- •Сущность и задачи комплексной системы защиты информации.
- •Принципы организации комплексной системы защиты информации.
- •Определение и нормативное закрепление состава защищаемой информации.
- •Выявления состава носителей защищаемой информации при организации ксзи.
- •Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию при организации ксзи.
- •Методика выявления способов воздействия на информацию
- •Выявление каналов нсд к и.
- •Определение компонентов комплексной системы защиты информации.
- •Назначение и структура технического задания на проектирование ксзи.
- •Назначение и структура технико-экономического обоснования на проектирование ксзи.
- •Изучение объекта защиты сводится к сбору и анализу следующей информации:
- •Организационное построение комплексной системы защиты информации: характеристика технического проекта.
- •Организационное построение ксзи: характеристика рабочего проекта.
- •Стадия эксплуатации
- •Кадровое обеспечение функционирования ксзи: определение кадрового состава.
- •Материально-техническое обеспечение ксзи: определение состава материально-технического обеспечения.
- •Нормативно-методическое обеспечение комплексной зи: состав нормативно-методических документов по обеспечению функционирования ксзи.
- •Нормативно-методическое обеспечение ксзи: порядок разработки и внедрения документов.
- •Понятие и цели управления ксзи.
- •Сущность процессов и принципы управления ксзи.
- •Способы и стадии планирования.
- •Структура и общее содержание планов организации и функционирования ксзи.
- •Методы сбора, обработки и изучения информации для планирования ксзи.
- •Признаки чс:
- •Информационная поддержка принятых решений
- •Подготовка мероприятий по комплексной зи на случай возникновения чрезвычайных ситуаций.
- •Классификация подходов по оценке эффективности ксзи и их сравнительный анализ.
- •Характеристика оценочного подхода (на основе формирования требований к защищенности объекта) по оценке эффективности ксзи.
- •Модели оценки эффективности:
- •Метод оценки уровня безопасности и аналитические модели определения базовых и обобщенных показателей уязвимости в ксзи.
- •Методы оценки эффективности ксзи: метод оценки на основе структурных вопросников.
Классификация подходов по оценке эффективности ксзи и их сравнительный анализ.
Оценка эффективности комплексной защиты информации может осуществляться на основе как количественных, так и качественных методов;
Использование качественных методов предполагает, что будет осуществляться многофакторный анализ эффективности, а схема процедуры оценки будет иметь эвристический анализ;
Оценки эффективности может быть также системной и декомпозиционной;
Системная оценка – полнота защиты по всем составляющим защиты, по всем элементам технологического цикла, по выполнению основных принципов защиты;
Декомпозиционная оценка – выполняется отдельно по направлениям защиты, их составляющим и элементам.
Вероятностный подход – основан на анализе рисков. Система эффективна, если все актуальные риски идентифицированы, выполнена их оценка и реализована политика управления рисками;
Оценочный подход – основан на формировании требований к защищенности объекта:
классы защищенности и их характеристики;
контрольно-испытательные процедуры;
пороговые значения, как вероятности того, что в течение заданного времени защитные механизмы системы не будут преодолены;
Экспертная оценка эффективности защиты – выбор системы измерений (вербальные и вербально-числовые шкалы), организация процедуры экспертной оценки (подбор экспертов, составление вопросников, процедура проведения, обработки результатов).
Эффективность защиты информации – степень соответствия результатов защиты информации поставленной цели;
Контроль эффективности ЗИ – проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации;
Организационный контроль эффективности ЗИ – проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации;
Технический контроль эффективности ЗИ – контроль эффективности защиты информации, проводимый с использованием средств контроля.
Эффективность защиты – уровень защищенности, соответствие некоторым показателям защищенности;
В самом общем плане эффективность = качество защиты;
Данные защищаются человеком и только от человека. Значит данный параметр на 100% определяется опытом, знаниями и дисциплиной человека, который их защищает.
Защищенность – способность системы самостоятельно контролировать себя и осуществлять контроль окружающей среды в процессе своего функционирования на предмет выявления и предотвращения ситуаций из некоторого наперед заданного множества ситуаций;
Показатели защищенности ИС – характеристика средств (свойств) системы, влияющая на защищенность и описываемая определенной группой требований, варьируемых (по уровню и глубине) в зависимости от класса защищенности;
Модели оценки эффективности: Аналитические
- определение наиболее уязвимых мест в системе защиты;
- вероятностное оценивание и экономический расчет ущерба от реализации угроз безопасности;
- научное обоснование количественных показателей достижения целей защиты и т.п.
Имитационные –
- исследование объекта защиты;
- оценка влияния разного рода параметров систем обработки информации и внешней среды на безопасность;
- изучение влияния на безопасность различных событий, которые наблюдаются в реальных условиях;
- обучение персонала работе с системой защиты и т.п.
Экспертные –
- доведение уровня безопасности ИВС до требуемого;
- сравнение различных вариантов построения систем защиты для рассматриваемой
архитектуры ИВС;
- определение целесообразности затрат на создание средств защиты;
- анализ последствий воздействия угроз на функционирование ИВС и т.п.
Характеристика вероятностного подхода по оценке эффективности КСЗИ.
Общий вероятностный подход оценки защищенности каналов несанкционированного получения информации (уязвимость объектов защиты)
Несанкционированное получение информации выполнимо при следующих одновременно реализуемых событий:
Нарушитель должен получить доступ в соответствующую зону;
Во время нахождения нарушителя в рассматриваемой зоне, в ней должен проявиться соответствующий исследуемый канал несанкционированного получения;
Появившийся канал должен быть доступен нарушителю в соответствующей категории;
В рассматриваемом канале несанкционированного получения информации, в момент доступа к нему, должна находиться защищаемая информация.
С учетом изложенного, выводится формула для оценки уязвимости рассматриваемых каналов (объектов защиты).
Вероятность несанкционированного получения информации нарушителем k-ой категории по j- му каналу в l-той зоне i-го структурного компонента
Вероятность несанкционированного получения:
Pijkl = Pijl(δ) * Pijl(k) * Pijl(H) * Pijl(u)
Базовым показателем уязвимости информации при этом является:
Pijk(δ) = 1 – Пi (1 – Pijkl)
Данный методологический подход позволяет также:
Оценить эффективность действий всех рассматриваемых нарушителей;
Оценить вероятность реализации угроз;
Оценить защищенность (уязвимость) отдельных компонентов КСЗИ и всей КСЗИ в целом: Рксзи = 1 – Пi [1 – Pijk(δ)] Пj [1 – Рijk(δ)]Пk[1 – Pijk(δ)]
Указанные математические подходы фиксируются конкретным временным показателем. Для различных временных показателей будут различные итоговые оценки.
Д ля количественной оценки эффективности существует единичная шкала. Используется метод половинного деления единичной шкалы.
Принято, что шкала, как вероятность от 0 до 1 (вероятность защиты информации). Шкала для оборонительной стратегии >= 75
Для наступательной стратегии эффективность защиты >= 0,86
Для упреждающей стратегии эффективность защиты >= 0,92
Вероятностный подход – основан на анализе рисков. Система эффективна, если все актуальные риски идентифицированы, выполнена их оценка и реализована политика управления рисками;