- •Содержание
- •5. Методы и методики проектирования 35
- •Сокращения и обозначения
- •Введение
- •Теоретическая часть
- •Постановка проблемы коиб ас.
- •Состав компонентов ксиб.
- •Методология формирования задач
- •Интеграция средств информационной безопасности в технологическую среду.
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Сзи и общеметодологические принципы ее построения. Основы архитектурного построения
- •Методология проектирования сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Этапы проектирования ксоиб и требования к ним
- •Типовая структура комплексной сзи от нсд
- •Методы и методики проектирования
- •Методика выявления возможных каналов нсд
- •Последовательность работ при проектировании комплексной сзи от нсд и утечки за счет пэмин
- •Методы и методики проектирования
- •Моделирование как инструментарий проектирования
- •Методика построения административного управления ксоиб
- •Методы и методики оценки качества ксиб
- •Методы неформального оценивания
- •Методы экспертных оценок
- •Методы экспертно-лингвистических оценок
- •Неформальные методы поиска оптимальных решений
- •Декомпозиция общей задачи на ряд частных
- •Макромоделирование
- •Анализ и оценка рисков в ас
- •Требования к эксплуатационной документации ксиб
- •Справочно-информационные документы
- •Стандарты
- •Инструкции
- •Аттестация по требованиям безопасности
- •Планирование
- •Сбор информации
- •Базовый анализ
- •Детальный анализ
- •Подготовка отчетных документов по результатам аттестации
- •Аккредитация
- •Особенности эксплуатации ксиб на объекте защиты
- •Организационно-функциональные задачи сб
- •Ведение специальной информационной базы данных ксиб
- •Мониторинг и контроль состояния окружающей среды
- •Практическая часть
- •Постановка проблемы коиб ас. Состав компонентов ксиб. Методология формирования задач зи Виды информации и ее носители
- •Множество функций защиты
- •Интеграция средств информационной безопасности в технологическую среду. Этапы и особенности проектирования ксиб на современном уровне и требования к ним Анализ решения задач зи
- •Возможные варианты сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним. Типовая структура комплексной сзи от нсд Общие рекомендации по формированию требований к зи
- •Методы и методики проектирования Анализ рисков
- •Определение ценности ресурсов
- •Оценка характеристик факторов риска
- •Оценивание уровней рисков
- •Разделение рисков на приемлемые и не приемлемые
- •Методы и методики проектирования Модели систем и процессов зи Модель сзи
- •Модель hru
- •Основные положения неформальных теорий Основные положения теории нечетких множеств
- •Основные положения теории конфликтов
- •Основные положения теории вероятностных автоматов
- •Основные понятия неформальной теории систем
- •Формально-эвристические методы
- •Основные понятия нестрогой математики
- •Метод Монте-Карло
- •Ранжирование
- •Метод Терстоуна
- •Минимаксный подход к определению качества.
- •Программа «Оценка сзи»
- •Требования к эксплуатационной документации ксиб. Аттестация по требованиям безопасности Ведомость эд
- •Формуляр
- •Руководство по техническому обслуживанию
- •Рд, используемые при аттестации ас
- •Особенности эксплуатации ксиб на объекте защиты Права начальника отдела режима и охраны:
- •Права работников сектора режима:
- •Ведение специальной ибд ксиб. Мониторинг и контроль состояния окружающей среды
- •Ас радиационно-экологического мониторинга (постоянного слежения) МосНпо «Радон»
- •Библиографический список
Практическая часть
Постановка проблемы коиб ас. Состав компонентов ксиб. Методология формирования задач зи Виды информации и ее носители
В соответствии с терминологией Федерального закона РФ «Об информации, информационных технологиях и защите информации», принятом 27 июля 2006 года, информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
По содержанию любая информация относится к семантической и признаковой. С труктурно классификацию информации можно представить в виде схемы:
Рис. 20. Классификация информации по ее содержанию.
Согласно ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» защищаемая информация – это информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Защищаемая информация делиться на информацию открытого и ограниченного доступа:
Р ис. 21. Классификация защищаемой информации.
Информация доступна человеку, если она содержится на материальном носителе. В соответствии с определением носителя информации – это люди, документы, выпускаемая продукция и изделия, ТС обработки информации с сопутствующими их работе информационными процессами, отходы производства в виде различного «мусора».
Журнал «Защита информации» предлагает следующую классификацию носителей информации: прямые и косвенные носители.
Угрозы
Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. В силу особенностей современных АС в литературе предлагается следующая классификация видов угроз безопасности субъектов информационных отношений:
стихийные бедствия и аварии,
сбои и отказы оборудования АС,
последствия ошибок проектирования и разработки компонентов АС,
ошибки эксплуатации,
преднамеренные действия нарушителей и злоумышленников,
По виду источника все угрозы БИ можно разделить на три основные группы:
угрозы, обусловленные действиями субъектов (антропогенные угрозы),
угрозы, обусловленные ТС (техногенные угрозы),
угрозы, обусловленные стихийными источниками.
Все множество потенциальных угроз по природе их возникновения разделяется на два класса:
естественные угрозы (объективные),
искусственные угрозы (субъективные): непреднамеренные и преднамеренные.
Множество функций защиты
Множество функций ЗИ должно быть таким, чтобы надлежащим их осуществлением можно было оказывать желаемое воздействие на любую ситуацию, которая потенциально возможна в процессе организации и обеспечения ЗИ. ЗИ собственно и заключается в создании условий для благоприятного итогового события. Поэтому, для формирования полного множества функций необходимо выявить и систематизировать полный перечень таких событий. В соответствии с мероприятиями осуществляемыми в целях достижения перечня событий множество функций непосредственной ЗИ может быть представлено так:
Функция № 1 — предупреждение возникновения условий, благоприятных порождению (возникновению) ДФ.
Функция № 2 — предупреждение непосредственного проявления ДФ в конкретных условиях функционирования АС.
Функция № 3 — обнаружение проявившихся ДФ.
Функция № 4 — предупреждение воздействия ДФ на защищаемую информацию. С целью создания условий для надежной ЗИ в рамках функции № 4, должны быть предусмотрены мероприятия по предупреждению воздействия ДФ на информацию в любых условиях. С учетом этого функцию № 4 целесообразно разделить на две составные:
функция № 4а — предупреждение воздействия на информацию проявившихся и обнаруженных ДФ;
функция № 4б — предупреждение воздействия на информацию проявившихся, но не обнаруженных ДФ.
Функция № 5 — обнаружение воздействия ДФ на защищаемую информацию.
Функция № 6 — локализация воздействия ДФ на информацию. Аналогично функции № 4, рассматриваемую функцию также целесообразно разделить на две составные:
функция № 6а — локализация обнаруженного воздействия ДФ на информацию;
функция 6б — локализация необнаруженного воздействия.
Функция №7 — ликвидация последствий воздействия ДФ на защищаемую информацию. Эту функцию также целесообразно представить в виде двух составных:
функция 7а — ликвидация последствий обнаруженного и локализованного воздействия ДФ на защищаемую информацию;
функция 7б — ликвидация последствий локализованного, но не обнаруженного воздействия на информацию.
Полное множество функций второго вида определяется тем, что по своему содержанию они является частным случаем управления в системах организационно-технологического типа. В современной теории управления доказано, что для эффективного управления системой управления в общем случае должны регулярно осуществляться следующие функции:
планирование управляемых видов деятельности;
оперативно-диспетчерское управление быстротекущими процессами;
календарно-плановое руководство выполнением планов;
обеспечение повседневной деятельности органов управления.