КРИТЕРИИ ВЫБОРА СРЕДСТВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Ломазов В.А. 1 , Прокушев Я.Е. 2
1 Доктор, физико-математических наук, 2 Кандидат технических наук, Белгородский университет кооперации, экономики и права
КРИТЕРИИ ВЫБОРА СРЕДСТВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Аннотация
Исследуется задача оценивания программно-аппаратных средств защиты персональных данных в информационных системах. Разработана система оценочных критериев, для которых построены измерительные шкалы, ориентированные на применении экспертных оценок. Приведены примеры использования разработанных критериев для оценивания наиболее распространенных на российском рынке средств защиты информации. Разработанные критерии могут быть использованы для поддержки решений по выбору средств информационной безопасности.
Ключевые слова: информационная безопасность, критерии.
Lomazov V.A. 1 , Prokushev Ya.E. 2
1 PhD in Physics and Mathematics, 2 PhD in Engineering, Belgorod University of Cooperation, Economics and Law
SELECTION CRITERIA MEANS OF INFORMATION SECURITY OF PERSONAL DATA
Abstract
The problem of estimating software and hardware protection of personal data in information systems is considered. It is constructed the system of estimation criteria, for which the measuring scales, oriented on the use of expert judgments, are established. Examples of use of the developed criteria for the estimation of the most widespread in the Russian market of information security are considered. The developed criteria can be used to support decisions on the selection of information security solutions.
Keywords: information security, criteria.
Введение
Обеспечение защиты персональных данных (ПД) является актуальной проблемой практически для всех организаций. Прежде всего, статья 19 Федерального Закона № 152 «О персональных данных» требует от оператора принятия «…необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, а также от иных неправомерных действий…». Кроме того, выполнение мер по обеспечению защиты ПД от несанкционированного доступа (НСД) достаточно часто бывает продиктована потребностями самой организации – утечка сведений о клиентах и сотрудниках организации может привести к весьма серьезным имиджевым и материальным потерям. При этом требования нормативных документов оставляют организациям возможность самостоятельного выбора применяемых программно-аппаратных средств защиты информации (ПАСЗИ). Целью настоящей работы является выработка (и апробация на конкретных примерах) критериев такого выбора.
Критерии оценки возможностей средств защиты ПД
На российском рынке сертифицированных ПАСЗИ наиболее широкое распространение получили продукты (фирмы производители: КОД БЕЗОПАСНОСТИ, КОНФИДЕНТ, РУБИНТЕХ, ОКБ САПР), которые предлагается оценивать по следующим основным критериям:
- Использование средств аппаратной поддержки.
Наличие специализированных плат, являющееся обязательным условием функционирования для СЗИ от НСД (ПО Аккорд) выпускаемых ОКБ САПР, и желательным для продуктов семейства Secret Net, позволяет, в частности, проводить аутентификацию пользователей до загрузки операционной системы и предотвращать загрузки с внешних носителей – одной из самых распространенных и легко реализуемых атак. При этом плата Secret Net предотвращает только альтернативную загрузку, однако аутентификацию самостоятельно не выполняет. Существенным недостатком отдельных продуктов этих производителей является завершение их работы после загрузки операционной системы (ОС), после чего защита информационной среды производится только средствами ОС.
СЗИ от НСД Dallas Lock и Страж NT не используют аппаратные платы и требуют специальной настройки BIOS, блокируя возможность альтернативной загрузки.
- Шифрование пользовательской информации.
Возможность шифрования системных областей жестких дисков предусмотрена в СЗИ от НСД Страж NT 3.0, а также в Secret Net 7 в случае покупки модуля Trusted Boot Loader. Однако такого рода защита преодолима с помощью ряда утилит восстановления данных, а, следовательно, не обеспечивает гарантированной стойкости. СЗИ Dallas Lock 8К позволяет создавать криптографически защищенные файловые контейнеры, а Dallas Lock 8С дополнительно имеет возможность полного шифрования жестких дисков, что обеспечивает значительно более высокую защищенность, чем Страж NT 3.0. Также возможность шифрования данных появилась в качестве дополнительной опции в программном продукте Secret Net Studio.
Продукты ОКБ САПР, а также Secret Net 7 и ПАК Соболь шифрование пользовательской информации не поддерживают.
Следует учитывать, что шифрование обеспечивает защиту от ознакомления, но не от уничтожения данных. Если нарушитель успешно осуществит загрузку с альтернативного источника, то он сможет удалить информацию.
- Осуществление аудита событий.
Эта опция на наш взгляд лучше всего реализована в DallasLock 8К или 8С, где есть несколько журналов, ведущих учет событий, сгруппированных по разным категориям. Изделия ОКБ САПР ведут журналы для каждой отдельно взятой сессии пользователя, записывая туда все события. В Страж NT 3.0 предусмотрено два журнала – печати и остальных событий. Для этих трех СЗИ от НСД характерно резервирование учтенных событий. При достижении определенного размера, журналы архивируются и очищаются. Ведение журнала событий в СЗИ Secret Net организовано несколько хуже, поскольку он автоматически не резервируется, как в СЗИ Dallas Lock, Аккорд или Страж NT, а перезаписывается. Создать резервную копию журнала в СЗИ Secret Net можно только вручную.
В последних версиях Secret Net и Dallas Lock реализован механизм теневого копирования, позволяющий отслеживать информацию, которые была распечатана или перенесена на съемные носители.
- Контроль целостности ресурсов.
Достаточно легко настраивается во всех СЗИ от НСД. Средства защиты осуществляют контроль во время загрузки операционной системы или входа пользователей. В Dallas Lock 8K и 8С присутствует возможность контроля макропараметров защищаемой системы – списка пользователей, каталогов общего доступа, сетевых адаптеров и т.п.
Отдельно следует отметить возможность контроля объектов файловой структуры, веток реестра и перечня устройств до запуска операционной системы с помощью АМДЗ Аккорд и ПАК Соболь. Это дает возможность полностью исключить влияние вредоносного программного обеспечения на проверку целостности автоматизированной системы.
- Возможность настройки замкнутой программной среды.
Является важнейшим механизмом обеспечения защиты и целостности информационной среды: предотвращает запуск несанкционированного программного обеспечения, значительно повышает антивирусную безопасность системы. В сравнении с другими продуктами, настройка ЗПС в программном обеспечении СЗИ Аккорд выполняется несколько сложнее чем, в других защитных программах.
- Стоимость средств защиты.
Самым дорогими являются использующие платы аппаратной поддержки СЗИ ОКБ САПР и Secret Net. Другие СЗИ значительно дешевле.
- Личные предпочтения администраторов безопасности, которые будут устанавливать и настраивать средства защиты информации, также играют определенную роль при выборе средств.
- Наличие механизма дискреционного контроля доступа к объектам файловой структуры и устройствам. Все средства защиты реализуют свой отличный от Windows механизм, кроме ПАК Соболь и АМДЗ Аккорд.
- Затирание информации.
Реализовано во всех анализируемых ПАСЗИ на достаточном для обеспечения защиты ПД уровне.
Во всех рассмотренных ПАСЗИ предусмотрена поддержка используемых для аутентификаци устройств e-Token, ru-Token, I-Button.
Примеры использования разработанных критериев
Для формализации описания возможностей средств защиты информации и формирования условий выбора предпочтительней использовать усиленные порядковые шкалы, где вербальным терминам соответствует определенное балльное значение. Предлагается использовать шкалы, описываемые кортежами значений:
Результаты оценивания (в соответствии с предложенными критериями) ПАСЗИ, основанные на опыте их использования, приведены в табл.1.
Таблица 1 – Оценки программно-аппаратных средств защиты информации
Средства защиты | Оценочные критерии | |||||||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | |
Secret Net (c платой Secret net touch memory) | 4 | 0 | 3 | 4 | 5 | 4 | 5 | 5 | 4 | 5 |
Secret Net (без платы Secret net touch memory) | 1 | 0 | 3 | 4 | 5 | 3 | 3 | 5 | 4 | 5 |
Secret Net (с платой Соболь) | 5 | 0 | 3 | 5 | 5 | 5 | 5 | 5 | 4 | 5 |
ПАК Соболь | 5 | 0 | 1 | 5 | 0 | 5 | 3 | 0 | 0 | 5 |
АМДЗ Аккорд | 5 | 0 | 1 | 3 | 0 | 4 | 3 | 0 | 0 | 5 |
ПАК Аккорд | 5 | 0 | 4 | 5 | 3 | 5 | 3 | 5 | 4 | 5 |
Dallas Lock 8K | 1 | 3 | 5 | 5 | 5 | 3 | 5 | 4 | 4 | 5 |
Dallas Lock 8C | 1 | 5 | 5 | 5 | 5 | 4 | 4 | 4 | 4 | 5 |
Страж NT | 1 | 1 | 5 | 5 | 5 | 3 | 4 | 5 | 4 | 5 |
Заключение
Предложенный набор оценочных критериев (с учетом их относительной значимости) может служить основой для построения иерархии критериев, являющейся инструментом поддержки принятия многокритериальных решений [1] по выбору ПАСЗИ.
Список литературы / References
- Петровский А.Б. Теория принятия решений.– М.: Академия, 2009.- 400 с.
Список литературы на английском языке / References in English
Источник