Бесплатная горячая линия

8 800 301 63 12
Главная - Другое - Системах информационной безопасности

Системах информационной безопасности

Системах информационной безопасности

Защита информации в информационных системах и компьютерных сетях


Существование и развитие информационного общества на современном этапе невозможно без использования информационных сетей, глобальных компьютерных сетей и сетей связи — радио, телевидения, фиксированных и мобильных телефонных сетей, Internet и т.д. В связи с этим обеспечение доверия и безопасности невозможно без предъявления к этим сетям не только требований по обеспечению надёжности передачи данных, стабильности работы, качества и масштабов охвата, но и по обеспечению информационной безопасности.Информационная безопасность сетей представляет собой «состояние защищённости сбалансированных интересов производителей информационно-коммуникационных технологий и конкретно сетей, потребителей, операторов и органов государственной власти в информационной сфере. В свою очередь информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования отношений, возникающих при использовании сетей связи» [материалы Международного конгресса «Доверие и безопасность в информационном обществе», 21 апреля 2003 г., ].Благодаря своей открытости и общедоступности компьютерные сети и сети связи общего пользования являются удобным средством для обеспечения взаимодействия граждан, бизнеса и органов государственной власти.

Однако чем более открыты сети, тем более они уязвимы. Можно выделить ряд особенностей, которые делают сети уязвимыми, а нарушителей — практически неуловимыми:

  1. возможность пропаганды и распространения средств нарушения сетевой безопасности (например, распространение в Internet программных средств, позволяющих реализовывать несанкционированный доступ к информационным ресурсам, нарушать авторские права и т.д.);
  2. возможность многократного повторения атакующих сеть воздействий (например, генерация в Internet или телефонных сетях потоков вызовов, приводящих к нарушению функционирования узлов сети).
  3. возможность действия нарушителей на расстоянии в сочетании с возможностью сокрытия своих истинных персональных данных (указанная особенность характерна, в частности, для сети Internet, радиосетей, сетей кабельного телевидения, незаконного использования ресурсов телефонных сетей);

Большинство владельцев и операторов принимают необходимые меры по обеспечению информационной безопасности своих сетей.

В то же время, для современного состояния информационной безопасности сетей характерны следующие причины, приводящие к крупным проблемам, требующим скорейшего решения:

  1. широкое использование технических средств импортного производства, потенциально имеющих не декларированные возможности («закладки»);
  2. использование несогласованных методов обеспечения информационной безопасности для разных компонентов сети, включая телекоммуникационные протоколы, информационные ресурсы и приложения;
  3. широко распространённое отношение к обеспечению информационной безопасности как к товару или услуге, которые можно купить, а не как к процессу, который нужно не только создать, но который нужно внедрить в постоянное использование и которым необходимо постоянно управлять.
  4. недостаточная проработка методологии документирования функционирования сетей, необходимого для создания доказательной базы правонарушений;
  5. отсутствие комплексных решений по обеспечению информационной безопасности при интеграции и взаимодействии сетей;

Наиболее часто встречающиеся дефекты защиты, отмеченные компаниями, работающими в области электронного бизнеса и защиты информации:

  1. отсутствие защиты от взаимодействия внутреннего и внешнего трафика сети;
  2. использование старых версий программного обеспечения на машинах сети;
  3. отсутствие информации о слабых местах различных методик аутентификации при организации мощной защиты.
  4. использование слабозащищенных установочных параметров, присваиваемых по умолчанию при инсталляции приложений, ввиду чего становятся известны идентификаторы и пароли пользователей, установленные по умолчанию;
  5. неоправданно открытые порты в брандмауэрах;
  6. необоснованный общий доступ к файловым системам;
  7. неопознанные машины или приложения в сети;
  8. отсутствие информации о внутренних угрозах безопасности;
  9. общие проблемы в брандмауэрах, операционных системах, сетях и стандартных приложениях;
  10. неполная информация обо всех точках входа в сеть из внешней среды;
  11. отсутствие проверок после внесения изменений в среду (например, после инсталляции новых приложений или машин);
  12. присутствие ненужных сервисов или приложений на машинах, требующих высокой степени защиты;
  13. отсутствие контроля вносимых изменений;
  14. неполное изъятие прав доступа при увольнении сотрудников, наличие идентификаторов пользователей, используемых по умолчанию, неверно обслуживаемые права доступа;
  15. недостаточные требования к идентификации пользователя, собирающегося изменить регистрационные записи пользователей;

Любая успешная атака нарушителя, направленная на реализацию угрозы информационной безопасности сети, опирается на полученные нарушителем знания об особенностях её построения и слабых местах. Причинами появления уязвимостей в сетях могут быть:

  1. внедрение компонентов и программ, реализующих не декларированные функции и нарушающих нормальное функционирование сетей;
  2. использование не сертифицированных в соответствии с требованиями безопасности отечественных и зарубежных информационных технологий, средств информатизации и связи, а также средств защиты информации и контроля их эффективности.
  3. нарушение технологий передачи информации и управления;
  4. уязвимые зоны в поставляемом программном продукте;
  5. невыполнение реализованными механизмами защиты сети заданных требований к процессу обеспечения информационной безопасности или предъявление непродуманного набора требований;

Постоянный аудит сетей связи с целью выявления уязвимостей и возможных угроз обеспечивает определение «слабого звена», а уровень защищённости «слабого звена» определяет, в конечном счёте, уровень информационной безопасности сети в целом.Принципиальным является рассмотрение воздействий нарушителей или атак как неизбежного фактора функционирования сетей и систем связи. Это обстоятельство является обратной стороной информатизации экономики и бизнеса.

В этих условиях обеспечение информационной безопасности сетей становится триединой задачей, включающей мониторинг функционирования, обнаружение атак и принятие адекватных мер противодействия. Адекватные меры противодействия могут носить технический характер и предусматривать реконфигурацию информационной области сети.

Они могут быть также организационными и предусматривать обращение операторов сетей связи к силовым структурам с предоставлением необходимой информации для выявления и привлечения к ответственности нарушителей.Обеспечение информационной безопасности сетей, систем и средств связи означает создание процесса, которым необходимо постоянно управлять и который является неотъемлемой составной частью процесса функционирования компьютерных вычислительных устройств и сетей. Построив модель функционирования сети, включающую процесс управления обеспечением информационной безопасности, необходимо далее определить стандарты информационной безопасности, поддерживающие эту модель.

Значение исследований процессов стандартизации и совершенствования нормативно-правовой базы будут постоянно возрастать.Вопросы информационной безопасности, защиты информации и данных неразрывно связаны с безопасностью программно-аппаратных комплексов и сетевых устройств, образующих информационные системы и сети различного назначения.

Такие системы должны отвечать серьёзным требованиям по обеспечению надёжности сбора, обработки, архивирования и передачи данных по открытым и закрытым сетям и обеспечению их максимальной защиты.В отличие от локальных корпоративных сетей, подключенных к Internet, где обычные средства безопасности в большой степени решают проблемы защиты внутренних сегментов сети от несанкционированного доступа, распределенные корпоративные информационные системы, системы электронной коммерции и предоставления услуг пользователям Internet предъявляют повышенные требования в плане обеспечения информационной безопасности.Межсетевые экраны, системы обнаружения атак, сканеры для выявления уязвимостей в узлах сети, операционных систем и СУБД, фильтры пакетов данных на маршрутизаторах — достаточно ли всего этого мощного арсенала (так называемого «жёсткого периметра») для обеспечения безопасности критически важных информационных систем, работающих в Internet и Intranet?

Практика и накопленный к настоящему времени опыт показывают — чаще всего нет!В «Оранжевой книге» надежная и защищённая информационная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную достоверную обработку информации разной степени секретности различными пользователями или группами пользователей без нарушения прав доступа, целостности и конфиденциальности данных и информации, и поддерживающая свою работоспособность в условиях воздействия на неё совокупности внешних и внутренних угроз» [Department of Defense Trusted Computer System Evaliation Criteria (TCSEC). USA DoD 5200.28-STD, 1993] . Это качественное определение содержит необходимое и достаточное условие безопасности. При этом не обуславливается, какие механизмы и каким образом реализуют безопасность — практическая реализация зависит от многих факторов: вида и размера бизнеса, предметной области деятельности компании, типа информационной системы, степени её распределённости и сложности, топологии сетей, используемого программного обеспечения и т.д.

Концепция «Защищенные информационные системы» включает ряд законодательных инициатив, научных, технических и технологических решений, готовность государственных организаций и компаний использовать их для того, чтобы люди, используя устройства на базе компьютеров и программного обеспечения, чувствовали себя так же комфортно и безопасно.

В общем случае можно говорить о степени доверия, или надежности систем, оцениваемых по двум основным критериям: наличие и полнота политики безопасности и гарантированность безопасности.Наличие и полнота политики безопасности — набор внешних и корпоративных стандартов, правил и норм поведения, отвечающих законодательным актам страны и определяющих, как организация собирает, обрабатывает, распространяет и защищает информацию.

В частности, стандарты и правила определяют, в каких случаях и каким образом пользователь имеет право оперировать с определенными наборами данных. В политике безопасности сформулированы права и ответственности пользователей и персонала.

В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Чем больше информационная система и чем больше она имеет «входов» и «выходов» (распределённая система), тем «строже», детализированнее и многообразнее должна быть политика безопасности.Гарантированность безопасности — мера доверия, которая может быть оказана архитектуре, инфраструктуре, программно-аппаратной реализации системы и методам управления её конфигурацией и целостностью.

Гарантированность может проистекать как из тестирования и верификации, так и из проверки (системной или эксплуатационной) общего замысла и исполнения системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности.

Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность является пассивным, но очень важным компонентом защиты, реализованным качеством разработки, внедрения, эксплуатации и сопровождения информационной системы и заложенных принципов безопасности.Концепция гарантированности является центральной при оценке степени, с которой информационную систему можно считать надежной.

Надежность определяется всей совокупностью защитных механизмов системы в целом и надежностью вычислительной базы (ядра системы), отвечающих за проведение в жизнь политики безопасности. Надежность вычислительной базы определяется ее реализацией и корректностью исходных данных, вводимых административным и операционным персоналом.

Оценка уровня защищенности ИТ/ИС обычно производится по трём базовым группам критериев (). Таблица 1. Трёхуровневая модель параметров оценки защищенности ИС Система целей Средства Исполнение Общая цель

  1. Защищенные информационные системы

Цели

  1. Безотказность
  2. Надежность
  3. Безопасность
  4. Деловое взаимодействие

Обеспечение

  1. Управляемость
  2. Конфиденциальность
  3. Точность
  4. Безотказность
  5. Защищенность
  6. Целостность
  7. Удобство пользования
  8. Готовность к работе
  9. Прозрачность

Подтверждение доверия

  1. Внешний аудит
  2. Внутренняя оценка
  3. Аккредитация

Установки

  1. Законы, нормы
  2. Характер ведения бизнеса
  3. Контракты, обязательства
  4. Международные, отраслевые, и внутренние стандарты
  5. Внутренние принципы

Реализация

  1. Методы работ
  2. Методы разработки, внедрения, эксплуатации и сопровождения
  3. Обучение персонала
  4. Анализ рисков
  5. Методы взаимодействия с внешней и внутренней средой

Основное назначение надежной вычислительной базы — выполнять функции монитора обращений и действий, то есть контролировать допустимость выполнения пользователями определенных операций над объектами.

Монитор проверяет каждое обращение к программам или данным на предмет их согласованности со списком допустимых действий. Таким образом, важным средством обеспечения безопасности является механизм подотчетности или протоколирования. Надежная система должна фиксировать все события, касающиеся безопасности, а ведение протоколов дополняется аудитом — анализом регистрационной информации.Эти общие положения являются основой для проектирования и реализации безопасности открытых информационных систем [Зегжда Д.П., Ивашко А.М., 2000].

Построения системы информационной безопасности

Вопросы ответственности в информационной сфере являются чрезвычайно важными в реализации бизнес-целей предприятия. Поскольку эти вопросы в такой постановке являются частью стратегии развития компании, то они, вне всякого сомнения, относятся к компетенции высшего руководства. Рассматривая вопросы ответственности, следует разделить их реализацию в двух ключевых областях — во внешней среде предприятия и в среде внутренней.

Точно также можно ввести два вида вопросов — ответственность за нарушения ИБ и ответственность за реализацию ИБ в различных областях информационной деятельности предприятия. Регулирование ответственности нарушений информационной безопасности во внешней среде с целью нанести вред владельцу информации, а также вопросы взаимоотношений между различными субъектами — обладателями информации — регулируется федеральными законами РФ, региональными, муниципальными и пр. нормативными актами (ответственность первого вида).

Ответственность за причинение вреда и ответственность за реализацию мероприятий по разработке, внедрению и использованию систем ИБ во внутренней среде устанавливается, как правило, на базе действующего законодательства РФ и страны, с которыми осуществляется бизнес, и внутренних корпоративных («локальных правоустанавливающих») документов.
Ответственность за причинение вреда и ответственность за реализацию мероприятий по разработке, внедрению и использованию систем ИБ во внутренней среде устанавливается, как правило, на базе действующего законодательства РФ и страны, с которыми осуществляется бизнес, и внутренних корпоративных («локальных правоустанавливающих») документов. Первый вид ответственности рассмотрен выше.Ответственность второго вида (формирование и реализация ИБ в различных областях информационной деятельности предприятия) устанавливается обычно на уровне высшего руководства предприятия и включает в себя следующий круг вопросов.

  1. формирование структурных подразделений и служб ИБ;
  2. обеспечение выполнения положений политики и программы реализации ИБ;
  3. планирование и выделение необходимых ресурсов для системной реализации ИБ;
  4. разработка многоуровневой политики ИБ и системы структурной и персональной ответственности за её реализацию;
  5. контроль и аудит текущего состояния системы ИБ.
  6. формирование единой концепции и программы работ в области информационной безопасности (ИБ);
Рекомендуем прочесть:  Имеет ли закон обратную силу

Управленческие аспекты разработки и реализации информационной безопасности предполагают наличие совокупности организационных мер в виде развернутой программы, которую целесообразно структурировать по уровням, обычно в соответствии со структурой организации.

В большинстве случаев достаточно двух уровней — верхнего (организационно-управленческого), который охватывает всю организацию и корпоративную ИС, и нижнего (или сервисного), который относится к отдельным подсистемам ИС и сервисам.

Программу верхнего уровня формирует и возглавляет лицо, отвечающее за информационную безопасность организации. Эти обязанности, как правило, входят в обязанности руководителя ИТ-подразделения (Chief Information Officer — CIO). Программа должна содержать следующие главные цели:

  1. контроль деятельности в области ИБ.
  2. координация деятельности в области информационной безопасности: выбор эффективных средств защиты, их приобретение или разработка, внедрение, эксплуатация, пополнение и распределение ресурсов, обучение персонала;
  3. оценка рисков и управление рисками;
  4. стратегическое планирование в области развития информационной безопасности;
  5. разработку и исполнение политики в области ИБ;

В рамках программы верхнего уровня принимаются стратегические решения по безопасности, оцениваются технологические новинки.

Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых программных и технических средств защиты.Контроль деятельности в области безопасности имеет двоякую направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат федеральным и региональным законам и нормативным актам. Необходимо постоянно следить за изменениями во внешней среде, приводящие к возможности возникновения угроз.

Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на все случаи нарушений, вырабатывать стратегию развития защитных мер с учетом изменения обстановки во внешней и внутренней средах.Цель программы нижнего уровня — обеспечить надежную и экономичную защиту информационных подсистем, конкретных сервисов или групп однородных сервисов.

На этом уровне решается, какие механизмы защиты использовать, закупаются и устанавливаются технические средства, выполняется повседневное администрирование, отслеживается состояние слабых мест, проводится первичное обучение персонала и т.п.

Обычно за программу нижнего уровня отвечают ответственные менеджеры по обеспечению ИБ, системные администраторы и администраторы сервисов. В плане безопасности важнейшим действием на этом этапе является оценка критичности как самого сервиса, так и информации, которая с его помощью будет обрабатываться.

Необходимо сформулировать ответы на следующие вопросы:

  1. Каковы угрозы, по отношению к которым данные, информация, сервис и пользователь будут наиболее уязвимы?
  2. Какие данные и информацию будет обслуживать данный сервис?
  3. Существуют ли какие-либо особенности сервиса, требующие принятия специальных мер — например, территориальная распределённость компонентов ИС?
  4. Каковы должны быть характеристики персонала, имеющие отношение к безопасности: компьютерная квалификация, дисциплинированность, благонадежность?
  5. Каковы возможные последствия нарушения конфиденциальности, целостности и доступности этой информации?
  6. Каковы законодательные положения и корпоративные правила, которым должен удовлетворять сервис?

Результаты оценки критичности являются отправной точкой в составлении спецификаций на приобретение или разработку сервисов.

Кроме того, они определяют ту меру внимания, которую служба безопасности организации должна уделять сервису или группе сервисов на всех этапах его жизненного цикла.Сделаем существенную оговорку. Программа безопасности не является воплощением простого набора технических средств, встроенных в информационную систему — у системы ИБ есть важнейшие «политический» и управленческий аспекты.

Программа должна официально приниматься и поддерживаться высшим руководством, у нее должны быть определенные штаты и выделенный бюджет. Без подобной поддержки приказы, распоряжения и «призывы» к исполнению программы останутся пустым звуком.Главная цель мер, предпринимаемых на управленческом уровне — сформировать единую концепцию и программу работ в области информационной безопасности (ИБ) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя текущее состояние системы ИБ.
Без подобной поддержки приказы, распоряжения и «призывы» к исполнению программы останутся пустым звуком.Главная цель мер, предпринимаемых на управленческом уровне — сформировать единую концепцию и программу работ в области информационной безопасности (ИБ) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя текущее состояние системы ИБ. Практически это можно осуществить, разработав концептуальную, математическую и функциональную модели представления информационной защиты, которая позволяет решать задачи создания, использования, сопровождения, развития и оценки эффективности общей системы ИБ ().Математическая модель представляет собой формализованное описание сценариев в виде логико-алгоритмической последовательности действий нарушителей и ответных мер.

Расчетные количественные значения параметров модели характеризуют функциональные (аналитические, алгоритмические или численные) зависимости, описывающие процессы взаимодействия нарушителей с системой защиты и возможные результаты действий.

Именно такой вид модели чаще всего используется для количественных оценок уязвимости объекта, построения алгоритма защиты оценки рисков и эффективности принятых мер (). Рис. 4.1. Содержание модели информационной безопасностиПри построении теоретических моделей систем защиты информации (СЗИ) и информационных ресурсов необходимо опираться на следующие важнейшие обстоятельства:

  1. выбор математически строгих критериев для оценки оптимальности системы защиты информации для данной архитектуры ИС;
  2. четкая математическая формулировка задачи построения модели СЗИ, учитывающая заданные требования к системе защиты и позволяющая построить СЗИ в соответствии с этими критериями.

Такие модели для разных компаний могут быть разнообразными, но любая из них должна обладать следующими свойствами: универсальность, комплексность, наглядность, простота использования, практическая реализуемость, измеримость с помощью наборов метрик, «самообучаемость» (возможность наращивания знаний), надежное функционирование в условиях высокой неопределенности исходной информации. Рис. 4.2. Место математической модели в реализации концепции и программы ИБНиже указаны основные этапы построения модели:

  1. анализ структуры информационно-вычислительной системы и уровня необходимой защиты данных и самой ИС;
  2. анализ изменяющихся характеристик СЗИ, определяемых динамикой воздействия угроз (адаптивные СЗИ);
  3. определение совокупностей задач защиты для определения контролируемых параметров СЗИ;
  4. формирование требований и рекомендаций по рациональной организации структуры ИБ.
  5. анализ корреляционных зависимостей между различными параметрами СЗИ, являющимися результатом решения конкретных задач по защите информации;
  6. анализ возможного понижения общего уровня защищенности из-за наличия корреляций;

Для контроля параметров реализуемых моделей СЗИ необходимо формировать системы количественных показателей (метрик), с помощью которых оценивается:

  1. нормальное функционирование контролируемых зон СЗИ; определение и оценка направленных угроз, выявление уязвимостей, управление рисками и т.д.
  2. сложность структуры, поведение и диагностирование нормальной работы СЗИ с учетом обеспечения её устойчивости в условиях быстро изменяющихся условий внешней и внутренней среды;
  3. работоспособность и возможность диагностирования нарушений нормальной работы СЗИ на базе адаптивных моделей.

В настоящее время адаптивные модели с использованием нейро-нечетких классификаторов чаще всего строятся в терминах теории нечетких множеств (Fuzzy Sets) и нечеткой логики (Fuzzy Logic) по следующей схеме ().

Рис. 4.3. Схема построения модели СЗИАдаптивность модели на базе нейронных сетей (НС) позволяет при ограниченных затратах на организацию системы ИБ обеспечить заданный уровень безопасности ИТ-системы за счет быстрой реакции системы на изменение поля угроз.

При этом очень важным качеством является возможность накопления и передачи опыта системой ЗИ. Распределенные поля нейро-четких и нейро-нечетких сетей аккумулируют знания в процессе развития защищаемой ИТ-системы, производят адаптацию к изменению поля угроз и эти знания могут передаваться в последующие версии ИТ-системы.

Так формируется процесс наследования.

Рис. 4.4. Схема нейро-нечеткого классификатораНа показана одна из возможных схем такого классификатора.

Обозначения здесь следующие:

— вектор угроз,

— вектор заключений о защищенности системы,

— совокупность формальных нейронов классификатора для выполнения операций композиции над нечеткими заключениями,

и

— нижняя и верхняя границы уровня угроз,

— совокупность весовых коэффициентов, описывающих веса связей между различными взаимодействующими нейронами классификатора. Обучение нейро-нечеткого классификатора на наборе

векторов известных угроз (обучающая выборка) выявляет и позволяет устранить из структуры нейронной сети незначащие связи (слабые неточные заключения в системы нечетких правил, имеющие минимальные веса).

Обучение такой НС в виде многослойной структуры с нечеткими связями не требует выполнения сложных математических расчетов, что позволяет снизить трудоемкость решения задачи обучения адаптивной СЗИ (). Рис. 4.5. Адаптивная модель СЗИ на базе нейронных сетей Рис. 4.6. Схема работы генетического алгоритмаМинимизацию ошибки в такой адаптивной системе, построенной на базе нейронных сетей, можно эффективно осуществлять с использованием генетических алгоритмов, где в качестве генов хромосомы используются векторы итерационно перевычисляемых весов связей, ассоциированных с входными значениями ().Основное назначение функциональной модели СЗИ — практическое обеспечение процесса создания системы ИБ за счет оптимизации принимаемых решений и выбора рационального варианта технической реализации ().

4.6. Схема работы генетического алгоритмаМинимизацию ошибки в такой адаптивной системе, построенной на базе нейронных сетей, можно эффективно осуществлять с использованием генетических алгоритмов, где в качестве генов хромосомы используются векторы итерационно перевычисляемых весов связей, ассоциированных с входными значениями ().Основное назначение функциональной модели СЗИ — практическое обеспечение процесса создания системы ИБ за счет оптимизации принимаемых решений и выбора рационального варианта технической реализации (). Рис. 4.7. Формирование требований к системе информационной безопасностиНа в общем виде представлена модель требований, на основании которых формируются спецификации и организационные меры для приобретения готовых решений или разработки программно-аппаратных средств, реализующих систему информационной защиты [Симонов С., 1999].Вне зависимости от размеров организации и специфики ее информационной системы, работы по обеспечению режима ИБ в том или ином виде должны содержать этапы, представленные на .

При этом важно не упустить каких-либо существенных аспектов.

Это будет гарантировать некоторый минимальный (базовый) уровень ИБ, обязательный для любой информационной технологии или информационной системы. Рис. 4.8. Основные этапы обеспечения информационной безопасностиДля обеспечения базового уровня ИБ используется упрощенный подход к анализу рисков, при котором рассматривается стандартный набор наиболее распространенных угроз безопасности без детальной оценки их вероятностей. Для нейтрализации угроз применяется типовой набор контрмер, а вопросы эффективности защиты рассматриваются в отдельных важных случаях.Подобный подход приемлем, если ценность защищаемых ресурсов с точки зрения организации не является чрезмерно высокой.Отметим объективные трудности, с которыми можно столкнуться при моделировании системы информационной защиты:

  • Эффективность и оптимальность определяются степенью учета ограничений, налагаемых СЗИ для конкретных ситуаций – в общем случае трудно сформировать модель, пригодную для всех возможных ситуаций, связанных с угрозами.
  • Трудность построения формальных моделей СЗИ определяется, в целом, неопределенностью условий функционирования ИС.
  • В связи с этим, задачи обеспечения безопасности вычислительных и информационных систем, как правило, не обладают свойством единственности решения.
  • Постановка задачи обеспечения защиты информации, часто оказывается некорректной, поскольку формулируется в условиях непредсказуемости поведения системы защиты в нестандартных и, особенно, экстремальных ситуациях.
  • Быстрое развитие информационных технологий заставляет пересматривать концепции и программы информационной защиты, что однозначно приводит к необходимости пересматривать текущие модели СЗИ.

Однако математическе и функциональное моделирование чрезвычайно важно и необходимо.

В результате моделирования получаем: оценку возможности реализации различных средств защиты информации в современных системах обработки данных; архитектуру системы защиты, согласованную с архитектурой ИС и информационной инфраструктурой предприятия; количественную оценку качества функционирования СЗИ; оценку экономической и практической эффективности реализуемой модели СЗИ.

Разработка систем информационной безопасности

Задача по разработке систем защиты информационной безопасности ставится перед компаниями всего мира, ведь объем и серьезность информационных угроз растет постоянно. Им подвергаются в большей степени государственные информационные системы (ГИС), АСУ ТП промышленных предприятий, банковские системы, базы операторов персональных данных.

Это порождает системный спрос на услуги компаний, способных предложить рынку качественный и эффективный программный продукт в области защиты информации.

На российском рынке услуг по разработке систем информационной безопасности представлены зарубежные и национальные решения, достаточно часто разработка таких систем обеспечения защиты информации начинается с нуля, под потребности заказчика. По данным на конец 2018 года, объем рынка разработки систем ИБ в России составил 79,5 миллиардов рублей, и он будет расти на 10 % ежегодно.

По данным на конец 2018 года, объем рынка разработки систем ИБ в России составил 79,5 миллиардов рублей, и он будет расти на 10 % ежегодно.

Рекомендуем прочесть:  Как узнать свой росстат

Основными заказчиками на рынке разработки систем ИБ становятся:

  1. организации среднего и крупного бизнеса, нуждающиеся в защите конфиденциальной информации.
  2. государственные организации, заинтересованные во внедрении комплексных систем ИБ, интегрирующихся в общегосударственную информационную систему;
  3. банки и финансовые организации;
  4. учреждения образования и здравоохранения;

Глобальные компании, такие как Газпром или НОВАТЭК, предпочитают создавать собственные команды разработчиков, привлекая аутсорсеров только для решения частных задач по построению системы защиты информации. Основой для роста рынка разработки становятся:

  1. направление на цифровизацию общества, в рамках проекта «Цифровая Россия» и его подпрограмм по борьбе с киберугрозами, в рамках которого предусмотрено развитие рынка средств информационной безопасности и создание нескольких крупных компаний-игроков мирового уровня.
  2. уточнение и конкретизация требований регуляторов;
  3. увеличение числа киберугроз;

Наибольший рост выручки показали компании:

  1. «Аквариус» –2,5 млрд;
  2. «Лаборатория Касперского», но данные по ней не вполне корректны: компания не выделяет в глобальной отчетности выручку на российском и зарубежном рынке, за 2018 год она заработала 45,5 миллиардов рублей;
  3. «Ланит» – 2,5 млрд руб.
  4. компания «Информзащита» 8 млрд руб.;
  5. ГК ICL – 4,2 млрд руб.;
  6. Softline получила 15,8 млрд руб., увеличив выручку на 7,5 %;
  7. «Крок» – 3,6 млрд руб.;
  8. «ИнфоТеКс» – 4,6 млрд руб.;

Основной особенностью рынка разработки средств защиты информации становится дефицит кадров у компаний – создателей программного обеспечения, сотрудники вымываются иностранным бизнесом и крупнейшими российскими корпорациями. Вторым серьезным вопросом становится недоработанность информационной базы в сфере разработки систем информационной безопасности и частая смена позиций и требований регуляторов.

На рынок в результате выводятся недоработанные и лоскутные продукты, не представляющие целостных систем защиты информации. Компании устанавливают не единое и готовое к отражению угроз решение, а несколько продуктов разного плана, сложно управляемых и конфликтующих между собой.

Это создает проблемы в части найма квалифицированного персонала и в части удорожания технической поддержки. Целостные решения по защите информации разрабатываются для государственных информационных систем по специальному техзаданию. Тренд на импортозамещение оказывается основным фактором, регулирующим рынок, иностранные производители постепенно уходят, государственным компаниям проще нанять отечественного разработчика, услуги которого примерно на 10-15 % дешевле.

На этом фоне «Ростелеком» предложил отдать под полный контроль государства разработку защитных технологий в сфере безопасности информации в Интернете. В рамках проекта стоимостью 260 млрд рублей предлагается развивать:

  1. платформу по сбору «цифрового следа» пользователя в Интернете;
  2. отечественные мессенджер, браузер и мобильную операционную систему (ОС).
  3. системы рекомендаций контента;

В рамках создания системы безопасности информации решаются задачи защиты населения от воздействия на него зарубежных средств манипуляции общественным сознанием. Задачей реализации программы становится не попытка ограничить распространение общественного мнения в стране, а подготовка к системному созданию проблем извне.

Большое значение защиты конфиденциальной информации побуждает государство регулировать ее разработку. В рамках федерального закона «Об информации, информатизации и средствах защиты информации» определены основные форматы государственного регулирования:

  1. контроль общественных отношений, связанных с поиском, передачей, распространением информации;
  2. развитие ИС различного назначения;
  3. обеспечение информационной безопасности детей.
  4. обеспечение безопасности Интернета, защиты информации от проникновения извне;

В рамках решения задачи по контролю разработки систем информационной безопасности и защиты конфиденциальной информации государство лицензирует деятельность по созданию систем защиты информации и организовывает их сертификацию. Эта функция обеспечивает бизнесу и гражданину понимание, какие средства защиты информации не имеют незадекларированных возможностей и обеспечивают наибольший уровень безопасности.

Технические требования к разработке систем защиты информации отражаются в ГОСТах, основой для создания которых становятся международные стандарты. Перечень лицензированных организаций и сертифицированных средств защиты можно найти на сайте ФСТЭК РФ, которому переданы полномочия по государственному регулированию в этой сфере. Среди растущих запросов в сфере разработки систем безопасности информации:

  1. системы защиты автоматизированных систем управления (АСУ) от внешнего проникновения в сеть и хищения содержащейся в них информации и вирусного заражения;
  2. средства мониторинга работоспособности сети.
  3. комплексные системы защиты ГИС;
  4. отечественные DLP- и SIEM-системы, обеспечивающие мониторинг инцидентов и защиту информационного периметра компании от утечек конфиденциальной информации;

Комплексная государственная политика в сфере защиты безопасности информации позволяет сертифицировать лучшие иностранные решения и содействовать разработке отечественных.

Каждый год на рынке появляются новые предложения от молодых и растущих компаний в сфере ИБ.

Среди интересных вариантов двух последних лет эксперты называют следующие. Программный продукт компании из Нидерландов считается одним из лучших в сфере защиты систем ICS и SCADA, отвечающих за качественную работу АСУ ТП. Он способен обнаружить внешние вторжения.

Продукт интегрируется с АСУ, а также используется на стыке между АСУ и офисными сетями для создания выделенных секторов безопасного обмена информацией. Если АСУ создана на основе открытых современных решений, ПО готово выполнить следующие функции:

  1. работать с АСУ, основанной на 13 открытых промышленных протоколах (Modbus TCP, Ethernet/IP, OPC DA/OPC AE, IEC 104, IEC 61850 (MMS, GOOSE, SV), ICCP, Synchrophasor, DNP3, BACnet, ProfiNet) и проприетарных протоколов: ABB (800xA, AC 800M, AC 800F), Siemens (Step7, Step 7+), Emerson (Ovation, DeltaV), Honeywell, Yokogawa (VNet/IP), Rockwell;
  2. инвентаризировать сеть, выявлять фактическое местонахождение подключенных к ней устройств, строить карту сети.
  3. передавать информацию в офисные SIEM-системы;
  4. выявлять незадекларированные протоколы передачи и получения информации, изменения в ПО или команды, переданные из неизвестного источника;
  5. выявлять инциденты информационной безопасности, инициированные инсайдерами;

Решение подойдет для промышленных предприятий, где АСУ ТП находится в зоне угроз. Еще один продукт, актуальный для производственных предприятий.

Создан в Германии, чья промышленность уже несколько лет страдает от постоянных атак хакеров и утечек информации. Это промышленный маршрутизатор с внедренной функцией межсетевого экрана.

Он помогает обезопасить удаленные подключения, контролирует сетевой трафик и осуществляет защиту периметра сети в децентрализованном режиме. Для российских промышленных предприятий, озабоченных защитой информации, преимуществом продукта окажутся:

  1. поддержка GPS/GLONASS, что актуально для движимых объектов в российском пространстве.
  2. возможность работы в режиме stealth;
  3. промышленное исполнение с установкой на DIN-рейку и расширенным диапазоном рабочих температур, а также морское исполнение;
  4. Отдача от решения вырастет если применять его в комплексе с другими продуктами, обеспечивающими безопасность информации.
  5. DPI промышленных протоколов (OPC, Modbus TCP);

ПО создано в Израиле и обеспечивает защиту от целевых (таргетированных) атак на информационную сеть компании.

Многофункциональное решение, в состав которого входят:

  1. средства размещения и управления сканерами работоспособности сети и decoy-токенами;
  2. система корреляции событий и групповой обработки инцидентов.
  3. антивирус, наиболее эффективно работающий с шифровальщиками;
  4. анализатор входящего и исходящего трафика информации;
  5. средства индивидуального запуска процессов («песочница»);

Решение полезно для организации мониторинга возникающих внутренних и внешних угроз и поможет выстроить комплексную модель безопасности. Оно позволяет реализовывать следующие стратегии защиты:

  1. ловушки, имитирующие различные ИТ-объекты (серверы, АРМ, SCADA-устройства, сетевое оборудование), при атаке злоумышленник оказывается в ситуации виртуального «минного поля».
  2. технология «сигнальной сети» для защиты ИС от эксплойтов нулевого дня и таргетированных атак (APT) без использования установленных на узлах сети программных агентов и сигнатур. Работает механизм путем размещения скрытых ловушек и приманок в системе, при атаке происходит оповещение службы безопасности и изоляция скомпрометированного устройства;

Эффективным решение окажется в структуре комплексной системы информационной безопасности компании, банка или финансовой организации как защита от направленных атак, слепых зон на стыке различных систем обеспечения ИБ. Оно может применяться для защиты АСУ ТП промышленных предприятий.

Продукт из Чехии за счет возможности внедрения всего за 8 недель и продвинутого механизма контекстной фильтрации информации. Продукт модульный, можно приобрести только один из модулей и, если потребуется, дальше усиливать защиту. Предлагаются модули:

  1. DLP.
  2. Auditor, регистрирует все действия персонала в отношении конфиденциальной информации;
  3. Supervisor, настроенный на повышение эффективности бизнес-процессов организации;

Продукт способен:

  1. отслеживать изменения в поведении и активности сотрудников и опасные тенденции в использовании конфиденциальной информации;
  2. выявлять атаки, построенные на основе способов социальной инженерии;
  3. контролировать мобильные устройства сотрудников, задействованные в корпоративной среде.

Американский продукт позволяет управлять учетными записями и хранить в зашифрованном виде «секреты» – сочетание логина, пароля и параметров подключения к сессии.

Функционал:

  1. по заданному графику меняет пароли и SHH-ключи (используются для идентификации клиента при подключении к серверу по SSH-протоколу).
  2. автоматически находит привилегированные учетные записи;

Есть модуль поведенческого анализа, дающий возможность строить графические взаимосвязи между пользователями и данными об учетных записях и выявлять отклонения в поведении пользователей, обладающих максимальным уровнем привилегий при использовании конфиденциальной информации. Для небольших компаний выпущена бесплатная версия с возможностью подключения до 25 пользователей.

В программном продукте реализована русскоязычная версия, техподдержка также осуществляется на русском языке. Программа легко инсталлируется и проста в использовании, это связано с желанием производителя продвинуть свой продукт на российском рынке.

ПО часто выпускает обновления, подстраиваясь под потребности пользователей в области защиты информации.

Созданный индийскими разработчиками продукт помогает защитить документооборот.

VDR/IRM-решение содержит модуль защиты документо и информациив, который работает не только в локальной сети предприятия, но и после загрузки документа на ноутбук или мобильное устройство пользователя. Контролирует использование прав доступа к документам вне зависимости от формы их представления. Совместный продукт программистов из США и Израиля.

Это аналитическое решение, позволяющее выявлять погрешности в управлении сетевой безопасностью и оптимизировать его. С его помощью можно настроить процесс управления уязвимостями ИТ-инфраструктуры.

Сертификация ФСТЭК РФ позволяет использовать продукт для защиты персональных данных и другой информации высокой степени конфиденциальности.

Среди наиболее интересных функций:

  1. выявление загруженности файрволов, изменение их настроек.
  2. автоматическое изменения настроек;
  3. построение карты сети со всеми объектами и подключениями, возможность моделирования изменения конфигурации;

Преимущество продукта – возможность видеть в режиме реального времени все, что происходит с узлами сети, контролировать все настройки, визуализировать карту сети. Программа способна поддерживать до 100 устройств одновременно. Информация о сетевых уязвимостях приходит из 25 источников, один из них – исследовательский центр разработчика в Израиле.

В классе Security Policy Management (Firewall Management) это одно из немногих сертифицированных ФСТЭК России иностранных программных решений по обеспечению безопасности информации.

Американское решение обеспечивает мониторинг работоспособности сети и инцидентов информационной безопасности. Система анализирует поведение пользователей и на основе отклонений делает выводы о наличии аномалий.

Программа не только найдет пользователя с поведением, похожим на намеренное посягательство на целостность и конфиденциальность информации, но и выявит направленные внешние атаки, определив их источник.

Модель работы системы защиты информации основывается на технологии анализа big data, при этом для анализа используются более 400 продуктов других разработчиков, социальные сети, неструктурированные данные.

Наиболее эффективным продукт будет для крупных компаний, он выявит инцидент информационной безопасности, предоставит данные, необходимые для его расследования и привлечения виновника к ответственности. Он сможет детектировать несанкционированное использование учетных записей администраторов, факт передачи паролей другим сотрудникам, иные варианты несанкционированного доступа в сеть и к защищенным данным.

Одно из успешных российских решений, направленное на одновременный:

  1. мониторинг работоспособности сети;
  2. контроль активности пользователей.
  3. выявление и блокировку сетевых атак;

Преимущества решения:

  1. контроль активности пользователей.
  2. мониторинг работоспособности узлов сети;
  3. защита сети, реализованная на высоком уровне, эффективная при стандартных атаках и целенаправленных, сложно сконструированных воздействиях;

Экономию ресурсов обеспечивает система защиты от ложных срабатываний на раннем этапе диагностирования.

В программу встроен механизм по анализу логики поведения пользователей.

Программа позволит защитить критически важные ресурсы от сетевых атак, легко интегрируется с сетевыми сканерами Syslog, SQL, SNMP, REST API. Есть готовые схемы для интеграции с HPE ArcSight, IBM Qradar, Splunk, Zabbix.

Еще один национальный продукт, гарантирующий защиту от внешних атак любого типа. Специализируется на выявлении атак с использованием ботнетов, имеет инструментарий по выявлению ботов по IP.

Станет успешным решением для защиты ресурсов, специализирующихся на электронной коммерции.

Бутиковые и частные решения по безопасности информации часто оказываются не менее эффективными, чем глобальные, если модель угроз, разработанная для организации, позволяет решать не общие задачи, а защищаться от специфических рисков.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+