- •Сущность и задачи комплексной системы защиты информации.
- •Принципы организации комплексной системы защиты информации.
- •Определение и нормативное закрепление состава защищаемой информации.
- •Выявления состава носителей защищаемой информации при организации ксзи.
- •Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию при организации ксзи.
- •Методика выявления способов воздействия на информацию
- •Выявление каналов нсд к и.
- •Определение компонентов комплексной системы защиты информации.
- •Назначение и структура технического задания на проектирование ксзи.
- •Назначение и структура технико-экономического обоснования на проектирование ксзи.
- •Изучение объекта защиты сводится к сбору и анализу следующей информации:
- •Организационное построение комплексной системы защиты информации: характеристика технического проекта.
- •Организационное построение ксзи: характеристика рабочего проекта.
- •Стадия эксплуатации
- •Кадровое обеспечение функционирования ксзи: определение кадрового состава.
- •Материально-техническое обеспечение ксзи: определение состава материально-технического обеспечения.
- •Нормативно-методическое обеспечение комплексной зи: состав нормативно-методических документов по обеспечению функционирования ксзи.
- •Нормативно-методическое обеспечение ксзи: порядок разработки и внедрения документов.
- •Понятие и цели управления ксзи.
- •Сущность процессов и принципы управления ксзи.
- •Способы и стадии планирования.
- •Структура и общее содержание планов организации и функционирования ксзи.
- •Методы сбора, обработки и изучения информации для планирования ксзи.
- •Признаки чс:
- •Информационная поддержка принятых решений
- •Подготовка мероприятий по комплексной зи на случай возникновения чрезвычайных ситуаций.
- •Классификация подходов по оценке эффективности ксзи и их сравнительный анализ.
- •Характеристика оценочного подхода (на основе формирования требований к защищенности объекта) по оценке эффективности ксзи.
- •Модели оценки эффективности:
- •Метод оценки уровня безопасности и аналитические модели определения базовых и обобщенных показателей уязвимости в ксзи.
- •Методы оценки эффективности ксзи: метод оценки на основе структурных вопросников.
Характеристика оценочного подхода (на основе формирования требований к защищенности объекта) по оценке эффективности ксзи.
Рассмотрим модель оценки эффективности Домарева.
В качестве требований к защищенности объекта выступает необходимый уровень защищенности, в соответствии с принятой стратегией.
Д ля определения уровня защищенности необходимо воспользоватьсяединичной шкалой. Используется метод половинного деления единичной шкалы.
Принято, что шкала, как вероятность от 0 до 1 (вероятность защиты информации). Шкала для оборонительной стратегии >= 75
Для наступательной стратегии эффективность защиты >= 0,86
Для упреждающей стратегии эффективность защиты >= 0,92
Предлагаемая модель формализует всю область защиты информации на предприятии (КСЗИ) в виде трехмерной модели:
В виде фиксации показателей эффективности блока «основы»;
В виде фиксации показателей эффективности блока «направление»;
В виде фиксации показателей эффективности блока «этапы».
Направления показателя «основы» предусматривает учет следующих частных групп показателей:
Нормативно-правовую и научную базу;
Структура и задачи органов по защите информации;
Организационно-технические и режимные методы (политика безопасности);
Программно-технические способы и средства.
Второе направление (ось) «направления включает в себя:
Защита объектов корпоративных систем;
Защита процессов, процедур и программ обработки информации;
Защита каналов связи;
Подавление побочных электромагнитных импульсов;
Управление системой защиты.
Третье направление (ось) «этапы» включает в себя:
Определение информационных и технических ресурсов, подлежащих защите;
Выявление полного множества потенциально возможных угроз и каналов утечки информации;
Проведение оценки уязвимости и рисков информации;
Определение требований к системе защиты;
Осуществление выбора средств защиты;
Внедрение и организация использования выбранных мер, способов и средств защиты;
Осуществление контроля целостности и управление системой защиты.
Результатами оценки служит матрица, которая создается по каждой подсистеме КСЗИ. Также создается таблица в целом по комплексной оценке эффективности, в которой представлены результаты качественной и количественной оценки, причем есть возможность учесть важность той или иной подсистемы.
Оценочный подход – основан на формировании требований к защищенности объекта: классы защищенности и их характеристики; контрольно-испытательные процедуры; пороговые значения, как вероятности того, что в течение заданного времени защитные механизмы системы не будут преодолены;
Содержание и особенности экспертной оценки эффективности КСЗИ.
Экспертная оценка эффективности защиты – выбор системы измерений (вербальные и вербально-числовые шкалы), организация процедуры экспертной оценки (подбор экспертов, составление вопросников, процедура проведения, обработки результатов).
Матрично-экспертная таблица оценки информационных рисков по двум факторам
В данных таблицах используют следующие лингвистические переменные:
1 группа – вероятности событий:
- А – событие практически не происходит;
- В – событие случается редко;
- С – вероятность события примерно равна 0,5;
- D – событие скорее всего произойдет;
- Е – событие почти обязательно произойдет.
2 группа – серьезность происшествий (ущерб):
- N – воздействием можно пренебречь;
- Mi – незначительное происшествие (последствия легко устранимые);
- Mo – происшествие с умеренными результатами (ликвидация последствий не связана с крупными затратами);
- S – происшествие с серьезными последствиями (ликвидация последствий связана со значительными затратами);
- С – происшествие приводит к невозможности решения критически важных задач по обработки защищаемой информации.
В соответствии с данными этих лингвистических переменных используется следующая таблица:
|
N |
Mi |
Mo |
S |
C |
A |
Низкий риск |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
B |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
Высокий риск |
C |
Низкий риск |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
D |
Средний риск |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
E |
Средний риск |
Высокий риск |
Высокий риск |
Высокий риск |
Высокий риск |
Матрично-экспертная таблица оценки информационных рисков по трем факторам.
Идеология построения такой таблицы похожа на двухфакторную таблицу дополнительно добавляется третий фактор, так называемый, показатель риска, который измеряется в шкале от 0 до 8 единиц со следующими уровнями риска.
3 группа – показатели рисков (изменяется от 0 до 8)
1 – риск практически отсутствует;
2 – риск очень мал;
…
8 – риск очень велик.
Степень серьезности происшествия (цена потерь) |
Уровень угроз |
||||||||
Низкий |
Средний |
Высокий |
|||||||
Уровни уязвимости |
Уровни уязвимости |
Уровни уязвимости |
|||||||
Н |
С |
В |
Н |
С |
В |
Н |
С |
В |
|
Незначительная |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
Несущественная |
1 |
2 |
3 |
2 |
3 |
4 |
3 |
4 |
5 |
Умеренная |
2 |
3 |
4 |
3 |
4 |
5 |
4 |
5 |
6 |
Серьезная |
3 |
4 |
5 |
4 |
5 |
6 |
5 |
6 |
7 |
Критическая |
4 |
5 |
6 |
5 |
6 |
7 |
6 |
7 |
8 |
Н – низкий
С – средний
В – высокий
Сложности в реализации рассмотренных подходов:
Должен быть собран весьма обширный материал о происшествиях в рассматриваемых областях (на основе экспертных оценок);
Применение данных подходов оправдано не всегда:
Для сложных крупных информационных систем (предприятия) данный подход удобен и применим;
Если рассматриваемые информационные системы не велики (малое предприятие), данный подход, как правило, не используют, переходят к количественным оценкам или качественно-количественным на основе математического аппарата;
На заключительном этапе допускается переходить от качественных показателей к количественным, например вероятностным оценкам.
Таблично-экспертный подход оценки несанкционированного доступа (утечки и разглашения) защищаемой информации (для отдельных подсистем и всей КСЗИ)
Противоправные действия |
Способы противоправных действий |
Типовые зоны (рубежи защиты) |
∑ |
|||||
1 |
… |
7 |
||||||
Разглашение |
Болтовня |
|
|
|
|
|||
Утеря |
+ |
+ |
+ |
3 |
||||
Опубликование |
|
|
|
|
||||
Утечка |
Визуальный |
+ |
- |
- |
1 |
|||
Оптический |
- |
- |
- |
|
||||
Акустический |
|
- |
+ |
1 |
||||
Электромагнитный |
|
+ |
+ |
2 |
||||
НСД |
Инициативное сотрудничество |
+ |
|
+ |
2 |
|||
Склонение сотрудников |
|
|
+ |
1 |
||||
Хищение |
- |
+ |
+ |
2 |
||||
Физическое проникновение |
|
|
|
|
||||
∑ |
3 |
3 |
6 |
|
||||
Классификационная структура методов и моделей оценки эффективности КСЗИ.
Общий обзор методов оценки защищенности различных информационных объектов
В настоящее время существует большое количество методик, методологий и методов защищенности информационных объектов. Среди них можно выделить следующие пять подходов:
Анкетный метод, который предусматривает анализ анкет (опросников). К составлению анкет привлекаются: руководители предприятий и структурных подразделений (и службы безопасности), а также высококвалифицированные специалисты по защите информации. На основании полученных результатов анализа готовится развернутое заключение и конкретные рекомендации по совершенствованию (созданию) КСЗИ или подсистем КСЗИ.
Чистые экспертные оценки (экспертный метод) оценки качества функционирования рассматриваемой КСЗИ (подсистем).
Метод испытаний на основе проведения контрольных испытаний функционирования КСЗИ (подсистем) с использованием специального оборудования (достаточно трудоемкий).
Проверка обслуживающего персонала (внутренних сотрудников) на их лояльность в области защиты информации с использованием специальных методик психологии и психофизиологии.
Моделирование на информационном объекте исследуемой угрожаемой ситуации с целью выявить слабые места КСЗИ.