- PVSM.RU - https://www.pvsm.ru -
Здравствуйте, уважаемые пользователи !
Хотелось бы поделиться с вами проектом автоматизированного построения системы защиты информации (СЗИ) в соответствии с Приказом ФСТЭК № 21.
Как все помнят, почти два года назад вступили в силу Приказы ФСТЭК № 17 и 21, описывающие меры по обеспечению безопасности в ГИС и ИСПДн соответственно. С тех пор мы начали проводить работу по анализу данных документов в рамках курсовых работ с целью разработки алгоритма построения СЗИ и последующей его автоматизацией в дипломном проекте.
Рассмотрим цепочку связей:
Именно эти проблемные аспекты и побудили нас разработать проект автоматизированного построения СЗИ ИСПДн, цель которого – создать информационный/рекомендательный ИБ-ресурс, который поможет студентам и начинающим специалистам грамотно подходить к вопросу формирования СЗИ или оценки ее эффективности.
В чем же суть работы нашего автоматизированного алгоритма? С учетом исходных данных об информационной системе на входе:
получить перечень СрЗИ на выходе, функционал которых полностью компенсируют предъявляемые требования к ИСПДН.
Причем набор средств в перечне может варьироваться в зависимости от:
Для автоматизации алгоритма необходима база данных сертифицированных СрЗИ и их соответствий с мерами Приказа. За основу был взят Государственный реестр сертифицированных СрЗИ (который легко можно найти на сайте ФСТЭК России). Первоначально из него были выбраны наиболее распространенные СрЗИ, а затем отсеяны средства с истекшим сроком действия сертификата ФСТЭК.
Далее возникла проблема экспертной оценки функционала всех оставшихся СрЗИ с конкретными мерами. Мы запрашивали соответствующую информацию у разработчиков, прибегали к помощи специалистов, имеющих опыт работы в интеграторе. В итоге проведенная экспертная оценка, на наш взгляд, все равно имеет погрешности.
Стоит заметить, что алгоритм предусматривает нейтрализацию угроз НСД как выбранной сертифицированной ОС, так и наложенными средствами.
На этапе формирования перечня СрЗИ параллельно идет подсчет суммарной стоимости внедрения СЗИ, которая складывается из стоимости лицензии каждого средства на определенное количество хостов плюс техническая поддержка.
Стоимость внедрения рассчитывается индивидуально для каждого СрЗИ на основе введенных пользователем данных и таблиц базы данных.
На скриншоте показана таблица ценников для СрЗИ.
Итак, по завершению работы алгоритма получаем 3 варианта набора СрЗИ. Например:
Первый модуль. Наименьшая цена
Второй модуль. Наименьшее количество СрЗИ в системе
Третий модуль. Рандом
В идеале, мы рассчитываем усовершенствовать наш проект, получив отклик от компаний-разработчиков на тему адекватности соответствия их продуктов с информацией в базе данных.
На этом, пожалуй, всё. Мы постарались раскрыть ключевые моменты проекта автоматизированного построения СЗИ в соответствии с Приказом ФСТЭК № 21. Надеемся, получилось не слишком затянуто.
Так как проект достаточно «сырой», приветствуются любые ваши комментарии, пожелания и, конечно, конструктивная критика.
Благодарю за внимание!
Автор: danleks
Источник [1]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/79629
Ссылки в тексте:
[1] Источник: http://habrahabr.ru/post/247953/
Нажмите здесь для печати.