Автоматизация построения системы защиты информации в соответствии с приказом ФСТЭК №21

в 8:48, , рубрики: информационная безопасность, приказ ФСТЭК № 21, системы защиты информации

Здравствуйте, уважаемые пользователи !

Хотелось бы поделиться с вами проектом автоматизированного построения системы защиты информации (СЗИ) в соответствии с Приказом ФСТЭК № 21.

Как все помнят, почти два года назад вступили в силу Приказы ФСТЭК № 17 и 21, описывающие меры по обеспечению безопасности в ГИС и ИСПДн соответственно. С тех пор мы начали проводить работу по анализу данных документов в рамках курсовых работ с целью разработки алгоритма построения СЗИ и последующей его автоматизацией в дипломном проекте.

Автоматизация построения системы защиты информации в соответствии с приказом ФСТЭК №21 - 1

Проблематика

Рассмотрим цепочку связей:

Автоматизация построения системы защиты информации в соответствии с приказом ФСТЭК №21 - 2
  • После публикации вышеупомянутых приказов мало кто из компаний-разработчиков провел соответствие между предъявляемыми мерами и функциями разработанных/выпускаемых СрЗИ, которые эти меры «закрывают»;
  • Как следствие, интеграторы зачастую стали творчески подходить к проведению собственного соответствия при нейтрализации актуальных угроз безопасности ПДн;
  • При построении СЗИ специалистам (с небольшим опытом внедрения СрЗИ) достаточно тяжело оценить эффективность внедряемых средств с учетом требований Приказа ФСТЭК № 21 для конкретной ИСПДн.

Именно эти проблемные аспекты и побудили нас разработать проект автоматизированного построения СЗИ ИСПДн, цель которого – создать информационный/рекомендательный ИБ-ресурс, который поможет студентам и начинающим специалистам грамотно подходить к вопросу формирования СЗИ или оценки ее эффективности.

Автоматизация алгоритма

В чем же суть работы нашего автоматизированного алгоритма? С учетом исходных данных об информационной системе на входе:

  • уровень защищенности ИСПДн (определяет базовый набор мер по обеспечению безопасности ПДн);
  • структурно-функциональные характеристики (адаптируют базовый набор мер);
  • уже внедренные в ИСПДн СрЗИ;
  • необходимость технической поддержки,

получить перечень СрЗИ на выходе, функционал которых полностью компенсируют предъявляемые требования к ИСПДН.

Причем набор средств в перечне может варьироваться в зависимости от:

  • ценовой политики (наименьшая суммарная стоимость всех СрЗИ среди всевозможных комбинаций);
  • ограниченности «зоопарка» средств (перечень с наименьшим количеством СрЗИ);
  • рандомной выборки.

Автоматизация построения системы защиты информации в соответствии с приказом ФСТЭК №21 - 3

Для автоматизации алгоритма необходима база данных сертифицированных СрЗИ и их соответствий с мерами Приказа. За основу был взят Государственный реестр сертифицированных СрЗИ (который легко можно найти на сайте ФСТЭК России). Первоначально из него были выбраны наиболее распространенные СрЗИ, а затем отсеяны средства с истекшим сроком действия сертификата ФСТЭК.

Далее возникла проблема экспертной оценки функционала всех оставшихся СрЗИ с конкретными мерами. Мы запрашивали соответствующую информацию у разработчиков, прибегали к помощи специалистов, имеющих опыт работы в интеграторе. В итоге проведенная экспертная оценка, на наш взгляд, все равно имеет погрешности.

Стоит заметить, что алгоритм предусматривает нейтрализацию угроз НСД как выбранной сертифицированной ОС, так и наложенными средствами.

На этапе формирования перечня СрЗИ параллельно идет подсчет суммарной стоимости внедрения СЗИ, которая складывается из стоимости лицензии каждого средства на определенное количество хостов плюс техническая поддержка.

Стоимость внедрения рассчитывается индивидуально для каждого СрЗИ на основе введенных пользователем данных и таблиц базы данных.

Автоматизация построения системы защиты информации в соответствии с приказом ФСТЭК №21 - 4

На скриншоте показана таблица ценников для СрЗИ.

  • Как видно на примере, стоимость покупки единицы лицензии будет обходиться в 1800 у.е.
  • Покупка лицензии на 15 хостов, в соответствии с таблицей, обойдется в 1600 у.е. и т.д.
  • Стоимость технической поддержки продукта на 1 год обойдется в 25000 у.е.

Итак, по завершению работы алгоритма получаем 3 варианта набора СрЗИ. Например:

Автоматизация построения системы защиты информации в соответствии с приказом ФСТЭК №21 - 5
Первый модуль. Наименьшая цена

Автоматизация построения системы защиты информации в соответствии с приказом ФСТЭК №21 - 6
Второй модуль. Наименьшее количество СрЗИ в системе

Автоматизация построения системы защиты информации в соответствии с приказом ФСТЭК №21 - 7
Третий модуль. Рандом

В идеале, мы рассчитываем усовершенствовать наш проект, получив отклик от компаний-разработчиков на тему адекватности соответствия их продуктов с информацией в базе данных.

Заключение

На этом, пожалуй, всё. Мы постарались раскрыть ключевые моменты проекта автоматизированного построения СЗИ в соответствии с Приказом ФСТЭК № 21. Надеемся, получилось не слишком затянуто.

Так как проект достаточно «сырой», приветствуются любые ваши комментарии, пожелания и, конечно, конструктивная критика.

Благодарю за внимание!

Автор: danleks

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js