Введение к работе
Актуальность работы. В настоящее время информационные технологии (ИТ) стали неотъемлемой частью повседневной жизни. На их основе удовлетворяются базовые потребности государства, бизнеса и гражданского общества по формированию, распространению, накоплению и потреблению информации.
Информационные технологии (ИТ) эффективны тогда, когда они соответствуют потребностям текущего времени. Быстро изменяющиеся методы работы, появление на рынке новых продуктов ИТ обуславливает потребность в создании новых и постоянной модификации и адаптации эксплуатирующихся информационных систем.
Для реализации новых общественных потребностей созданы высокоэффективные средства создания и развития ИТ. В частности, все большее развитие получает практика использования типовых решений, которые облегчают процесс разработки ИТ и снижают временные затраты.
В динамично развивающихся внешних условиях существенными становятся корпоративные знания и опыт, накопленный разработчиками информационных систем. Одной из основ систематизации является выделение типовых ситуаций и проектных решений, оптимальных (или рациональных) в этих ситуациях. Так как число возможных ситуаций огромно, то «запоминание» всех ситуаций невозможно, да и нецелесообразно. Обычно выделяется множество «похожих» ситуаций и используются одинаковые решения для ситуаций из одного и того же множества. Такие решения получили название «типовые».
Одновременно с развитием информационных технологий проводятся
работы по исследованию теории и практики безопасности ИТ. Крупный
вклад в развитие этого направления работ внесли академики Н. А. Кузнецов,
В.А. Садовничий, К.В. Фролов, а также такие известные ученые, как
В. А. Герасименко, А. А. Грушо, А. А. Стрельцов, А. Ю. Щербаков,
В. А. Конявский, И. Б. Шубинский, В. Ю. Скиба и другие. Усилиями этих ученых была сформирована база для дальнейшего обобщения теоретических и практических результатов и развития методологии проектирования систем информационной безопасности.
В то же время практические подходы к разработке подсистем безопасности принципиально не изменились за последние десятилетия. Не изменило ситуации и введение с 1 января 2004 г российского варианта «Общих критериев» ГОСТ Р ИСО/МЭК 15408-2002 г. Анализ практических подходов к обеспечению безопасности ИТ в соответствии с введенным стандартом показывает, что построение СЗИ является сложным и трудоемким процессом и не позволяет оперативно реагировать на изменение условий функционирования ИТ и/или ее модернизацию. Отсутствие конкретных требований и критериев для различных типов систем
информационных технологий вынуждает разработчиков проектировать системы безопасности «с нуля». При этом в отсутствие развитого методического обеспечения, каждый разработчик реализует свой, неформализованный метод решения поставленной задачи. Как результат, в большинстве случаев системы безопасности создаются под «ключ», исключая их дальнейшее развитие без участия разработчиков.
Устаревшие механизмы проектирования систем безопасности стали сдерживающим фактором развития ИТ. Как результат, в ряде случаев собственник автоматизированной системы (АС) вынужден отказываться от использования систем безопасности, в тех же случаях, когда применение СЗИ является обязательным, сроки создания АС увеличиваются.
Возникает противоречие между потребностью общества в быстром развитии ИТ и практикой проектирования подсистем безопасности «с нуля», связанной с большими временными затратами. Данное противоречие может быть снято при создании методики разработки подсистем безопасности ИТ на основе типовых решений. Типовые решения в области защиты информации могут основываться на технологии «перекрытия угроз». Каждой типовой угрозе из множества угроз может быть поставлено в соответствие типовое множество мер противодействия, которые в этом случае можно назвать типовым множеством сервисов безопасности.
Таким образом, создание методики разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности является актуальной задачей.
Целью работы является создание методики разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности.
Объектом исследования являются различные информационные технологии.
Предметом исследования - модели и методики разработки защищенных ИТ.
Решаемые задачи. Для достижения указанной цели необходимо решить следующие задачи:
выделить объекты защиты в современных ИТ и описать для них типовые множества угроз безопасности;
для каждой угрозы из типового множества угроз выделить и описать типовые множества сервисов безопасности, обеспечивающие полное перекрытие путей осуществления данной угрозы безопасности;
для каждого сервиса безопасности из типового множества сервисов безопасности выделить и описать типовые множества взаимоувязанных требований безопасности;
разработать и обосновать механизмы создания базы типовых решений по практической реализации требований безопасности на основе сервисов безопасности;
создать методику разработки защищенных ИТ с применением
типовых решений на основе сервисов безопасности.
Методология исследования. Теоретической и методологической основой диссертационной работы послужили исследования по важнейшим направлениям информационной безопасности, в том числе по основным аспектам защиты информационных технологий, а также аппарат теории принятия решений.
При решении конкретных задач диссертационного исследования использовались труды отечественных и зарубежных ученых в области информационной безопасности и защиты информации, методы системного анализа и математического программирования.
Источниковедческую базу исследования составили материалы научной периодики, конференций и семинаров, а также проектные разработки ведущих научных школ в области информационной безопасности.
Диссертационная работа по своему содержанию соответствует пунктам 10, 15 и 18 Паспорта специальности 05.13.19.
Научная новизна проведенных исследований и полученных в работе результатов заключается в следующем:
Предложен и обоснован новый (объектный) подход к идентификации угроз безопасности ИТ на основе анализа типовых совокупностей угроз, обеспечивающий решение этой задачи в среде функционирования ИТ различных масштабов, архитектуры и области применения.
Обоснована необходимость применения типизации прикладных решений подсистем безопасности ИТ на основе перечня сервисов безопасности. Показано, что использование сервисов безопасности обеспечивает рациональный выбор типовых прикладных решений.
Сформированы типовые множества сервисов безопасности, перекрывающие пути осуществления угроз безопасности к защищаемым объектам.
Сформированы типовые множества требований безопасности, взаимоувязанные с типовыми сервисами безопасности и типовыми угрозами, что позволяет обеспечить достаточный уровень защищенности ИТ при формировании требований собственником АС;
Разработана новая методика создания защищенных ИТ на базе сервисов безопасности. Отличительной особенностью методики является применение типовых решений по нейтрализации угроз безопасности защищаемых объектов.
Практическая ценность работы заключается в том, что основные положения, выводы и рекомендации диссертации ориентированы на разработку методики создания эффективных систем информационной безопасности на базе сервисов безопасности. Использование этих средств
позволяет значительно повысить качество защиты информационных технологий, а также упростить процесс разработки систем безопасности ИТ и снизить временные затраты.
Результаты исследований доведены до конкретных методик, алгоритмов
и рекомендаций по их использованию.
К основным результатам исследования, имеющим практическое
значение, относится методика создания защищенных ИТ на базе
сервисов безопасности и автоматизированная система поддержки
принятия решений.
Проведенные в диссертационной работе исследования и полученные в ней результаты являются усовершенствованием существующих подходов к созданию систем защиты информационных технологий.
На защиту выносятся следующие основные результаты работы:
Типовые множества угроз безопасности для объектов защиты в современных ИТ.
Типовые сервисы безопасности для каждой угрозы из типового множества угроз, обеспечивающие полное перекрытие путей осуществления угрозы безопасности.
Типовые множества взаимоувязанных требований безопасности для каждого сервиса безопасности типового множества сервисов безопасности.
Методика создания базы типовых решений по практической реализации требований безопасности на основе сервисов безопасности.
Методика разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности.
Апробация и внедрение результатов исследования. Проведенные в диссертации исследования непосредственно связаны с реализацией Федеральной целевой программы «Электронная Россия», а также планами научно-исследовательских работ ВНИИПВТИ по разработке систем защиты информационных технологий.
Материалы диссертационного исследования использовались в НИР по теме «Проверка обоснованности технико-экономических показателей разработки и ввода в действие ЕИТКС ОВД» (выполняемой в соответствии с государственным контрактом №129-2006/84 от 15 июля 2006 г.). Был проведен анализ проектных решений по созданию компонент «Единая система информационной безопасности» (ЕСИБ) основной компоненты единой информационной телекоммуникационной системы органов внутренних дел (ЕИТКС ОВД).
Предложенная в диссертации методика также была использована при реализации НИР по теме «Разработка механизмов интеграции ПСКЗИ ШИПКА с системами вычисления и проверки кодов аутентификации (КА),
функционирующими в Банке России». Её применение позволило существенно повысить эффективность систем защиты и ожидаемого уровня потерь из-за несанкционированного доступа к ней, а также существенно снизить уровень ожидаемых потерь.
Теоретические и практические результаты диссертации были использованы при чтении учебного курса «Теория систем безопасности» для специальностей Т.23.03.00 - «Технические средства обеспечения безопасности» и Т. 13.01 - «Метрология, стандартизация и сертификация» в Белорусском национальном техническом университете.
Основные положения диссертации докладывались и получили одобрение на 10 - 14 Международных НТК «Комплексная защита информации» (Суздаль, 2006; Минск, 2007; Москва, 2008, Минск, 2009); а также на семинарах по проблемам сертификации защищенных информационных технологий, проводимых в объединенном институте проблем информатики НАНРБ.
Публикации. Основные результаты диссертации опубликованы в 8-й печатных работах, общим авторским объёмом 5,5 п.л. Из них 1 монография, раздел коллективной монографии, 6 печатных работ, в том числе 1 работа в журнале, рекомендованном ВАК.
Структура и объем работы. Диссертация состоит из введения, трех глав и заключения, списка литературы из 117 позиций. Объем - 126 страниц, 4 таблицы, 15 рисунков.