Автоматизація побудови системи захисту інформації у відповідності з наказом ФСТЕК №21

Доброго дня, шановні користувачі Хабра!

Хотілося б поділитися з вами проектом автоматизованої побудови системи захисту інформації (СЗІ) згідно з Наказом ФСТЕК № 21.

Як всі пам'ятають, майже два роки тому набули чинності Накази ФСТЕК № 17 і 21, описують заходи щодо забезпечення безпеки в ГІС і ИСПДн відповідно. З тих пір ми почали проводити роботу з аналізу даних документів у рамках курсових робіт з метою розробки алгоритму побудови СЗІ та подальшої його автоматизацією в дипломному проекті.



Проблематика
Розглянемо ланцюжок зв'язків:



  • Після публікації вищезазначених наказів мало хто з компаній-розробників провів відповідність між пропонованими заходами і функціями розроблених/випускаються СрЗИ, які ці заходи «закривають»;
  • Як наслідок, інтегратори часто стали творчо підходити до проведення власного відповідності при нейтралізації актуальних загроз безпеки ПДн;
  • При побудові СЗІ фахівців (з невеликим досвідом впровадження СрЗИ) досить важко оцінити ефективність впроваджуваних коштів з урахуванням вимог Наказу ФСТЕК № 21 для конкретної ИСПДн.


Саме ці проблемні аспекти та спонукали нас розробити проект автоматизованої побудови СЗІ ИСПДн, мета якого — створити інформаційний/рекомендаційний ІБ-ресурс, який допоможе студентам і фахівцям-початківцям грамотно підходити до питання формування СЗІ або оцінки її ефективності.

Автоматизація алгоритму
У чому ж суть роботи нашого автоматизованого алгоритму? З урахуванням вихідних даних про інформаційну систему на вході:

  • рівень захищеності ИСПДн (визначає базовий набір заходів щодо забезпечення безпеки ПДн);
  • структурно-функціональні характеристики (адаптують базовий набір заходів);
  • вже впроваджені в ИСПДн СрЗИ;
  • необхідність технічної підтримки,
отримати перелік СрЗИ на виході, функціонал яких повністю компенсують вимоги, що пред'являються до ИСПДН.

Причому набір засобів в переліку може змінюватись в залежності від:
  • цінової політики (найменша сумарна вартість всіх СрЗИ серед всіляких комбінацій);
  • обмеженості «зоопарку» коштів (перелік з найменшою кількістю СрЗИ);
  • рандомно вибірки.




Для автоматизації алгоритму необхідна база даних сертифікованих СрЗИ і їх відповідностей з заходами Наказу. За основу був узятий Державний реєстр сертифікованих СрЗИ (який легко можна знайти на сайті ФСТЕК Росії). Спочатку з нього були обрані найбільш поширені СрЗИ, а потім відсіяні засоби з простроченим строком дії сертифіката ФСТЕК.

Далі виникла проблема експертної оцінки функціонала всіх СрЗИ з конкретними заходами. Ми запитували відповідну інформацію у розробників, вдавалися до допомоги фахівців, що мають досвід роботи в інтеграторі. У підсумку проведена експертна оцінка, на наш погляд, все одно має похибки.

Варто помітити, що алгоритм передбачає нейтралізацію загроз НСД як обраної сертифікованої ОС, так і накладеними засобами.

На етапі формування переліку СрЗИ паралельно йде підрахунок сумарної вартості впровадження СЗІ, яка складається з вартості ліцензії кожного засобу на певну кількість хостів плюс технічна підтримка.

Вартість впровадження розраховується індивідуально для кожного СрЗИ на основі введених користувачем даних і таблиць бази даних.


На скріншоті показано таблиця цінників для СрЗИ.

  • Як видно на прикладі, вартість покупки одиниці ліцензії буде обходитися в 1800 у.е.
  • Купівля ліцензії на 15 хостів, у відповідності з таблицею, обійдеться в 1600.е. і т. д.
  • Вартість технічної підтримки продукту на 1 рік обійдеться в 25000 у.е.


Отже, по завершенні роботи алгоритму отримуємо 3 варіанти набору СрЗИ. Наприклад:


Перший модуль. Найменша ціна


Другий модуль. Найменшу кількість СрЗИ в системі


Третій модуль. Рандом

В ідеалі, ми розраховуємо вдосконалити наш проект, отримавши відгук від компаній-розробників на тему адекватності відповідності їх продуктів з інформацією в базі даних.

Висновок
На цьому, мабуть, все. Ми постаралися розкрити ключові моменти проекту автоматизованого побудови СЗІ згідно з Наказом ФСТЕК № 21. Сподіваємося, вийшло не надто затягнуто.

Так як проект досить «сирий», вітаються будь-які ваші коментарі, побажання, звичайно, конструктивна критика.

Дякую за увагу!

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.