Оценка защищенности автоматизированных учебно-тренировочных комплексов на факультетах военного обучения тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Супрун, Александр Федорович

Актуальность темы. Проблема защиты государственной тайны в учебном процессе образовательного учреждения высшего профессионального образования в современных российских условиях стоит крайне остро.

Одним из основополагающих организационных принципов обеспечения защиты государственной тайны является ограничение и стабилизация состава допущенных лиц, их тщательная предварительная проверка и сохранение определенного контроля за их деятельностью после прекращения контакта с информацией, составляющей государственную тайну.

Однако не менее важным является вопрос обеспечение защиты аудиторных и лабораторных помещений от утечки закрытой информации по различным каналам и недопущение угрозы конфиденциальности со стороны нарушителя-злоумышленника.

В РФ требования к системам комплексной защиты информации формируются, главным образом, на основе руководящих документов Государственной технической комиссии [18]. Однако эти требования носят декларативный и обобщенный характер, изложенный, в основном, на качественном уровне.

Этого явно недостаточно для построения перспективных и оценки существующих систем защиты. Возникает настоятельная потребность в научно-обоснованных, объектно-ориентированных и, желательно, количественно измеримых методах технико-экономической оценки информационной защищенности учебного процесса на факультетах военного обучения.

На сегодняшний день элементы системы информационной безопасности выбираются путем сравнительного анализа технических и экономических показателей предлагаемых на рынке средств защиты, которые включаются в состав комплексной системы защиты информации (КСЗИ).

Общие затраты на обеспечение информационной безопасности объекта согласно предъявляемым требованиям по защищенности определяются в спецификациях средств реализации плана защиты информации. Необходимо учитывать, что прямое сокращение рекомендуемых средств защиты неминуемо приведет к определенным брешам в системе безопасности.

Контроль за выполнение правил политики информационной безопасности возлагается на должностных лиц. Решение о достаточности проведения технических защитных мер принимается на основе данных мониторинга.

Анализ выполненных исследований показывает, что угрозы безопасности носят комплексный характер, поэтому системы мониторинга и защиты должны быть комплексными.

Для осуществления мер безопасности любая организация должна нести определенные затраты. Очевидно, что наиболее благоприятным для организаций является такое положение, когда уровень затрат на обеспечение информационной безопасности является рациональным, при котором необходимое состояние нормального функционирования системы защиты обеспечивается при минимальных затратах.

Срок службы системы обеспечения информационной безопасности достаточно продолжителен. На протяжении срока службы несколько раз может измениться состав её технических средств. Исходя из этого, одним из основных вопросов, решаемых лицами, принимающими управленческие решения, является задача рационализации состава технических средств (как варианта системы), обеспечивающих сохранение её эффективности на протяжении жизненного цикла.

Выполнение оценок достаточности мер защиты и экономической целесообразности выбранного варианта требует разработки моделей угроз и защиты.

Эти обстоятельства предопределили постановку актуальной научно-технической задачи - разработка технологии оценки достаточности мер защиты с использованием технико-экономических показателей.

Цель исследования - разработать методы оценки и обеспечения защищенности АУТК на основе создания комплекса моделей угроз и защиты при проведении учебного процесса на факультете военного обучения.

Объект исследования - система обеспечения информационной безопасности учебного процесса по закрытым дисциплинам в ГОУ ВПО.

Предмет исследования - методы обеспечения и оценки достаточности защитных мер.

Задачи исследования:

- проанализировать механизм реализации угроз конфиденциальности сведений, используемых в учебном процессе;

- разработать модели угроз;

- обосновать состав и функционирование системы мониторинга;

- предложить комплекс организационных и технических мер защиты;

- разработать методику оценки достаточности мер защиты и обосновать рекомендации по повышению информационной безопасности учебного процесса;

- разработать подход к оценке защищенности АУТК, используемых в учебном процессе.

Методы исследования: системный анализ, структурный синтез, теория вероятностей, исследование операций.

Научную базу исследования составили труды по теории автоматизированного управления, концепции создания КСЗИ, теории оценки эффективности сложных организационно-технических систем.

Кроме того, в процессе исследования автор использовал методологические основы обеспечения информационной безопасности телекоммуникационных и компьютерных систем, разработанные в Региональном учебно-научном центре информационной безопасности ГОУ СПбГПУ.

Нормативно-правовая база исследования:

Законы РФ:

1 «О местном самоуправлении» № 131 -2005.

2 «Об информации, информатизации и защите информации».

Государственные стандарты РФ по вопросам защиты информации:

3 ГОСТ Р 50739-95, ГОСТ Р 50922-96, ГОСТ Р 51275-99, ГОСТ Р 51583-2000, ГОСТ Р 51624-2000, ГОСТ РВ 50934-96.

Постановления Правительства РФ по вопросам защиты информации.

Руководящие документы Гостехкомиссии России.

Основные научные результаты, выносимые на защиту:

1. Методика оценки информационной безопасности АУТК.

2. Выявление наиболее существенных угроз безопасности реализации проведению учебного процесса с использованием АУТК.

3. Обоснование комплекса методик оценки достаточности мер защиты с учетом экономических показателей.

4. Разработка рекомендаций по обеспечению требуемого уровня безопасности учебного процесса

Новизна основных научных результатов состоит в том, что:

- формализованы модели утечки информативных сигналов;

- конкретизирована и уточнена модель нарушителя и формализована логика его действий применительно к АУТК при преодолении системы информационной защиты;

- обоснована структура и разработана математическая модель для оценки эффективности комплексной системы мониторинга;

- предложен новый подход к оценке эффективности подавления радиотехнического канала утечки;

- разработана методика оценки защищенности АУТК, используемых в учебном процессе;

- разработаны методики технико-экономического обоснования вклада различных мер защиты в безопасность учебного процесса с использованием АУТК;

- на основе технико-экономического анализа получены оценки различных мер защиты.

Достоверность основных научных результатов обеспечивается:

- применением апробированных общенаучных и специальных методов исследования;

- реализацией предложенных моделей и методик;

- непротиворечивостью полученных частных количественных оценок практике функционирования существующих элементов систем защиты.

Научная значимость основных результатов определяется развитием методологических положений теории обеспечения информационной безопасности в части формализации процесса защиты от угроз различного характера и вкладом в теорию функционально-стоимостного анализа сложных систем в части оценки неаддитивных параметров.

Практическая значимость состоит в доведении разработанных математических моделей до алгоритмов и расчетных методик, а также в использовании методик для обоснования организационных и технических требований к системе мониторинга и защиты сведений, составляющих государственную тайну, в учебном процессе высшего профессионального образования.

Практическая значимость работы подтверждена актами реализации Разработанных моделей и методов.

Апробация работы. Основные теоретические и практические результаты диссертационной работы докладывались и обсуждались на: научно-методическом семинаре «Проблемы риска в техногенной и социальной сферах» (СПбГПУ 2006 г.г.), семинаре «Реализация жилищной политики в Ленинградской области в 2006-2007 гг.», научных семинарах кафедры Национальная безопасность ГОУ ВПО «СПбГПУ».

Основные научные результаты опубликованы в 11 научных статьях и тезисах докладов на научных конференциях.

Объем и структура. Диссертация состоит из введения, трех глав, заключения и списка использованных источников из 69 наименований.

ЗАКЛЮЧЕНИЕ

В диссертационной работе исследована система обеспечения информационной безопасности учебного процесса по закрытым дисциплинам при подготовке офицеров запаса в Государственных образовательных учреждениях высшего профессионального образования.

С использованием методов системного анализа, исследования операций, теории информации и теории оценки эффективности сложных организационно-технических систем рассмотрены вопросы обеспечения информационной безопасности и оценки достаточности защитных мероприятий с учетом экономического показателя.

В ходе исследования решены следующие задачи: на основе формализованного представления учебного процесса на ФВО ГОУ ВПО проанализированы критические информационные ресурсы и обоснованы реальные угрозы конфиденциальности информации;

- проанализированы пути реализации угроз конфиденциальности сведений, используемых в учебном процессе, и формализованы модели утечки информативных сигналов; разработаны модели угроз, конкретизирована модель нарушителя и формализована логика его действий при преодолении системы информационной защиты;

- обоснована структура и разработана математическая модель для оценки эффективности комплексной системы мониторинга; предложен новый подход к оценке эффективности подавления радиотехнического канала утечки информации; предложена методика оценки достаточности мер защиты; организационных и технических мер защиты;проведены вычислительные эксперименты, подтвердившие работоспособность модельного и методического ряда и выданы научно-обоснованные рекомендации по повышению информационной безопасности учебного процесса с использованием АУТК.По результатам диссертационного исследования разработаны предложения по использованию разработанных моделей и методик в других предметных областях.

Совокупность полученных основных и частных научных результатов позволяет сделать вывод о достижении цели исследования, а именно о том, что применение разработанных методик позволяет осуществить оценку достаточности мер защиты учебного процесса, обеспечивая при этом, за счет внедрения системы мониторинга, повышение защищенности при снижении или более рациональном распределении имеющихся материальных и финансовых ресурсов.

1. Ададуров С.Е., Корниенко А.А. Методы обнаружения и оценивания аномалий информационных систем.//Материалы 10-й Международной конференции «ИнфоТранс-2005»СПб, ПГУПС, 2005.

2. Алфимов М.В., Циганов С.А. От научной идеи до практического результата. М.: Янус-К. - 2000.

3. Андриенко А.А., Максимов Р.В. Защита информации. Ч. 1, 2 СПб.: ВУС, 2004.

4. Бабиков В.Н. Диссертация на соискание ученой степени кандидата технических наук. СПб, СПбГПУ, 2006.

5. Бабиков В.Н., Кляхин В.Н. Алгоритм формализованной постановки задачи защиты информации. //Сб. трудов 9-й Всероссийской научно-практической конференции «Актуальные проблемы защиты и безопасности». Т.4, РАРАН, СПб., 2006.

6. Бабиков В.Н., Кляхин В.Н. Угрозы безопасности автоматизированной системе ОСОДУ.// Материалы 2-й научно-практической конференции «Реализация государственной жилищной политики в Ленинградской области». СПбГПУ, 2005.

7. Барсуков B.C., Водолазкий В.В. Современные технологии безопасности: интегральный подход-М.: «Нолидж», 2000.

8. Буйневич М.В., Кляхин В. Н. Сущность и содержание концепции защиты информации при проведении научных исследований//Безопасность информации. Компьютерные технологии, 2003, № 3.

9. Бутырский Г.В., Ивченко А.И. Информационное обеспечение АСУ-Л.:ВМА, 1991.

10. Бухарцев Ю.А., Ильин В.Е., Кудрявцев А.И., Куликов В.А. и др. Автоматизированные информационные системы-Л.: ВАС, 1988.

11. Гейн К., Сарсон Т. Системный структурный анализ: средства и методы.-М.: Эйтекс, 1992.

12. ГОСТ 34.003-90 Автоматизированные системы.

13. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от НСД к информации. Общие технические требования.

14. ГОСТ Р 50922-96. Защита информации. Основные требования и определения.

15. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

16. ГОСТ Р 51583-2000. Порядок создания автоматизированных систем в защищенном исполнении.

17. ГОСТ РВ 50934-96. Защита информации. Организация и содержание работ по защите информации об образцах военной техники от технических разведок.

18. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации

19. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения

20. Гостехкомиссия России. Руководящий документ. Концепция активного противодействия.

21. Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.

22. Гостехкомиссия России. Руководящий документ. Специальные требования и рекомендации по защите информации.

23. Градов А.П., Кузин Б.Н и др. Принципы и модели управления предпринимательским климатом региона. СПб., Региональная экономика, 2003.

24. Гусев B.C. О некоторых подходах к обеспечению комплексной безопасности хозяйствующих субъектов СПб.: 1999.

25. Доценко С.М. Аналитические информационные технологии и обеспечение безопасности корпоративных сетей/Конфидент, 2000, № 2.- С. 16-22.

26. Евграфов В.Г., ГубинскийА.И. Информационно-управляющие человеко-машинные системы: Исследование, проектирование, испытания: справочник- М.: Машиностроение, 1993. 527с.

27. Емельянов А.А., Бочков М.В., Малыш В.Н. Алгоритм адаптивной защиты информации от НСД в корпоративной компьютерной сети// Проблемы информационной безопасности, № 3, 2004.

28. Закон Российской Федерации «О государственной тайне» (Постановление Верховного Совета Российской Федерации от 21.07.93 № 5485-1, № 5486-1).

29. Закон Российской Федерации «Об информации, информатизации и защите информации» (Принят Государственной Думой 25.01.95).

30. Захаров С.Г., Супрун А.Ф. Человек и его безопасность в условиях электромагнитных излучений. /А.Ф.Супрун//: Изд-во СПбГТУ, 1996.-С. 10-53.

31. Зегжда П.Д., Ивашко A.M. Как построить защищенную информационную систему. СПб: Мир и семья-95, Интерлайн, 1998.

32. Каторин Ю.Ф. и др. Большая энциклопедия промышленного шпионажа. СПб.: Полигон, 2000.-896 с.

33. Костин Н.А. Проблемы информационной безопасности России в оборонной сфере/Безопасность информационных технологий, №3, 1995 123 с.

34. Костров А.В. Системный анализ и принятие решений Владимир: ВГТУ, 1995.

35. Кравченко В.И. Грозозащита радиоэлектронных средств: Справочник. М.: Радио и связь, 1991. - 264 с.

36. Кусов Е.В. Оптимизация кратности контроля. Проблемы информационной безопасности. Компьютерные системы. 2006, № 4.

37. Ларичев О.И., Мошкович Е.М. Качественные методы принятия решений-М.: Наука, 1996.

38. Ленчук С.И. Основы защиты военно-технических объектов от ЭМИ. -СПб. ВИКИ, 1994.-253 с.

39. Матвеев В.В. Методический подход к оценке эффективности средств и способов защиты объектов. Труды 8-й Всероссийской научно-практической конференции «Актуальные проблемы защиты и безопасности», т.4, РАРАН, 2005.

40. Матвеев В.В. Организационные, технические и методические аспекты обеспечения безопасности особо важных и потенциально опасных объектов Монография. СПб, СПбГПУ, 2005.

41. Матвеев В.В., Супрун А.Ф. Рекомендации по обеспечению информационной безопасности учебного процесса на ФВО ГОУ ВПО. Пробле мы риска в техногенной и социальной сферах. /А.Ф. Супрун// Материалы конференции. Вып.4. :Изд-во СПбГПУ, 2005.- С. 34-39.

42. Матвеев В.В., Супрун А.Ф. Обоснование моделей каналов утечки ' информации./В.В.Матвеев// Материалы конференции в рамках XXXV Неде-£ ли науки СПбГПУ.-СПб: Изд-во САПбГПУ, 2006.-С. 126-132.

43. Николаев Ю.Н. Проектирование защищенных информационных технологий.- СПб.: СПбГТУ, 1997.

44. Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки потехническим каналам (Постановление Совета Министров Правительства РФ от 15.09.93 г. №912-51).

45. Прайс-лист. Технические системы обеспечения безопасности. -М.: ЗАО «Научно-производственный центр «НЕЛК»», 2004.

46. Просихин В.П., Зегжда П.Д. Обеспечение безопасности управления системами передачи данных в электроэнергетике.// Проблемы информационной безопасности, № 1,2005.

47. Расторгуев С. П. Об обеспечении защиты АИС от недокументированных возможностей программного обеспечения. Зашита информации. Конфидент. № 2, 2001, с. 26-29

48. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях М.: Радио и связь, 1999.

49. Саенко И.Б. и др. Активный аудит действий пользователей в защищенной сети.//3ащита информации. Конфидент.2002, №4-5.

50. Симонов С. М. Анализ рисков в информационных системах. Практические аспекты. Защита информации. Конфидент, № 2, 2001. С. 48-53.

51. Симонов С. М. Методология анализа рисков в информационных системах. Защита информации. Конфидент, №1, 2001. С 72-76.

52. Староверов Д.В. Оценка угроз воздействия конкурента на ресурсы организации. Защита информации. Конфидент, №2, 2000 г., с. 58-62.

53. Степанов Е.А., Корнеев И.К. Специальные требования и рекомендации по защите информации. Информационная безопасность и защита информации- М.: Инфра-М, 2001.

54. Супрун А.Ф. Необходимость и способы защиты информации в учебном процессе факультетов военного обучения. Проблемы риска в техногенной и социальной сферах. /А.Ф. Супрун// Материалы конференции. Вып.4.: Изд-во СПбГПУ, 2005.- С. 103-112.

55. Супрун А.Ф. О защите информации в экономической системе управления мегаполисом./А.Ф. Супрун// Материалы семинара «Реализация жилищной политики в Ленинградской области в 2006-2007 гг.»: Изд-во СПб, 2006.-С.95-97.

56. Супрун А.Ф., Матвеев В.В. Разработка структуры, графа и математической модели защиты технических каналов утечки. /А.Ф. Супрун// Материалы XXXV Недели науки СПбГПУ.: Изд-во СПбГПУ, 2006.- С. 18-22.

57. Технические системы и средства защиты информации. Информационные материалы. М.: ЗАО «Научно-производственный центр «НЕЛК»», 2004.

58. Тумоян Е.П., Федоров В.М., Макаревич О.Б. Перспективы использования голосовой идентификации в системах управления доступом. Таганрог: -ТРТУ.- 1999.

59. Хомоненко А.Д. Численные методы анализа систем и сетей массового обслуживания. М.: МО СССР, 1991.

60. Шпак В.Ф. Методологические основы обеспечения информационной безопасности объекта / Конфидент, 2000, № 1.- С. 72 86.