GRID Исследование и анализ международного и национального подходов построения системы защиты информации в ГРИД Дослідження та аналіз міжнародного та національного підходів побудови системи захисту інформації в ГРІД Borovska, O.M. Rodin, E.S. Sinitsyn, I.P. UDC 001.89 УДК 001.89 Грід Analysis of technical and organizational requirements to resources of the Ukrainian National Grid has been done and urgent need to provide these resources with specific areas ofinformation security has been grounded. Based on careful analysis of international experience ininformation security in an integrated grid-site and a national approach to the creation ofinformation security systems, some inconsistencies have been clarified and the only way to create a comprehensiveinformation security system in the National Grid infrastructure has been determined. Проанализированы технические и организационные требования к ресурсам Украинского национального грида и обоснованно насущную необходимость в поддержке этими ресурсами определенных направлений информационной безопасности. На основе тщательного анализа международного опыта внедрения интегрированной информационной безопасности в грид-сайте и национального подхода к созданию систем защиты информации, выяснены определенные противоречия и единственно возможный путь к созданию комплексной системы защиты информации в Национальной грид-инфраструктуре. Проаналізовано технічні та організаційні вимоги до ресурсів Українського національного гріду та обгрунтовано нагальну потребу у підтримці цими ресурсами певних напрямків інформаційної безпеки. На основі ретельного аналізу міжнародного досвіду впровадження інтегрованої інформаційної безпеки в грід-сайті та національного підходу до створення систем захисту інформації, з’ясовані певні протиріччя та єдиний можливий шлях до створення комплексної системи захисту інформації в Національній грід-інфраструктурі. PROBLEMS IN PROGRAMMING ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ ПРОБЛЕМИ ПРОГРАМУВАННЯ 2018-07-23 Article Article application/pdf https://pp.isofts.kiev.ua/index.php/ojs1/article/view/44 PROBLEMS IN PROGRAMMING; No 1 (2012) ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ; No 1 (2012) ПРОБЛЕМИ ПРОГРАМУВАННЯ; No 1 (2012) 1727-4907 uk https://pp.isofts.kiev.ua/index.php/ojs1/article/view/44/45 Copyright (c) 2015 ПРОБЛЕМИ ПРОГРАМУВАННЯ |
| institution |
Problems in programming |
| baseUrl_str |
https://pp.isofts.kiev.ua/index.php/ojs1/oai |
| datestamp_date |
2018-07-25T14:00:23Z |
| collection |
OJS |
| language |
Ukrainian |
| topic |
UDC 001.89 |
| spellingShingle |
UDC 001.89 Borovska, O.M. Rodin, E.S. Sinitsyn, I.P. Research and analysis of international and national approaches in building information security system in GRID |
| topic_facet |
UDC 001.89 УДК 001.89 Грід |
| format |
Article |
| author |
Borovska, O.M. Rodin, E.S. Sinitsyn, I.P. |
| author_facet |
Borovska, O.M. Rodin, E.S. Sinitsyn, I.P. |
| author_sort |
Borovska, O.M. |
| title |
Research and analysis of international and national approaches in building information security system in GRID |
| title_short |
Research and analysis of international and national approaches in building information security system in GRID |
| title_full |
Research and analysis of international and national approaches in building information security system in GRID |
| title_fullStr |
Research and analysis of international and national approaches in building information security system in GRID |
| title_full_unstemmed |
Research and analysis of international and national approaches in building information security system in GRID |
| title_sort |
research and analysis of international and national approaches in building information security system in grid |
| title_alt |
Исследование и анализ международного и национального подходов построения системы защиты информации в ГРИД Дослідження та аналіз міжнародного та національного підходів побудови системи захисту інформації в ГРІД |
| description |
Analysis of technical and organizational requirements to resources of the Ukrainian National Grid has been done and urgent need to provide these resources with specific areas ofinformation security has been grounded. Based on careful analysis of international experience ininformation security in an integrated grid-site and a national approach to the creation ofinformation security systems, some inconsistencies have been clarified and the only way to create a comprehensiveinformation security system in the National Grid infrastructure has been determined. |
| publisher |
PROBLEMS IN PROGRAMMING |
| publishDate |
2018 |
| url |
https://pp.isofts.kiev.ua/index.php/ojs1/article/view/44 |
| work_keys_str_mv |
AT borovskaom researchandanalysisofinternationalandnationalapproachesinbuildinginformationsecuritysystemingrid AT rodines researchandanalysisofinternationalandnationalapproachesinbuildinginformationsecuritysystemingrid AT sinitsynip researchandanalysisofinternationalandnationalapproachesinbuildinginformationsecuritysystemingrid AT borovskaom issledovanieianalizmeždunarodnogoinacionalʹnogopodhodovpostroeniâsistemyzaŝityinformaciivgrid AT rodines issledovanieianalizmeždunarodnogoinacionalʹnogopodhodovpostroeniâsistemyzaŝityinformaciivgrid AT sinitsynip issledovanieianalizmeždunarodnogoinacionalʹnogopodhodovpostroeniâsistemyzaŝityinformaciivgrid AT borovskaom doslídžennâtaanalízmížnarodnogotanacíonalʹnogopídhodívpobudovisistemizahistuínformacíívgríd AT rodines doslídžennâtaanalízmížnarodnogotanacíonalʹnogopídhodívpobudovisistemizahistuínformacíívgríd AT sinitsynip doslídžennâtaanalízmížnarodnogotanacíonalʹnogopídhodívpobudovisistemizahistuínformacíívgríd |
| first_indexed |
2025-07-17T09:56:15Z |
| last_indexed |
2025-07-17T09:56:15Z |
| _version_ |
1850411157870870528 |
| fulltext |
Програмні системи захисту інформації
99
УДК 001.89
О.М. Боровська, Є.С. Родін, І.П. Сініцин
ДОСЛІДЖЕННЯ ТА АНАЛІЗ МІЖНАРОДНОГО ТА
НАЦІОНАЛЬНОГО ПІДХОДІВ ПОБУДОВИ СИСТЕМИ
ЗАХИСТУ ІНФОРМАЦІЇ В ГРІД
Проаналізовано технічні та організаційні вимоги до ресурсів Українського національного гріду та об-
грунтовано нагальну потребу у підтримці цими ресурсами певних напрямків інформаційної безпеки.
На основі ретельного аналізу міжнародного досвіду впровадження інтегрованої інформаційної безпеки
в грід-сайті та національного підходу до створення систем захисту інформації, з’ясовані певні проти-
річчя та єдиний можливий шлях до створення комплексної системи захисту інформації в Національній
грід-інфраструктурі.
.
Вступ
Український національний грід
(УНГ) є спілкою потужних національних
наукових кластерів. Завдяки розгортанню
проміжного програмного забезпечення
(ППЗ), грід сервісів та наявності потужних
телекомунікаційних мереж, кластери пере-
творюються в грід-сайти та створюють
єдиний комплекс обчислювальних потуж-
ностей, а саме – УНГ. Наукові кластери, як
учасники УНГ, передають у спільне кори-
стування певну частку своїх ресурсів. До-
ступ до спільних ресурсів УНГ регламен-
тується та, за умови проходження сертифі-
кації, пропонується членам українських та
закордонних наукових організацій і проек-
тів.
На даний час ресурси УНГ викори-
стовуються десятками національних та
міжнародних проектів. Деякі національні
кластери отримали статуси грід-сайтів
міжнародного рівня та увійшли в європей-
ську грід спільноту. Величезний обсяг
інформації, що обробляється в УНГ, по-
требує відповідності грід-сайтів УНГ бага-
тьом технічним та організаційним вимо-
гам. Такі вимоги висуваються до:
– апаратних потужностей (для досяг-
нення необхідної швидкості обробки ін-
формації, для збереження великого обсягу
інформації);
– програмного забезпечення (для ко-
ректної роботи необхідних грід служб і
сервісів, що забезпечують взаємодію між
сховищами кластерів);
– телекомунікаційних мереж (для до-
сягнення потрібної швидкості передачі да-
них);
– кваліфікації технічного персоналу;
– регламентних процедур викорис-
тання ресурсів УНГ.
Одним з головних аспектів, що вно-
сить свої корективи в технічні та організа-
ційні вимоги, є захист інформації. Участь у
міжнародних проектах вимагає, з одного
боку, відповідності УНГ міжнародним ви-
могам інформаційної безпеки, а, з іншого
боку, УНГ має відповідати національним
вимогам з безпеки інформації, що базу-
ються на нормативних документах.
Дана робота покликана поєднати
національний та міжнародний досвід у
єдину стратегію побудови системи захисту
інформації. Використання такої стратегії
дозволить УНГ наблизитись до виконання
міжнародних та національних вимог до
безпеки інформації у гріді.
Характеристика УНГ
УНГ є неоднорідною багатоскладо-
вою інтегрованою інформаційно-телеко-
мунікаційною системою (ІТС). Виходячи з
функціонального розподілення, виділяють
такі організаційні структурні одиниці
УНГ:
– базовий координаційний грід-
центр національного рівня – виконує коор-
динаційну роботу УНГ на національному
рівні, розробляє технічні вимоги функціо-
нування УНГ у цілому та взаємодії його
Програмні системи захисту інформації
100
елементів на національному та міжнарод-
ному рівнях, формує та випробовує типові
інсталяційні пакети системного, проміж-
ного та прикладного програмного забезпе-
чення для грід-сайтів; забезпечує технічну
підтримку функціонування елементів
структури УНГ; розробляє та проводить
освітні програми для персоналу УНГ; на-
дає власні обчислювальні ресурси зареєст-
рованим віртуальним організаціям; здійс-
нює центральний моніторинг роботи УНГ;
– регіональні координаційні грід-
центри – виконують функції базового ко-
ординаційного грід-центру на регіональ-
ному рівні;
– ресурсні центри національного рів-
ня - надають власні обчислювальні ресур-
си зареєстрованим віртуальним організаці-
ям; забезпечують сумісність програмного
забезпечення грід; забезпечують технічну
підтримку користувачів грід; забезпечують
інформаційну підтримку користувачів грід
і широкого загалу;
– центр сертифікації з регіональними
філіями – надає послуги з видачі, підтрим-
ки та верифікації сертифікатів користува-
чів УНГ; надає послуги видачі, підтримки
та верифікації сертифікатів вузлів грід-
сайта та сервісів грід-сайта в УНГ; забез-
печує надійну безвідмовну роботу інфор-
маційної системи; забезпечує дотримання
вимог інформаційної безпеки; забезпечує
збереження від сторонніх осіб приватної
інформації, що надана користувачем під
час реєстрації; надає центру сертифікації
віртуальних організацій інформацію щодо
анульованих та тимчасово припинених
сертифікатів користувачів для підтримки
актуальності бази користувачів віртуальної
організації. Virtual Organization Membe-
rship Service (VOMS); створює філії центру
сертифікації користувачів національної
грід-інфраструктури в регіональних та ін-
ших центрах;
– центр сертифікації грід-сайтів – за-
безпечує перевірку відповідності інфра-
структури грід-сайта технічним вимогам
УНГ, надає послуги видачі, підтримки та
верифікації сертифікатів грід-сайтам;
– центр реєстрації віртуальних орга-
нізацій – публікує в Інтернеті список заре-
єстрованих віртуальних організацій УНГ з
посиланнями на їх Інтернет-сторінки та
правила вступу до них; надає віртуальним
організаціям послуги з ведення та підтри-
мки бази користувачів віртуальної органі-
зації (VOMS); забезпечує надійну безвід-
мовну роботу інформаційної системи; за-
безпечує дотримання вимог інформаційної
безпеки;
– центр моніторингу грід-інфрастру-
ктури і реєстрації грід-сайтів – відповідає
за моніторинг стану елементів УНГ з ме-
тою виявлення фактів порушення правил
використання ресурсів, загроз безпеки
УНГ, аналізу завантаженості елементів
УНГ, проводить реєстрацію грід-сайтів,
перевірку їх дієвості, вносить відповідні
записи до інформаційної системи після ус-
пішного тестування грід-сайта;
– центр віртуальних організацій – ре-
єструє віртуальну організацію у центрі ре-
єстрації віртуальних організацій УНГ, ви-
значає адміністратора віртуальної органі-
зації; організовує реєстрацію користувачів
віртуальної організації з числа зареєстро-
ваних користувачів УНГ у центрі реєстра-
ції віртуальних організацій; забезпечує до-
тримання правил користування грід і ви-
мог інформаційної безпеки користувачами
віртуальної організації; забезпечує суміс-
ність програмного забезпечення грід у ра-
мках віртуальної організації;
– вузли українського національного
грід (грід-сайти) – потужні кластери з ор-
ганізаційною структурою персоналу, що
отримали сертифікат грід-сайта та надають
власні обчислювальні ресурси користува-
чам віртуальних організацій.
Базовий, регіональні та ресурсні
центри національного рівня разом з
центром сертифікації, центром реєстрації
віртуальних організацій та центром моні-
торингу грід-інфраструктури і реєстрації
грід-сайтів є постійними елементами УНГ.
Центри віртуальних організацій і
решта вузлів УНГ можуть бути як постій-
ними, так і тимчасовими складовими УНГ.
Програмні системи захисту інформації
101
Регіональні координаційні центри
розміщуються в установах, що розташова-
ні в обласних центрах, мають досить по-
тужний обчислювальний кластер та досвід
застосування грід-технологій.
Ресурсні центри національного рів-
ня розгорнуті в Національному технічному
університеті України «Київський політех-
нічний інститут» та в Інституті кібернети-
ки ім. В.М. Глушкова НАН України.
Функції моніторінгу можуть пере-
даватися за домовленістю та за певним
розкладом грід-сайтам або іншім струк-
турним одиницям, які мають вільний ре-
сурс. [1].
Всі вищезазначені одиниці органі-
заційної структури УНГ, крім центрів вір-
туальних організацій та центру сертифіка-
ції, у своїй основі мають кластер та, перш
за все, представляють собою грід-сайт. Та-
ким чином, грід-сайти є головними скла-
довими технічної структури УНГ.
Отже, технічна структура УНГ – це
сукупність грід-сайтів, пов’язаних мере-
жею передачі даних. Саме інформаційна
безпека кожного грід-сайта за умови без-
пеки мережі в сукупності забезпечать за-
хист інформації в УНГ у цілому. Тому в
даній роботі пропонується розглянути під-
ходи захисту інформації у грід-сайті.
Характеристика грід-сайта УНГ
Грід-сайт – певна сукупність об’єд-
наних ресурсів, що надається організацією
(власником грід-сайта) для колективного
використання. Ресурси грід-сайта включа-
ють обчислювальні ресурси, програмне
забезпечення, ресурси збереження даних і
мережеву інфраструктуру [1].
Технічну основу грід-сайта складає
один або декілька кластерів. В УНГ біль-
шість кластерів, на яких базуються всі
грід-сайти, побудовані на основі концепції
Beowulf , що базується на таких основних
положеннях:
1) як сервери для виконання обчис-
лень використовуються сервери зі станда-
ртною архітектурою PC, розподіленою
оперативною пам'яттю та зі стандартним
мережевим обладнанням;
2) для об'єднання серверів як мере-
жеве обладнання використовуються мере-
жеві технології Gigabit Ethernet та
InfiniBand;
3) як програмне забезпечення (опе-
раційна система й система керування за-
вданнями) використовується вільно розпо-
всюджуване програмне забезпечення
(Linux, Torque) [2].
Інсталяція проміжного програмного
забезпечення дозволяє кластеру пропону-
вати сервіси грід та перетворює кластер на
учасника УНГ.
Кластер у ролі грід-сайта склада-
ється з таких базових елементів та сервісів:
– обчислювальний елемент Compu-
ting Element (CE), що є точкою входу за-
вдань на грід-сайт;
– робочі вузли Working Nodes (WN) –
певна кількість серверів (вузлів кластера),
що використовуються грід-сайтом для об-
числення завдань користувачів;
– елемент збереження даних Storage
Element (SE), що є точкою доступу до від-
критої для колективного використання в
грід частині системи збереження даних;
– інтерфейс користувача User
Interface (UI) [3].
Програмне забезпечення грід-сайта
складається з:
– програмного забезпечення кластера
(вищезгадуваного в складі кластера);
– проміжного програмного забезпе-
чення (gLite або ARC – Advanced Resource
Conector), що забезпечує роботу сервісів
гріда [4];
– прикладного програмного забезпе-
чення віртуальних організацій.
Структура персоналу грід-сайта ви-
глядає наступним чином (у залежності від
розмірів грід-сайта, функції тих чи інших
спеціалістів об’єднуються):
1) апарат управління:
– менеджер грід-сайта;
– технічний директор;
– головний адміністратор;
2) операційні адміністратори (або
групи адміністраторів):
– безпеки;
– програмного забезпечення
Програмні системи захисту інформації
проміжного шару; вальні потужності, сховища даних, мере-
жа);– програмне забезпечення (операційна
система, система керування завданнями,
прикладне програмне забезпечення);
– операційної системи та загаль-
ного програмного забезпечення;
– технічного забезпечення;
– WEB інтерфейсу. – проміжне програмне забезпечення,
що перетворює кластер на грід-сайт; Основні функції персоналу грід-
сайта: – персонал.
– реєстрація грід-сайта у центрі сер-
тифікації грід-сайтів;
Кожна з зазначених складових грід-
сайта підтримує певні напрямки інформа-
ційної безпеки (рис.1). – підтримка сумісності програмного
забезпечення грід-сайта, а саме: На рівні кластера побудова СЗІ
складається з: – встановлення системного програм-
ного забезпечення, що запропоноване ба-
зовим чи регіональним координаційним
центром;
– планування архітектури мережі,
виділення демілітаризованих зон, побудо-
ви фізичних та віртуальних мереж для ро-
зподілення трафіка за функціональними та
конфіденційними ознаками;
– встановлення прикладного програ-
много забезпечення, що необхідне в роботі
користувачам віртуальних організацій; – налаштування міжмережевих екра-
нів відповідно до правил відкритості по-
ртів протоколів передачі даних;
– забезпечення надійної та безвідмо-
вної роботи обчислювальних кластерів та
сховища даних; – встановлення режимів доступу до
обчислювальних ресурсів грід-сайта кори-
стувачів різних рівнів;
– забезпечення та дотримання умов
інформаційної безпеки.
Отже, з огляду на вищезазначене,
грід-сайт складається з кластера, до якого
входить:
– вибору технічного та програмного
забезпечення із захисту: вибір мережевого
обладнання, програмного забезпечення
моніторингу та виявлення атак [5]. – технічне забезпечення (обчислю-
Рис. 1. Розподіл складових елементів грід-сайта за напрямками організації інформаційної
безпеки
102
Програмні системи захисту інформації
На рівні проміжного програмного
забезпечення персонал кластера має корек-
тно ввести в дію конфігураційні налашту-
вання з безпеки, модулі, що відповідають
за автентифікацію користувачів, моніто-
ринг.
У свою чергу, персонал віртуальної органі-
зації повинен в тісній кооперації з адмініс-
траторами грід-сайта визначити ролі для
своїх членів таким чином, щоб права до-
ступу кожній ролі члена віртуальної орга-
нізації можна було співвіднести визначені
права доступу на рівні кластера.
На рівні персоналу необхідно:
– визначити вимоги до кваліфікації
персоналу;
– розробити правила та процедури
поведінки користувачів всіх рівнів;
– проводити навчання персоналу та
користувачів.
З точки зору характеру заходів СЗІ
грід-сайта їх можна поділити на такі рівні:
1) технічний захист;
2) організаційний захист.
Технічний захист передбачає роз-
робку вимог, планування та виконання за-
ходів на рівні технічного, програмного,
мережевого забезпечення.
Організаційний захист включає
планування та проведення заходів навчан-
ня персоналу, розробку процедур та пра-
вил роботи персоналу і користувачів.
Вищезазначені напрямки інформа-
ційної безпеки на сьогоднішній день пев-
ною мірою втілюються в життя в грід-
сайтах УНГ. Розглянемо далі саме міжна-
родний та національний підходи до плану-
вання та втілення СЗІ.
Міжнародний досвід побудови си-
стеми захисту інформації у грід-
сайті
Під час існування проекту Enabling
Grids for E-sciencE (EGEE) Європейською
Комісією заснований проект Інтегрованої
системи безпеки грід-сайта Integrated Site
Security for Grids (ISSeG). Головна мета
проекту, який тривав 26 місяців, це систе-
матизація досвіду з безпеки грід-сайтів та
представлення його у формі методологій,
рекомендацій, інструментів, тренінгів. Ре-
зультати роботи проекту були викладені на
окремому WEB-сайті http://isseg-
training.web.cern.ch.
Група спеціалістів, яка сьогодні за-
ймається інформаційною безпекою у прое-
кті EGI, будує свою роботу на досвіді про-
екту ISSeG. Згідно концепції ISSeG, захист
грід-сайтів є запорукою захисту всієї грід-
інфраструктури (рис. 2).
Рис. 2. Концепція ISSeG захисту грід-інфраструктури
http://isseg-training.web.cern.ch/
http://isseg-training.web.cern.ch/
Програмні системи захисту інформації
В основі інтегрованої системи без-
пеки грід-сайта (рис. 3) покладені [9]
принципи побудови стратегії інформацій-
ної безпеки як безперервного процесу дій у
наступних напрямках:
– технічний;
– адміністративний;
– освітній.
Безумовно, ці напрямки перетина-
ються та створюють інтегровану систему
захисту. Будь-який захід технічного на-
прямку має супроводжуватися відповідни-
ми заходами адміністративного та освіт-
нього напрямків. Так, наприклад, перетин
адміністративного та технічного аспекту
полягає у тому, що робота адміністратора
має включати ретельний аналіз технічних
та програмних заходів щодо автентифікації
користувачів. Адміністратор має знати та
правильно використовувати існуючі біблі-
отеки проміжного програмного забезпе-
чення.
Про зміни в налаштуваннях адміні-
стратор має попередити користувачів та, за
потребою, провести пояснювальні заняття.
Отже, маємо перетин технічного, адмініст-
ративного та освітнього напрямків.
Технічний напрямок інтегрованої
системи безпеки має регулювати такі про-
цеси:
– контроль доступу до технічних за-
собів (ТЗ); централізоване керування кон-
фігурацією (patch management);
– керування антивірусним захистом;
– керування розповсюдженням про-
грамного забезпечення ПЗ;
– керування конфігурацією;
– керування мережевими комунікаці-
ями;
– керування мережевими екранами;
– встановлення систем моніторингумере-
жевих атак (intrusion detecting system);
– керування системою автентифіка-
цій, авторизації;
– керування резервним копіюван-
ням. Адміністративний напрямок інтегро-
ваної системи безпеки регулює процеси:
– оцінки роботи існуючої або ство-
рення нової СЗІ, а саме: визначення загроз,
оцінка ризику за загрозами;
– оцінки роботи (або створення но-
вої) команди реагування на інциденти, ро-
зробка плану дій роботи команди;
– розробки політики безпеки; під-
тримки циклічного процесу безпеки: захи-
стити-розпізнати-відреагувати;
– інвентаризації програмного та тех-
нічного забезпечення;
– регулювання політики використан-
ня головних операційних процедур.
Рис. 3. Інтегрована система безпеки грід-сайта
Програмні системи захисту інформації
Освітні аспекти інтегрованої систе-
ми безпеки повинні регулювати процеси
розробки та проведення тренінгів безпеки
для користувачів, адміністраторів та роз-
робників.
Як вже зазначалося, робота в пере-
лічених напрямках побудови інтегрованої
системи безпеки грід-сайта полягає у цик-
лічному виконані послідовних процесів:
ідентифікація, аналіз, імплементація, моні-
торинг (рис. 4). Перший етап – «Ідентифі-
кація ресурсів». Передбачає визначення,
класифікацію ресурсів, які підлягають за-
хисту за ступенем важливості. Результатом
цього етапу є структурований перелік ре-
сурсів.
Другий етап – «Аналіз загроз та ри-
зиків». Визначає ступінь захищеності грід-
сайта, визначає загрози та рівень ризику
загроз. Результатом етапу є визначений
список загроз, поділений за ступенем ри-
зику.
Виконання першого і другого етапу
супроводжується використанням інстру-
менту запитальника. Методологія полягає
у вже запропонованому переліку загроз,
притаманних грід-сайтам. Кожна загроза
описується певною кількістю запитань.
Відповіді на ці запитання мають чисельне
значення, певний коефіцієнт.
Сума показників відповідей на за-
питання, що описують певну загрозу, є по-
казник ризику за даною загрозою. ISSeG
пропонує діапазон показників для надання
рекомендацій чи варто звертати увагу на
дану загрозу, чи реагувати негайно. Третій
етап – «Імплементація заходів, спланова-
них за результатами аналізу, проведеному
на етапі 2». Передбачає створення плану
заходів мінімізації ступеня ризику, оцінку
цих заходів, вибір найефективніших захо-
дів та введення їх у дію. Виконання тре-
тього етапу супроводжується використан-
ням переліку з 62 рекомендацій. Кожна з
цих рекомендацій посилається на одне або
декілька запитань з запитальника, кожна
рекомендація відповідає на запитання: «що
треба зробити?», «чому саме такий захід?»,
«як саме втілити захід (перелік конкретних
дій)?», «на які загрози впливає втілення
рекомендації"?». Рекомендація має свою
категорію з трьох: технічна, адміністрати-
вна, освітня.
Також рекомендації щодо конкрет-
них дій розділені за групами відповідно
наступним ролям учасників у роботі грід-
сайта: користувач, системний адміністра-
тор,розробник, менеджер. Кожна з реко-
мендацій має посилання на інші залежні
від неї рекомендації.
Рис. 4. Циклічність впровадження інтегрованої системи безпеки грід-сайта
Програмні системи захисту інформації
106
Четвертий етап – «Моніторинг та
перегляд виконання планових заходів з за-
хисту». Передбачає ведення статистики
подій, оцінку ефективності прийнятих за-
ходів та внесення відповідних змін у план
заходів захисту. Головною рекомендацію
втілення в дію цього етапу є налагодження
системи реагування на інциденти, ретель-
ний запис та опис інцидентів, розгортання
системи запису активності користувачів,
періодичний перегляд вже втілених у дію
заходів з безпеки, та оцінка їх ефективнос-
ті за допомогою запитальника.
Слід зазначити, що досвід проекту
ISSeG базується на становленні та розвит-
ку існуючих грід-сайтів, тому перелік за-
питань запитальника відповідає саме спе-
цифіці грід-інфраструктури. Кожна загро-
за, яка розкривається запитальником, наді-
лена списком конкретних рекомендацій
щодо її усунення. Загальна ж методологія
послідовності та циклічності дій по забез-
печенню інформаційної безпеки схожі з
загально прийнятими стандартами безпеки
ІТС.
Національний підхід до створення
системи захисту інформації у грід-
сайті
Чому саме захист інформації в УНГ
має враховувати державну нормативну ба-
зу?
Серед інших видів інформації, що
циркулюватиме в УНГ, присутня інформа-
ція, яка є власністю держави, та інформа-
ція, вимога щодо захисту якої встановлена
законом, і яка підлягає захисту згідно нор-
мативно-законодавчих документів [6].
Побудова системи захисту інфор-
мації, що є власністю держави, регулюєть-
ся такими основними нормативними доку-
ментами, що в свою чергу мають посилан-
ня на інші необхідні нормативи:
1. Закон України «Про захист інфо-
рмації в інформаційно-телекомунікаційних
системах».
2. Закон України «Про захист пер-
сональних даних».
3. Постанова Кабінету Міністрів
України від 29 березня 2006 р. № 373 «Про
затвердження Правил забезпечення захис-
ту інформації в інформаційних, телекому-
нікаційних та інформаційно-телекомуні-
каційних системах».
4. Указ Президента України «Про
Положення про технічний захист інформа-
ції в Україні».
5. Порядок проведення робіт із
створення комплексної системи захисту
інформації в інформаційно-телекомуні-
каційній системі НД ТЗІ 3.7-003-05.
6. Критерії оцінки захищеності ін-
формації в комп’ютерних системах від не-
санкціонованого доступу НД ТЗІ 2.5-00.4-
99.
Згідно нормативних документів,
побудова СЗІ передбачає комплексний пі-
дхід, тому й система захисту інформації
називається комплексною – КСЗІ. Такий
підхід базується на принципі захисту пе-
риметрів всіх рівнів функціонування грід-
сайта, включаючи різні середовища функ-
ціонування. Побудова КСЗІ має охоплюва-
ти весь комплекс можливих чинників без-
пеки інформації: зовнішнє середовище,
будівлі, персонал, технічне та програмне
забезпечення, комплекс всіх можливих за-
гроз на всіх рівнях, моделі порушників,
оцінка ризиків за всіма загрозами, відпові-
дні заходи з безпеки, фінансові складові
захисту [7].
Життєвий цикл створення та супро-
водження КСЗІ має більш лінійний харак-
тер подій. Важливим етапом створення
КСЗІ є отримання позитивного результату
державної експертизи створеної КСЗІ –
Атестату відповідності. Слід зазначити, що
етапи створення КСЗІ чітко визначені у
доступній формі і передбачають сувору
послідовність та ретельну документова-
ність.
Для того, щоб модернізувати КСЗІ,
в багатьох випадках необхідно пройти
аналогічні етапи, що й при створенні нової
системи захисту. Нажаль, у такий спосіб
даний підхід зменшує мотивацію до по-
Програмні системи захисту інформації
107
кращення існуючої КСЗІ. Також нормати-
вні документи передбачають деякі відмін-
ності та відповідні рекомендації при ство-
ренні КСЗІ в існуючій інформаційно-
телекомунікаційній системі (ІТС), та в та-
кій, що тільки планується до розробки.
Переглянемо основні етапи ство-
рення КСЗІ.
1. Формування загальних вимог до
КСЗІ в ІТС за допомогою обстеження се-
редовищ функціонування ІТС спрямовано
на доведенні (чи спростуванні) необхідно-
сті створення КСЗІ.
Результатами даного етапу мають
стати:
– документи із загального обсте-
ження системи;
– визначення наявності у складі ІТС
інформації, що підлягає автоматизованій
обробці, таких її видів, що потребують об-
меження доступу до неї, або забезпечення
цілісності чи доступності відповідно до
вимог нормативно-правових актів;
– документи аналізу ризиків (ви-
вчення моделі загроз і моделі порушника,
можливих наслідків від реалізації потен-
ційних загроз, величини можливих збитків,
перелік суттєвих загроз);
– оцінка можливих переваг (фінан-
сово-економічних, соціальних тощо) екс-
плуатації ІТС у разі створення КСЗІ.
2. Розробка політики безпеки інфо-
рмації в ІТС.
Цей етап передбачає більш детальне
вивчення об’єкта, на якому створюється
КСЗІ, уточнюються моделі загроз, потен-
ційного порушника та результати аналізу
можливості керування ризиками. Також
готуються альтернативні варіанти ство-
рення КСЗІ і планів їх реалізації з вибором
основних рішень з протидії всім суттєвим
загрозам, здійснюється оцінка переваг і
недоліків кожного варіанта, вибір най-
більш оптимального варіанта. Такий варі-
ант оформлюється як документ з політики
безпеки, що за своїм змістом є планом за-
хисту.
3. Розробка технічного завдання
(ТЗ) на створення КСЗІ.
Цей етап передбачає створення до-
кументу (ТЗ), який чітко формалізує вимо-
ги до КСЗІ, порядок створення КСЗІ, по-
рядок проведення всіх видів випробувань
КСЗІ та введення її в експлуатацію у скла-
ді ІТС.
4. Розробка проекту КСЗІ.
На даному етапі на базі ТЗ, політи-
ки безпеки, опису ІТС формуються та опи-
суються конкретні технічні, програмні, ор-
ганізаційні рішення (та організаційно-
технічні заходи реалізації цих рішень),
впровадження яких задовольняє вимогам
інформаційної безпеки, визначених в ТЗ.
Результатом даного етапу є техноробочий
проект створення КСЗІ.
5. Введення КСЗІ в дію та оцінка
захищеності інформації в ІТС.
Цей етап передбачає, по-перше, ни-
зку підготовчих заходів до введення КСЗІ
в експлуатацію, а саме, за необхідністю,
будівельно-монтажні роботи, комплекту-
вання та встановлення технічних та про-
грамних засобів, навчання персоналу. Ва-
жливим кроком є випробування всіх ком-
понентів КСЗІ, їх дослідна експлуатація,
оцінка захищеності ІТС та проведення дер-
жавної експертизи.
6. Етап супроводження КСЗІ перед-
бачає роботи з організаційного забезпе-
чення функціонування КСЗІ та керування
засобами захисту інформації відповідно до
плану (політики) захисту та експлуатацій-
ної документації на компоненти КСЗІ [5].
Чіткий план дій створення КСЗІ із
зазначеними необхідними результатами
кожного етапу є суттєвою допомогою при
створенні КСЗІ, проте, з практичної точки
зору, нормативні документи не покликані
й не дають інструментарію виконання за-
вдань розробки КСЗІ, наприклад, таких як
методологія оцінки варіантів системи за-
хисту та визначення найкращого, методо-
логія визначення списку найвагоміших за-
гроз, методологія оцінки ефективності ке-
рування ризиками інформаційної безпеки.
Крім того, нормативні документи, що ре-
гулюють створення КСЗІ, не мають серед
своїх визначень та термінів таких, що ха-
Програмні системи захисту інформації
108
рактеризують саме грід-сайт та визначають
його особливості при побудові КСЗІ. Для
відпрацювання зазначених питань необ-
хідно використання проаналізованого ви-
ще міжнародного досвіду побудови систе-
ми захисту інформації у грід-сайті.
Висновки
Загальний висновок за двома підхо-
дами можна визначити так: основні етапи
побудови СЗІ схожі в обох випадках, про-
те, якщо міжнародна методологія носить
рекомендаційний характер, то національні
вимоги – обов’язкові до виконання.
Міжнародний досвід дає більш
практичні поради та інструменти при по-
будові СЗІ саме в грід-сайті, натомість, се-
ред вітчизняних нормативів ще не існує
таких рекомендацій, оскільки технологія
грід є новою для нашої держави.
Також обидва підходи передбачають:
– комплексний (інтегрований) підхід
до побудови СЗІ;
– однакову послідовність головних
етапів створення СЗІ: обстеження середо-
вищ, визначення ресурсів, визначення за-
гроз і відповідно ризиків, оцінка варіантів
захисту, планування, введення в дію, під-
тримка та моніторинг;
– необхідність створення документа-
ції (обстеження, політики безпеки, плану
дій, моделі загроз, настанов, інструкцій,
журналів реєстрації подій);
– захист апаратних та програмних ре-
сурсів крім інформаційних ресурсів.
Здійснювати обробку інформації,
якою володіє держава, згідно національ-
ним вимогам, можна тільки при отриманні
Атестату відповідності, виданого за ре-
зультатами державної експертизи, яка
здійснює оцінку відповідності КСЗІ вимо-
гам нормативних документів із захисту ін-
формації; у випадку міжнародних рекоме-
ндацій аналіз якості захисту виконується
власником грід-сайта.
Щодо модернізації СЗІ, то міжнаро-
дний досвід наполягає на постійному цик-
лічному перегляді засобів захисту, в той
час як при проведенні модернізації згідно
українського законодавства, необхідно
знову проводити державну експертизу, що
демотивує власників ресурсів покращувати
старі та вводити нові засоби захисту.
Єдиним шляхом розв’язання зазна-
ченого протиріччя, на наш погляд, є ство-
рення такої СЗІ українського грід-сайта,
яка б враховувала рекомендації міжнарод-
ного досвіду та, з іншого боку, не йшла в
розріз з державними нормативними доку-
ментами.
Саме такий підхід має бути викори-
стано при створенні комплексної системи
захисту інформації в Національній грід-
інфраструктурі [7].
1. Свістунов С.Я. Пропозиції щодо Положень
про структурні складові УНГ та регламен-
тацію їх взаємодії і про загальні грід-
сервіси: матеріали конференції УНГ-2010.
Інститут теоретичної фізики ім. М.М. Бо-
голюбова НАН України, 1 – 2 листопада
2010 р.
2. Бойко Ю.В., Зинов'єв М.Г., Свістунов С.Я.,
Судаков О.О. Український академічний
грід: досвід створення і перші результати
експлуатації // Математичні машини і
системи. – 2008. – № 1. – C. 67 – 84.
3. GLITE 3.1 User guide. EGEE-II
Collaboration, 2006. http://www.eu-egee.org.
4. The NorduGrid/ ARC User Guide. “The
NorduGrid Collaboration,”
http://www.nordugrid.org.
5. The NorduGrid/ ARC Information System.
Technical Description and Reference Manual.
NorduGrid project. http://www.nordugrid.org.
6. Постанова Кабінету Міністрів України від
29 березня 2006 р. № 373 “Про затвер-
дження Правил забезпечення захисту ін-
формації в інформаційних, телекомуніка-
ційних та інформаційно-телекомуніка-
ційних системах”. Документ 373-2006-п,
редакцiя вiд 01.01.2007 на пiдставi 1700-
2006-п. http://zakon.rada.gov.ua/cgi-
bin/laws/main.cgi?nreg=373-2006-%EF.
7. Підходи до створення комплексної системи
захисту інформації в Національній грід-
інфраструктурі / Боровська О.М.,
Родін Є.С., Свістунов С.Я., Сініцин І.П.,
Шилін В.П. – (Препринт / Інститут теоре-
тичної фізики НАН України ім. Боголюбо-
ва М.М.; Київ, 2010-12). http:
http://www.eu-egee.org/
http://www.nordugrid.org/
http://www.nordugrid.org/
http://www.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=373-2006-%EF
http://zakon.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=373-2006-%EF&c=1#Current
http://zakon.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=373-2006-%EF
http://zakon.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=373-2006-%EF
http://grid.nas.gov.ua/index.php?option=com_content&view=frontpage&Itemid=72
Програмні системи захисту інформації
109
//grid.nas.gov.ua/index.php?option=com_cont
ent&view=frontpage&Itemid=72
8. Порядок проведення робіт із створення
комплексної системи захисту інформації в
інформаційно-телекомунікаційній системі
НД ТЗІ 3.7-003-05. Державна служба спе-
ціального зв'язку та захисту інформації
України. http://dstszi.kmu.gov.ua.
9. Integrated Site Security for Grids. ISSeG
Collaboration 2008. http: // isseg-
training.web.cern.ch/ISSeG-training/.
Отримано 10.09.2011
Про авторів:
Боровська Олена Миколаївна,
головний програміст,
Родін Євген Сергійович,
аспірант,
Сініцин Ігор Петрович,
доктор технічних наук.
Місце роботи авторів:
Інститут програмних систем
НАН України,
03187, Київ-187,
проспект Академіка Глушкова, 40.
Тел.: (044) 526 1444
e-mail: e.borovskaya@ekotex.ua
http://grid.nas.gov.ua/index.php?option=com_content&view=frontpage&Itemid=72
http://grid.nas.gov.ua/index.php?option=com_content&view=frontpage&Itemid=72
http://dstszi.kmu.gov.ua/
http://www.isseg.eu/
http://www.isseg.eu/
http://isseg-training.web.cern.ch/ISSeG-training/
http://isseg-training.web.cern.ch/ISSeG-training/
mailto:e.borovskaya@ekotex.ua
|