Автоматизація процесів побудови та супроводу комплексних систем захисту інформації

Abstract

The abstract discusses the issues of creating and implementing comprehensive information protection systems (CIPS) in modern information and telecommunications systems (ITS). The relevance of the study is due to the rapid growth in the volume of data subject to protection in accordance with the requirements of ND TZI (regulatory documents of the technical information protection system) and the inadequacy of traditional ‘manual’ methods of building protection systems to the dynamics of modern cyber threats. The main shortcomings of the classical approach to creating CIS are analysed, including: the high labour intensity of developing project documentation, the significant influence of the human factor in configuring protection measures, the static nature of the security policies implemented, and the complexity of maintaining the current state of security after system certification. Particular attention is paid to the problem of ‘paper security,’ when the system formally meets the requirements but remains technically vulnerable due to configuration errors. A methodology for automating the stages of the ISMS life cycle by implementing Infrastructure as Code (IaC) and Security as Code (SaC) approaches is proposed. The possibility of using configuration management systems (e.g., Ansible, Chef, Puppet) for automated deployment of security policies is considered, which guarantees the identity of settings on all network nodes and eliminates administrator errors. The effectiveness of using the Security Content Automation Protocol (SCAP) for continuous monitoring of system compliance with established requirements was also investigated. It was substantiated that the transition from periodic manual control to automated monitoring allows maintaining the ISMS up to date in real time, significantly reduces the time required for preparation for state examination, and reduces the cost of operating the protection system.

У тезах розглянуто проблематику створення та впровадження комплексних систем захисту інформації (КСЗІ) в сучасних інформаційно-телекомунікаційних системах (ІТС). Актуальність дослідження зумовлена стрімким зростанням обсягів даних, що підлягають захисту згідно з вимогами НД ТЗІ (нормативних документів системи технічного захисту інформації), та невідповідністю традиційних «ручних» методів побудови систем захисту динаміці сучасних кіберзагроз. Проаналізовано основні недоліки класичного підходу до створення КСЗІ, серед яких: висока трудомісткість розробки проєктної документації, значний вплив людського фактору при налаштуванні засобів захисту, статичність впроваджених політик безпеки та складність підтримки актуального стану захищеності після атестації системи. Особливу увагу приділено проблемі «паперової безпеки», коли система формально відповідає вимогам, але технічно залишається вразливою через помилки конфігурації. Запропоновано методику автоматизації етапів життєвого циклу КСЗІ шляхом впровадження підходів Infrastructure as Code (IaC) та Security as Code (SaC). Розглянуто можливість використання систем управління конфігураціями (наприклад, Ansible, Chef, Puppet) для автоматизованого розгортання політик безпеки, що гарантує ідентичність налаштувань на всіх вузлах мережі та виключає помилки адміністратора. Також досліджено ефективність застосування протоколу автоматизації контенту безпеки (SCAP) для безперервного моніторингу відповідності (compliance) системи встановленим вимогам. Обґрунтовано, що перехід від періодичного ручного контролю до автоматизованого моніторингу дозволяє підтримувати КСЗІ в актуальному стані в режимі реального часу, значно скорочує час на підготовку до державної експертизи та зменшує вартість експлуатації системи захисту.