Разработка программного обеспечения для комплексной оценки защищенности информационной системы

Объект исследования: модель безопасности информационной системы. Цель: апробация методики оценки защищенности информационной системы (ИС) в виде программного обеспечения для уменьшения трудозатрат при проектировании систем защиты информации, используемого для построения модели безопасности, синтеза релевантных требований и рекомендаций, для оценки защищенности информационных систем и повышения эффективности проектируемых систем (подсистем) защиты информации. Рассмотрена метрика защищенности в системе управления информационной безопасностью (СУИБ) на основе графа взаимозависимых функциональных требований. Решаемые задачи: систематизация и селекция требований защиты информации к информационным системам вариантных программно-аппаратных платформ; повышение эффективности существующих и разрабатываемых профилей защиты на основе анализа функционально связанных компонентов; визуализация процессов информационной безопасности. Построена семантическая сеть защитных мер. Разработана и заполнена база данных, содержащая информацию по угрозам и функциональным требованиям защиты технического характера согласно ISO 15408-2. Созданы web-интерфейс и база данных, позволяющие моделировать процессы в IDEF, с построением модели СУИБ в соответствии с международными стандартами ISO 27000. Проанализировано законодательство РФ в области защиты информации. Обобщено понимание/представление основных терминов и определений, заложенных в нормативно-правовых актах. Спроектирован типовой профиль защиты, в контексте которого подразумевается понятие профиля безопасности для «некоторой средней» организации-пользователя, включающего согласованный набор базовых мер, опций и спецификаций, которые определяют взаимодействие механизмов защиты между собой. Разработано программное обеспечение «Оценка и анализ защищенности информационных систем 2.0» для обеспечения защиты информации, не составляющей государственной тайны, но требующей соответствующей охраны по действующему законодательству в государственных информационных системах (Приказ ФСТЭК № 17) и защиты в негосударственных информационных системах касательно персональных данных (152-ФЗ). Определены индикаторы на верхних уровнях информационной инфраструктуры, главным предназначением которых является акцентирование СУИБ на актуальных задачах, ориентированных на решение проблем в сфере ИБ базового уровня и гибкого перераспределения имеющихся мощностей. Разработано кросс-платформенное программное обеспечение, позволяющее одновременно всей совокупности специалистов различного уровня инфраструктуры СУИБ вносить априорную информацию и получать рекомендации с верифицирующей информацией (обоснованием) предлагаемых мер. Отличительной особенностью данного программного инструментария является его ориентированность на процессный подход, декларируемый в ИСО 2700*. [19 - 30]. Реализованы оценочные уровни доверия к ИТ. Метод оценки основан на релевантном подходе - «поиске слабого звена» в графе защитных механизмов по методологии ГОСТ Р ИСО/МЭК 15408. Кроме того, уникальностью ПО является его способность генерировать перечень актуальных индикаторов ИБ, связанных с актуальными для ИС угрозами ИБ. Собрана и систематизирована информация по уязвимостям, угрозам и сертифицированным средствам защиты информации с открытых источников bdu.fstec.ru, exploit-db.com и clsz.fsb.ru. Полученные материалы могут быть использованы в качестве экспериментальной базы для подготовки специалистов в области информационной безопасности.