- •Содержание
- •5. Методы и методики проектирования 35
- •Сокращения и обозначения
- •Введение
- •Теоретическая часть
- •Постановка проблемы коиб ас.
- •Состав компонентов ксиб.
- •Методология формирования задач
- •Интеграция средств информационной безопасности в технологическую среду.
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Сзи и общеметодологические принципы ее построения. Основы архитектурного построения
- •Методология проектирования сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Этапы проектирования ксоиб и требования к ним
- •Типовая структура комплексной сзи от нсд
- •Методы и методики проектирования
- •Методика выявления возможных каналов нсд
- •Последовательность работ при проектировании комплексной сзи от нсд и утечки за счет пэмин
- •Методы и методики проектирования
- •Моделирование как инструментарий проектирования
- •Методика построения административного управления ксоиб
- •Методы и методики оценки качества ксиб
- •Методы неформального оценивания
- •Методы экспертных оценок
- •Методы экспертно-лингвистических оценок
- •Неформальные методы поиска оптимальных решений
- •Декомпозиция общей задачи на ряд частных
- •Макромоделирование
- •Анализ и оценка рисков в ас
- •Требования к эксплуатационной документации ксиб
- •Справочно-информационные документы
- •Стандарты
- •Инструкции
- •Аттестация по требованиям безопасности
- •Планирование
- •Сбор информации
- •Базовый анализ
- •Детальный анализ
- •Подготовка отчетных документов по результатам аттестации
- •Аккредитация
- •Особенности эксплуатации ксиб на объекте защиты
- •Организационно-функциональные задачи сб
- •Ведение специальной информационной базы данных ксиб
- •Мониторинг и контроль состояния окружающей среды
- •Практическая часть
- •Постановка проблемы коиб ас. Состав компонентов ксиб. Методология формирования задач зи Виды информации и ее носители
- •Множество функций защиты
- •Интеграция средств информационной безопасности в технологическую среду. Этапы и особенности проектирования ксиб на современном уровне и требования к ним Анализ решения задач зи
- •Возможные варианты сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним. Типовая структура комплексной сзи от нсд Общие рекомендации по формированию требований к зи
- •Методы и методики проектирования Анализ рисков
- •Определение ценности ресурсов
- •Оценка характеристик факторов риска
- •Оценивание уровней рисков
- •Разделение рисков на приемлемые и не приемлемые
- •Методы и методики проектирования Модели систем и процессов зи Модель сзи
- •Модель hru
- •Основные положения неформальных теорий Основные положения теории нечетких множеств
- •Основные положения теории конфликтов
- •Основные положения теории вероятностных автоматов
- •Основные понятия неформальной теории систем
- •Формально-эвристические методы
- •Основные понятия нестрогой математики
- •Метод Монте-Карло
- •Ранжирование
- •Метод Терстоуна
- •Минимаксный подход к определению качества.
- •Программа «Оценка сзи»
- •Требования к эксплуатационной документации ксиб. Аттестация по требованиям безопасности Ведомость эд
- •Формуляр
- •Руководство по техническому обслуживанию
- •Рд, используемые при аттестации ас
- •Особенности эксплуатации ксиб на объекте защиты Права начальника отдела режима и охраны:
- •Права работников сектора режима:
- •Ведение специальной ибд ксиб. Мониторинг и контроль состояния окружающей среды
- •Ас радиационно-экологического мониторинга (постоянного слежения) МосНпо «Радон»
- •Библиографический список
Разделение рисков на приемлемые и не приемлемые
Другой способ оценивания рисков состоит в разделении их только на приемлемые и не приемлемые. Подход основывается на том, что количественные показатели рисков используются только для их упорядочивания и определения первоочередных действий. Но этого можно достичь и с меньшими затратами.
Матрица, используемая в данном подходе, содержит не числа, а только символы Д (риск допустим) и Н (риск не допустим). Например, может быть использована матрица такого вида:
Показатель ресурса |
Показатель частоты |
||||
0 |
1 |
2 |
3 |
4 |
|
0 |
Д |
Д |
Д |
Д |
Н |
… |
Д |
Д |
Д |
Д |
Н |
4 |
Н |
Н |
Н |
Н |
Н |
Вопрос о том, как провести границу между приемлемыми и не приемлемыми рисками, остается на усмотрении пользователя.
Методы и методики проектирования Модели систем и процессов зи Модель сзи
Известно, что в области IT давно и достаточно успешно применяется стековая модель описания сложных информационных систем, в которой система рассматривается в виде иерархии нескольких функционально-единообразных уровней. Поскольку любая СЗИ в конечном итоге должна «накладываться» на реальную информационную систему, для ее описания также целесообразно использовать многоуровневую иерархическую модель. Это позволит, с одной стороны, четко определить основные задачи, решаемые в рамках СЗИ, а также систему связей между этими задачами и, с другой стороны, корректно описать порядок взаимодействия двух различных СЗИ. Таким образом типовую модель СЗИ можно рассмотреть в виде следующих пяти функциональных уровней:
физический уровень: физическая охрана помещений, в которых обрабатывается или хранится конфиденциальная информация; организация контроля доступа сотрудников в данные помещения; ответственное хранение резервных (архивных) копий конфиденциальных информационных ресурсов; обеспечение энерго- и пожаробезопасности всей АС в целом и др.;
технологический уровень: устранение угроз БИ, связанных с использованием некачественных аппаратно-технических средств обработки и хранения информации и систем передачи данных; контроль качества (в том числе целостности) используемого программного обеспечения; организация резервных хранилищ данных, кластеров; периодическое архивирование данных; контроль лицензионной политики; организация защиты от вредоносных и разрушающих программ и т.д.;
пользовательский уровень: устранение угроз, связанных с некорректными (случайными, ошибочными и т.д.) действиями персонала или умышленными действиями нелояльных сотрудников компании или третьих лиц (разграничение доступа к информационным ресурсам, защита от НСД, аутентификация пользователей, включая удаленных и мобильных сотрудников компании и т.д.);
сетевой уровень: СЗИ на этом уровне должна устранить угрозы, исходящие от злоумышленников, находящихся как внутри, так и вне пределов защищаемой АС на уровне базовой сетевой инфраструктуры (сегментация ЛВС по уровням конфиденциальности обрабатываемой информации, ЗИ при ее передаче по внешним и внутренним каналам связи, защита от внешних вторжений и т.д.);
уровень управления: организация связи с системой управления АС (если таковая есть); управление, координация и контроль осуществляемых организационных и технических мероприятий на всех низлежащих уровнях СЗИ; контроль полноты реализации функций ЗИ на каждом из уровней и неразрывности функционирования СЗИ при переходе от уровня к уровню; окончательный (а далее периодический) контроль стойкости и комплексности всей СЗИ в целом (например, путем применения специальных технических средств «дружественного взлома») и т.д:
Р ис. 23. Многоуровневая модель СЗИ.
Следует сказать, что в конкретной АС наличие всех пяти уровней СЗИ в явном виде не всегда обязательно, хотя стойкость СЗИ напрямую зависит от наличия каждого уровня и его функционального наполнения.