автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Модель и метод логического контроля использования стандартов информационной безопасности в критически важных системах информационно-телекоммуникационной инфраструктуры

□□3468758

На правах рукописи

шо

Павлютенков Артем Александрович

Модель и метод логического контроля использования стандартов йнформационной безопасности в критически важных системах информационно-телекоммуникационной инфраструктуры

Специальность 05.13.19 Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург

2009 1 П '?

003468758

УДК.681.3.51 ./6.42

Работа выполнена на кафедре «Безопасные информационные технологии» Санкт-Петербургского государственного университета информационных технологий, механики и оптики (СПб ГУ ИТМО).

Научный руководитель: Официальные оппоненты:

Ведущая организация:

Доктор технических наук, профессор Осовецкий Леонид Георгиевич Доктор технических наук, профессор Воробьев Владимир Иванович Кандидат технических наук Звонов Денис Валерьевич Управление Федеральной Службы по Техническому и Экспортному Контролю Северо-Западного Федерального Округа

Защита состоится "19" мая 2009г. в 15 часов 50 минут на заседании диссертационного совета Д212.227.05 при Санкт-Петербургском Государственном университете информационных технологий, механики и оптики, по адресу: 197101, Санкт-Петербург, пр. Кронверкский, д. 49.

С диссертацией можно ознакомиться в библиотеке СПб ГУ ИТМО.

Автореферат разослан "17" апреля

2009г.

Ученый секретарь Диссертационного совета Д 212.227.05

кандидат технических наук, доцент ^

'Со

(Х-

Поляков В.И.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

АКТУАЛЬНОСТЬ ТЕМЫ ИССЛЕДОВАНИЯ

Цель настоящей исследовательской работы состояла в совершенствование методического обеспечения мероприятий по обеспечению безопасности информации (ОБИ) в критически важных системах информационно-телекоммуникационной инфраструктуры (КВСИИ) государства в условиях динамичного изменения угроз.

Необходимость и актуальность данной работы обусловлена следующим.

За последние годы в Российской Федерации реализован комплекс мер в интересах обеспечения гармонизации требований по ОБИ КВСИИ и конкурентоспособности этих требований.

Вместе с тем в настоящее время практически отсутствуют какие-либо методические документы в области использования стандартов информационной безопасности при оценке ОБИ.

В связи с изложенным, в работе были поставлены следующие задачи:

1. Научный анализ и обоснование эффективного использования методологии ИСПОЛЬЗОВАНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ в интересах ОБИ КВСИИ.

2. Обоснованные модели ИСПОЛЬЗОВАНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

3. Методики ИСПОЛЬЗОВАНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ в интересах оценки ОБИ КВСИИ.

Разработка общей методики функционального анализа стандартов информационной безопасности проводилась с целью обеспечения теоретических положений, методологии и методов системы организационно-технологического управления конкурентоспособностью ОБИ КВСИИ, направленных на достижение технологического превосходства над конкурентами, на основе установления системотехнических связей между техническим, технологическим, информационным и инновационным секторами системы ОБИ КВСИИ и организационно-технического упорядочивания ее информационного пространства, обеспечивающего создание и проектирование системы обеспечения безопасности информации на критически важных объектах информа-

ционно-телекоммуникационной инфраструктуры государства в условиях динамичного изменения угроз.

Данные по прогнозированию ожидаемой динамики изменения поля угроз КВСИИ приведены в виде иллюстраций по аспектам анализа на рисунках в приложении А (Источник - статистические данные фирмы ISS-IBM).

Основой разработки методики является построение бизнес-модели процесса оценки информационных технологий по стандарту ИСПОЛЬЗОВАНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (ГОСТ Р ИСО/МЭК 15408 ). Бизнес-модель в виде иерархии диаграмм потоков данных (DFD) является полным визуальным структурированным представлением действий разработчика и оценщика, а также состава, структуры, происхождения и назначения документов оценки. При моделировании использовались тексты Российского и международного стандартов, нормативно-методические документы ФСТЭК.

Рабочая версия модели строится и сопровождается в формате CASE инструмента AllFusion Process Modeler (BPwin). Вместе с бизнес-моделью предлагаются шаблоны и методики, позволяющие с помощью стандартных средств генерации отчетов поддерживать различные практические задачи процесса оценки, включая подготовку, согласование и контроль конфигурации свидетельств оценки, бизнес планирование работ, согласование ОУД и т. д.

Предложенная методология разработана с целью ее использования в практической деятельности по оценке ОБИ КВСИИ, организационные системы которых ставят перед собой цель обеспечения конкурентоспособной ОБИ и достижения ее технологического превосходства.

В качестве инновационных аспектов обеспечивающих конкурентоспособность

системы ОБИ КВСИИ определены следующие расширения классов ИСПОЛЬЗОВАНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, поддержанные инструментально-

технологическими средствами:

- Логический контроль использования ИСПОЛЬЗОВАНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ для обеспечения безопасности информации в критически важных системах информационно-телекоммуникационной инфраструктуры государства в условиях динамичного изменения угроз.

Разработка системы функциональных моделей оценки состояния ОБИ в КВСИИ проводилась в соответствии с указанными целями.

Построение и сопровождение полного визуального структурированного представления содержания и документооборота бизнес-процессов оценки КВСИИ в виде стандартизованной (IDEFO, DFD) формальной модели с помощью классического программного средства (BPwin) минимизирует затраты на сопровождение и актуализацию при сохранении полноты.

Использование стандартных средств генерации отчетов BPwin позволяет получить широкий спектр настраиваемых по желанию пользователя представлений модели в бизнес-форматах (html, приложения MS Office), то есть позволяет легко работать с моделью пользователю, не имеющему специальной подготовки. Кроме того, модель может использоваться в качестве учебно-справочной системы.

Целевая группа пользователей системы охватывает весь ролевой диапазон участников процесса оценки: специалистов по информационной безопасности, сотрудников испытательных лабораторий и центров сертификации, сотрудников фирм-разработчиков и организаций-пользователей КВСИИ, заявителей и спонсоров оценки.

Как уже отмечалось, в качестве инновационных аспектов обеспечивающих конкурентоспособность

системы ОБИ КВСИИ разработана модель расширения классов ИСПОЛЬЗОВАНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ:

Модель логического контроля использования ИСПОЛЬЗОВАНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ для обеспечения безопасности информации в критически важных системах информационно-телекоммуникационной инфраструктуры Государства в условиях динамичного изменения угроз.

ЦЕЛЬ РАБОТЫ. Целью диссертационной работы является разработка модели и метода логического контроля использования стандартов информационной безопасности и расширения классов информационной безопасности для обеспечения корректности, адекватности и конкурентоспособности ОБИ КВСИИ Российского государства.

Поставленная цель исследования обуславливает необходимость решения следующих основных задач:

1. Провести анализ использования стандартов информационной безопасности для ОБИ КВСИИ России для установления су-

шествующих и перспективных подходов к вопросам оценки уровня информационной безопасности КВСИИ;

2. Определить концепцию использования стандартов для оценки ОБИ КВСИИ;

3. Разработать технологический автоматизированный программный комплекс для подцержки процедуры эффективного использования стандартов.

В соответствии с целями и задачами диссертационного исследования определены его предмет и объект.

ПРЕДМЕТОМ ИССЛЕДОВАНИЯ диссертационной работы является комплекс вопросов, связанный с разработкой концепции автоматизированного технологического логического контроля использования стандартов ОБИ КВСИИ, расширения классов оценки состояния информационной безопасности российского сегмента КВСИИ.

В качестве ОБЪЕКТА ИССЛЕДОВАНИЯ выступают задания на создание систем безопасности КВСИИ и профили их защиты в современной терминологии стандартов по безопасности КВСИИ.

МЕТОДЫ ИССЛЕДОВАНИЯ.

При решении поставленных задач использованы: методы статистического моделирования систем, фактографические методы оценки защищенности систем, теория графов, множеств и теория программирования.

НАУЧНАЯ НОВИЗНА.

1. Новая научная концепция достижения конкурентоспособности и эффективности ОБИ КВСИИ России, особенностями которой являются обеспечение объективности, достоверности, точности результатов и легальности используемых методов.

2. Новый метод логического контроля использования многофакторных оценок использования стандартов ОБИ КВСИИ , позволяющий автоматизировано , на основе анализа открыто предоставляемой информации, определить использование безопасных информационных технологий для защиты информационных ресурсов.

3. Новая модель автоматизированного использования стандартов информационной безопасности , позволяющая проводить анализ ОБИ и повышающая эффективность их использования , сокращающая трудоемкость применения.

ТЕОРЕТИЧЕСКАЯ ЗНАЧИМОСТЬ предлагаемого в работе подхода заключается в возможности оценки степени эффективности, конкурентоспособности систем ОБИ КВСНИ государства. Такая оценка характеризует «защищенность» выбранной системы ОБИ КВСИИ, а использование логического контроля позволяет сократить трудоемкость оценок уровня защищенности.

ПРАКТИЧЕСКАЯ ЦЕННОСТЬ модели и методов логического контроля использования стандартов информационной безопасности и их оценки заключается в возможности качественного анализа прогресса в обеспечении информационной безопасности КВСИИ государства.

Материалы диссертации могут быть использованы при разработке методических материалов для учебного процесса в вузах соответствующего профиля. Основные из них могут быть использованы в преподавании курсов «Защита информации и Интернет», «Корпоративные компьютерные сети». .

ПУБЛИКАЦИИ. По материалам диссертации опубликовано .7. печатных работ.

АПРОБАЦИЯ РАБОТЫ. Основные положения и результаты диссертационной работы докладывались и обсуждались на XXXIII научной и учебно-методической конференции Санкт-Петербургского Государственного университета информационных технологий, механики и оптики (СПб ГУ ИТМО), 1-й конференции молодых ученых СПб ГУ ИТМО, международной научно-практической конференции «Актуальные проблемы безопасности информационного пространства» в выставочном комплексе «Ленэкспо» (г. Санкт-Петербург), 8-м международном научно-практическом семинаре «Защита и безопасность информационных технологий» (СПб ГУ ИТМО).

НАУЧНЫЕ ПОЛОЖЕНИЯ ДИССЕРТАЦИИ. ВЫНОСИМЫЕ НА ЗАЩИТУ.

1. Концепция логического контроля использования стандартов информационной безопасности ОБИ КВСИИ.

2. Метод и методика логического контроля.

3. Модель автоматизированного логического контроля использования стандартов информационной безопасности.

СТРУКТУРА И ОБЪЕМ ДИССЕРТАЦИИ.

Диссертация состоит из введения, четырех глав, заключения и списка литературы. Материал изложен на 0?страницах машинописного текста, содержит 27 рисунков и 4 таблицы, список литературы состоит из 38 наименования.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ.

Во введении обосновывается актуальность темы диссертационного исследования, определяется степень разработанности проблемы, формулируются цель и задачи исследования, излагаются положения, выносимые на защиту и элемента научной новизны.

В первой главе представлен аналитический обзор исследований, связанных с использованием стандартов информационной безопасности для оценки ОБИ КВСИИ , в том числе зарубежных международных стандартов , внедрение которых диктуется проблемами связанными с вступлением России в ВТО, определены преследуемые ими цели, выявлены достоинства и недостатки, а также обоснованы факторы, приводящие к необходимости расширения классов ОБИ и использования автоматизации при анализе защищенности.

С учетом изложенной проблемы в данной главе рассмотрены проведенные, текущие и перспективные исследования и методики, связанные с оценкой защищенности, контролем безопасности, предупреждением и противодействием атакам на КВСИИ. Информация обо всех рассмотренных исследованиях получена из открытых печатных источников и КВСИИ. Рассмотрены исследования, проведенные и планируемые специалистами и организациями ряда ведущих зарубежных стран и нашей страны. Анализ выявил, что большинство исследований носят коммерческий характер, что сказывается на объективности полученных результатов. Также не всегда используется автоматизированные технологические методы, что снижает достоверность результатов. Обзор показал, что правительства и силовые структуры развитых зарубежных стран в последние годы инициировали ряд перспективных исследований, направленных на изучение вопросов, связанных с обеспечением информационной безопасности КВСИИ.

Также отмечено, что исследования состояния безопасности информационно-телекоммуникационных систем РФ не проводились, и

нет публичных сведений об их планировании. Устранить отсутствие сравнительных исследований информационной безопасности КВСИИ России в соответствие с политикой государства в этой сфере, призвана предложенная в данной диссертационной работе концепция, включающая модель и методы логического автоматизированного контроля оценки защищенности КВСИИ. Во второй главе дано определение концепции автоматизированного логического контроля и оценки защищенности . Разработаны статистическая модель логического контроля, разработан метод оценки защищенности КВСИИ, предложен метод автоматизированного логического контроля защищенности КВСИИ.

Цель концепции - определение моделей, методов и средств автоматизированного логического контроля и оценки актуального и объективного состояния защищенности КВСИИ и в ее отдельных сегментах.

В концепции автоматизированного логического контроляи оценки защищенности КВСИИ декларируются научно-технические принципы построения моделей и методов автоматизированного логического контроля оценки защищенности КВСИИ, с учетом современных тенденций развития сетевых телекоммуникационных технологий и средств защиты информации.

Главными отличительными характеристиками концепции являются объективность, достоверность, точность результатов и легальность используемых методов. Объективность исследования обоснована использованием автоматизированных методов проведения исследования, имеющих ряд преимуществ перед экспертными. Для этого исследование поддерживается инструментально. Точность и достоверность полученных результатов оценивается применением аппарата математической статистики. Легальность исследования обеспечивается путем разработки метода определения защищенности исследуемых КВСИИ на основе анализа открыто предоставляемой информации. Информация о средствах защиты КВСИИ, задействованных в исследовании, является конфиденциальной. Требование анонимности необходимо, чтобы данные о средствах защиты определенных КВСИИ не попали в руки злоумышленников.

Учитывая большое количество соотношений между требованиями, при которых требования, от которых зависят другие требования, должны быть, как правило, удовлетворены, чтобы и другие, требования могли бы отвечать своим целям, был разработан комплекс логического контроля использования стандартов информационной безопасности, который позволяет осуществлять проверку достаточности

логического использования функциональных компонентов и компонентов доверия для формального написания профиля защиты (задания по безопасности).

Рис. 1. Общее процентное содержание ошибок в ГО и относительная стоимость корректировки ошибок, выявленных на различных этапах разработки.

При анализе общего процентного количества ошибок, обнаруженных на различных этапах разработки ПЗ (ЗБ) (рис. 1), выявлялось до 25% всех ошибок (процесс автономной отладки (этап 5)). Основное количество ошибок (50—60%) устранялась при комплексной отладке (этап б), и этот этап оказался самым продолжительным. Уровень ошибок, выявленных при испытаниях (этап 7), составил 20-30%. Доля ошибок, зафиксированных в процессе опытной эксплуатации (этап 8), около 5% от их общего количества. Характерной особенностью процесса выявления ошибок в ПЗ (ЗБ) на различных этапах их разработки является значительное увеличение относительной стоимости корректировки ошибок на заключительных этапах отладки, а особенно в процессе эксплуатации. Относительная стоимость Со корректировки ошибок в ПЗ (ЗБ) (рис. 1) значительно дешевле с использованием средств логического контроля.

РА11 СЕЫ.1 Ш йЕИ^ РАи 8АА.1

рдизтвч

РСО №0.1 РСО N1*0.2 РС01Ш1 РСО Ш.2

АРЕ СШ АРЕ Е№М АРЕ №.1 АРЕ 0М.1 АРЕ ЯЕ0.1 АРЕ ЭЯЕ.!

МЛА АМР.1 АМА САП АМА В/0.1 АМА С1А.1 АМАС1А2

Рис. 2 - Функциональная модель логического контроля

Моделирование проводится с точки зрения разработчика профиля защиты (задания по безопасности). Модель содержит структурированное графическое представление классов требований безопасности. Основная цель моделирования - это представление для разработчика, разрабатывающего профиль защиты (задание по безопасности), ключевой системы классов требований стандартов информационной безопасности, а также контроль их логического использования.

На сегодняшний день стандарты информационной безопасности содержат 21 класс требований безопасности, но недостающим звеном в этой цепи является отсутствие класса проверки правильности написания профиля защиты (задания по безопасности. Введение нового класса логического контроля инструментально-технологическими средствами приведет к обеспечению целостности, корректности и исключению ошибок, а также экономии времени при разработке нормативных документов.

Данная модель используется при проверке целостности написания профиля защиты (задания по безопасности). Использование данной модели позволяет определить недостающие функциональные компоненты и компоненты доверия.

Отметив те семейства, которые были выбраны для профиля защиты (задания по безопасности), разработчик определяет правильно ли и достаточно ли он определил свой набор требований безопасности, который является наименьшим выбираемым набором требований безопасности.

Класс Ь. Логический контроль

Класс Ь содержит одно семейство, связанное с уверенностью в правильности и достаточности выбора функциональных компонентов и компонентов доверия при разработке профиля защиты ( задания по

Рис. 3 - Декомпозиция класса "Логический контроль"

безопасности). Это семейство обеспечивает, что разработчик документа сможет проверить свой документ на его достаточность и логичность в выборе компонентов.

Достаточность выбранных компонентов (1__0) Характеристика семейства

Логический контроль необходимо осуществлять на протяжении всего процесса разработки документа. Семейство предназначено для проверки достаточности выбора функциональных компонентов и компонентов доверия.

Ранжирование компонентов

Ь БЛ "Достаточность выбора" содержит требование, чтобы разработчик соблюдал все зависимости для каждого выбранного класса.

Управление: Ь_р.1

Действия по управлению не предусмотрены.

Аудит: Ь_0.1

Если в ПЗ/ЗБ включено семейство РАи_ОЕЫ «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а) Минимальный: успешная генерация свидетельства правильности.

б) Базовый: неуспешная генерация свидетельства правильности,

в) Детализированный: идентификатор субъекта, который запросил свидетельство.

1 Избирательное доказательство получения

Иерархический для: Нет подчиненных компонентов.

Ъ_р.1.1 ФБО должны быть способны генерировать свидетельство проверки при анализе документа,

Зависимости: нет

Отсутствие модели логического контроля в стандартах информационной безопасности не позволяет специалистам по защите информации использовать проверки достаточности и необходимости полноты компонентов.

Основными преимуществами модели логического контроля использования стандартов информационной безопасности являются:

- Полная проверка достаточности совокупности требований безопасности информационных технологий.

- Полная проверка необходимости совокупности требований безопасности информационных технологий.

- Четкое разделение требований безопасности на функциональные требования и требования доверия к безопасности. Функциональные требования относятся к функциям безопасности (идентификация, аутентификация, управление доступом, аудит и т.д.), а требования доверия - к технологии разработки, тестированию, анализу уязвимостей, поставке, сопровождению, эксплуатационной документации, то есть ко всем этапам жизненного цикла изделий информационных технологий.

- Систематизация и классификация требований по иерархии "класс" - "семейство" - "компонент" - "элемент" с уникальными идентификаторами требований, что обеспечивает удобство использования.

- Ранжирование компонентов требований в семействах и классах по степени полноты и жесткости, а также их группирование в пакеты функциональных требований и оценочные уровни доверия.

- Гибкость и динамизм в подходе к заданию требований безопасности для различных типов изделий информационных технологий и условий их применения, обеспечиваемые путем целенаправленного формирования необходимых наборов требований в виде определенных в ОК стандартизованных структур (профилей защиты и заданий по безопасности).

- Открытость для последующего наращивания совокупности требований.

Введение модели логического контроля использования стандартов информационной безопасности позволяет получить следующие результаты:

1. Позволяет использовать имеющиеся результаты и методики оценок, с возможностью дополнения компонентов.

2. Логический контроль определяет дополнительный набор понятий и структур данных для формулирования вопросов и утверждений относительно безопасности критически-важных систем в информационно-телекоммуникационной инфраструктуре.

3. Требования, содержащиеся в стандартах информационной безопасности и проходящие логический контроль, могут также использоваться при выборе подходящих средств обеспечения безопасности критически-важных систем в информационно-телекоммуникационной инфраструктуре. Потенциальные пользователи систем, опираясь на результаты логического контроля, могут определить удовлетворяет ли данный программный продукт или система их требованиям безопасности.

4. Кроме этого, стандарты информационной безопасности дополняют существующие критерии, вводя новые концепции и уточняя содержание имеющихся.

В третьей главе описан моделирующий инструментально-технологический комплекс «логический контроль»

Задачи, решаемые комплексом:

1) Контроль порядка использования стандартов информационной безопасности в КВСИИ государства;

2) Формирование рекомендаций по использованию стандартов информационной безопасности в КВСИИ государства при решении конкретных задач.

3.1. Использованные средства разработки

При разработке программного комплекса были использованы следующие лицензионные программные средства:

1. Borland С++ Builder 6.0 Enterprise Edition

2. Install Shield Express for С++ Builder 5.0

3. Borland InterBase5

Минимальные: Windows 98SE/ME/2000/XP/2003, Pentium I 133 МГц, ОЗУ 16,10 Мб свободного места на жестком диске.

Choose Dost mat юг» Location

Setup will install in the following directory.

To install to this director, click Next

To install to a different directory, click 8rowse and select another directory.

You can choose not to instill by clicking Cancel to exit Setup.

Destination Directory C:\Pmgiarn Ffes\

Рис. 4 - Установка пути программы

В четвертой главе представлены результаты экспериментальных исследований в рамках первого, второго и частично третьего этапов автоматизированного логического контролявне государственного и российского сегмента КВСИИ. Исследования проводились в период с июля по август 2003 года и с июля по август 2004 года согласно разработанной концепции с использованием разработанного программного комплекса. Полученные результаты позволили произвести анализ текущей ситуации на момент исследования в области использования безопасных информационных технологий в исследуемых сегментах и анализ изменений, произошедших за 2003-2004 годы. Объяснение результатов были получено с помощью экспертов по экономической безопасности.

В заключении диссертации изложены основные выводы, обобщения и предложения, вытекающие из логики и результатов исследования.

ОСНОВНЫЕ ВЫВОДЫ И РЕЗУЛЬТАТЫ РАБОТЫ

1. Разработана новая концепция автоматизированного логического контроляи оценки защищенности КВСИИсети Интернет, позволяющая оценить и прогнозировать среднюю защищенность КВСИИ и ее отдельных сегментов.

2. Разработан метод оценки защищенности веб-сайтов, который, в отличие от известных подходов, позволяет легальными способами, на основе анализа открыто предоставляемой информации, определить использование на сайте средств для защиты его информационных ресурсов.

3. Разработана модель сегмента сети Интернет, отличающаяся от известных тем, что позволяет исследовать защищенность любого выбранного сегмента и значительно сократить время проведения исследования путем анализа не всех КВСИИв исследуемом сегменте, а только их выборочной совокупности с возможностью оценки ошибки эксперимента.

4. Разработан метод автоматизированного логического контроля-защищенности КВСИИсети Интернет, позволяющий оценивать распространенность защищенных информационных технологий в и ее сегментах.

5. Разработан программный инструментально-моделирующий комплекс, решающий задачи формирования выборочной совокупности по заданному сегменту и анализа защищенности КВСИИв заданной выборочной совокупности.

6. Проведено исследование защищенности КВСИИроссийского и внегосударственного сегментов в 2003-2004 гг. Впервые определены наиболее защищенные информационные категории КВСИИотечественного сегмента сети Интернет. Представлено объяснение полученных результатов с позиции современной экономической ситуации в России.

7. Результаты автоматизированного логического контроляпод-твердили тенденцию увеличения защищенности российского и внегосударственного сегментов сети Интернет. За период с 08.2003 г. по 08.2004 г. в обоих исследуемых сегментах число защищенных КВСИИ выросло на 3%. Это объективное подтверждение того, что внимание к вопросам защиты интернет-ресурсов возрастает и в мире, и в России.

8. Результаты автоматизированного логического контроляпоказа-ли, что в российском сегменте Интернета безопасные информационные технологии на веб-сайтах пока используются в 3 раза меньше,

чем во внегосударственном сегменте. Однако этот разрыв зг исследуемый период имеет тенденцию к сокращению.

Публикации по теме диссертации:

1. Павлютенков A.A., Суханов A.B. Подходы к организации управления базовыми свойствами информационных систем// Журнал научных публикаций аспирантов и докторантов, № 10, октябрь 2008 г. (г. Курск), стр. 196199.

2. Павлютенков A.A., Суханов A.B. Представление знаний в адаптивных средствах мониторинга информационных систем // Журнал «Защита информации. Инсайд», № 4, июль-август 2008 г. (г. Санкт-Петербург), стр. 64-68.

3. Сидоров А.О., Торшенко Ю.А., Павлютенков А.А., Осо-вецкий Л. Г. Разработка методики структурированной оценки риска //Научно-технический вестник СПбГУ ИТМО № 55 2008 г., Санкт-Петербург, стр. 108-110.

4. Вяхирев A.A., Павлютенков A.A. Метод прогнозирования результатов многосубъекговой конкуренции в информационных технологиях // Научно-технический вестник СПбГУ ИТМО № 55 2008 г., Санкт-Петербург, стр. 104-107.

Тиражирование и брошюровка выполнены в Центре "Университетские Телекоммуникации". Санкт-Петербург, Кронверкский пр., 14 Тел. (812) 233-46-69. Лицензия ПДЛ №69-182 от 26.11.96 Тираж 100 экз.

Введение

Глава 1.

Глава 2.

2.2 Глава 3.

Глава 4.

Общая методика функционального анализа стандартов информационной безопасности

Система функциональных моделей оценки состояния обеспечения информационной безопасности Обоснование системы и структуры системы функциональных моделей оценки состояния обеспечения безопасности информации

Модель и методика логического контроля использования стандартов информационной безопасности в КВСИИ государства

Функциональная модель логического контроля использования стандартов информационной безопасности в КВСИИ государства

Методика логического контроля использования стандартов информационной безопасности в КВСИИ государства Инструментально-технологический комплекс «Логический контроль»

Использованные средства разработки ИТК «Логический контроль»

Системные требования и инсталляция

Инструментально-технологический комплекс «Логический контроль»

Таблицы взаимосвязи компонентов. Экспериментально-расчетная часть.

Взаимосвязь компонентов Экспериментально-расчетная часть.

АКТУАЛЬНОСТЬ ТЕМЫ ИССЛЕДОВАНИЯ

Цель настоящей исследовательской работы состояла в совершенствование методического обеспечения мероприятий по обеспечению безопасности информации (ОБИ) в критически важных системах информационно-телекоммуникационной инфраструктуры (КВСИИ) государства в условиях динамичного изменения угроз.

Необходимость и актуальность данной работы обусловлена следующим. За последние годы в Российской Федерации реализован комплекс мер в интересах обеспечения гармонизации требований по ОБИ КВСИИ и конкурентоспособности этих требований.

Вместе с тем в настоящее время практически отсутствуют какие-либо методические документы в области использования стандартов информационной безопасности при оценке ОБИ[7].

В связи с изложенным, в работе были поставлены следующие задачи:

1. Научный анализ и обоснование эффективного использования методологии ИСПОЛЬЗОВАНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ в интересах ОБИ КВСИИ.

2. Обоснованные модели ИСПОЛЬЗОВАНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

3. Методики ИСПОЛЬЗОВАНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ в интересах оценки ОБИ КВСИИ.

Разработка общей методики функционального анализа стандартов информационной безопасности проводилась с целью обеспечения теоретических положений, методологии и методов системы организационно-технологического управления конкурентоспособностью ОБИ КВСИИ, направленных на достижение технологического превосходства над конкурентами, на основе установления системотехнических связей между техническим, технологическим, информационным и инновационным секторами системы ОБИ КВСИИ и организационно-технического упорядочивания ее информационного пространства, обеспечивающего создание и проектирование системы обеспечения безопасности информации на критически важных объектах информационно-телекоммуникационной инфраструктуры государства в условиях динамичного изменения угроз [9].

Данные по прогнозированию ожидаемой динамики изменения поля угроз КВСИИ приведены в виде иллюстраций по аспектам анализа на рисунках в приложении А (Источник - статистические данные фирмы ISS-IBM). Основой разработки методики является построение бизнес-модели процесса оценки информационных технологий по стандарту ИСПОЛЬЗОВАНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (ГОСТ Р ИСО/МЭК 15408 ). Бизнес-модель в виде иерархии диаграмм потоков данных (DFD) является полным визуальным структурированным представлением действий разработчика и оценщика, а также состава, структуры, происхождения и назначения документов оценки. При моделировании использовались тексты Российского и международного стандартов, нормативно-методические документы ФСТЭК[23].

Рабочая версия модели строится и сопровождается в формате CASE инструмента AllFusion Process Modeler (BPwin). Вместе с бизнес-моделью предлагаются шаблоны и методики, позволяющие с помощью стандартных средств генерации отчетов поддерживать различные практические задачи процесса оценки, включая подготовку, согласование и контроль конфигурации свидетельств оценки, бизнес планирование работ, согласование ОУД и т. д. Предложенная методология разработана с целью ее использования в практической деятельности по оценке ОБИ КВСИИ, организационные системы которых ставят перед собой цель обеспечения конкурентоспособной ОБИ и достижения ее технологического превосходства.

В качестве инновационных аспектов обеспечивающих конкурентоспособность системы ОБИ КВСИИ определены следующие расширения классов ИСПОЛЬЗОВАНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ, поддержанные инструментально-технологическими средствами:

- Логический контроль использования ИСПОЛЬЗОВАНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ для обеспечения безопасности информации в критически важных системах информационно-телекоммуникационной инфраструктуры государства в условиях динамичного изменения угроз.

Разработка системы функциональных моделей оценки состояния ОБИ в КВСИИ проводилась в соответствии с указанными целями. Построение и сопровождение полного визуального структурированного представления содержания и документооборота бизнес-процессов оценки КВСИИ в виде стандартизованной (IDEFO, DFD) формальной модели с помощью классического программного средства (BPwin) минимизирует затраты на сопровождение и актуализацию при сохранении полноты.

Использование стандартных средств генерации отчетов BPwin позволяет получить широкий спектр настраиваемых по желанию пользователя представлений модели в бизнес-форматах (html, приложения MS Office), то есть позволяет легко работать с моделью пользователю, не имеющему специальной подготовки. Кроме того, модель может использоваться в качестве учебно-справочной системы.

Целевая группа пользователей системы охватывает весь ролевой диапазон участников процесса оценки: специалистов по информационной безопасности, сотрудников испытательных лабораторий и центров сертификации, сотрудников фирм-разработчиков и организаций-пользователей КВСИИ, заявителей и спонсоров оценки[31].

Как уже отмечалось, в качестве инновационных аспектов обеспечивающих конкурентоспособность системы ОБИ КВСИИ разработана модель расширения классов ИСПОЛЬЗОВАНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ:

- Модель логического контроля использования ИСПОЛЬЗОВАНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ для обеспечения безопасности информации в критически важных системах информационно-телекоммуникационной инфраструктуры Государства в условиях динамичного изменения угроз. ЦЕЛЬ РАБОТЫ. Целью диссертационной работы является разработка модели и метода логического контроля использования стандартов информационной безопасности и расширения классов информационной безопасности для обеспечения корректности, адекватности и конкурентоспособности ОБИ КВСИИ Российского государства[27].

Поставленная цель исследования обуславливает необходимость решения следующих основных задач:

Провести анализ использования стандартов информационной безопасности для ОБИ КВСИИ России для установления существующих и перспективных подходов к вопросам оценки уровня информационной безопасности КВСИИ;

Определить концепцию использования стандартов для оценки ОБИ КВСИИ;

Разработать технологический автоматизированный программный комплекс для поддержки процедуры эффективного использования стандартов. В соответствии с целями и задачами диссертационного исследования определены его предмет и объект.

ПРЕДМЕТОМ ИССЛЕДОВАНИЯ диссертационной работы является комплекс вопросов, связанный с разработкой концепции автоматизированного технологического логического контроля использования стандартов ОБИ КВСИИ , расширения классов оценки состояния информационной безопасности российского сегмента КВСИИ.

В качестве ОБЪЕКТА ИССЛЕДОВАНИЯ выступают задания на создание систем безопасности КВСИИ и профили их защиты в современной терминологии стандартов по безопасности КВСИИ.

МЕТОДЫ ИССЛЕДОВАНИЯ.

При решении поставленных задач использованы: методы статистического моделирования систем, фактографические методы оценки защищенности систем, теория графов, множеств и теория программирования.

НАУЧНАЯ НОВИЗНА.

Новая научная концепция достижения конкурентоспособности и эффективности ОБИ КВСИИ России , особенностями которой являются обеспечение объективности, достоверности, точности результатов и легальности используемых методов.

Новый метод логического контроля использования многофакторных оценок использования стандартов ОБИ КВСИИ, позволяющий автоматизировано, на основе анализа открыто предоставляемой информации, определить использование безопасных информационных технологий для защиты информационных ресурсов.

Новая модель автоматизированного использования стандартов информационной безопасности, позволяющая проводить анализ ОБИ и повышающая эффективность их использования, сокращающая трудоемкость применения.

ТЕОРЕТИЧЕСКАЯ ЗНАЧИМОСТЬ предлагаемого в работе подхода заключается в возможности оценки степени эффективности, конкурентоспособности систем ОБИ КВСИИ государства. Такая оценка характеризует «защищенность» выбранной системы ОБИ КВСИИ, а использование логического контроля позволяет сократить трудоемкость оценок уровня защищенности. ПРАКТИЧЕСКАЯ ЦЕННОСТЬ модели и методов логического контроля использования стандартов информационной безопасности и их оценки заключается в возможности качественного анализа прогресса в обеспечении информационной безопасности КВСИИ государства[14].

Материалы диссертации могут быть использованы при разработке методических материалов для учебного процесса в вузах соответствующего профиля. Основные из них могут быть использованы в преподавании курсов «Защита информации и Интернет», «Корпоративные компьютерные сети».

ПУБЛИКАЦИИ. По материалам диссертации опубликовано 6 печатных работ.

АПРОБАЦИЯ РАБОТЫ. Основные положения и результаты диссертационной работы докладывались и обсуждались на XXXIII научной и учебно-методической конференции Санкт-Петербургского Государственного университета информационных технологий, механики и оптики (СПб ГУ ИТМО), 1-й конференции молодых ученых СПб ГУ ИТМО, международной научно-практической конференции «Актуальные проблемы безопасности информационного пространства» в выставочном комплексе «Ленэкспо» (г. Санкт-Петербург), 8-м международном научно-практическом семинаре «Защита и безопасность информационных технологий» (СПб ГУ ИТМО). НАУЧНЫЕ ПОЛОЖЕНИЯ ДИССЕРТАЦИИ, ВЫНОСИМЫЕ НА ЗАЩИТУ.

Концепция логического контроля использования стандартов информационной безопасности ОБИ КВСИИ.

Метод и методика логического контроля.

Модель автоматизированного логического контроля использования стандартов информационной безопасности. СТРУКТУРА И ОБЪЕМ ДИССЕРТАЦИИ.

Диссертация состоит из введения, четырех глав, заключения и списка литературы. Материал изложен на 75 страницах машинописного текста, содержит 28 рисунков и 3 таблицы, список литературы состоит из 38 наименований.

ОСНОВНЫЕ ВЫВОДЫ И РЕЗУЛЬТАТЫ РАБОТЫ

6. Разработана новая концепция автоматизированного логического контроля и оценки защищенности КВСИИ, позволяющая оценить и прогнозировать среднюю защищенность КВСИИ и ее отдельных сегментов.

7. Разработан метод оценки защищенности КВСИИ, который, в отличие от известных подходов, позволяет легальными способами, на основе анализа открыто предоставляемой информации, определить использование КВСИИ средств для защиты его информационных ресурсов.

8. Разработана модель логического контроля использования стандартов ИБ, отличающаяся от известных тем, что позволяет исследовать защищенность любого выбранного сегмента КВСИИ и значительно сократить время проведения исследования путем анализа не всех КВСИИ в исследуемом сегменте, а только их выборочной совокупности с возможностью оценки ошибки эксперимента.

9. Разработан метод автоматизированного логического контроля защищенности КВСИИ, позволяющий оценивать распространенность защищенных информационных технологий в и ее сегментах.

Ю.Разработан программный инструментально-моделирующий комплекс, решающий задачи формирования выборочной совокупности по заданному сегменту и анализа защищенности КВСИИ в заданной выборочной совокупности.

11.Проведено исследование защищенности КВСИИ российского и внего-сударственного сегментов. Впервые определены наиболее защищенные информационные категории КВСИИ отечественного сегмента. Представлено объяснение полученных результатов с позиции современной экономической ситуации в России.

Заключение

1. Административная реформа в России : научно-практическое пособие / под ред. С.Е. Нарышкина, Т.Я. Хабриевой. М.: Юр. фирма «КОНТРАКТ»; ИНФРА-М, 2006. - 352 с.

2. Бачило, И.Л. Информационное право : учебник / И.Л. Бачило, В.Н. Лопатин, М.А. Федотов; под ред. акад. РАН Б.Н. Топорника. СПб.: Издательский центр Пресс, 2001 - 789 с.

3. Биячуев, Т. А. Модель и методы мониторинга и оценки защищенности веб-сайтов сети Интернет : дис. . канд. тех. наук: 05.13.19. СПб., 2005.

4. Большая энциклопедия Кирилла и Мефодия Электронный ресурс. / New Media Generation, 2006.

5. Бюджетный Кодекс Российской Федерации (в ред. от 19.12.2006 г.) от 31.07.1998 г. № 145-ФЗ // Российская газета. 1998. - 12 августа. - № 153454.

6. Война и мир в терминах и определениях / Изд-во «ПоРог» Интернет: http://www.voina-i-mir.ru.

7. Гончаров, И.В. Законодательное обеспечение конституционной безопасности Российской Федерации / Конституционное и муниципальное право. 2003. - № 4.

8. ГОСТ 7.0-99. Информационно-Библиотечная Деятельность, Библиография. Термины и определения.

9. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.

10. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью.

11. Даль, В.И. Толковый словарь живого великорусского языка : в 4 т. —М.: Русский язык, 1989.

12. Доктрина информационной безопасности Российской Федерации // Российская газета. 2000. - 28 сентября. - № 187.

13. Домарев, В.В. Безопасность информационных технологий. Системный подход. М.: Изд-во «DiaSoft», 2004. - 992 с.

14. За 2 года на защищаемые ФСБ России ресурсы органов государственной власти хакеры совершили более 2 млн. атак // Securitylab.ru Интернет: http://www.sccuritylab.ru/ncvvs/292145.php. -2007. -3 июля.

15. Закон РФ от 05.03.1992 № 2446-1 (в ред. от 25.07.2006) «О безопасности» // Российская газета. 1992. - 6 мая. - № 103.

16. Закон РФ от 21.07.1993 г. N 5485-1 «О государственной тайне» (в ред. от 22.08.2004 г.) // Российская газета. 1993.-21 сентября. - № 182.

17. Зима, В.М., Молдовян, А.А., Молдовян, Н.А. Безопасность глобальных сетевых технологий. СПб.: БХВ-Петербург, 2003.

18. Идрисов, Р.Ф. Теоретические и правовые проблемы обеспечения национальной безопасности Российской Федерации : диссертация на соискание степени д-ра юр. наук / Р.Ф. Идрисов. М., 2002. - 377 с.

19. Информационная безопасность систем организационного управления. Теоретические основы : в 2 т. / Н.А. Кузнецов, В.В. Кульба, Е.А. Микрин и др.; отв. ред. Н.А. Кузнецов, В.В. Кульба; Ин-т проблем передачи ин-форм. РАН. М.: Наука, 2006. -Т. 1. -495 с.

20. Информационные технологии в бизнесе / под ред. М. Желены. СПб: Питер, 2002. - 1120 е.: ил. - (Серия «Бизнес класс»).

21. Кирьянов, А.Ю. Региональная безопасность в системе национальной безопасности // Российский судья. 2005. - № 9.

22. Кулаков, В.Г. Региональная система информационной безопасности : угрозы, управление и обеспечение : дис. . д-ра техн. наук : 05.13.19, 05.13.10.

23. Лопатин, В. Правовые аспекты информационной безопасности // Системы безопасности связи и телекоммуникаций. 1998. - № 21. - С. 8.

24. Лукацкий, А.В. Безопасность е-сошшегсе // Системы безопасности, связи и телекоммуникаций. 2006. - № 4.

25. Методы и системы защиты информации, информационная безопасность : Паспорт специальности 05.13.19.

26. Мирошниченко, М.В. Организация управления и обеспечение национальной безопасности Российской Федерации / В.М. Мирошниченко. -М.: Изд-во «Экзамен», 2002. 256 с.

27. Нестеров, А.В. Существует ли информационная безопасность, или некоторые аспекты законопроекта технического регламента «О безопасности информационных технологий» // Правовые вопросы связи. 2007. - № 1.

28. Об информационном обеспечении органов государственной власти Ставропольского края: Закон Ставропольского края от 27 сентября 1996 года № 35-кз (в ред. от 11.03.2001).

29. Ожегов, С.И. Словарь русского языка. -21-е изд. М.: Русский язык, 1989.

30. Осовецкий, Л.Г., Проценко, Е.А., Захаров, А.В. Исследование и анализ защищенности официальных сайтов органов власти, находящихся в пределах Северо-Западного федерального округа : научно-технический отчет / СПбГУ ИТМО. 2007.

31. Пономарев, В. E-banking как вершина банковской технологической мысли // Компьютерная неделя. 2004. - № 19(443).

32. Постановление Конституционного Суда РФ от 27.01.1999г. 2-П «По делу о толковании статей 71 (пункт «г»), 76 (часть 1) и 112 (часть 1) Конституции Российской Федерации» // Российская газета. 1999. -10 февраля. - № 25.

33. Постановление Правительства РФ от 28.01.2002 № 65 (в ред. от 15.08.2006) «О Федеральной целевой программе «Электронная Россия (2002-2010 годы)» // Собрание законодательства РФ. 2002. - 4 февраля. - № 5. - ст. 531.

34. Правовое обеспечение безопасности информации в Российской Федерации : учеб. пособие / Фатьянов А.А. М.: Изд. группа «Юрист», 2001. -412 с.