- •Сущность и задачи комплексной системы защиты информации.
- •Принципы организации комплексной системы защиты информации.
- •Определение и нормативное закрепление состава защищаемой информации.
- •Выявления состава носителей защищаемой информации при организации ксзи.
- •Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию при организации ксзи.
- •Методика выявления способов воздействия на информацию
- •Выявление каналов нсд к и.
- •Определение компонентов комплексной системы защиты информации.
- •Назначение и структура технического задания на проектирование ксзи.
- •Назначение и структура технико-экономического обоснования на проектирование ксзи.
- •Изучение объекта защиты сводится к сбору и анализу следующей информации:
- •Организационное построение комплексной системы защиты информации: характеристика технического проекта.
- •Организационное построение ксзи: характеристика рабочего проекта.
- •Стадия эксплуатации
- •Кадровое обеспечение функционирования ксзи: определение кадрового состава.
- •Материально-техническое обеспечение ксзи: определение состава материально-технического обеспечения.
- •Нормативно-методическое обеспечение комплексной зи: состав нормативно-методических документов по обеспечению функционирования ксзи.
- •Нормативно-методическое обеспечение ксзи: порядок разработки и внедрения документов.
- •Понятие и цели управления ксзи.
- •Сущность процессов и принципы управления ксзи.
- •Способы и стадии планирования.
- •Структура и общее содержание планов организации и функционирования ксзи.
- •Методы сбора, обработки и изучения информации для планирования ксзи.
- •Признаки чс:
- •Информационная поддержка принятых решений
- •Подготовка мероприятий по комплексной зи на случай возникновения чрезвычайных ситуаций.
- •Классификация подходов по оценке эффективности ксзи и их сравнительный анализ.
- •Характеристика оценочного подхода (на основе формирования требований к защищенности объекта) по оценке эффективности ксзи.
- •Модели оценки эффективности:
- •Метод оценки уровня безопасности и аналитические модели определения базовых и обобщенных показателей уязвимости в ксзи.
- •Методы оценки эффективности ксзи: метод оценки на основе структурных вопросников.
Модели оценки эффективности:
Аналитические: 1. определение наиболее уязвимых мест в системе защиты. 2. вероятностное оценивание и экономический расчет ущерба от реализации угроз безопасности; 3. научное обоснование количественных показателей достижения целей защиты и т.п.
Имитационные: 1. исследование объекта защиты; 2. оценка влияния разного рода параметров систем обработки информации и внешней среды на безопасность; 3. изучение влияния на безопасность различных событий, которые наблюдаются в реальных условиях; 4. обучение персонала работе с системой защиты и т.п.
Экспертные: 1. доведение уровня безопасности ИВС до требуемого; 2. сравнение различных вариантов построения систем защиты для рассматриваемой архитектуры ИВС; 3. определение целесообразности затрат на создание средств защиты; 4. анализ последствий воздействия угроз на функционирование ИВС и т.п.
Системы показателей защищенности (эффективности) КСЗИ.
Выбор и обоснование показателей оценки эффективности КСЗИ
Данная задача по выбору и обоснованию потребных показателей эффективности КСЗИ является сложной исследовательской задачей по следующим причинам:
Необходимость контроля большого количества средств и объектов защиты (мероприятий, этапов и т.д.);
Случайность внешних и внутренних воздействий, оказывающих влияние на защиту информации (вероятностный учет);
Отсутствие аналитических показателей, учитывающих специфики функционирования защиты информации;
Необходимость получения количественной и качественной оценки эффективности (грубой и точной).
Схема определения показателей безопасности информации
Оптимальность построения КСЗИ
Проектирование КСЗИ предусматривает создание оптимальной совокупности механизмов по защите информации.
При этом должны учитываться два основных показателя оценки оптимальности:
Требуемый уровень защищенности информации;
Заданный уровень привлекаемых ресурсов для построения КСЗИ.
По другому данные задачи формулируются в следующем виде:
Достижение заданного уровня защищенности информации при минимальных затратах (ресурсах);
Достижение максимально возможного уровня защиты при заданном
В самом общем плане эффективность = качество защиты;
Данные защищаются человеком и только от человека. Значит данный параметр на 100% определяется опытом, знаниями и дисциплиной человека, который их защищает.
Защищенность – способность системы самостоятельно контролировать себя и осуществлять контроль окружающей среды в процессе своего функционирования на предмет выявления и предотвращения ситуаций из некоторого наперед заданного множества ситуаций;
Показатели защищенности ИС – характеристика средств (свойств) системы, влияющая на защищенность и описываемая определенной группой требований, варьируемых (по уровню и глубине) в зависимости от класса защищенности;
Метод оценки уровня безопасности и аналитические модели определения базовых и обобщенных показателей уязвимости в ксзи.
Концепция безопасности предприятия - документ, который отражает систему взглядов руководства предприятия на проблемы безопасности на различных этапах и уровнях и в разных сферах его хозяйственной деятельности, а также определяет основные пути их решения, принципы, направления и этапы реализации мер безопасности. При разработке КБП учитываются действующее законодательство, нормативные акты и регламенты в сфере безопасности, защиты, применения технических.
Д ля количественной оценке эффективности существует единичная шкала. Используется метод половинного деления единичной шкалы.
Принято, что шкала, как вероятность от 0 до 1 (вероятность защиты информации). Шкала для оборонительной стратегии >= 75
Для наступательной стратегии эффективность защиты >= 0,86
Для упреждающей стратегии эффективность защиты >= 0,92
Методологические подходы выявления значимости угроз, в частности, таблично -экспертная модель.
Типы угроз |
Источники |
|||||
Люди |
Технические средства |
Модели |
Процессы |
Внешняя среда |
|
|
Количественная недостаточность |
+ |
+ |
+ |
+ |
- |
4 |
Качественная недостаточность |
+ |
+ |
+ |
+ |
- |
4 |
Отказы |
+ |
+ |
+ |
+ |
- |
4 |
Сбои |
+ |
+ |
+ |
+ |
- |
4 |
Ошибки |
+ |
+ |
+ |
+ |
- |
4 |
Стихийные бедствия |
+ |
+ |
+ |
+ |
+ |
5 |
Злоумышленные действия |
+ |
- |
- |
- |
+ |
2 |
Побочные явления |
+ |
+ |
+ |
+ |
+ |
5 |
|
8 |
7 |
7 |
7 |
3 |
|
Цифры обозначают количество «+» в каждой строке и столбце.
На этапе выявления угроз после определения наиболее опасных рассчитывается количественная оценка экономического риска по следующей методике (возможный вариант):
Определяется категория важности объекта;
Определяются угрозы (нарушитель и уязвимые места);
Определяется категория защиты и количество рубежей защиты;
Рассчитывается вероятность пропуска нарушителя на каждом рубеже защиты по формуле: Pпрi = (1+m*Pобхi – Робнi (1-m)) Pпрi – вероятность пропуска Pобх – вероятность обхода Робн – вероятность обнаружения m – количество рубежей.
Остаточный экономический риск угрозы Ri = Рпрi * Цi R – риск Рпр – вероятность пропуска Ц – ценность.
Считать уровень защиты объекта достаточным, если выполняется следующее условие:
Ri<=Rдопустим = 0,015 * Ц
Вероятность несанкционированного получения:
Pijkl = Pijl(δ) * Pijl(k) * Pijl(H) * Pijl(u)
Базовым показателем уязвимости информации при этом является:
Pijk(δ) = 1 – Пi (1 – Pijkl)
Данный методологический подход позволяет также:
Оценить эффективность действий всех рассматриваемых нарушителей;
Оценить вероятность реализации угроз;
Оценить защищенность (уязвимость) отдельных компонентов КСЗИ и всей КСЗИ в целом: Рксзи = 1 – Пi [1 – Pijk(δ)] Пj [1 – Рijk(δ)]Пk[1 – Pijk(δ)]
Указанные математические подходы фиксируются конкретным временным показателем. Для различных временных показателей будут различные итоговые оценки.
Методы оценки эффективности КСЗИ: метод анализа рисков.
Оценка затратной части (метод оценки рисков)
Ци = Кф * exp(1-Кв)
Rэ = Ци ∑i=1 4 Pi * ∑l=1 12 Pl * ∑m=1 3 Vm * Pm * Pкзи
Ци – стоимость защищаемой информации
Кф – размер прибыли
Кв – категория важности информации (1 – угроза банкротства; 2 – угроза ликвидации одной из деятельности; 3 – угроза ликвидации одного подразделения; 4 – угроза ликвидации предприятия в целом)
Rэ – экономический риск
Pi - вероятность появления i-го вида источника угроз: внутренний нарушитель, внешний нарушитель, техногенные и природные источники угроз (i=4)
Pl – вероятность l-ого источника угрозы: высококвалифицированный, квалифицированный, неквалифицированный, случайный нарушитель, сбой, отказ, авария, пожар, ураган, наводнение, молния (l=12)
Vm – доля ущерба от реализации m-ой источников угроз (m=3): утечка, модификация, утрата
Pm – вероятность проявления m-ой угрозы (утечка, модификация, утрата)
Pкзи – условная вероятность отсутствия защиты информационного объекта многорубежной системы защиты информации от всех способов реализации угроз:
Ркзи = ∑j=1 20 Pj (1-Pзj)
Pj – вероятность проявления j-го способа реализации угрозы (рассматривать способы от 1 до 20 рекомендуется)
Pзj – вероятность защиты информационного объекта от j-го способа реализации угрозы
Рзj = s√((1- Pобх) * Пq=1 s P(q))
Робх – вероятность обхода нарушителем контролируемого канала НСД
S – количество контролируемых каналов НСД: подсистемы физической защиты, компьютерная безопасность, организационная защита и т.дю. если отдельная подсистема – это монитор, клавиатура и т.д.
P(q) – вероятность защиты объекта для каждого канала НСД
Pq = 1 - Пn (1-Pn)
Pn – вероятность защиты объекта на n-ом рубеже защиты
Пример расчета.
Исходные данные. Пусть Кф = 1 000 000 руб
Категория важности информации Кв = 2
Категория нарушителя «внутренний квалифицированный»
Угроза «утечка информации»
Способ реализации угрозы «ознакомление»
Доля ущерба (Vm) = 0,3
Pi = 0,8 ; Pl = 0,5; Pm = 0,9; Pj = 0,8; Pобх = 0,05; S = 5
Рубежей защиты – 2
Выполненные расчеты показали, что Рзj (вероятность защиты объекта) составляет 0,94
Rэ (экономический риск) оставит 5400 руб
Вывод: экономический риск составляет менее 0,5 % стоимости капитала, что приемлемо.
Замечание: в случае, если вероятность обхода канала НСД будет увеличена на порядок. Т.е. Робх = 0.5 (посягательства на объект высококвалифицированным нарушителем), тогда экономический риск будет составлять 14000 р, т.е. это будет недопустимым для предприятия. Следовательно потребуется увеличение количества рубежей защиты объекта (вероятность защиты объекта необходимо повысить)