ВЕРБАЛЬНАЯ МОДЕЛЬ УПРАВЛЕНИЯ СЛАБО УЯЗВИМЫМ ПРОЦЕССОМ РАЗГРАНИЧЕНИЯ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ К ПРОГРАММНЫМ СРЕДСТВАМ СИСТЕМЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА

Цель. Традиционные способы решения проблемы защиты информационного ресурса систем электронного документооборота, базирующиеся на защитных базовых функциях (идентификации, аутентификации и верификации пользователей и др.) имеющихся средств и подсистем информационной безопасности, обладают существенным недостатком — неэффективностью при овладении злоумышленником паролем штатных пользователей. С целью его устранения необходимо разработать новые методы, связанные с управлением слабо уязвимым процессом разграничения доступа пользователей не только к конфиденциальным сведениям, но и к программным средствам системы электронного документооборота.

Метод. Одним из способов решения указанной проблемы является применение модифицированного метода «мягкого администрирования», заключающегося в автоматическом формировании списков разрешённых файловисточников в матрице установления полномочий путём редуцирования списков и сравнения функций целостности файлов с эталонным перечнем для имеющегося пакета программных средств. Это позволяет автоматизировать процесс разработки правил разграничения доступа и обеспечить управление слабо уязвимым процессом разграничения доступа к программным средствам системы электронного документооборота.

Результат. Разработана вербальная модель автоматизированного управления слабо уязвимым процессом разграничения доступа к программным средствам системы электронного документооборота и предложена система показателей эффективности функционирования перспективной подсистемы защиты конфиденциальных сведений, характеризующих её как объект управления.

Вывод. Представленная вербальная модель предусматривает возможность распределённого управления, при котором администратор защиты непосредственно управляет указанным процессом с помощью удалённого программного средства. Формирование (изменение) матрицы установления полномочий при управлении слабо уязвимым процессом разграничения доступа с помощью перспективной подсистемы защиты конфиденциальных сведений и разработка системы показателей комплексной оценки эффективности её функционирования является одной из важнейших задач защиты информации от несанкционированного доступа, гарантирующей выполнение политики безопасности в течение всего времени эксплуатации защищённой системы электронного документооборота. 

1. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях: учеб. пособие / В.Ф. Шаньгин. — М.: ДМК Пресс, 2012. 592 с.

2. Методы и средства оценки защищённости автоматизированных систем органов внутренних дел: монография [Электронный ресурс] / Е.А. Рогозин [и др.]; под ред. проф. Е.А. Рогозина. — Воронеж: Воронеж. ин-т МВД России, 2017. 88 с.

3. Методы и средства оценки эффективности подсистемы защиты конфиденциального информационного ресурса при её проектировании в системах электронного документооборота: монография / И.И. Застрожнов [и др.]. — Воронеж: Воронеж. гос. техн. ун-т, 2015. 106 с.

4. Авсентьев О.С. Методика управления защитой информационного ресурса системы электронного документооборота / О.С. Авсентьев, И.Г. Дровникова, И.И. Застрожнов, А.Д. Попов, Е.А. Рогозин // Труды СПИИРАН. № 2 (57) (2018). С.-Пб.: СПИИРАН, 2018. 2018. № 2(57). С. 188-210. DOI 10.15622/sp.57.8.

5. Дровникова И.Г. Вербальная модель управления разграничением доступа пользователей к конфиденциальным сведениям систем автоматизированного документооборота / И.Г. Дровникова, В.П. Алфёров // Охрана, безопасность, связь — 2017: сб. ст. Междунар. науч.-практич. конф. В. 3. Ч. 3. (Воронеж, 16 ноября 2017 г.). Воронеж: ВИ МВД России, 2018. С. 77-80.

6. Дровникова И.Г. Концептуальная модель управления защитой информационного ресурса системы электронного документооборота / И.Г. Дровникова, И.И. Застрожнов, Е.А. Рогозин // Вестник Воронежского института МВД России. 2016. № 2. С. 147-154.

7. Застрожнов И.И. Методологические основы безопасности использования информационных технологий в системах электронного документооборота: монография / И.И. Застрожнов, Е.А. Рогозин, М.А. Багаев. — Воронеж: ИПЦ «Научная книга», 2011. 252 с.

8. Дровникова И.Г. Методика проектирования систем информационной безопасности в автоматизированных системах [Электронный ресурс] / И.Г. Дровникова, А.А. Никитин, Е.А. Рогозин // Интернет-журнал «Технологии техносферной безопасности». 2016. Выпуск № 4 (68) (август). http://ipb.mos.ru/ttb/2016-4.

9. Дровникова И.Г. Разработка метода «мягкого администрирования» для организации управления подсистемой разграничения доступа в автоматизированных системах / И.Г. Дровникова, Д.А. Кабанов // Вестник Воронежского института МВД России. 2014. № 4. С. 269-276.

10. Бузов Г.А. Защита информации ограниченного доступа от утечки по техническим каналам / Г.А. Бузов. М.: ГЛТ, 2016. 586 c.

11. Малюк А.А. Основы политики безопасности критических систем информационной инфраструктуры: учеб. пособие / А.А. Малюк М.: Горячая линия — Телеком, 2018. 314 с.

12. Бабаш А.А. Актуальные вопросы защиты информации: монография / А.А. Бабаш [и др.]. — М.: Риор, 2017. 111 с.

13. Даниленко А.В. Безопасность систем электронного документооборота. Технология защиты электронных документов / А.В. Даниленко. М.: Ленанд, 2015. 232 с.

14. Марков А.С. Методы оценки несоответствия средств защиты информации / А. С. Марков [и др.]. — М.: Радио и связь, 2012. 192 с.

15. Xiao Y. Handbook of security and neyworks / Y. Xiao [and others]. — Word Scientific Pub Co Inc. 1 edition, 2012. 576 p.

16. Schaefer R. Information Theoretic Security and Privacy of Information Systems / R. Schaefer. — Cambridge University Press, 2017. — 574 p.

17. Sheikh F. Circuits and Systems for Security and Privacy / F. Sheikh [and others]. — CRC Press, 2016. — 400 p.

18. Fields B. Handbook of Research on Information and Cyber Security in the Fourth Industrial Revolution / B. Fields. IGI Global, 2018. 648 p.

19. Rudra B. Flexible Network Architectures Security: Issues and Principles / B. Rudra. — Auerbach Publications, 2018. 326 p.

20. Klaic А. Conceptual Modeling of Information Systems within the Information Security Policies / A. Klaic, M. Golub // Journal of Economics / Business and Management. 2013. vol. 1. Issue 4. P. 371-376.

21. Nazareth D. System dynamics model for information security management / D. Nazareth, J. Choi // Information & Management. 2015. Vol. 52. Issue 1. P. 123-134.

22. Рогозин Е.А. Модель функционирования типовой системы защиты информации от несанкционированного доступа в автоматизированных информационных системах ОВД / Е.А. Рогозин, А.Д. Попов // Вестник Воронежского института МВД России. 2016. № 4. С. 122-132.

23. ГОСТ Р ИСО/МЭК 15408-2-2013. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч. 2: Функциональные компоненты безопасности. [Электронный ресурс]. URL: http://docs.cntd.ru/document/1200105710 (дата обращения 23.11.2018).

24. Защита от несанкционированного доступа к информации. Термины и определения: руководящий документ // сб. руководящих. докум. по защите информации от несанкционированного доступа Государственной технической комиссии при Президенте Российской Федерации. М.: Росс. инженер. Академия, 1998. С. 5-14.

25. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации: руководящий документ // сб. руководящих. докум. по защите информации от несанкционированного доступа Государственной технической комиссии при Президенте Российской Федерации. М.: Росс. инженер. Академия, 1998. С. 15-21.

26. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации: руководящий документ // сб. руководящих. докум. по защите информации от несанкционированного доступа Государственной технической комиссии при Президенте Российской Федерации. М.: Росс. инженер. Академия, 1998. С. 22-51.

27. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации: руководящий документ // сб. руководящих. докум. по защите информации от несанкционированного доступа Государственной технической комиссии при Президенте Российской Федерации. М.: Росс. инженер. Академия, 1998. С. 52-71.

28. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники: руководящий документ // сб. руководящих. докум. по защите информации от несанкционированного доступа Государственной технической комиссии при Президенте Российской Федерации. — М.: Росс. инженер. Академия, 1998. С. 72- 92.