557_Obrabotka_informatsii_i_matematicheskoe_modelirovanie_2014_

Разработанная информационная система является открытым продуктом, то есть позволяет вводить изменения по возникаюшим вопросам к программе. Созданная программа позволит облегчить работу компьютерных классов.

Литература

1.Г. Хансен, Д. Хансен. Базы данных: разработка и управление, Москва,1999.

2.Шумаков. ADO.NET и создание приложений баз данных в среде Microsoft Visual Studio.NET. Москва, 2003.

3.В.В.Фаронов. Программирование на языке С#. СПб.:Питер,2007.

111

Секция 3

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

РАЗРАБОТКА ПРОГРАММНОГО ПРОДУКТА ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ КОМПАНИИ «ВКОНТАКТЕ»

Асначев Ф.А. СибГУТИ, Новосибирск

e-mail: vozovskey@mail.ru, тел.: (383) 26-98-245

Научный руководитель – Киселев А.А., ст.преподаватель СибГУТИ

На сегодняшний день все большую актуальность приобретает вопрос информационной безопасности в сети Интернет, пользовательская аудитория которой непрерывно растет. Электронные мессенджеры, почта, социальные сети и другие ресурсы стали излюбленными технологиями злоумышленников. Именно поэтому компаниям-разработчикам web-индустрии необходимо контролировать уровень защищенности, как своих продуктов, так и информационной организаций в целом.

Для решения данной задачи автором доклада был реализован программный инструмент, который позволяет произвести оценку рисков информационной безопасности.

Объектом была выбрана Компания «ВКонтакте», сотрудники которой разрабатывают одноименную социальную сеть. Программа позволяет определить степень выполнения ею основных требований, сформулированных

вактуальных стандартах сферы информационной безопасности.

Вкачестве основы был использован ГОСТ Р ИСО/МЭК 17779-2005. На его платформе выделены 11 критериев оценки рисков [1]. В дополнение к указанному ГОСТу автором был использован вопросник средства оценки безопасности Microsoft Security Assessment Tool, перечень уязвимостей OWASP

Top-10, стандарт безопасности данных индустрии платежных карт (PCI DSS), а

также методология IRM-6-Website-Defacement [2-5].

Вдокладе подробно представлен алгоритм и этапы разработки программного инструмента. Также в доклад входит демонстрация программы и результаты проведенной апробации.

112

2.Средство оценки безопасности Microsoft Security Assessment Tool. URL: http://technet.microsoft.com/ru-ru/security/cc185712.aspx (дата обращения 30.12.2013).

3.Журнал «Хакер». URL: http://www.xakep.ru/post/60778/ (дата обращения 30.12.2013).

4.Стандарт безопасности данных индустрии платежных карт (PCI DSS). URL: http://www.pcidss.ru/files/pub/pdf/pcidss_v2.0_russian.pdf (дата обращения 30.12.2013).

5.IRM 6 Website Defacement. URL:

6.https://cert.societegenerale.com/resources/files/IRM/RU/IRM06_RU.pdf (дата обращения 30.12.2013).

ПРОБЛЕМА ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ОБЛАЧНОМ ПОДХОДЕ ХРАНЕНИЯ ДАННЫХ

Байханов М.С. СибГУТИ, Новосибирск

e-mail: vozovskey@mail.ru, тел.: (383) 26-98-245

Научный руководитель – Киселев А.А., ст.преподаватель СибГУТИ

Объемы данных сегодня растут быстрыми темпами. Классические методы работы с ними уже не способны обеспечить необходимую гибкость, эффективность и мобильность. Потребность хранить, обрабатывать и анализировать большие объемы данных заставляет предприятия использовать облачные технологии.

Вопросы безопасности волнуют всех руководителей облачных проектов. Организации не готовы доверять свои данные чужому ЦОД. Задача специалистов по безопасности – обеспечить высокий уровень защиты ценной для организации информации, её конфиденциальность, целостность и доступность.

Объектом для атак в облачных системах могут стать такие слабые места

как:

«черные ходы» в системах, доступ к которым можно получить через интернет и сторонние приложения;

непреднамеренное открытие доступа для злоумышленников, что подвергает риску сохранность данных;

виртуальные машины, гипервизоры и управляющие серверы, подвергающие приложения и данные дополнительным рискам.

Важную роль для реализации стратегий безопасности играют такие методы

как:

использование виртуальных локальных сетей (VLAN), где каждому клиенту присвоен идентификатор VLAN (VLAN-ID), который изолирует их друг от друга;

113

шифрование данных, позволяющее обеспечить их защиту и аутентификацию отправителя;

«низкоуровневые» брандмауэры.

Наиболее эффективными же средствами противодействия угрозам являются: постоянный мониторинг, оценка, проверка, и дальнейшее совершенствование мер безопасности для облачных систем, что и будет иллюстрировать доклад.

ВРоссии на базе НИУ СПбГПУ в рамках Федеральной программы Минобрнауки РФ по техническому перевооружению вузов, был создан суперкомпьютерный центр «Политехнический». В своей системе безопасности они реализуют механизмы, осуществляющие: проактивное сканирование виртуальных машин на наличие уязвимостей и ошибок в конфигурации; полный контроль над процессами их развертывания; отслеживание процессов миграции виртуальных машин и конфигурации системы контроля доступа к ресурсам [1].

Один из основных вопросов в облачной безопасности касается решений шифрования. Главным популяризатором этой тенденции является Агентство национальной безопасности США. В технологиях шифрования растёт интерес клиентов к таким компаниям, как CipherCloud, AlephCloud, PerspecSys, Skyhigh Networks и Vaultive. Интерес к ним проявляют и такие крупные компании как

HP, Cisco и IBM.

Вдокладе будет проведен сравнительный анализ решений основных разработчиков облачных платформ как HP, IBM и Cisco в контексте их конкуренции на российском рынке с точки зрения обеспечиваемого уровня информационной безопасности и ограничений действующего законодательства.

Литература

1. Сайт национального исследовательского университета СПбГПУ. URL: http://nru.spbstu.ru/

РАЗРАБОТКА ИНСТРУМЕНТА ПО ОЦЕНКЕ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БИЗНЕС-ЦЕНТРА «КРОНОС» КЛАССА «А»

Громов А.В. СибГУТИ, Новосибирск

e-mail: alek5andr.grv@gmail.com, тел.: (383) 26-98-245

Научный руководитель – Киселев А.А., ст.преподаватель СибГУТИ

В настоящее время проблема управления информационной безопасностью наиболее актуальна для многих нетипичных объектов. Интерес представляют решения в контексте информационной безопасности в бизнес-центрах.

Бизнес-центр «Кронос» класса А оборудован современными инженерными системами, позволяющие быстро и без ограничений подвести все необходимые

114

коммуникации в любое место. Здание оснащено современными техническими, сетевыми и программными средствами безопасности. Но сосредоточение большого количества информационных ресурсов с разными собственниками, при этом появляется задача контроля человеческого трафика, составленного из сотрудников офисов и посетителей, делает проблему информационной безопасности актуальной.

Вдокладе изложена процедура разработки и практической реализации программы, позволяющая оценить риск нарушения информационной безопасности (ИБ) организации. Ядром разработки являются требования актуальных стандартов в области управления информационной безопасности и управления рисками информационной безопасности [1-8], на основе которых для удобства проведения оценки сформулированы вопросы. В результате проведения оценки эксперт получает отчет о степени выполнения вышеуказанных требований с учетом их неравнозначности.

Вдокладе будет отражены возможности и особенности разработанного инструмента, описан интерфейс и нюансы процесса реализации, сложность разработки и имеющиеся недостатки.

Вкачестве достоинства стоит указать полноту и законченность программного инструмента, поскольку с ее помощью любой пользователь сможет правильно выполнить оценку рисков нарушения ИБ. Меню насыщено методическим и поясняющим материалом.

Литература

1.ГОСТ Р ИСО/МЭК 13335-1 —2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий. – Введ. 2006-19-12. – М.: ООО

«Линс-М», 2006. – 19 с.

2.ГОСТ Р ИСО/МЭК ТО 13335-5-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети. – Введ. 2006-19-12. – М.:ФГУ ФСТЭК РОССИИ, 2006. – 22 с.

3.ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. – Введ. 2008-15-06. – ISO/IEC JTC 1, Информационных технологий, Подкомиссией технологий безопасности SC 27, 2010. – 70 с.

4.ГОСТ Р ИСО/МЭК 27002-2005. Информационные технологии. Свод правил по управлению защитой информации. – Введ. 2007-07-01. – ISO/IEC JTC 1, Информационных технологий, Подкомиссией технологий безопасности SC 27, 2007. – 171 с.

5.ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. – Введ. 2007-01-01. – ФГУ ФСТЭК России, 2007. – 57 с.

6.ISO/IEC27001:2005. Информационная технология. Методы и средства

обеспечения безопасности. Системы менеджмента информационной

115

безопасности. Требования. – Введ. 2007-01-01.М. – ООО НПФ «Кристалл»,

2008. – 27 с.

7. Рекомендация МСЭ-Т X.805 – Серия X: Сети передачи данных и взаимосвязь открытых систем. Безопасность. Архитектура безопасности для систем, обеспечивающих связь между оконечными устройствами. – Введ. 2003-29- 10.М. – 17-я исследовательская комиссия ITU-T, 2004. – 22 с.

8. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.07.2013) О персональных данных. – Введ. 2006-08-07.М. – ФСТЭК России, 2013.– 22 с.

АНАЛИЗ DLP-СИСТЕМ

Ермолаев М.И. СибГУТИ, Новосибирск

e-mail: marcodarrius@gmail.com, тел.: 8-908-942-16-07

Научный руководитель – Киселев А.А., ст.преподаватель СибГУТИ

Согласно статистике Zecurion Analytics, только 10,9% российских компаний не сталкивались с утечками информации в 2013 году. Огромной проблемой является то, что при этом большая часть утечек не фиксируется техническими средствами и может быть замечена только по негативному эффекту [1].

Существуют различные способы избежать утечек, одно из них – противодействие угрозам при помощи DLP-систем.

DLP-системы (англ. Data Loss Prevention) – это системы, которые позволяют обнаружить и/или блокировать несанкционированную передачу конфиденциальной информации по какому-либо каналу, используя информационную инфраструктуру предприятия [2].

Проведенный анализ DLP-систем был направлен на оценку эффективности работы и сравнения этих систем между собой для выбора наилучшего варианта, предложенного на рынке в текущий момент.

Вдокладе приведены результаты сравнительного анализа 8 различных наиболее известных DLP-систем (“Securit ZGate”, “InfoWatch Traffic Monitor”, “Symantec Data Loss Prevention”, “Контур информационной безопасности

SearchInform”, “FalconGaze SecureTower”, “Websense Data Security Suite (DSS)”, “Trend Micrо Data Loss Prevention (DLP)”, “Дозор Джет”) по 20

критериям. Выработаны рекомендации, с помощью которых можно сделать точный выбор для своей решаемой задачи проектирования системы обеспечения информационной безопасности.

Врезультате проделанного мной анализа, потребитель может решить, какая из систем является наиболее мощной и необходима именно в его условиях, будь то, например, малый бизнес или серьезные корпорации, поскольку каждая из программ имеет свои плюсы в определенной ситуации. Хотелось бы отметить, что несколько из упомянутых систем являются

116

отечественными разработками и вполне способны конкурировать с иностранными программами.

Литература

1. Сайт Компании ZECURION URL: http://www.zecurion.ru/upload/iblock/

9e4/Zecurion_Roadshow_2013.pdf (дата обращения: 12.02.2014).

2. Сайт аналитического центра ANTI-MALWARE: Анализ рынка DLP. URL: http://www.anti-malware.ru/russian_dlp_market_2008_2010#part2

(дата обращения: 10.02.2014).

АНАЛИЗ ПРОБЛЕМЫ ИНСАЙДЕРСКИХ УГРОЗ ДЛЯ ИНФОРМАЦИОННЫХ РЕСУРСОВ И ОРГАНИЗАЦИЙ

КАЗАХСТАНА

Кочешков А.К. СибГУТИ, Новосибирск

e-mail: andry_kocheshkov@yahoo.com, тел.: (727) 252-78-85

Научный руководитель – Киселев А.А., ст.преподаватель СибГУТИ

Зачастую системы информационной безопасности проектируются без учета модели вероятного нарушителя, хотя это немаловажный фактор, влияющий на принятие ключевых решений при выработке адекватных организационных и технических мер противодействия. Особенно это важно для государственных структур.

По наличию права постоянного или разового доступа на территорию и к корпоративной информационной системе нарушители подразделяются на два типа [1]. Наиболее опасным по статистике принято считать инсайдера [2].

Компания InfoWatch выделяет 2 группы и 6 типов инсайдеров – «халатный» и «манипулируемый» из группы лояльных, а также «обиженный», «нелояльный», «подрабатывающий» и «внедренный» из группы злонамеренных [3].

Учитывая особую опасность, исходящую от инсайдеров, внедряются различные программные продукты, предотвращающие утечку информации путем контроля и блокировки отдельных каналов передачи информации (Wi-Fi, Bluetooth, USB и т.п). Применяя системный подход к решению проблемы предотвращения утечки информации, необходимо использовать продукты, имеющие максимальный функционал по предотвращению возможных угроз.

В текущий момент распространение получают технологии предотвращения утечек конфиденциальной информации из информационной системы вовне – DLP-системы. В основе заложены различные методы детектирования угроз конфиденциальной информации. При использовании различных технологий выявления конфиденциальной информации в общем потоке данных – эффективность их применения варьируется в зависимости от каналов передачи и категории информации.

117

Внастоящее время существует несколько подходов детектирования угроз,

иу каждого из них есть свои сильные и слабые стороны. В докладе выполнен обзор подходов в предотвращении утечек информации.

Литература

1.Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённая заместителем директора ФСТЭК России от 15 февраля 2008 г. URL:http://fstec.ru/normativnye- i-metodicheskie-dokumenty-tzi/ (дата обращения 5.02.2014).

2.Аналитический отчет компании InfoWatch. Безопасность информации в корпоративных информационных системах. Внутренние угрозы.

3.URL: http://www.infowatch.ru/analytics/reports/4609 (дата обращения

13.02.2014).

4.CNewsАналитика. Экосистема внутренних нарушителей. URL: http://www.cnews.ru/reviews/free/insiders2006/articles/ecosystem.shtml (дата обращения 13.02.2014).

НАДЁЖНОСТЬ И ЕЁ АТРИБУТЫ

Митрошина Н.О. СибГУТИ, Новосибирск

e-mail: natashamitro@sibsutis.ru, тел.: (923) 179-24-05

Основным качественным определением надежности является возможность предоставлять гарантированное обслуживание заданного качества. Данное определение отражает важность оправдания ожиданий пользователя, его доверия. Количественным определением, позволяющим установить, надежно ли предоставляемое обслуживание, является надежность системы – способность избегать системных сбоев, являющихся по своей частотности и серьезности неприемлемыми для пользователей.

За три последних десятилетия надёжность системы превратилась в составное понятие, включающее в себя следующие элементы:

готовность (Availability): готовность к нормальному функционированию;

безотказность (Reliability): непрерывность нормального функционирования;

безопасность (Safety): отсутствие катастрофичных последствий для пользователя/ей и окружающей среды;

конфиденциальность (Confidentiality): отсутствие несанкционированного доступа к закрытой информации и невозможность её обнародования;

целостность (Integrity): невозможность внесения несанкционированных системных изменений;

ремонтопригодность (Maintainability): возможность внесения изменений в систему, а также её модернизации и проведения ремонта;

защищенность (Security): одновременное существование:

1)возможности обслуживания только авторизованных пользователей,

118

2)конфиденциальности,

3)целостности информации, т.е. невозможность доступа к данным для пользователей со статусом «не авторизован».

Спецификация по надежности системы должна включать в себя требования к атрибутам надежности на основании частотности и серьезности сбоев для отдельных классов ошибок и заданных эксплуатационных условий. Иногда для конкретной системы выполнение требований одного или нескольких признаков необязательно.

На сегодня выделяют два основных определения надежности:

«Совокупный термин для описания функциональной готовности и факторов, влияющих на нее: безотказность, ремонтопригодность и обеспечение технического обслуживания и ремонта» [ISO 1992].

«Уровень способности системы гарантированно и правильно исполнять системные задачи в определенных эксплуатационных и внешних условиях за определенный период времени или в заданный момент времени» [IEC 1992].

Совершенно очевидно, что определение, приводимое ISO, сосредотачивается на понятии готовности. В этом нет ничего удивительного, поскольку данное определение опирается на определение, данное CCITT (МККТТ) в те времена, когда готовность находилась в центре внимания всех телефонных операторов. Готовность обеспечивать надежность общего характера заслуживает отдельного внимания, поскольку она (надежность) не ограничивается только готовностью в ее привычном понимании и соотносится еще с безотказностью и ремонтопригодностью. В этом свете определение ISO/ CCITT соответствует определению надежности, данному Дж. Хосфордом в его книге «MeasuresofDependability», 1960: «вероятность, с которой система в случае необходимости будет функционировать».

Второе определение (из [IEC 1992]) представляет понятие доверия и более близко к определениям, приведенным в начале.

Существуют иные, близкие к надежности понятия, такие как живучесть и степень доверия (Trustworthiness).

Параллельное сравнение понятий надежности, живучести и степени доверия представлено в таблице.

На ее основе можно сделать вывод, что все они существенным образом одинаковы по своим целям и касаются схожих угроз. Степень доверия не учитывает подробный перечень внутренних ошибок, хотя подразумевается, что в ее задачу входит их учет. В живучести такие ошибки рассматриваются неявным образом с помощью аппаратных сбоев. Впервые понятие живучести было использовано в военных стандартах конца 60-ых, где живучесть определялась, как способность системы противостоять вражескому окружению таким образом, чтобы система могла выполнить свое задачу. Не так давно понятие живучести было пересмотрено. При более подробном рассмотрении данных понятий можно отыскать одно отличие. Живучесть и степень доверия в своих определениях явно упоминают понятие угрозы, тогда как оба

119

определения надежности оставляют право выбора: угрозами могут быть либо все возможные виды сбоев, либо выбранное только из них подмножество, например, «надежность относительно ошибок развития» и т.д.

Таблица – Сравнение понятий надежности, живучести, степени доверия

Значения атрибутов надежности могут варьироваться в зависимости от назначения конкретной вычислительной системы. Как правило, всегда используются такие атрибуты, как готовность, целостность и ремонтопригодность (хотя степень их значимости лишь в некоторой мере

120