УДК 004

Автоматизация в информационной безопасности и ее применение при проведении работ по аттестации объекта информатизации

Пономарев Павел Вячеславович – студент магистратуры кафедры Информационной безопасности Национального исследовательского университета «Московский институт электронной техники»

Аннотация: В настоящее время все большую значимость во всех сферах деятельности вопрос автоматизации различных процессов является наиболее острым и необходимым к решению. Автоматизация с целью повышения оперативности выполнения процедур и операций является актуальной и неотъемлемой частью современного мира. Развитие технологий обусловили необходимость использования автоматизированных процедур, в том числе, и для обеспечения безопасности информации. Проведен анализ статистики автоматизации процессов ИБ, а также обзор соответствующих правовых документов, сопровождающих данные мероприятия, в частности затронуты вопросы аттестации внедряемых разработок. Обзор существующего отечественного специализированного программного обеспечения показал, что в настоящий момент общедоступных и актуальных версий подобного программного обеспечения нет, что открывает перспективы для разработки новых продуктов в данной области.

Ключевые слова: автоматизация, технологии, данные, системы безопасности.

Автоматизация различных процессов, с целью повышения оперативности выполнения процедур и операций является актуальной и неотъемлемой частью современного мира. Стремительное развитие технологий обусловили необходимость использования автоматизированных процедур, в том числе, и для обеспечения безопасности информации. Так как в настоящее время технологии развиваются быстрее, чем рынок специалистов в сфере обеспечения информационной безопасности (далее – ИБ), в качестве главной задачи автоматизации процессов в ИБ выступает сокращение времени реакции на различные угрозы и события, которые могут происходить в системе, а помимо этого более эффективное выявление и последующее устранение уязвимостей.. К тому же автоматизация позволяет выполнять всевозможные рутинные задачи (например, сбор данных и их анализ без непосредственного привлечения человека). При этом особенно важно понимать, что решения в области автоматизации не полностью убирают потребность в наличии специалиста в сфере ИБ, а лишь повышают эффективность работы таких сотрудников, а помимо этого существенно упрощают решение рутинных задач. Как следствие, это предоставляет возможность сократить время реагирования на угрозы ИБ, что является крайне важным при выявлении сложных и многоуровневых атак, а также снижает потребность руководства в быстром наборе персонала, которому требуется время для адаптации в условиях функционирования компании.

Результаты опроса респондентов эфира Anti-Malware Live, проведенного в период 2022-2023 гг. наглядно показали, что практически половина из числа всех опрошенных (48 % и 49% соответственно) автоматизировали лишь отдельные неинвазивные операции. Преимущественная доля предприятий (42 %) в 2022 г. занималась автоматизацией большого количества простых рутинных операций и задач. Следует подчеркнуть, что в 2023 г. данный показатель сократился до 35 % предприятий. Аналогичная ситуация наблюдается и с теми предприятиями, которые смогли автоматизировать абсолютно все существующие процессы. Так, в 2022 г. их количество составляло 6 %, а в 2023 г. уже всего 5 %. При этом те, кто выступает против автоматизации, в 2023 г. оказало в три раза больше (11%) в сравнении с 2022 г. (4%) (рисунок 1) [1].

image001

Рисунок 1. Статистика опроса респондентов по автоматизации процессов ИБ.

В большинстве своем, основными средствами автоматизации ИБ являются системы организации безопасности, автоматизации и реагирования (SOAR), платформы реагирования на инциденты (IRP), комплексы управления процессами в информационной безопасности (SGRC), программы повышения осведомлённости, а также расширенное обнаружение и реагирование на сложные угрозы и целевые атаки (XDR), система сбора и корреляции событий ИБ (SIEM (рисунок 2).

 image002

Рисунок 2. Средства автоматизации ИБ.

Посредством автоматизации подобных процессов, например, компании Positive Technologies удалось оптимизировать работу оператора безопасности, применив решение MaxPatrol O2.  К 2023 году данное решение сократило число ложных срабатываний событий безопасности, которые поступают к аналитикам, в 10 раз. А также оно сократило время расследования инцидентов в 10 раз, за счет автоматического сбора контекста атаки [2].

Еще одной важной частью процесса обеспечения ИБ выступает аттестация объектов информатизации (далее – АОИ). Под «АОИ» понимается целый комплекс организационно-технических мероприятий, в результате которых, посредством такого документа как «Аттестат соответствия» подтверждается, что объект информатизации в полной мере соответствует требованиям стандартов и различных нормативно-технических документов, регламентирующих вопросы безопасности информации, которые утверждены ФСТЭК России.

Согласно Приказу ФСТЭК России № 77 от 29.04.2021 года работы по АОИ можно разделить на несколько основных этапов:

  • сбор и анализ данных предоставленных владельцем объекта информатизации документов (п.11 Приказа ФСТЭК №77);
  • подготовка программы и методики проведения аттестационных испытаний (п.12-14 приказа ФСТЭК №77);
  • проведение аттестационных испытаний (далее – АИ) (п.15-18 приказа ФСТЭК №77);
  • подготовка и передача отчетных документов (п.19-22 приказа ФСТЭК №77) [3].

Процесс проведения АИ довольно емкий и может занимать порядка 300 человеко-часов трудозатрат. Все это влечет существенные финансовые и временные затраты и ограничено наличием доступных человеческих ресурсов, что вынуждает компанию-лицензиата либо увеличивать штат сотрудников, либо увеличивать стоимость работ, либо уменьшать количество проектов по аттестации, либо снижать качество проведения аттестационных испытаний, тем самым повышая свои риски и уменьшая прибыль компании. Учитывая характер выполняемых процедур, в рамках указанного Приказа, целесообразно провести рассмотрение возможности их автоматизации.

Проведение АИ информационных систем на объекте информатизации зачастую выполняется с использование программных и программно-технических средств, включая перечисленные ранее, предусматривающие последующую обработку и хранение этими программами различных журналов или каталогов, по которым позже можно заполнить протоколы и другие отчетные документы.

Это уже является одним из факторов, характеризующих не только возможность, но и необходимость автоматизации данного процесса. Также необходимо отметить, что сбор и анализ документов, полученных от владельца объекта информатизации (ОИ), и последующее построение программы и методики проведения АИ является не менее трудозатратным процессом, поскольку из методов автоматизации здесь применяется только использование текстовых редакторов.

Для оптимизации и сокращения временных затрат, в отношении приведенных выше процессов, можно использовать специально разработанное программное обеспечение, позволяющее оператору автоматизировать выполняемые действия.

Если посмотреть список предоставляемых владельцем ОИ документов, среди них есть технический паспорт информационной системы и акт классификации информационной системы, которые имеют стандартизированную форму представления (Приложение № 1 и № 3 Приказа ФСТЭК №77) (рисунок 3).

image003

Рисунок 3. Варианты технического паспорта информационной системы и акта классификации информационной системы.

 В этих документах можно условно выделить следующий список получаемых данных, на основе которых можно будет сделать автоматизированную подборку заготовленных в организации шаблонов методик и программ проведения АИ информационных систем по соответствующим требованиям:

  • классификационные данные об объекте информатизации (масштаб, уровень значимости информации, класс защищенности информации);
  • сведения об ОИ, технических характеристиках, реализованных мерах по защите информации (состав программно-технических средств информационной системы, общесистемного и прикладного ПО, телекоммуникационного оборудования, средств защиты информации, используемых в информационной системе).

Обзор существующего отечественного специализированного программного обеспечения показал, что в настоящий момент общедоступных и актуальных версий подобного программного обеспечения нет.

Подобный подход к обработке входящих данных и подготовки документов применяется в сфере бухгалтерского учета в программе 1С. Все это обусловливает, во-первых, возможность, а, во-вторых, необходимость разработки подобного программного обеспечения. Оно может быть разработано в среде скриптованного языка программирования Python. В результате программный продукт будет представлять собой исполняемый файл, запуск которого произведет заполнение заранее подготовленных шаблонов.

Список литературы

  1. Екатерина Быстрова: «Автоматизация информационной безопасности предприятия – 2023», 2023 г. https://www.anti-malware.ru/analytics/Technology_Analysis/Infosec-Automation-2023.
  2. Михаил Помзов, Михаил Стюгин, Антон Исаев: «MaxPatrol O2. Как мы пришли к созданию автопилота для кибербезопасности» 2023 г. https://habr.com/ru/companies/pt/articles/763686/.
  3. ФСТЭК России. Приказ № 77 от 29 апреля 2021 г. «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».

Интересная статья? Поделись ей с другими: