Наша «любимая» рубрика — рассказать о кейсе информационной безопасности для очень важной системы, о которой никто, кроме специалистов, не знает. И при этом рассказать так, чтобы эту самую информационную безопасность не нарушить. Кейс ГИС РИС ГИА как раз из таких.

За аббревиатурой ГИС РИС ГИА вполне могло бы скрываться какое-нибудь необычное вьетнамское блюдо, но обозначает она государственную региональную информационную систему освоивших основные образовательные программы основного общего и среднего общего образования. Если понятнее не стало, то можно еще проще — это информационная система выпускных школьных экзаменов.

Цифроматика в этом году обеспечила информационную безопасность для РИС ГИА в Санкт-Петербурге. Эта система является сегментом федеральной информационной системы и состоит из двух независимых друг от друга информационных систем: РИС ГИА-9 и РИС ГИА-11. Нет, это не порядковые номера версий, так что не стоит искать РИС ГИА-1, -2, -3 и так далее. Цифры 9 и 11 обозначают основное общее и среднее общее образование — то есть экзамены, которые сдают после 9 и 11 классов. Оператором региональной системы в северной столице является Санкт-Петербургский центр оценки качества образования и информационных технологий.

Легко рассказывать о кейсах с необычными решениями и красивыми картинками. Но что делать там, где все услуги жестко регламентированы и прописаны законом, а сам предмет до невозможности скучный? Ведь, согласитесь, никто не любит сдавать экзамены. А по нашему преподавательскому опыту можем добавить, что и принимать их — так себе удовольствие. Придется вводить персонажа. В нашем случае пусть им будет Гринч — похититель госэкзаменов.

Обеспечение информационной безопасности РИС ГИА реализуется в три этапа:

1. Разработка проекта модели угроз и проекта модели нарушителя информационной безопасности, проектирование системы защиты информации.

2. Настройка средств защиты информации.

3. Проведение аттестации. 

Пункты №2 и №3 — это составление различных актов установки и настройки средств защиты, а также протоколов аттестационных испытаний. Самая большая работа кроется в пункте №1. 

Что такое модели угроз и модели нарушителя? Вернемся к нашему Гринчу. На каждую маленькую Синди Лу из Ктограда, успешно сдавшую экзамен, найдется свой Гринч. Причин, по которой он может захотеть украсть госэкзамены (то есть осуществить неправомерный доступ к информационной системе), — целое множество:

• Например, Гринч, тоже мог сдавать экзамены — и сдать их плохо, потому что не готовился. Но хорошо учил информатику и решил использовать свои знания, что проникнуть в систему и исправить оценку. А попутно исправить чужие пятерки на двойки.

• Или Гринч уже давно вырос, и его не интересуют ваши оценки: у него просто плохое настроение и он хочет, чтобы оно было плохим у всех, поэтому он решил стереть все данные.

• Возможно, Гринч — торговец с черного рынка данных и хочет украсть личные данные школьников, чтобы продать их подороже.

• Быть может, Гринч даже не хочет никому вредить, а, наоборот, решил составить к Рождеству список тех, кто хорошо учился, чтобы приготовить им подарки. Но и в этом случае он все еще будет нарушителем и преступником.

Разработка моделей угроз как раз предполагает описание профилей потенциальных злоумышленников, а также каталог возможных угроз безопасности персональных данных (ПДн). По законодательству к таким угрозам относится целое множество моментов, которые могут создать опасность нарушения конфиденциальности, целостности и доступности информации. Они, в свою очередь, могут привести к несанкционированному доступу, частичной потере или полному уничтожению важных данных.

Есть три типа угроз информационной системе персональных данных (ИСПДн):

• Самый опасный тип — это угрозы, связанные с наличием недекларированных возможностей в системном программном обеспечении. Например, лазейка в операционной системе.

• Средний тип угроз — когда такие недекларированные возможности находятся не в основном, а в прикладном программном обеспечении.

• Наиболее безопасный тип угроз не связан с недекларированными возможностями в системе.

Недекларированные возможности — функциональные возможности ПО, не описанные или не соответствующие описанным в документации. И они могут быть как багом, так и фичей — то есть быть случайными или оставленными намеренно, например, для будущих расширений возможностей системы. Поиск таких недеклаироваровнных возможностей — как поиск пасхалок в «Симпсонах»: нужно иметь большую насмотренность, знать, куда смотреть и уметь делать это быстро.

Как строится такая работа?

• Шаг №1. Декомпозиция — нужно разобрать ПО на составные части и понять, как оно взаимодействует с внешними объектами — другими приложениями и инфраструктурой. Работа включает в себя создание сценариев использования, определение точек входа в приложение и т.д. 

• Шаг №2. Определение и ранжирование угроз — поиск тех самых трех типов угроз, описанных выше.

• Шаг №3. Определение контрмер и мер по снижению риска — план работ в соответствии с базовой моделью угроз. Их можно принять, устранить или смягчить. То есть или решить, что воздействие является приемлемым и оставить все как есть; или удалить компоненты, которые делают уязвимость возможной; или добавить элементы, которые уменьшают воздействие риска или вероятность его возникновения.

• Шаг №4. Испытания, аттестация и нормативная документация. Все выполненные работы нужно проверить, аттестовать и задокументировать.

Как видите, за такой понятной и повседневной частью нашей жизни, как оценка знаний выпускников общего и среднего образования, стоит большая, но незаметная работа специалистов по информационной безопасности. Пусть таковой она и остается, а Гринч держит свои зеленые лапы подальше от госэкзаменов!