Доклад на тему: "Разработка автоматизированной системы оценки соответствия требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры"

Актуальность выбранной темы исследования заключается в том, что с каждым годом количество кибератак постоянно увеличивается, и на это указывают результаты мониторинга и реагирования на кибератаки Центра Solar JSOC компании «Ростелеком-Солар».Следует отметить, что 85% атак относятся к уязвимостям нулевого дня и применяются злоумышленниками для получения доступа к почтовым серверам и персональным компьютерам руководителей различных компаний и ведомств.Такая ситуация создает необходимость внедрения новых методов в области обеспечения защиты объектов критической информационной инфраструктуры.Слайд 3Объектом исследования выступают объекты критической информационной инфраструктуры.Предметом исследования является процесс автоматизации оценки соответствия требованиям нормативно-правовых документов по защите объектов критической информационной инфраструктуры.Научная новизна работы заключается в формализации процесса определения категории значимости для объектов критической информационной инфраструктуры, и он выступает в работе в виде алгоритма.Второй значимостью работы является разработка методики оценки соответствия требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ в соответствии с определенной категорией значимости.Слайд 4Цель работы: повышение уровня безопасности объектов критической информационной инфраструктуры. Задачи исследования приведены на слайде 4.Слайд 5В теоретической части работы был проведен обзор нормативно-правовой базы, международных стандартов, научных статей в области обеспечения безопасности КИИ.Анализ нормативно-правовой базы в области обеспечения безопасности КИИ показал, что к основным нормативно-правовым документам относятся:- Федеральный закон от 26.07.2017 г. №187-ФЗ «О безопасности критической информационной инфраструктуры РФ»;- Постановление Правительства РФ от 08.20.2018 г. №127;- Постановление Правительства РФ от 17.02.2018 г. №162;- Приказ ФСТЭК России от 21ю12ю2017 №235;- Приказ ФСТЭК России от 25.12.2017 г. №239.Слайд 6В основной части работы формализован процесс определения категории значимости для объектов критической информационной инфраструктуры, а также разработана методика оценки соответствия требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры.Пример алгоритма определения категории значимости по причинению ущерба жизни отражен на слайде 6. Для выделения категорий значимости использовались такие критерии как количество причин и количество человек, которые получат материальный ущерб.Слайд 7Алгоритм методики оценки соответствия требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ в соответствии с определенной категорией значимости приведен на слайде 7.В интегральном (групповом) показателе учитывались оценки соответствия требованиям по обеспечению безопасности значимых объектов КИИ, определенной категории значимости и частные показатели.Слайд 8При апробации методики оценки соответствия требованиям по обеспечению безопасности значимых объектов КИИ были выполнены следующие действия:- выбраны направления по мерам защиты в соответствии с приказом ФСТЭК №239 от 25.12.2017 г. по которым выполнялась оценка обеспечения безопасности значимых объектов критической информационной инфраструктуры;- производилась детализация группового показателя, посредством разложения его на частные с определением частных критериев;- выполнялся перевод частных показателей в вопросы, ответы на которые могли бы охарактеризовать оценку соответствия требованиям;- назначались ответы на вопросы весов;- формировались сводные данные по полученным частным и групповым показателям;- создавался вывод по оценке соответствия требованиям.Слайд 9Пример таблицы оценки соответствия требованиям по направлению «Ограничение программной среды» приведен на слайде 9. Как видно из таблицы при выполнении оценки соответствия требованиям по направлению «Ограничение программной среды» (GP3) были выделены ограничения программной среды по каждому из которых, с применением шкалы оценки от 0 до 1 проверялась проверка обеспечения регламентации правил и процедур, управления запуском компонентами и инсталляцией программного обеспечения.Аналогичные таблицы оценки соответствия были разработаны для каждого направления по мерам защиты в соответствии с приказом ФСТЭК №239 от 25.12.2017 г.Слайд 10В таблице оценки комплексного показателя по каждой категории была установлена важность. Результаты показали, что для обеспечения защиты объектов КИИ наиболее важными категориями защиты являются антивирусная защита, предотвращение вторжений, информирование и обучение персонала.Представленная методика поможет упростить и ускорить процедуру оценки соответствия требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ.Слайд 11Далее рассмотрим работу автоматизированной системы оценки соответствия требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры.Данная система может применяться для автоматизации и упрощения процесса оценки соответствия требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ.Слайд 12При открытии АС появляется стартовое окно. Система предлагает определить категорию значимости объекта.При определении категории значимости предлагается пройти анкетирование по разработанному алгоритму.Слайд 13После окончания процедуры анкетирования и определения категории значимости, предлагается пройти оценку соответствия требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры по предложенной методике. Для этого необходимо пройти оценку соответствия по всем показателям.Слайд 14После чего предлагается анкетирование по выбранному показателю. После окончания процедуры анкетирования и обработки данных система выдает результат и предлагает ознакомиться с перечнем мер, которые необходимо применить в соответствии с выявленным результатом. При нажатии на каждую из предложенных мер пользователь может скачать формы необходимых приказов, актов и положений. Слайд 15На заключительном этапе была проведена апробация автоматизированной системы на объекте, в качестве которого выступила ООО «МеталлПлюс» занимающаяся металлургической промышленностью. Изначально, после первого применения АС, до внедрения необходимых мер, по результатам оценки соответствия требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры, низкая и средняя степень безопасности определялась по 12 из 17 показателей.После внедрения рекомендованных мер и средств защиты и проведения второй процедуры оценки, низкая и средняя степень безопасности определялась, лишь по 6 из 17 показателей.Полученные результаты указывают, что после использования системы руководство ООО «МеталлПлюс» смогло повысить уровень безопасности объекта КИИ и провести оценку соответствия требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры при помощи разработанной методики.Слайд 16Таким образом, поставленные цели и задачи были решены:1. Проведён анализ существующей нормативно-правовой базы, международных стандартов, научной литературы в области в области обеспечения безопасности объектов КИИ.2. Формализован процесс определения категории значимости для объектов критической информационной инфраструктуры.3. Разработана методика оценки соответствия требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ.4. Разработана автоматизированная система оценки соответствия требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ. Спасибо за Внимание. Доклад окончен