В настоящей работе проводится непосредственный анализ существующих методик оценивания защищенности значимых объектов критической информационной инфраструктуры, обзор их законодательных основ и существующих средств защиты информации от несанкционированного доступа. Такой анализ необходим для решения задач, связанных с разработкой комплексного подхода к оцениванию защищенности значимых объектов критической информационной инфраструктуры. Рассмотрены основные руководящие документы и приказы ФСТЭК России, Федеральный закон №187-ФЗ от 26 июля 2017 г. «О безопасности КИИ РФ». Проанализирован современный рынок средств защиты информации от несанкционированного доступа. Для удобства все сравнительные критерии разделены на категории: общие сведения; системные требования (минимальные); поддерживаемые автоиатизированные рабочие места и серверы на основе известных защищенных операционных систем; уровень сертификации по требованиям безопасности ФСТЭК России; развертывание системы защиты; обновление компонентов; основные функции средств защиты информации от несанкционированного доступа; очистка информации; дополнительные модули защиты; централизованное управление и отчетность; возможность интеграции; лицензирование. Для участия в сравнении были выбраны четыре наиболее популярные в России группы средств защиты информации от несанкционированного доступа: Secret Net Studio; Dallas Lock 8.0-К; Diamond ACS; «Блокхост-Сеть 2.0». С целью выявления методик оценивания защищенности значимых объектов критической информационной инфраструктуры рассмотрены национальные стандарты России и научная периодика. Показано, что методическое обеспечение данного сегмента безопасности находится не на должном уровне.
1.?Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
2.?Постановление Правительства Российской Федерации «Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 08.02.2018 № 127 (с изм. и доп. в ред. от 13 апреля 2019 г.).
3.?Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (в ред. Приказов ФСТЭК России от 9 августа 2018 г. № 138, от 26 марта 2019 г. № 60, от 20 февраля 2020 г. № 35).
4.?Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»: утв. решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
5.?Руководящий документ «Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации»: утв. решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
6.?Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
7.?Приказ ФСТЭК России от 21.09.2016 № 131 «Об организации работы по разработке перечней правовых актов и их отдельных частей (положений), содержащих обязательные требования, соблюдение которых оценивается при проведении мероприятий по контролю в рамках видов федерального государственного контроля в сфере компетенции ФСТЭК России».
8.?Информационное сообщение «О требованиях безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» от 29.03.2019 № 240/24/1525.
9.?ГОСТ Р ИСО/МЭК ТО 19791–2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем: введ. 2009–10–01. – М.: Стандартинформ, 2010. – 121 с.
10.?ГОСТ Р ИСО/МЭК 15408-1–2012. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч. 1. Введение и общая модель: взамен ГОСТ Р ИСО/МЭК 15408-1–2008: введ. 2013–12–01. – М.: Стандартинформ, 2010. – 51 с.
11.?Пивкин Е.Н., Белов В.М. Нечеткие модели в системе защиты информации, составляющей налоговую тайну // Доклады Томского государственного университета систем управления и радиоэлектроники. – 2008. – № 2 (18), ч. 1. – С. 125–128.
12.?Белов В.М., Пивкин Е.Н., Прокопец В.Д. Оценка уровня информационной безопасности на основе нечетких моделей в территориальных налоговых органах // Научно-технические ведомости СПбГПУ. – 2007. – № 4-2 (52). – С. 130–132.
13.?Шуроватов М.А., Пивкин Е.Н., Белов В.М. Программное обеспечение оценки уровня защищенности виртуального канала // Ползуновский альманах.?– 2008. – № 4. – С. 90–93.
14.?Капустин А.В., Пивкин Е.Н., Белов В.М. Программное обеспечение оценки защищенности объектов информатизации на основе аппарата нечетких множеств и стандарта Банка России // Ползуновский альманах. – 2008. – № 4. – С. 97–100.
Автор выражает глубокую благодарность д-ру техн. наук, профессору Белову Виктору Матвеевичу за ценные советы и замечания, высказанные при работе над статьей.
Пивкин Е.Н., Ардаева А.А. Анализ методического и технического обеспечения процедур оценивания защищенности значимых объектов критической информационной инфраструктуры от несанкционированного доступа // Безопасность цифровых технологий. – 2022. – № 1 (104). – С. 27–40. – DOI: 10.17212/2782-2230-2022-1-27-40.
Pivkin E.N., Ardaeva A.A. Analiz metodicheskogo i tekhnicheskogo obespecheniya protsedur otsenivaniya zashchishchennosti znachimykh ob"ektov kriticheskoi informatsionnoi infrastruktury ot nesanktsionirovannogo dostupa [Analysis of methodological and technical support of procedures for assessing the security of significant objects of critical information infrastructure from unauthorized access]. Bezopasnost' tsifrovykh tekhnologii = Digital Technology Security, 2022, no. 1 (104), pp. 27–40. DOI: 10.17212/2782-2230-2022-1-27-40.