Проведение классификации автоматизированных систем по требованиям ФСТЭК на предприятии (Криптографическая защита информации, Амурский Государственный Университет)
Введение...3
1 Теоретические аспекты программного обеспечения по требованиям ФСТЕК
1.1 Понятие и сущность программного обеспечения ...5
1.2 Классификации программного обеспечения по требованиям ФСТЕК.........9
2. Анализ классификации программного обеспечения по требованиям ФСТЕК
2.1 Оценка действий специалиста при определении степени угроз безопасности информации и построение модели...13
2.2 Исследование программного обеспечения по требованиям ФСТЕК..........18
Заключение....24
Список использованной литературы....26
Для каждого специалиста по защите информации (ЗИ) одним из значимых и ответственных направлений профессиональной деятельности является разработка организационно-распорядительных документов (ОРД) локального уровня. Согласно требованиям государственных регуляторов в сфере защиты информации – ФСТЭК и ФСБ России, наряду с другими ОРД, в каждой организации должен быть подготовлен и поддерживаться в актуальном состоянии локальный документ «Модель угроз безопасности информации (БИ)».
При его разработке у многих специалистов по ЗИ возникают некоторые закономерные затруднения, связанные, в первую очередь, с формированием регуляторами новых требований и методик создания модели угроз БИ. Помимо этого, речь идет о растущем числе новых угроз, и, соответственно, о сложностях определения всех актуальных для данной информационной системы (ИС) угроз БИ.
В 2021 г. ФСТЭК России разработала документ «Методика оценки угроз безопасности информации», утвержденный 5 февраля 2021 г. В связи с этим ранее принятый документ «Методика определения актуальных угроз персональных данных при их обработке в информационных системах персональных данных» от 2008 г. утратил силу.
В методике 2021 г. есть ряд нововведений, которые необходимо учитывать каждому специалисту по информационной безопасности, ответственному за «Модель угроз БИ» объекта защиты.
Объектом исследования является программное обеспечение. Предметом исследования является система программного обеспечения по требованиям ФСТЭК.
Цель работы – анализ проведения классификации программного обеспечения по требованиям ФСТЭК на предприятии.
Для достижения поставленной цели необходимо решить следующие задачи:
– изучить понятие и сущность программного обеспечения;
– рассмотреть классификацию программного обеспечения по требованиям ФСТЕК;
– провести оценку действий специалиста при определении степени угроз безопасности информации и построение модели;
– выполнить исследование программного обеспечения по требованиям ФСТЕК.
Известно, что в РФ не создается в широких масштабах программное и программно-аппаратное обеспечение для известных продуктов информационных технологий (ИТ), в частности, распространенное общесистемное программное обеспечение (ПО), используемое в мобильных телефонах, в компьютерах и в других средствах вычислительной техники. Необходимость такой продукции возрастает для РФ в геометрической прогрессии.
Наилучшим выходом из сложившейся ситуации является сертификация закупленных, а также отечественных продуктов ИТ с учетом требований безопасности информации. Это позволило бы разрешить проблемы, которые появляются при сертификации продуктов и систем ИТ. В первую очередь такие проблемы связаны с трудоемкостью испытаний программного и программно-аппаратного обеспечения при сертификации.
Иногда сертификации затягиваются до полугода и более, что часто напрямую не связано с квалификацией экспертов, а зависит непосредственно от объемов задач, стоящих перед специалистами по испытаниям такой продукции.
Сертифицируемые операционные системы (ОС) могут содержать миллионы исходных текстов программ. В частности, некоторые версии дистрибутивов Linux SUSE собраны почти из 3 млн исходных текстов программ, и тогда эксперту в течение рабочего дня необходимо исследовать около 1000 исходных текстов, для завершения работы за год. Необходимо также исследовать и другие типы файлов в ОС, например, бинарные файлы, которых в ОС может быть десятки тысяч.
В руководящих документах Федеральной службы по техническому и экспортному контролю (ФСТЭК) России нет регламента по декларации соответствия системы защиты информации (СЗИ) требованиям безопасности информации, но существует регламент на аттестацию и сертификацию.
Для осуществления сертификации СЗИ по требованиям безопасности информации в ФСТЭК России разработано и используется «Положение о сертификации средств защиты информации по требованиям безопасности информации» от 27 октября 1995 г. №199, в соответствии с которым осуществляются различные типы сертификации: сертификация программного текста ПО на отсутствие не декларированных возможностей, сертификация программного или программно-аппаратного СЗИ на соответствие определенным показателям защищенности.
Такими СЗИ могут быть межсетевые экраны или другие средства вычислительной техники. Сравнительно недавно стала входить в силу сертификация по так называемым Общим критериям (ГОСТР ИСО/МЭК 15408). Тенденции сертификации по линии ФСТЭК говорят о том, что в скором времени большая часть сертификации будет осуществляться по Общим критериям.
Многие типы СЗИ уже сертифицируются (если речь идет не о сертификации на отсутствие не декларированных возможностей) по Общим критериям, например электронные замки, антивирусы, системы обнаружения вторжений. Остались еще отдельные руководящие документы ФСТЭК России, например, руководящие документы (РД), регламентирующие сертификацию не по Общим критериям, а по межсетевым экранам, однако тенденция развития подходов к сертификации указывает на то, что вскоре подобные РД будут переведены на методологию Общих критериев.
