The program is assessing the level of security of e-commerce.pdf В настоящее время одной из наиболее активно развивающихся отраслей экономики и информационных технологий является электронная коммерция. По данным Synovate Comcon, в настоящий момент 58% пользователей Рунета прибегают к услугам электронной коммерции. При этом с каждым годом увеличивается число инцидентов, связанных с хищением денежных средств и нарушением информационной безопасности в системах электронной коммерции (СЭК); по данным [1], ущерб от подобных инцидентов колеблется в диапазоне от 250 тысяч до 60 млн руб. Следовательно, актуальным направлением являются исследования, связанные с анализом защищенности СЭК от угроз различной природы и синтезом наиболее эффективной системы защиты. 1. Проблемы безопасности системы электронной коммерции В соответствии с [2] электронная коммерция - это форма коммерческой деятельности, осуществляемая полностью или частично в виртуальной среде, при которой информационные или транзакцион-ные взаимодействия происходит на основе применения информационно-коммуникационных технологий. Анализ источников [2, 3] показывает, что наиболее востребована электронная коммерция в следующих отраслях: - высокотехнологичное производство; - финансовый сервис; - розничная торговля; - телекоммуникации; - оптовая торговля; - государственные услуги и закупки; - транспорт. В связи с этим в СЭК обрабатывается и храниться большое количество данных различной категории: платежные данные, электронные деньги, данные о транзакциях, а также персональные и идентификационные данные пользователей. В зависимости от способа функционирования и области использования СЭК реализуются с помощью следующих моделей, представленных в виде схемы на рис. 1. При этом наиболее распространёнными являются СЭК вида B2B и B2E, на долю которых, по данным [4], приходится 35 и 48% соответственно. Именно эти виды СЭК и будут рассматриваться автором в данной работе. ВЕСТНИК ТОМСКОГО ГОСУДАРСТВЕННОГО УНИВЕРСИТЕТА № 4 (33) 2015 Управление, вычислительная техника и информатика В связи с распределённой архитектурой СЭК, наличием подключения к глобальным сетям типа Интернет, круглосуточной доступностью сервисов и данных, а также большого количества пользователей-клиентов в процессе своего функционирования система подвергается ряду угроз и деструктивных воздействий как случайного характера, так и инициированных злоумышленником. Основными источниками угроз СЭК являются: 1) непреднамеренные угрозы, вызванные стихийными бедствиями и техногенными катастрофами случайного характера, в ходе которых может быть нарушена непрерывность бизнес-процессов СЭК, доступность данных и сервисов, целостность данных; 2) ошибки пользователей и обслуживающего персонала СЭК; 3) преднамеренные действия злоумышленника, направленные на нарушение таких составляющих информационной безопасности, как доступность, целостность и конфиденциальность информации, циркулирующей в СЭК. Рис. 1. Классификация моделей электронной коммерции Согласно данным [5, 6] наибольшую опасность представляет собой класс угроз, связанных с действиями злоумышленников, поскольку именно этот класс несет наибольшие финансовые и репутацион-ные риски. При этом главным объектом воздействий злоумышленника в СЭК являются финансовые средства, их электронные заместители, платежные данные и информация о транзакциях. По отношению к данным объектам злоумышленник преследует следующие цели: - получение доступа к финансовым средствам и реквизитам для последующего использования; - похищение финансовых средств и электронных заместителей; - внедрение фальшивых финансовых средств; - нарушение доступности сервисов СЭК и непрерывности бизнес-процессов; - несанкционированный доступ к идентификационным данным пользователей СЭК; - мошенничество, фишинг; - несанкционированная модификация платежных данных, реквизитов и идентификационных данных. Для эффективного противодействия большому числу угроз безопасности СЭК и обеспечения безопасности всех участников электронных платежей должны применяться различные средства и методы защиты, правила применения и состав которых описываются в стандартах и рекомендациях регулирующих органов. Анализ литературных источников [7-11] показывает, что в качестве основных регулирующих органов в области безопасности платежных систем и СЭК в Российской Федерации выступают ЦБ РФ, ФСТЭК России и ФСБ России, которые, в соответствии с ФЗ № 161-ФЗ, образуют три уровня регулирования (рис. 2). ПП РФ №584 Контроль и надзор ФСТЭК России ФСБ России ФЗ №16J ФЗ, ст. 27, ч. 2 379- П Разработка, контроль и Банк России ФЗ №161 ФЗ. ст. 27, ч. 3 382- П надзор 2831 -У Правила СЭК Разработка и контроль Операторы (платежная соблюдения платежной системы система) ФЗ №161 ФЗ, ст. 5,4. 5 УРОВНИ РЕГУЛИРОВАНИЯ Рис. 2. Уровни регулирования безопасности в СЭК (область платежных систем) В соответствии с требованиями регуляторов в СЭК должны применяться организационные и технические меры по защите информации. Данные меры по защите информации, с учетом использования в СЭК сетей общего пользования, должны предусматривать применение криптографических средств защиты информации, средств межсетевого экранирования, антивирусной защиты, обнаружения вторжений и анализа защищенности. При этом средства анализа защищенности актуально применять на различных этапах жизненного цикла СЭК: - на этапах проектирования и разработки системы защиты СЭК для выбора наиболее рационального и эффективного состава средств защиты; - на этапе сопровождения с целью регулярного мониторинга и аудита безопасности СЭК и проверки соответствия системы защиты установленным регуляторами требованиям. Таким образом, для исследования уровня защищенности СЭК и выбора наиболее рационального состава средств защиты информации в СЭК, позволяющих снизить риски от потенциальных угроз в пределах допустимого, актуально разработать процедуру оценки защищенности СЭК и автоматизировать ее с помощью программного комплекса. 2. Процедура оценки защищенности СЭК Анализ литературных источников [5, 12, 13] показывает, что защищенность системы и риск нарушения информационной безопасности - два понятия, тесно связанных между собой. В частности, в работе [12] риск определяется как вероятный ущерб, который зависит от защищенности системы. Таким образом, риск - это экономический эквивалент защищенности системы от реализации возможных угроз. Следовательно, при проведении оценки защищенности СЭК целесообразно в качестве базового показателя использовать величину общего риска от реализации актуальных для СЭК угроз безопасности. А поскольку анализ рисков связан с оптимизационной задачей, заключающейся в поиске баланса между вложениями в систему защиты информации и возможным ущербом, то при оценке защищенности и выработке корректирующих рекомендаций будет решаться задача поиска наиболее рационального состава средств защиты, применение которого на практике позволит не только снизить общий уровень риска, но и повысить защищенность СЭК. В данной работе будет использоваться качественный подход к оценке защищенности, в соответствии с которым защищенность СЭК будет оцениваться шкалой разбитой на три уровня: L = {низкий, средний, высокий}. Правила определения принадлежности защищенности СЭК к одному из трех уровней описаны автором в работе [14]. Таким образом, процедура оценки качественного уровня защищенности СЭК описывается в виде следующей последовательности шагов: - составление модели СЭК с указанием объектов защиты, используемых средств защиты и пользователей СЭК; - составление модели угроз и оценка рисков; - оценка защищенности СЭК на основе данных об используемых средствах защиты и рисках от реализации актуальных угроз; - формирование отчета о результатах оценки защищённости и выдача рекомендаций по реконфигурации системы защиты СЭК в случае необходимости. На рис. 3 в нотации IDEF0 представлена разработанная функциональная модель оценки защищенности СЭК. Рис. 3. Функциональная контекстная диаграмма оценки защищенности СЭК в нотации IDEF0 Входными данными являются: - вид и технико-эксплуатационные характеристики СЭК; - информационные ресурсы, активы СЭК и платежные данные; - используемые средства и механизмы защиты; - список угроз для СЭК; - список злоумышленников; - требования к допустимому уровню риска и уровню защищенности СЭК. Выходными данными являются: - оцененный уровень защищенности СЭК; - соответствие или несоответствие оцененного уровня защищенности СЭК требованиям безопасности; - список рекомендаций по повышению защищенности СЭК. 3. Программный комплекс оценки уровня защищенности СЭК Для автоматизации описанных выше функций был разработан программный комплекс, архитектура которого представлена на рис. 4. В архитектуре схожие функции были объединены в отдельные модули с целью обеспечения их более эффективного выполнения. Пользовательский интерфейс Модуль сбора Модуль Модуль Модуль оценки защищенности СЭК Модуль данных о СЭК выбора выбора угроз формирования и оценки средств и оценки рекомендации и объектов СЭК защиты СЭК рисков СЭК отчета Рис. 4. Архитектура программного комплекса оценки защищенности СЭК Модуль сбора данных об СЭК предназначен для сбора информации о технико-эксплуатационных характеристиках СЭК, ее активах и объектах, которые подлежат защите; ввода требований к защищенности СЭК и уровню допустимого риска. Информация вводится ответственным за информационную безопасность в СЭК лицом. Модуль выбора средств защиты предназначен для выбора из списка возможных средств и механизмов защиты, которые используются в исследуемой СЭК для обеспечения безопасности. Модуль выбора угроз и оценки рисков СЭК предназначен для составления модели угроз для СЭК, установки для каждой угрозы вероятности реализации и потенциального ущерба и расчета риска по каждой угрозе и общего риска. Модуль оценки защищенности предназначен для оценки уровня защищенности СЭК. Модуль формирования рекомендаций и отчета обеспечивает взаимодействие между другими модулями и на основании данных об уровне защищенности СЭК вырабатывает комплекс мероприятий -рекомендаций по защите от каждой из актуальных угроз, определяет соответствие между рассчитанным уровнем защищенности и допустимым и выносит решение о защищенности или незащищённости СЭК. И если СЭК имеет низкую защищенность, то выводит список рекомендуемых средств и механизмов защиты. Отчет о результате оценки выводится на экран, а также может быть сохранен в формате .docx. в, 1ГТ Рис. 5. Пользовательский интерфейс программного комплекса оценки защищенности СЭК (экранная копия) Пользовательский интерфейс имеет графический вид и предназначен для ввода данных, вывода результатов и организации взаимодействия пользователя с программой. Состоит из блока управления программным комплексом (рис. 5, область 1) и четырёх функциональных вкладок (рис. 5, область 2), реализующих основные задачи оценки защищенности СЭК: составление модели СЭК, составление модели угроз для исследуемой СЭК, оценки защищенности СЭК и вывода отчета о результатах оценки защищенности на экран. Разработанный программный комплекс предназначен для специалиста по информационной безопасности и/или другого ответственного за защиту информации в СЭК лица. Может использоваться в качестве вспомогательного средства при проведении внутреннего аудита информационной безопасности СЭК. 4. Экспериментальные исследования Эксперименты направлены на исследование результатов оценки защищенности и возможности использования, предложенных моделью рекомендаций для повышения общего уровня защищенности СЭК и снижения рисков. В рамках данных экспериментов было проведено исследование защищенности 10 тестовых СЭК, результаты которых представлены в виде гистограммы на рис. 6. 2 1 0 Уровень защищенности СЭК соотвествует Уровень защищенности СЭК не соотвествует Рекомендации повысили уровень защищенности СЭК до требуемого Рекомендации повысили уровень защищенности СЭК но недостаточно Рекомендации не повысили уровень защищенности СЭК О О К .о m о н о ф m о ф У S с о число тестовых СЭК Рис. 6. Распределение результатов оценки защищенности для 10 тестовых СЭК различного вида. Анализ полученных результатов позволяет сделать вывод, что в 86% случаях рекомендации, предложенные программным комплексом в ходе оценки, позволяют повысить уровень защищенности СЭК, при этом в 71% этого повышения достаточно для достижения требуемой защищенности. Таким образом, можно сделать вывод о возможности применения рекомендаций модели для повышения общей защищенности СЭК различного вида. Заключение Была разработана процедура оценки защищенности СЭК. В нотации IDEF0 описаны функции и этапы процедуры оценки защищенности СЭК, выделены входные и выходные данные. Описаны архитектура и пользовательский интерфейс программного комплекса, автоматизирующего предложенную процедуру. Разработанный программный комплекс может применяться в учебном процессе на лабораторном практикуме для обучения студентов направления «информационная безопасность» и на практике при проектировании систем электронной коммерции и в процессе функционирования для контроля над состоянием их безопасности.

Скачать электронную версию публикации