Организация контроля защищенности автоматизированных систем

Организация контроля защищенности автоматизированных систем

Н.А.Чижов, начальник отдела разработки
программных средств ЗАО "ЦБИ-сервис",
кандидат технических наук

Контроль выполнения правил политики безопасности организации при использовании средств автоматизации бизнес-процессов — один из ключевых элементов современных систем информационной безопасности (ИБ).

Для обеспечения эффективного функционирования систем ИБ данный контроль должен охватывать все элементы (механизмы) защиты соответствующих автоматизированных систем (АС). Если отдельные процессы контроля не автоматизировать, то реализация полномасштабной системы контроля ИБ потребует значительных материальных и людских ресурсов.

Возможности продуктов "ЦБИ-сервис"

В настоящее время на рынке средств и систем защиты информации наблюдается устойчивая тенденция роста предложений в части программных продуктов, позволяющих автоматизировать различные процедуры контроля. При этом все большее число производителей стремится объединить в одном продукте различные функции контроля. Здесь возникает задача оптимизации набора таких функций с точки зрения их необходимости, разумной достаточности и гибкости.

ЗАО "ЦБИ-сервис" при решении данной задачи исходит из принципов, что совокупность средств контроля защищенности АС должна:

• позволять проводить как периодический контроль, так и постоянный;
• решать задачи контроля как на сетевом уровне, так и на системном;
• обладать возможностью адаптации к контролируемой АС;
• иметь расширяемый набор функций и функциональных модулей;
• обладать возможностью централизованного управления при решении задач контроля.

Эти принципы реализованы в линейке программных продуктов "Ревизор...", разработанных ЗАО "ЦБИ-сервис" в период 2003-2005 гг. Это в первую очередь сетевой сканер "Ревизор Сети", системный сканер "Ревизор системы" и реализуемые на его основе консоли реального времени для отслеживания различных событий безопасности, а также ряд других продуктов. Совместное их применение уже сейчас позволяет комплексно решать задачи контроля защищенности АС по всем перечисленным выше направлениям как на сетевом, так и на системном уровне. Продукты интегрированы на единой базе данных, имеют централизованное управление, динамично развиваются и ориентированы на нужды заказчика. Вся линейка "Ревизоров..." сертифицирована в системе сертификации ФСТЭК России.

Новинки 2006 г.

В 2006 г. выходят очередные версии продуктов, функционирующие в гетерогенной программной среде (Windows, Unix), имеющие единую административную консоль управления и интерфейс для интеграции с различными средствами контроля защищенности других производителей, в том числе и импортных.

В ближайших планах ЗАО "ЦБИ-сервис" выпуск на рынок интегрированного программного комплекса, позволяющего на основе использования указанных выше продуктов максимальным образом автоматизировать ряд процедур, связанных с проведением аудита информационной безопасности АС, а также с проверкой соответствия систем информационных технологий (ИТ) критериям оценки безопасности ИТ в соответствии с ГОСТ Р ИСО/МЭК 15408-2002 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".