Здравствуйте, уважаемые пользователи !
Хотелось бы поделиться с вами проектом автоматизированного построения системы защиты информации (СЗИ) в соответствии с Приказом ФСТЭК № 21.
Как все помнят, почти два года назад вступили в силу Приказы ФСТЭК № 17 и 21, описывающие меры по обеспечению безопасности в ГИС и ИСПДн соответственно. С тех пор мы начали проводить работу по анализу данных документов в рамках курсовых работ с целью разработки алгоритма построения СЗИ и последующей его автоматизацией в дипломном проекте.
Проблематика
Рассмотрим цепочку связей:
- После публикации вышеупомянутых приказов мало кто из компаний-разработчиков провел соответствие между предъявляемыми мерами и функциями разработанных/выпускаемых СрЗИ, которые эти меры «закрывают»;
- Как следствие, интеграторы зачастую стали творчески подходить к проведению собственного соответствия при нейтрализации актуальных угроз безопасности ПДн;
- При построении СЗИ специалистам (с небольшим опытом внедрения СрЗИ) достаточно тяжело оценить эффективность внедряемых средств с учетом требований Приказа ФСТЭК № 21 для конкретной ИСПДн.
Именно эти проблемные аспекты и побудили нас разработать проект автоматизированного построения СЗИ ИСПДн, цель которого – создать информационный/рекомендательный ИБ-ресурс, который поможет студентам и начинающим специалистам грамотно подходить к вопросу формирования СЗИ или оценки ее эффективности.
Автоматизация алгоритма
В чем же суть работы нашего автоматизированного алгоритма? С учетом исходных данных об информационной системе на входе:
- уровень защищенности ИСПДн (определяет базовый набор мер по обеспечению безопасности ПДн);
- структурно-функциональные характеристики (адаптируют базовый набор мер);
- уже внедренные в ИСПДн СрЗИ;
- необходимость технической поддержки,
получить перечень СрЗИ на выходе, функционал которых полностью компенсируют предъявляемые требования к ИСПДН.
Причем набор средств в перечне может варьироваться в зависимости от:
- ценовой политики (наименьшая суммарная стоимость всех СрЗИ среди всевозможных комбинаций);
- ограниченности «зоопарка» средств (перечень с наименьшим количеством СрЗИ);
- рандомной выборки.
Для автоматизации алгоритма необходима база данных сертифицированных СрЗИ и их соответствий с мерами Приказа. За основу был взят Государственный реестр сертифицированных СрЗИ (который легко можно найти на сайте ФСТЭК России). Первоначально из него были выбраны наиболее распространенные СрЗИ, а затем отсеяны средства с истекшим сроком действия сертификата ФСТЭК.
Далее возникла проблема экспертной оценки функционала всех оставшихся СрЗИ с конкретными мерами. Мы запрашивали соответствующую информацию у разработчиков, прибегали к помощи специалистов, имеющих опыт работы в интеграторе. В итоге проведенная экспертная оценка, на наш взгляд, все равно имеет погрешности.
Стоит заметить, что алгоритм предусматривает нейтрализацию угроз НСД как выбранной сертифицированной ОС, так и наложенными средствами.
На этапе формирования перечня СрЗИ параллельно идет подсчет суммарной стоимости внедрения СЗИ, которая складывается из стоимости лицензии каждого средства на определенное количество хостов плюс техническая поддержка.
Стоимость внедрения рассчитывается индивидуально для каждого СрЗИ на основе введенных пользователем данных и таблиц базы данных.
На скриншоте показана таблица ценников для СрЗИ.
- Как видно на примере, стоимость покупки единицы лицензии будет обходиться в 1800 у.е.
- Покупка лицензии на 15 хостов, в соответствии с таблицей, обойдется в 1600 у.е. и т.д.
- Стоимость технической поддержки продукта на 1 год обойдется в 25000 у.е.
Итак, по завершению работы алгоритма получаем 3 варианта набора СрЗИ. Например:
Первый модуль. Наименьшая цена
Второй модуль. Наименьшее количество СрЗИ в системе
Третий модуль. Рандом
В идеале, мы рассчитываем усовершенствовать наш проект, получив отклик от компаний-разработчиков на тему адекватности соответствия их продуктов с информацией в базе данных.
Заключение
На этом, пожалуй, всё. Мы постарались раскрыть ключевые моменты проекта автоматизированного построения СЗИ в соответствии с Приказом ФСТЭК № 21. Надеемся, получилось не слишком затянуто.
Так как проект достаточно «сырой», приветствуются любые ваши комментарии, пожелания и, конечно, конструктивная критика.
Благодарю за внимание!
Автор: danleks