Кононов А.А., Черешкин Д.С.: Организация контроля безопасности региональной информационно-телекоммуникационной инфраструктуры

Организация контроля безопасности региональной информационно-телекоммуникационной инфраструктуры

А.А. Кононов, Д.С. Черешкин

Региональная информационно-телекоммуникационная инфраструктура (РИТИ) с каждым годом используется все более интенсивно в организациях и на предприятиях разных форм собственности, включая те, деятельность которых играет критически важную роль в обеспечении нормальных условий жизни, производственной и деловой активности, а также в обеспечении национальных интересов и безопасности в регионах. Обеспечение безопасности критических сегментов РИТИ уже не может рассматриваться как проблема только тех организаций, которые занимаются эксплуатацией и использованием ресурсов этих сегментов РИТИ. Это также и проблема региональной исполнительной власти.

Для организации контроля надежности и достаточности обеспечения безопасности критически важных сегментов РИТИ предлагается создание региональных систем управления информационной безопасностью.

Ключевым звеном региональной системы управления информационной безопасностью могла бы стать информационно-аналитическая служба, которая взяла бы на себя функции сбора и анализа информации об уровне обеспечения безопасности критических сегментов РИТИ. На основе ее данных могли бы приниматься организационные решения по обеспечению необходимого уровня безопасности РИТИ. Очевидно, что должна быть обеспечена конфиденциальность данных, собираемых и обрабатываемых этой службой.

В качестве основных задач и функций, которые должна выполнять информационно-аналитическая служба контроля безопасности РИТИ, следует указать следующие:

1. идентификация критических сегментов (КС) РИТИ;

2. моделирование угроз и рисков нарушения безопасности КС РИТИ;

3. определение системы мер и требований по обеспечению безопасности КС РИТИ;

4. мониторинг-контроль обеспечения безопасности КС РИТИ;

5. анализ текущего состояния инфраструктуры защиты информации (ИЗИ) РИТИ, возможностей повышения уровня безопасности КС РИТИ, выработка рекомендаций по развитию ИЗИ РИТИ.

Остановимся подробнее на каждой из этих функций.

Идентификация критических сегментов РИТИ

В качестве критических сегментов региональной информационно-телекоммуникационной инфраструктуры (КС РИТИ) могут рассматриваться кибернетические составляющие других критических региональных инфраструктур:

инфраструктуры обеспечения региона электроэнергией;
инфраструктуры обеспечения региона газом и нефтепродуктами;
инфраструктуры водоснабжения;
банковской и финансовой инфраструктуры;
инфраструктуры органов власти (региональных и местных);
транспортной инфраструктуры;
инфраструктуры служб экстренной помощи (милиции, пожарных, медицинских служб, служб спасения и чрезвычайных ситуаций).

Если уровень использования информацинно-телекоммуникационных технологий в каких-либо сегментах указанных инфраструктур высок настолько, что может повлиять на их функционирование, то каждый элемент РИТИ, от которого зависит какая-либо из критических инфраструктур, должен в свою очередь идентифицироваться как критический сегмент РИТИ.

Для каждого из КС РИТИ должна быть построена модель угроз, реализация которых может способствовать возникновению событий рисков нарушения безопасности критических инфраструктур региона. Первым шагом в построении такой модели является построение структуры критических составляющих и ресурсов каждого КС РИТИ.

В качестве критических могут идентифицироваться отдельные части, в которых расположены КС (здания, помещения, в которых расположены какие-либо критически важные объекты и ресурсы информационных систем), отдельные подсистемы и процессы передачи, обработки, хранения информации, отдельные компоненты информационных систем и информационные ресурсы, нарушение информационной безопасности которых может привести к событиям рисков. По каждой из выделенных критических составляющих и ресурсов, а также по КС в целом должны быть указаны угрозы, реализация которых может привести к нарушению их нормального функционирования и способствовать возникновению событий риска. Все множество идентифицированных таким образом угроз будет представлять собой модель угроз КС РИТИ. На основе модели угроз могут быть построены модели событий рисков, которые могут быть вызваны нарушением безопасности КС РИТИ.

Каждая модель события риска включает в себя:

описание различных вариантов реализации событий рисков, в зависимости от той или иной конфигурации реализации угроз из моделей угроз отдельных КС РИТИ;
экспертные оценки для каждой из возможных комбинаций угроз, реализация которых может привести к событию риска:
– оценку ущерба, который может быть нанесен при реализации той или иной комбинации угроз;
– оценку вероятности возникновения события риска;
оценку величины риска при заданной конфигурации угроз, рассчитываемую как произведение оценки ущерба на оценку вероятности возникновения события риска.

Построение моделей событий рисков на основе моделей угроз КС дает возможность определить опасность отдельных угроз и сопоставить степень критичности отдельных КС РИТИ и их структурных составляющих.

Определение системы мероприятий, мер и требований по обеспечению безопасности КС РИТИ

Следующей задачей аналитической службы должна стать разработка системы мероприятий, мер и требований обеспечения безопасности КС, реализация и соблюдение которых позволит снизить риски нарушения безопасности КС РИТИ. Для этого должна быть построена модель защиты КС РИТИ, в которой по каждой из угроз, вошедшей в модель угроз РИИ, должны быть определены меры и требования, реализация и соблюдение которых позволит снизить опасность угроз, вероятность и ущерб от возможных событий рисков. Должны быть сделаны оценки того, насколько каждая из возможных мер позволит снизить вероятность рисков и ущерб от нарушения безопасности КС РИТИ.

Мониторинг-контроль обеспечения безопасности КС РИТИ

Модель защиты КС РИТИ дает возможность сформировать для каждого КС индивидуальный профиль защиты – систему мер и требований, которые должны выполняться в каждой организации, ответственной за функционирование соответствующего КС РИТИ. Информационно-аналитическая служба должна обеспечивать формирование базовой системы основных мер и требований для каждой из КС РИТИ, осуществлять сбор и обработку информации о выполнении мер и требований в каждой из КС РИТИ с оценкой рисков невыполнения требований.

Должна быть создана организационно-правовая система, которая позволит осуществлять действенный контроль выполнения мер и требований по обеспечению ИБ КС РИТИ и добиваться повышения уровня безопасности КС РИТИ.

Анализ текущего состояния ИЗИ РИТИ, возможностей повышения уровня безопасности КС РИТИ, выработка рекомендаций по развитию ИЗИ РИТИ

На основании модели защиты КС РИТИ аналитической службой могут формироваться и рассматриваться различные варианты повышения защищенности РИТИ. Особое внимание должно уделяться выявлению таких комплексов мероприятий, которые позволили бы значительно снизить возможность возникновения событий рисков и поднять уровень выполнения мер и требований по защите на максимально большом числе КС. При этом должны учитываться следующие факторы:

эффективность возможных дополнительных мер защиты;
ожидаемая стоимость реализации этих мер;
возможность реализации этих мер с учетом:

Очевидно, что во многих случаях именно уровень развития инфраструктуры защиты информации в регионе определяет возможность выполнения системы мер. Так, например, развитие инфраструктуры открытых криптографических ключей на базе сертифицированных и доступных средств шифрования позволит значительно снизить расходы на защиту телекоммуникационных каналов передачи информации для отдельных организаций и, соответственно, сделает криптографическую защиту информации доступной для большинства организаций и предприятий региона, будет способствовать развитию безопасных систем электронной коммерции и электронного документооборота в регионе. Создание соответствующих региональных структур ФАПСИ и Гостехко-

миссии позволит своевременно и достоверно проводить сертификацию используемых средств и лицензирование организаций по основным требованиям ФАПСИ и Гостехкомиссии. Развитие сети предприятий, дилеров, представительств и сервисных центров производителей средств защиты информации сделает более простым процесс приобретения, установки и обслуживания средств обеспечения информационной безопасности в регионе. Наличие региональных депозитариев резервного хранения информационных носителей позволит многим организациям без больших затрат выполнять требование территориально-распределенного резервирования критической информации. Наличие региональной системы страхования информационных рисков позволит снизить уровень чрезвычайности событий нарушения безопасности РИТИ, поскольку обеспечит гарантии компенсации возможных потерь, а также усилит контроль выполнения требований безопасности за счет вовлечения в систему контроля организаций-страховщиков.

Поэтому одной из важнейших задач регионально-аналитической службы по обеспечению безопасности РИТИ должен стать анализ существующего уровня развития инфраструктуры защиты информации в регионе и выработка предложений по ее совершенствованию, которые через систему властных структур должны доводиться до соответствующих ведомств, ответственных за развитие информационной инфраструктуры (ИИ) в национальном масштабе. Такая система способствовала бы тому, чтобы в стране была преодолена парадоксальная ситуация, когда никто не отвечает за отсутствие на отечественном рынке достаточного ассортимента сертифицированных средств защиты информации, за отсутствие удостоверяющих центров сертификации криптографических ключей и за неразвитость инфраструктуры защиты информации в целом.

Для решения задач управления безопасностью критических сегментов РИТИ может быть использована Комплексная экспертная система (КЭС) управления информационной безопасностью "АванГард"¹.

На рис. 1 представлена концептуальная схема обеспечения защиты критических сегментов региональной информационной инфраструктуры. При этом особо выделена та роль, которую может сыграть в системе управления безопасностью КС РИТИ КЭС "АванГард".

Рис. 1. Концептуальная схема обеспечения защиты критических сегментов региональной
информационной инфраструктуры.

Очевидно, что в крупных регионах по мере роста интенсивности использования информационно-телекоммуникационных технологий в критических инфраструктурах одного аналитического центра для обеспечения управления безопасностью КС РИТИ может оказаться недостаточно. В этом случае целесообразно говорить о необходимости создания иерархической структуры, которая позволит обеспечить необходимый уровень безопасности КС РИТИ. На рис. 2 представлен вариант создания регионального координационного центра по контролю критически важных сегментов РИТИ и развертывания сети районных и городских центров сбора и анализа информации. При этом для автоматизации процессов управления безопасностью КС РИТИ предлагается использовать КЭС "АванГард", предусматривающую автоматизированный сбор и обработку информации о состоянии защиты КС РИТИ в иерархических структурах. При этом значительная часть задач по контролю и повышению защищенности информационной инфраструктуры может решаться непосредственно на местах. В то же время региональный координационный центр может иметь всю информацию, необходимую для эффективного контроля состояния и управления безопасностью РИТИ.

Рис. 2. Вариант создания регионального координационного центра.

Ссылки

¹ См. статью О.А. Бурдина и А.А. Кононова в данном номере журнала (с. 38–44).

Кононов Александр Анатольевич - старший научный сотрудник Института системного анализа РАН (ИСА РАН), кандидат технических наук.

Черешкин Дмитрий Семенович - заведующий лабораторией ИСА РАН, доктор технических наук, профессор.