The problems of massive construction of the integrated information security system (IISS) and a ways of their solution
The article discussesthe phenomenon ofIISS, goals, objectives and principles of its construction. An analysisof somemethodsof testingandauditingIISS, as well asproblemsthatarise here. Proposes to usesoftwaretoolsto supportautomatedtestingandauditingIISSasoneofthe methodsofovercoming them.Prombles in...
Збережено в:
| Дата: | 2025 |
|---|---|
| Автор: | |
| Формат: | Стаття |
| Мова: | Russian |
| Опубліковано: |
PROBLEMS IN PROGRAMMING
2025
|
| Теми: | |
| Онлайн доступ: | https://pp.isofts.kiev.ua/index.php/ojs1/article/view/818 |
| Теги: |
Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
|
| Назва журналу: | Problems in programming |
| Завантажити файл: |  |
Репозитарії
Problems in programming| id |
pp_isofts_kiev_ua-article-818 |
|---|---|
| record_format |
ojs |
| resource_txt_mv |
ppisoftskievua/4b/8ce4c7d84e5a400d1c85b012fab1a74b.pdf |
| spelling |
pp_isofts_kiev_ua-article-8182025-08-29T20:06:30Z The problems of massive construction of the integrated information security system (IISS) and a ways of their solution Проблемы массового построения комплексной системы защиты информации (КСЗИ) и пути их решения Проблеми масової побудови КСЗІ та шляхи їх вирішення Koltyk, M.A. UDC 004.056:061.68 УДК 004.056:061.68 УДК 004.056:061.68 The article discussesthe phenomenon ofIISS, goals, objectives and principles of its construction. An analysisof somemethodsof testingandauditingIISS, as well asproblemsthatarise here. Proposes to usesoftwaretoolsto supportautomatedtestingandauditingIISSasoneofthe methodsofovercoming them.Prombles in programming 2011; 3: 69-78 Рассматривается феномен КСЗИ, цели, задачи и принципы его построения. Проводится анализ некоторых способов проведения испытаний и аудита КСЗИ, а также проблем, которые при этом возникают. Предлагается использование программных средств автоматизированной поддержки проведения испытаний и аудита КСЗИ как один из методов их преодоления.Prombles in programming 2011; 3: 69-78 Розглядається феномен КСЗІ, цілі, задачі та принципи його побудови. Проводиться аналіз деяких способів проведення випробувань та аудиту КСЗІ, а також проблем які при цьому виникають. Пропонується використання програмних засобів автоматизованої підтримки проведення випробувань та аудиту КСЗІ, як один із методів їх подолання.Prombles in programming 2011; 3: 69-78 PROBLEMS IN PROGRAMMING ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ ПРОБЛЕМИ ПРОГРАМУВАННЯ 2025-08-29 Article Article application/pdf https://pp.isofts.kiev.ua/index.php/ojs1/article/view/818 PROBLEMS IN PROGRAMMING; No 3 (2011); 69-78 ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ; No 3 (2011); 69-78 ПРОБЛЕМИ ПРОГРАМУВАННЯ; No 3 (2011); 69-78 1727-4907 ru https://pp.isofts.kiev.ua/index.php/ojs1/article/view/818/870 Copyright (c) 2025 PROBLEMS IN PROGRAMMING |
| institution |
Problems in programming |
| baseUrl_str |
https://pp.isofts.kiev.ua/index.php/ojs1/oai |
| datestamp_date |
2025-08-29T20:06:30Z |
| collection |
OJS |
| language |
Russian |
| topic |
UDC 004.056:061.68 |
| spellingShingle |
UDC 004.056:061.68 Koltyk, M.A. The problems of massive construction of the integrated information security system (IISS) and a ways of their solution |
| topic_facet |
UDC 004.056:061.68 УДК 004.056:061.68 УДК 004.056:061.68 |
| format |
Article |
| author |
Koltyk, M.A. |
| author_facet |
Koltyk, M.A. |
| author_sort |
Koltyk, M.A. |
| title |
The problems of massive construction of the integrated information security system (IISS) and a ways of their solution |
| title_short |
The problems of massive construction of the integrated information security system (IISS) and a ways of their solution |
| title_full |
The problems of massive construction of the integrated information security system (IISS) and a ways of their solution |
| title_fullStr |
The problems of massive construction of the integrated information security system (IISS) and a ways of their solution |
| title_full_unstemmed |
The problems of massive construction of the integrated information security system (IISS) and a ways of their solution |
| title_sort |
problems of massive construction of the integrated information security system (iiss) and a ways of their solution |
| title_alt |
Проблемы массового построения комплексной системы защиты информации (КСЗИ) и пути их решения Проблеми масової побудови КСЗІ та шляхи їх вирішення |
| description |
The article discussesthe phenomenon ofIISS, goals, objectives and principles of its construction. An analysisof somemethodsof testingandauditingIISS, as well asproblemsthatarise here. Proposes to usesoftwaretoolsto supportautomatedtestingandauditingIISSasoneofthe methodsofovercoming them.Prombles in programming 2011; 3: 69-78 |
| publisher |
PROBLEMS IN PROGRAMMING |
| publishDate |
2025 |
| url |
https://pp.isofts.kiev.ua/index.php/ojs1/article/view/818 |
| work_keys_str_mv |
AT koltykma theproblemsofmassiveconstructionoftheintegratedinformationsecuritysystemiissandawaysoftheirsolution AT koltykma problemymassovogopostroeniâkompleksnojsistemyzaŝityinformaciiksziiputiihrešeniâ AT koltykma problemimasovoípobudovikszítašlâhiíhviríšennâ AT koltykma problemsofmassiveconstructionoftheintegratedinformationsecuritysystemiissandawaysoftheirsolution |
| first_indexed |
2025-09-17T09:24:06Z |
| last_indexed |
2025-09-17T09:24:06Z |
| _version_ |
1850409904722935808 |
| fulltext |
Програмні системи захисту інформації
© М.А. Колтик, 2011
ISSN 1727-4907. Проблеми програмування. 2011. № 3 69
УДК 004.056:061.68
М.А. Колтик
ПРОБЛЕМЫ МАССОВОГО ПОСТРОЕНИЯ
КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
(КСЗИ) И ПУТИ ИХ РЕШЕНИЯ
Рассматривается феномен КСЗИ, цели, задачи и принципы его построения. Проводится анализ некото-
рых способов проведения испытаний и аудита КСЗИ, а также проблем, которые при этом возникают.
Предлагается использование программных средств автоматизированной поддержки проведения испы-
таний и аудита КСЗИ как один из методов их преодоления.
Введение
Принятие решений во всех сферах
жизнедеятельности предприятия или орга-
низации все в большей степени базируется
на информационных процессах. Анализ
этих процессов с последующей выработ-
кой управляющих решений осуществляет-
ся на основе информационных моделей,
построенных на современных информаци-
онно-телекоммуникационных технологи-
ях. Поэтому защита информации пред-
ставляет собой самостоятельную состав-
ляющую безопасности предприятия в це-
лом, значение которой с каждым годом
растет.
Информационный ресурс становит-
ся одним из главных источников экономи-
ческой эффективности предприятия. Фак-
тически наблюдается тенденция, когда все
сферы жизнедеятельности предприятия
становятся зависимыми вот информацион-
ного развития, в процессе которого они
сами порождают информацию и сами же
ее потребляют.
Степень автоматизации фирмы
определяет зачастую ее конкурентоспо-
собность и при этом является источником
многочисленных угроз безопасности.
На современном этапе развития ос-
новными угрозами безопасности предпри-
ятия являются угрозы в сфере информаци-
онного обеспечения. Последствиями ус-
пешного проведения информационных
атак могут быть компрометация или иска-
жение конфиденциальной информации,
навязывание ложной информации, нару-
шение установленного регламента сбора,
обработки и передачи информации, отказы
и сбои в работе технических систем, вы-
званные преднамеренными и непреднаме-
ренными действиями, как со стороны кон-
курентов, так и со стороны преступных
сообществ, организаций и групп.
В сознании многих людей защита
информации это, прежде всего, защита
информации в компьютерных системах от
несанкционированного доступа, осуществ-
ляемая техническими средствами защиты.
Конечно, эта точка зрения неверна точно
так же, как неверна и точка зрения другой
полярности: все определяется организаци-
онно-режимными мерами. Надежное обес-
печение безопасности информации немыс-
лимо без реализации комплексного подхо-
да к решению этой задачи.
Отсюда и потребность как в созда-
нии комплексной системы защиты инфор-
мации (КСЗИ) на предприятии, так и в
проведении испытаний и оценки ее эффек-
тивности, подготовке специалистов по
данному профилю.
Цель данной работы – анализ про-
блем, которые связаны с массовым по-
строением КСЗИ и рассмотрение автома-
тизации как одного из возможных путей
их решения.
Рассматриваются проблемы, свя-
занные с проведением испытаний и аудита
КСЗИ. Данные проблемы, также, анализи-
руются в работах Ю. Барсуковского,
Д. Замятина, М. Прокофьева и других. Од-
нако проблема актуальности использова-
ния программных средств автоматизиро-
ванной поддержки при проведении испы
таний и аудита КСЗИ в Украине, является
перспективной и не достаточно изученной.
Програмні системи захисту інформації
70
Цель, задачи и принципы
построения КСЗИ
КСЗИ представляет собой совокуп-
ность методов и средств, объединенных
единым целевым назначением и обеспечи-
вающих необходимую эффективность за-
щиты информации предприятия [1].
Под КСЗИ также понимают сово-
купность организационных и инженерно-
технических мероприятий, которые на-
правлены на обеспечение защиты инфор-
мации от разглашения, утечки и несанк-
ционированного доступа.
Организационные мероприятия яв-
ляются обязательной составляющей любой
комплексной системы защиты информа-
ции. Инженерно-технические мероприятия
проводятся в случае необходимости.
Данные организационные меро-
приятия включают создание концепции
информационной безопасности, а также:
• создание должностных инст-
рукций для пользователей и обслуживаю-
щего персонала;
• создание правил администри-
рования компонент информационной сис-
темы, учета, сохранения, размножения,
удаления носителей информации, иденти-
фикации пользователей;
• разработку планов действий в
случае выявления попыток несанкциони-
рованного доступа к информационным ре-
сурсам системы, выхода из строя средств
защиты, возникновения чрезвычайной си-
туации;
• обучение правилам информа-
ционной безопасности пользователей.
В случае необходимости, в рамках
проведения организационных мероприя-
тий может быть создана служба информа-
ционной защиты, режимно-пропускной от-
дел, проведена реорганизация системы де-
лопроизводства и сохранения документов.
Инженерно-технические мероприя-
тия это совокупность специальных техни-
ческих средств и их использование для
защиты информации. Выбор инженерно-
технических мероприятий зависит от
уровня защищенности информации, кото-
рый необходимо обеспечить.
Инженерно-технические мероприя-
тия, которые проводятся для защиты ин-
формационной инфраструктуры организа-
ции, могут заключаться в использовании
защищенных подключений, межсетевых
экранов, распределении протоколов между
сегментами сети, использовании средств
шифрования и защиты от несанкциониро-
ванного доступа.
В случае необходимости, в рамках
проведения инженерно-технических меро-
приятий, может использоваться установ-
ление в помещениях систем охранно-
пожарной сигнализации, систем контроля
и управления доступом.
Отдельные помещения могут быть
оснащены средствами защиты от утечки
акустической (речевой) информации [2].
Основной целью КСЗИ является
обеспечение непрерывности бизнеса, ус-
тойчивого функционирования предпри-
ятия и предотвращения угроз его безопас-
ности.
КСЗИ направлена на:
1) защиту законных интересов ор-
ганизации от противоправных посяга-
тельств;
2) недопущение:
• хищения финансовых и матери-
ально-технических средств;
• уничтожения имущества и цен-
ностей;
• разглашения, утечки и несанк-
ционированного доступа к служебной ин-
формации;
• нарушения работы технических
средств обеспечения производственной
деятельности, включая информационные
технологии.
Исходя из целей КСЗИ, можно оп-
ределить стоящие перед ней задачи. К ним
относятся:
1) прогнозирование, своевремен-
ное выявление и устранение угроз безо-
пасности персонала и ресурсам коммерче-
ского предприятия, причин и условий,
способствующих нанесению финансового,
материального и морального ущерба, на-
рушению его нормального функциониро-
вания и развития;
71
2) отнесение информации к кате-
гории ограниченного доступа (служебной
и коммерческой тайнам, иной конфиден-
циальной информации, подлежащей защи-
те от неправомерного использования), от-
несение ресурсов к различным уровням
уязвимости (опасности), подлежащих со-
хранению;
3) создание механизма и условий
оперативного реагирования на угрозы без-
опасности, проявления негативных тен-
денций в функционировании предприятия;
4) эффективное пресечение угроз
со стороны персонала, его посягательств
на ресурсы, на основе правовых, организа-
ционных и инженерно-технических мер и
средств обеспечения безопасности;
5) создание условий для макси-
мально возможного возмещения и локали-
зации наносимого ущерба неправомерны-
ми действиями физических и юридических
лиц, ослабление негативного влияния, по-
следствий нарушения безопасности пред-
приятия.
Обеспечение безопасности пред-
приятия должно основываться на следую-
щих основных принципах:
• системности;
• комплексности;
• своевременности;
• непрерывности защиты;
• разумной достаточности;
• гибкости;
• специализации;
• взаимодействии и координации
(должно осуществляться планирование);
• совершенствовании;
• активности;
• экономической эффективности;
• простоты применяемых защит-
ных мер и средств.
Рассмотрим некоторые принципы
построения КСЗИ подробнее.
Принцип системности требует при-
менения системного подхода в качестве
методологической базы при анализе ком-
плексной системы защиты информации.
Основная цель системного подхода – фор-
мализация вербальных описаний и состав-
ление алгоритма деятельности. Суть его
заключается в том, чтобы при оценке эф-
фективности мероприятий безопасности не
ограничиваться рассмотрением только са-
мой системы, но и учитывать влияния на
нее внешних факторов. Применение сис-
темного подхода при разработке техноло-
гий управления безопасностью позволяет
реализовать синергетический эффект, яв-
ляющийся результатом упорядочивания
организационных структур управления,
взаимодействия, кооперации и интеграции
с другими подсистемами анализируемой
системы, устранения ненужных процедур,
а в итоге – результатом достижения равно-
весного состояния функционирования сис-
темы.
Системный подход при построении
КСЗИ предполагает необходимость учета
всех взаимосвязанных, взаимодействую-
щих и изменяющихся во времени элемен-
тов, условий и факторов, значимых для
понимания и решения проблемы обеспе-
чения безопасности предприятия.
При создании системы защиты не-
обходимо учитывать все слабые, наиболее
уязвимые места предприятия, а также ха-
рактер, возможные объекты и направления
атак на автоматизированную систему (АС)
предприятия со стороны нарушителей
(особенно высококвалифицированных зло-
умышленников), пути проникновения и
несанкционированного доступа (НСД) к
информации. Система защиты должна
строиться с учетом не только всех извест-
ных каналов проникновения и НСД к ин-
формации, но и с учетом возможности по-
явления принципиально новых путей реа-
лизации угроз безопасности.
Принцип комплексности предпола-
гает, что система защиты предприятия
должна включать совокупность объектов
защиты, сил и средств, принимаемых мер,
проводимых мероприятий и действий по
обеспечению безопасности персонала, ма-
териальных и финансовых средств от воз-
можных угроз всеми доступными закон-
ными средствами, методами и мероприя-
тиями. Принцип комплексности позволяет
оценить, в целом, главные вопросы защи-
ты: что защищается, кто защищает и как
защищается?
В распоряжении специалистов по
безопасности имеется широкий спектр
мер, методов и средств защиты.
Програмні системи захисту інформації
72
Комплексность системы защиты информа-
ции достигается охватом всех возможных
угроз и согласованием между собой разно-
родных методов и средств, обеспечиваю-
щих защиту всех элементов предприятия.
Защита должна строиться эшелони-
ровано. Внешняя защита обеспечивается
физическими средствами, организацион-
ными и правовыми мерами. Прикладной
уровень защиты, учитывающий особенно-
сти предметной области, образует внут-
ренний рубеж обороны. Да, одной из наи-
более укрепленных линий обороны долж-
ны быть средства защиты в автоматизиро-
ванных системах.
Принцип своевременности означа-
ет, что меры защиты не должны «запазды-
вать». Например, бесполезно выводить ох-
ранную сигнализацию на пульт дежурного,
который сможет прибыть в случае тревоги
на объект охраны лишь спустя полчаса.
Принцип непрерывности. В на-
стоящее время общепринятым является
процессный подход к обеспечению безо-
пасности информации. Защита информа-
ции – это не совокупность проведенных
мероприятий и установленных средств за-
щиты, а непрерывный целенаправленный
процесс, предполагающий принятие соот-
ветствующих мер на всех этапах жизнен-
ного цикла систем предприятия, начиная с
самых ранних стадий проектирования, а не
только на этапе их эксплуатации.
Во многих зарубежных стандартах,
зафиксирована циклическая схема процес-
са обеспечения безопасности информации
обозначаемая как PDCA (англ. Plan-Do-
Check-Act). Кроме того, принцип непре-
рывности подчеркивает недопустимость
перерывов в работе средств защиты, уста-
навливая повышенные требования к их на-
дежности.
Принцип разумной достаточности
учитывает тот факт, что создать абсолютно
непреодолимую систему защиты принци-
пиально невозможно. При достаточном
количестве времени и средств можно пре-
одолеть любую защиту, поэтому имеет
смысл вести речь только о некотором при-
емлемом уровне безопасности. Высокоэф-
фективная система защиты стоит дорого,
использует при работе существенную
часть мощности и ресурсов компьютерной
системы и может создавать ощутимые до-
полнительные неудобства пользователям.
Важно правильно выбрать тот достаточ-
ный уровень защиты, при котором затраты,
риск и размер возможного ущерба были бы
приемлемыми (задача анализа риска).
Часто приходится создавать систе-
му защиты в условиях большой неопреде-
ленности, поэтому принятые меры и уста-
новленные средства защиты, особенно в
начальный период их эксплуатации, могут
обеспечивать как чрезмерный, так и недос-
таточный уровень защиты. Естественно,
что для обеспечения возможности варьи-
рования уровня защищенности средства
защиты должны обладать определенной
гибкостью. Особенно важно это свойство в
тех случаях, когда средства защиты необ-
ходимо устанавливать на работающую си-
стему, не нарушая процесса ее нормально-
го функционирования. Кроме того, внеш-
ние условия и требования с течением вре-
мени меняются. В таких ситуациях свойст-
во гибкости спасает владельцев АС от не-
обходимости принятия кардинальных мер
по полной замене средств защиты на но-
вые.
Принцип простоты применения со-
стоит в том, что механизмы защиты долж-
ны быть интуитивно понятны и просты в
использовании. Применение средств защи-
ты не должно быть связано со знанием
специальных языков или с выполнением
действий, требующих значительных до-
полнительных трудозатрат при обычной
работе законных пользователей, а также не
следует требовать от пользователя выполне-
ния рутинных малопонятных эму операций
(ввод нескольких паролей и имен и т. д.).
Важнейшими условиями обеспече-
ния безопасности являются законность,
достаточность, соблюдение баланса инте-
ресов личности и предприятия, высокий
профессионализм представителей службы
безопасности, подготовка пользователей
средств вычислительной техники и соблю-
дение ими всех установленных правил со-
хранения конфиденциальности, взаимная
ответственность персонала и руководства,
взаимодействие с государственными пра-
воохранительными органами.
73
Обеспечение информационной без-
опасности, для все большего количества
государственных предприятий, частных
компаний и отдельных лиц, является цен-
тральной проблемой, которая нуждается в
решении и стимулирует массовую заинте-
ресованность в проектировании и разра-
ботке КСЗИ для отдельных компаний.
В процессе построения КСЗИ, со-
гласно требований нормативных докумен-
тов, ее последовательность должна вклю-
чать один и тот же набор этапов независи-
мо от того, создается ли КСЗИ для автома-
тизированной системы, которая уже суще-
ствовала до этого момента или осуществ-
ляется построение КСЗИ одновременно с
проектированием новой автоматизирован-
ной системы. Некоторые второстепенные
этапы работ могут быть исключены или
совмещены с более крупными, если это
способствует эффективности процесса по-
строения КСЗИ, но ни в коем случае не
приводит к ухудшению качества разраба-
тываемой системы защиты.
Для компаний, разрабатывающих и
внедряющих в своих автоматизированных
системах КСЗИ, возникает проблема про-
ведения испытаний, оценки эффективно-
сти и сертификации в соответствии с не-
обходимыми стандартами (корпоративны-
ми, государственными, международными).
Для проведения данных работ целе-
сообразно привлекать специализирован-
ные компании, которые имеют большой
опыт и штат профессионалов в отрасли
обеспечения и контроля состояния инфор-
мационной безопасности. Кроме этого, они
обеспечивают установление оборудования
и специализированного программного
обеспечения, а также проводят его обнов-
ление и отслеживают общий уровень сис-
темы информационной безопасности [3].
Такой подход является альтернати-
вой для создания собственной постоянно
действующей службы защиты информации
на предприятии, проведения ряда органи-
зационных и технических мероприятий по
обеспечению ее функционирования. Он
позволяет решить много проблем, как с
финансовой точки зрения, так и организа-
ционной.
Методы и средства проведения
испытаний и аудита КСЗИ
В процессе проведения испытаний
КСЗИ различных автоматизированных си-
стем, а также оценки их качественных и ко-
личественных характеристик, используют-
ся достаточно разные методы и средства.
Проведение активного аудита.
Широко используется метод активного
аудита или тесты на преодоление защиты.
Задача заключается в том, чтобы преодо-
леть принятую на предприятии информа-
ционную систему безопасности. Тесты ка-
саются, в первую очередь, технической
защиты информации. Фирма консультант
выступает в роли преступника (внутренне-
го или внешнего), задача которого ском-
прометировать корпоративную систему
заказчика, получить конфиденциальные
данные или нарушить функционирование
системы. Основными целями данных по-
пыток является констатация и доказатель-
ство возможности взлома системы, а также
выявление реакции персонала на атаку
(как администраторов, так и обычного
персонала).
В основе данного метода лежат
изложенные ниже принципы.
Первый принцип – наличие четкого
описания модели нарушителя, в рамках
которой действуют аудиторы. Рассматри-
ваются отдельно внутренний нарушитель
(например, сотрудник компании) и внеш-
ний нарушитель (например, хакер, дейст-
вующий через Интернет). Уровень квали-
фикации нарушителя считается достаточ-
ным для выполнения сложных задач по
проникновению в информационную сис-
тему. Это автоматически означает, что
квалификация самих аудиторов должна
соответствовать данному уровню.
Второй принцип – уточнение облас-
ти проведения аудита непосредственно в
процессе работы на объекте. На практике
заказчик часто предоставляет ограничен-
ный набор сведений об информационной
системе (что происходит, когда информа-
ционная система развивалась непланомер-
но и, как следствие, плохо документирова-
лась), а аудиторы проводят инвентариза-
цию ресурсов информационной системы.
Програмні системи захисту інформації
74
Это позволяет выявить «потерянные» ре-
сурсы (и в большинстве случаев плохо за-
щищенные), что особенно актуально для
крупных корпоративных информационных
систем.
Третий принцип – аудитор изна-
чально имеет только физический доступ к
обследуемой информационной системе,
логические права доступа (аутентифика-
ционные данные) ему не предоставляются
(за редким исключением). Далее аудитор
отрабатывает все возможные пути повы-
шения привилегий от «нулевого» уровня,
оценивая критичность и вероятность их
реализации.
Четвертый принцип – анализ путей
повышения привилегий. С одной стороны,
например, наличие уязвимости в про-
граммном обеспечении автоматически не
приводит к нарушению безопасности, так
как многие уязвимости могут быть успеш-
но реализованы только при определенном
сочетании факторов. С другой стороны,
использование штатных возможностей
(именно возможностей, а не ошибок про-
граммного обеспечения или конфигура-
ции) информационной системы в опреде-
ленной комбинации может привести к на-
рушению информационной безопасности.
Выявление таких ситуаций невозможно
без применения творческого, неформаль-
ного подхода к анализу защищенности.
Пятый принцип – анализ влияния
выявленных в ходе активного аудита уяз-
вимостей на защищенность всей информа-
ционной системы в целом. Данный прин-
цип заключается в следующем: не столь
важно, какая именно уязвимость была об-
наружена, важно то, как наличие той или
иной уязвимости влияет на защищенность
всей информационной системы, насколько
вся система устойчива к уязвимостям.
Другими словами, в ходе аудита проводит-
ся анализ архитектуры безопасности ин-
формационной системы.
Шестой принцип – поиск новых
уязвимостей (не зафиксированных в раз-
личных базах уязвимостей, таких как CVE,
OSVDB и т.п.) непосредственно в ходе
работы на объекте в режиме реального
времени.
Седьмой принцип – строгая система
классификации уязвимостей. Каждая вы-
явленная в ходе аудита уязвимость оцени-
вается (по шкале с простыми и понятными
описаниями уровней) с точки зрения её
критичности, простоты и вероятности её
реализации. Эти данные в дальнейшем ис-
пользуются для проведения анализа ин-
формационных рисков.
Восьмой принцип – отказ от при-
оритетного использования сканеров уяз-
вимостей. Подобный инструментарий ис-
пользуется только на этапе предваритель-
ного сбора информации для автоматизации
рутинной работы. Существенным недос-
татком сканеров является большое количе-
ство ложных срабатываний и невозмож-
ность обнаружения уязвимостей, отсутст-
вующих в базе сканера (например, недавно
появившихся уязвимостей, большого чис-
ла локальных уязвимостей, нетривиальных
ошибок конфигурации).
Девятый принцип – применение ме-
тодов социальной инженерии для имита-
ции действий нарушителя информацион-
ной безопасности, направленных на поль-
зователей информационной системы ком-
пании. Эти методы позволяют оценить
уровень квалификации пользователей в
области обеспечения информационной
безопасности и вероятность реализации
атак, выполняемых нетехническими спо-
собами [4].
Успешная реализация атаки – дей-
ственное средство доказать руководству
компании необходимость увеличения за-
трат на обеспечение информационной без-
опасности, особенно, если в результате ус-
пешного взлома фирме-эксперту удалось
незаконно получить какую-либо конфи-
денциальную информацию руководства.
Кроме того, тест на преодоление защиты
является хорошим способом проверить со-
блюдение персоналом принятой политики
безопасности, например, правил хранения
и смены пароля.
Недостатком данного метода явля-
ется отсутствие в результате целостной
картины состояния информационной безо-
пасности. Заказчик лишь получает инфор-
мацию о том, что исследуемая система
уязвима. Проведение определенной атаки
75
не позволяет выявить весь спектр слабых
мест системы и тем более не дает никаких
рекомендаций по повышению уровня за-
щищенности автоматизированной системы.
Своеобразным недостатком данного
метода является то, что его успешное про-
ведение невозможно без привлечения
высококвалифицированных аудиторов ин-
формационной безопасности, обладающих
творческим подходом к анализу защищен-
ности информационных систем и опытом в
области проведения тестов на проникно-
вение [4].
Проведение аудита на соответст-
вие стандартам. Под аудитом подразуме-
вается оценка текущего состояния КСЗИ
компьютерной системы на соответствие
некоему стандарту или предъявленным
требованиям. Стандарты могут быть внут-
рикорпоративными или общими (как госу-
дарственными, так и коммерческими).
В большинстве случаев аудит КСЗИ
требуется, когда автоматизированная сис-
тема предназначена для обработки конфи-
денциальной или секретной информации.
Для каждой категории информации стан-
дартами определяется нижняя граница
уровня безопасности автоматизированной
системы.
Проведение аудита полезно также
после построения автоматизированной си-
стемы и ее подсистем безопасности на эта-
пе приемки в эксплуатацию – для оценки
степени соблюдения предъявляемых к ней
требований. Следует отметить, что аудит
автоматизированной системы рекоменду-
ется проводить периодически (например,
раз в год), так как состояние любой систе-
мы изменяется с течением времени и к
моменту очередного аудита она может не
иметь ничего общего с тем, что было за-
фиксировано при предыдущем аудите.
Отчет об аудите содержит оценку
соответствия системы данному стандарту,
но не содержит рекомендаций и предло-
жений по устранению выявленных уязви-
мых мест и повышению уровня защищен-
ности [3].
Проведение экспертного аудита
или обследование. Экспертный аудит
можно условно представить как сравнение
состояния информационной безопасности
с «идеальным» описанием, которое бази-
руется на требованиях, которые были
предъявлены руководством в процессе
проведения аудита или описании «идеаль-
ной» системы безопасности, основанное на
аккумулированном в компании – аудиторе
мировом и частном опыте [5].
Оценка автоматизированной систе-
мы – наиболее сложный и полезный вид
работ по обеспечению информационной
безопасности. В рамках этой работы фир-
ма-эксперт проводит комплексную оценку
автоматизированной системы с учетом ее
особенностей.
Такая оценка включает анализ ин-
формационных потоков аппаратного и
программного обеспечения, сетевой ин-
фраструктуры, методов управления и ад-
министрирования компонентов.
После сбора и упорядочивания ин-
формации специалисты фирмы-эксперта
проводят анализ состояния информацион-
ной безопасности, состоящей из несколь-
ких этапов:
• анализ существующей органи-
зационной структуры обеспечения инфор-
мационной безопасности, в том числе ана-
лиз функций службы информационной
безопасности;
• анализ взаимоотношений под-
разделений по вопросам обеспечения за-
щиты информации, вопросов подчиненно-
сти и структуры службы информационной
безопасности;
• анализ существующей норма-
тивно-правовой базы информационной
безопасности автоматизированной систе-
мы, в том числе оценка принятой по-
литики безопасности, организационно-
распорядительных документов, положений
и инструкций по обеспечению защиты ин-
формации, а также анализ их соответствия
существующим законодательным и норма-
тивным актам;
• анализ мер технической защиты
информации, в том числе анализ сущест-
вующих мер и средств технической защи-
ты информации, а также порядка их при-
менения;
• рассмотрение и анализ исполь-
зуемых заказчиком средств разграничения
доступа и защиты вот несанкционирован-
Програмні системи захисту інформації
76
ного доступа (в частности, при работе с
Интернет), антивирусных средств, межсе-
тевых экранов, защиты с помощью паро-
лей, системы обнаружения вторжений,
криптографических средств защиты ин-
формации, методов контроля целостности
и т. д.;
• анализируют порядок исполь-
зования встроенных механизмов защиты
компонентов в автоматизированной сис-
теме;
• оценивают достаточность мер и
правильность использования средств тех-
нической защиты информации;
• производят выявление угроз
безопасности (как внутренних, так и
внешних) и определяют существующие
уязвимые места в компонентах автомати-
зированной системы;
• производят оценку рисков для
автоматизированной системы;
• ранжируют угрозы по вероят-
ности их возникновения в данной автома-
тизированной системе и мере возможного
ущерба вот реализации угроз.
В результате фирма-эксперт пре-
доставляет:
• список наиболее опасных угроз
безопасности;
• перечень и описание уязвимых
мест компонентов, включая описание их
источников (модель нарушителя) и меха-
низмов их реализации;
• рекомендации по доработке
существующей системы защиты информа-
ции компании.
Рекомендации фирмы-эксперта мо-
гут касаться совершенствования организа-
ционно-штатной структуры, доработки и
создания нормативных документов, поло-
жений и инструкций по обеспечению ин-
формационной безопасности.
Кроме того, эксперты могут дать
рекомендации по применению штатных
средств защиты компонентов, а также ис-
пользованию дополнительных средств за-
щиты информации и методов контроля и
аудита состояния информационной без-
опасности [3].
Исходя из характеристики выше-
описанных методов оценки защищенности
автоматизированных систем, следует
отметить, что каждый из них имеет пре-
имущества и недостатки, а их применение
зависит от поставленной задачи компанией
заказчиком перед экспертами.
В условиях постоянно возрастаю-
щего значения автоматизации и использо-
вания информационных технологий на
предприятиях, увеличения количества уг-
роз для автоматизированных систем, реа-
лизация которых приводит к финансовым
и имиджевым потерям компаний, возрас-
тает и потребность в защите персональных
данных, корпоративной и государственной
информации. В свою очередь, увеличива-
ется потребность в проектировании и раз-
работках КСЗИ для различных автомати-
зированных систем и соответственно про-
ведении их испытаний, аудита, подтвер-
ждения соответствия различным стандар-
там (корпоративным, государственным,
международным).
Увеличение количества разрабо-
танных и внедренных КСЗИ, повышает
количество необходимых оценок и экспер-
тиз на предмет их соответствия государст-
венным стандартам Украины.
Проблемы,
связанные с проведением
испытаний и аудита КСЗИ
и возможные пути их решения
Проведение различных экспертиз
традиционными методами связано с целым
рядом трудностей, как экономического,
так и психологического характера [6].
Учитывая то, что при проведении
анализа информационной защищенности
автоматизированных систем необходимо
брать во внимание большое количество не
связанных между собой факторов, в про-
цессе роботы увеличивается вероятность
допущения ошибок.
Также, увеличивает вероятность
допущения ошибок, большое количество
рутинных операций, которые проводятся
экспертами во время аудита системы.
77
Необходимость в массовом по-
строении КСЗИ, в чем в настоящий мо-
мент нуждается все больше компаний оте-
чественного рынка, также, порождает про-
блему, которая связана с необходимостью
привлечения к работе достаточно большо-
го количества специалистов в сфере защи-
ты информации. Их подготовка требует
больших затрат государства или компании,
которая проводит переподготовку своих
работников. К тому же подготовка квали-
фицированного работника занимает доста-
точно много времени.
Также, увеличение количества ра-
ботников, которые задействованы со сто-
роны компании-эксперта, при проведении
экспертиз, является более экономически
затратным шагом, а также повышает веро-
ятность возникновения ошибок при прове-
дении обследований и экспертных оценок
КСЗИ.
Еще одной проблемой является то,
что разработкой, построением, оценкой и
сопровождением КСЗИ могут заниматься
только организации, которые имеют ли-
цензию на проведение соответствующих
работ, которые касаются сферы защиты
информации. Это условие ограничивает
перечень организаций, которые могут про-
водить данные работы. Поэтому данное ус-
ловие, с одной стороны отвечает междуна-
родной практике лицензирования организа-
ций, которые проводят ограниченный пере-
чень работ, а с другой стороны требуют от
организации и ее работников дополнитель-
ных усилий, которые должны быть направ-
лены на получение государственной лицен-
зии, на право проведения данных работ.
Данные проблемы подталкивают
организации, проводящие экспертизу раз-
личных автоматизированных систем к по-
иску их решений. И одним из таких реше-
ний является разработка и использование
при проведении испытаний КСЗИ автома-
тизированных средств поддержки.
Их внедрение способствует опти-
мизации расходов и полученных результа-
тов при разработке проекта.
Для облегчения реализации постав-
ленных задач, повышения качества выпол-
няемых работ, уменьшения рабочей
нагрузки на специалистов, особенно
молодых, которые не имеют достаточного
опыта работы, также целесообразно ис-
пользовать средства автоматизированной
поддержки.
Использование специальных про-
граммных средств позволит сократить
время на реализацию проекта, поможет
недостаточно опытным работникам прово-
дить работы, которые нуждаются в их
большей квалификации и опыте.
Разработка и использование про-
граммных средств автоматизированной
поддержки проведения испытаний КСЗИ
позволяет оптимизировать количество ра-
ботников, которые разрабатывают проект,
а также задействовать менее квалифици-
рованный персонал (при условии их обу-
чения использованию программного обес-
печения), эффективно руководить процес-
сом реализации проекта, оперативно ис-
правлять проблемы, которые появились и
негативные тенденции.
Использование средств автоматизи-
рованной поддержки проведения испыта-
ний КСЗИ должно облегчать решение от-
дельных поставленных перед экспертом
задач. В этом большую роль играет про-
стота и понятность при работе специали-
ста с новым программным обеспечением.
Время на обучение специалиста работе с
новой программой должно занимать срав-
нительно небольшое время. При разработ-
ке подобного программного обеспечения
необходимо помнить основную цель его
внедрения, а именно повышение эффек-
тивности работы специалиста и снижение
затрат предприятия, которые могут изме-
ряться как в денежном, так и временном
эквиваленте, что, несомненно, является
ключевой задачей в любой компании. Ис-
пользование программного обеспечения
автоматизированной поддержки проведе-
ния испытаний КСЗИ является, бесспорно,
конкурентным преимуществом любого
предприятия.
Выводы
Использование специализированно-
го программного обеспечения, которое
применяется при проведении испытаний
или сертификации КСЗИ должно быть
целесообразным. Его использование, без
Програмні системи захисту інформації
78
сомнения, не сможет полностью заменить
работника, но может значительно облег-
чить его труд, сократить потраченное вре-
мя на выполнение рутинных процедур.
Программный продукт может выступать
определенным сконцентрированным опы-
том предыдущих проектов, которые были
реализованы ранее. Автоматизация позво-
лит сокращать время, потраченное компа-
нией на разработку и реализацию отдель-
ного проекта, уменьшать количество за-
действованных работников, а также позво-
лит привлекать работников с не большим
опытом работы, к тем проектам, которые
нуждаются в высококвалифицированных
специалистах и соответственно повышать
качество выполняемых работ.
Проблема возможных перспектив
разработки и использования программных
средств автоматизированной поддержки
проведения испытаний КСЗИ является ак-
туальной и требует дальнейшего исследо-
вания, в части анализа подходов, методов
и средств для реализации данного про-
граммного продукта.
1. Грибунин В.Г. Комплексная система защиты
информации на предприятии: учеб. пособие
для студ. высш. учеб. заведений / В.Г. Гри-
бунин В.В. Чудовский. – М.: Издательский
центр «Академия», 2009. – 416 с.
2. Грайворонський М.В. Новіков О.М. Безпека
інформаційно-комунікаційних систем: Під-
ручник для вузів. – К.; 2007. – 1005 с.
3. Барсуковский Ю. Аудит систем информа-
ционной безопасности – проблемы и реше-
ния // Правовое, нормативное и метрологи-
ческое обеспечение системы защиты ин-
формации в Украине. – К.: НТУ Украины
“КПИ”. – 2002. – Вып. 4. – С. 29 – 33.
4. http://www.dsec.ru/about/articles/active_audit/
5. http://www.bezpeka.com/ru/lib/sec/analys/art5
26.html
6. Замятин Д., Прокофьев М. Алгоритмиче-
ские особенности экспертных систем, ори-
ентированных на проблемы защиты ин-
формации // Правовое, нормативное и мет-
рологическое обеспечение системы защиты
информации в Украине. – Киев: НТУ
Украины “КПИ”. – 2000. – Вып. 1. –
С. 252 – 253.
Получено 30.05.2011
Об авторе:
Колтик Максим Анатолиевич,
аспирант.
Место работы автора:
Институт программных систем
НАН Украины.
03187, Киев-187,
проспект Академика Глушкова, 40.
Тел.: 067 218 2809
E-mail: maxfaktor@ua.fm
|