Разработка системы поддержки принятия решений по организации комплексов защиты информации для объектов информатизации

Введение
На протяжении последних лет в РФ наблюдается стабильно высокий уровень правонарушений, касающихся нарушения сохранности и безопасности различного рода объектов информатизации.
При этом под наиболее ценными ресурсами все чаще понимается информация и информационные технологии, участвующие в деятельности любой организации.
Обострение указанной проблемы демонстрируется широким распространением таких явлений, как несанкционированный доступ к ценным ресурсам и информации.
На 2024 год требования по обеспечению безопасности объектов выдвинуты для следующих объектов информатизации:
- с 1993 года – объекты, обрабатывающие информацию, составляющую государственную тайну;
- с 2002 года – объекты, обрабатывающие конфиденциальную информацию, принадлежащую государству;
- с 2004 года – объекты, обрабатывающие информацию, отнесенную к коммерческой тайне;
- с 2008 года – объекты, обрабатывающие персональные данные;
- с 2008 года – ключевые системы информационной структуры;
- с 2009 года – открытые информационные системы для органов федеральной государственной власти.
Известно, что основная задача защиты любых информационных ресурсов должна осуществляться за счет реализуемых механизмов контроля физического доступа к объектам защиты, то есть совокупность как инженерно-технических мер, так и организационных. Поэтому особую важность приобретают аспекты, касающиеся систем комплексной защиты информации (СКЗИ) различного рода объектов информатизации.
Таким образом, системы защиты информации становятся всё более сложными, их функционал постоянно расширяется, чтобы противостоять современным угрозам. Актуальным направлением в их развитии становится разработка систем поддержки принятия решений, которые помогают администратору безопасности управлять этими системами, частично автоматизируют работу и позволяют избегать ошибок.
Актуальность темы исследования и необходимость в разработке системы поддержки принятия решений по организации комплексов защиты информации для объектов информатизации подтверждаются следующими фактами:
- системы защиты информации становятся всё более сложными, их функционал постоянно расширяется, чтобы противостоять современным угрозам. Актуальным направлением в их развитии становится разработка систем поддержки принятия решений, которые помогают администратору безопасности управлять этими системами, частично автоматизируют работу и позволяют избегать ошибок
- постоянное расширение номенклатуры объектов информатизации на современном рынке;
- недостаточное внимание к обеспечению защищенности с помощью организационных мер и инженерно-технических;
- отсутствие автоматизированных вариантов решения данных задач.
Целью работы является разработка системы поддержки принятия решений по организации комплексов защиты информации для объектов информатизации


Научно-исследовательская часть
1.Анализ комплексов защиты информации на производственных автоматизированных системах.

Тема дипломной работы обусловлена ужесточением требований по обеспечению безопасности различных объектов информатизации, в том числе производственных автоматизированных систем.
Целью работы является повышение эффективности защиты производственных автоматизированных систем путем рационального подбора и размещения комплекса защиты информации на основе методов и алгоритмов поддержки принятия решений.
Общая топология систем защиты информации:
- система от угроз несанкционированного доступа;
- система защиты от угроз вредоносного кода;
- система межсетевого экранирования и защиты каналов связи;
- система анализа защищенности;
- система обнаружения вторжения;
- система мониторинга событий безопасности.
Создание комплекса защиты информации будет способствовать обеспечению требуемого уровня защищенности. В любом случае должно быть обеспечено выполнение принципа превентивности - чем раньше и достовернее будет обнаружен источник угроз (злоумышленник) или попытка ее реализации и оценен ее масштаб, тем успешнее окажется отражение, а в лучшем случае избежание потенциального ущерба от этой угрозы, то есть тем эффективнее будут комплексы защиты информации для производственных автоматизированных систем.
Таким образом, эффективная организация комплексов защиты информации является необходимым условием для корректной работоспособности всей системы безопасности. В частности, организация подсистемы обнаружения предлагает:
1. подбор необходимого оборудования для конкретного объекта с учетом его специфических особенностей, расчет их требуемого количества;
2. дальнейшее размещение технических средств на производственных автоматизированных системах.
Вышеперечисленные факты, помимо всего прочего, способствуют повышению влияния субъективного человеческого фактора на процесс организации комплексов защиты информации на производственных автоматизированных системах.

2. Критерии к созданию СЗИ

2.1. Система защиты от угроз несанкционированного доступа

Система защиты информации от угроз несанкционированного доступа обеспечивают решение следующих задач:
разграничение доступа к ресурсам автоматизированных рабочих мест и серверов информационной системы;
обеспечение функций регистрации и учета событий безопасности;
обеспечение неизменности (целостности) программно-аппаратной среды применяемых программных и программно-технических средств.
Как правило, в состав системы защиты от несанкционированного доступа входят:
средства централизованного управления средствами защиты от несанкционированного доступа;
сертифицированные средства защиты от несанкционированного доступа;
встроенные в системное программное обеспечение средства идентификации, аутентификации, авторизации, мониторинга событий и контроля целостности;
средства удаленного администрирования автоматизированных рабочих мест и серверов, входящих в состав информационной системы;
средства резервного копирования и восстановления конфигураций и других параметров настроек применяемых средств защиты от несанкционированного доступа.
В соответствии с задачами обеспечения безопасности информации технические решения по защите автоматизированных рабочих мест и серверов от несанкционированного доступа учитывают следующие архитектурно-значимые требования:
Разграничение доступа пользователей к следующим ресурсам:
объектам файловой системы (логическим дискам, файлам, каталогам);
локальным портам (COM, LPT, USB);
системным и прикладным процессам (установленным приложениям);
общим каталогам и сетевым дискам;
сетевым принтерам и другим устройствам применяемых средств вычислительной техники;
Контроль целостности защищаемой информации;
Мониторинг и регистрация событий безопасности;
Контроль вывода документов на печать и маркировку документов;
Защиту ввода и вывода информации на отчуждаемые физические носители информации;
Централизованный сбор данных из журналов событий для их дальнейшей обработки.

2.2. Типовая система защиты от угроз вредоносного кода

В целом система защиты от вредоносного кода (система антивирусной защиты) представляет собой комплекс программно-технических и организационных решений.
В состав типовой системы защиты от вредоносного кода входят:
сервер управления антивирусным программным обеспечением;
антивирусное программное обеспечение, устанавливаемое на автоматизированных рабочих местах и серверах;
автоматизированное рабочее место администратора системы защиты от вредоносного кода.
Основными компонентами применяемого антивирусного программного обеспечения являются:
средства антивирусной защиты почтовой системы, которые выполняют проверку входящих и исходящих сообщений на наличие вредоносного кода при динамическом контроле (мониторинге), осуществляемом в процессе их функционирования на почтовых серверах. Таким образом, пользователю всегда предоставляются сообщения, проверенные с использованием последней версии антивирусных баз, независимо от того, когда это сообщение поступило на сервер;
средства антивирусной защиты файловых систем автоматизированных рабочих мест и серверов, которые контролируют все файловые операции на наличие вредоносного кода при динамическом контроле (мониторинге), а также поддерживают режим сканирования на наличие вредоносного кода в информации;
средства антивирусной защиты веб-трафика, обеспечивающие функции фильтрации (проверки на наличие вредоносного кода) данных, передаваемых по протоколу HTTP, FTP (в том числе FTP over HTTP).
Предлагаемые к использованию в информационной системе Заказчика средства антивирусной защиты обеспечивают:
обнаружение фактов воздействия вредоносного кода на объекты защиты при динамическом контроле (мониторинге), осуществляемом в процессе их функционирования, а также при выполнении периодических проверок оперативной памяти, сменных и локальных носителей информации, файлов, в том числе получаемых по каналам связи, по запросам пользователей и/или администраторов;
эвристический анализ, позволяющий распознавать и блокировать ранее неизвестные вредоносные программы;
сигнализацию (уведомление) в случае обнаружения фактов воздействия вредоносного кода;
возможность выбора типа проверки (проверять все файлы, заданные файлы, файлы по заданному списку расширений, файлы по заданному списку масок);
возможность выбора действий для зараженных объектов (лечение, перемещение в карантин и/или удаление и т.п.);
возможность задать варианты автоматических действий над обнаруженным вредоносным объектом, если заданное по умолчанию действие невозможно;
автоматическую загрузку обновлений сигнатурных баз и программных модулей средств антивирусной защиты по заданному интервалу времени и источнику обновлений;
возможность принудительного обновления сигнатурных баз средств антивирусной защиты по требованию вручную;
передачу событий безопасности в смежные подсистемы защиты информации;
управление и контроль доступа к элементам управления средств антивирусной защиты;
централизованное и/или локальное управление (администрирование) средств антивирусной защиты;
поиск и локализацию программно-аппаратных платформ с устаревшими обновлениями сигнатурных баз средств антивирусной защиты;
возможность настройки параметров функционирования средств антивирусной защиты в соответствии с единой политикой безопасности;
возможность формирования отчетов о событиях безопасности (по фактам проявления вредоносного кода);
ведение журналов событий.

2.3. Типовая система межсетевого экранирования и защиты каналов связи

Функциональным назначением разрабатываемых АО «ИнфоТеКС Интернет Траст» систем межсетевого экранирования и криптографической защиты каналов связи является обеспечение требований разграничения доступа к сетевым ресурсам, а также защита от сетевых атак и криптозащита сетевого трафика, выходящего за границу сетевого периметра локальной вычислительной сети информационной системы.
Типовой состав разрабатываемых систем межсетевого экранирования и криптографической защиты каналов связи включает в себя:
Межсетевые экраны, обеспечивающие:
фильтрацию сетевого трафика с контролем состояний сессий;
функции защиты от удаленного несанкционированного доступа и иных угроз сетевой безопасности;
создание сегментов с различным уровнем предоставления прав доступа и их интеграцию в единое информационное пространство в соответствии с заданными правилами;
Пограничные маршрутизаторы, обеспечивающие:
подключение к каналам связи внешних информационных систем;
обмен маршрутной информацией с маршрутизаторами операторов связи;
приоритезацию трафика путем ограничения полосы пропускания для отдельных видов трафика в целях предотвращения сетевых атак;
первичный контроль доступа и фильтрацию сетевого трафика с помощью списков доступа без контроля состояния сессий (статические пакетные фильтры);
Сегментообразующие коммутаторы, обеспечивающие создание коммутируемых изолированных широковещательных сегментов Ethernet, необходимых для подключения интерфейсов передачи данных сетевого оборудования;
Криптошлюзы, обеспечивающие VPN-туннели между доверенными территориально-распределенными телекоммуникационными сетями;
Автоматизированное рабочее место администратора системы межсетевого экранирования и криптографической защиты каналов связи.
Основными функциями применяемых средств межсетевого экранирования и криптозащиты каналов связи являются:
фильтрация сетевого трафика с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;
фильтрация на транспортном уровне запросов на установление виртуальных соединений с учетом транспортных адресов отправителя и получателя;
фильтрация на прикладном уровне запросов к прикладным сервисам с учетом прикладных адресов отправителя и получателя;
фильтрация с учетом даты и времени;
фильтрация по отдельным правилам защищенного IP-трафика;
идентификация и аутентификация администратора при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;
предотвращение доступа неидентифицированного пользователя или пользователя, подлинность идентификации которого при аутентификации не подтвердилась;
идентификация и аутентификация администратора при его удаленных запросах методами, устойчивыми к пассивному и активному перехвату информации;
регистрация и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации);