1.5 Задачи управления механизмами защиты

Задачи второго вида, т.е. управления механизмами защиты, четко классифицируются в соответствии с функциями управления:

Класс 2.1 — планирование ЗИ. Планирование включает: обоснование целей и критериев; анализ условий; анализ ресурсов; обоснование подлежащих решению задач; согласование целей, задач, условий и ресурсов; определение последовательности выполнения плановых заданий; обоснование перечня обеспечивающих мероприятий; обоснование мероприятий на случай непредвиденных обстоятельств.

Класс 2.2 — оперативно-диспетчерское управление ЗИ. Состав, содержание и последовательность решения основных задач оперативно-диспетчерского управления показаны на рис. 1.

Отработка необходимых

документов

1. Сбор информации 2. Распознавание 3. Принятие 4. Реализация

о быстротекущих сложившейся необходимых решений

процессах ситуации решений

1. Генерирование 2.1 Формирование 3.1 Определение 4.1 Предупреждение

информации образа ситуации перечня необходимых появления нежелатель-

2. Регистрация 2.2 Оценка мероприятий ных явлений

информации близости образа к 3.2 Определение 4.2 Ликвидация

1.3 Передача возможным содержания последствий

информации ситуациям мероприятий нежелательных

1.4 Прием 2.3 Принятие 3.3 Определение явлений

информации решения о ситуации последовательности 4.3 Доклады

мероприятий руководству

3.4 Определение 4.4 Информирование

необходимых других заинтересован-

ресурсов ных лиц и органов

Рис. 1. Общая структура и содержание задач оперативно-диспетчерского управления

Класс 2.3 — календарно-плановое руководство ЗИ. Основное содержание функции календарно-планового руководства выполнением планов может быть представлено совокупностью следую­щих задач:

1. создание и поддержание условий, необходимых для эффективно­го выполнения планов;

1. организация выполнения плановых заданий;

2. контроль и анализ хода выполнения планов;

3. корректировка (при необходимости) планов;

4. отработка регламентных документов.

Класс 2.4 — обеспечение повседневной деятельности всех подразделений и отдельных должностных лиц, имеющих непосредственное отношение к ЗИ. Основное содержание этой задачи заключается в создании наиболее благоприят­ных условий, необходимых для эффективного осуществления функций планирования, оперативно-диспетчерского управления и календарно-пла­нового руководства.

Практическая часть

На основании сформулированных в предыдущей работе функций по защите информации на заданном объекте, определим множество задач защиты, эффективных с точки зрения перекрытия всех потенциально возможных каналов несанкционированного получения информации в АС.

1. Введение избыточности элементов сиистемы

- установка дополнительных процессора, ВЗУ, сменных носителей - поскольку в АС обрабатывается большое количество данных (базы данных преподавательского состава, рабочая документация, документы по работе со сторонними организациями), то введение дополнительных аппаратных средств обработки и хранения этих данных не только ускорит процессы обработки, но и послужит гарантией их сохранности в случаев отказа основного оборудования, хищения или непреднамеренной утраты носителей;

- установка дополнительных программ работы с базами данных;

2) Резервирование элементов

- создание копий программного обеспечения, находящегося на включенных устройствах ВЗУ, дополнительных сменных носителях

3) Регулирование доступа к элементам системы:

- регулирование доступа в помещение, где расположена АС, с применением замков на двери и решеток на окнах для предотвращения несанкционированного проникновения в помещение;

- контроль доступа в систему с использованием встроенных средств операционной системы или дополнительно устанавливаемых программ и аппаратных средств идентификации/аутентификации для предотвращения неавторизованного входа пользователей в систему;

4) Регулирование использования элементов системы

- регулирование доступа к программам и документам, обрабатываемым в АС, с использованием встроенных средств операционной системы или дополнительно устанавливаемых программ разграничения доступа к каталогам, ресурсам и данным системы;

- обеспечение контроля выдачи бумажных документов, находящихся в помещении;

5) Маскировка информации

- генерация маскирующих излучений с использованием жгутовых кабелей с выделением жил для скрытия информативных излучений линий передачи данных;

- шифрование паролей почтового агента, паролей для входа в систему и т.п.;

- шифрование трафика по сети при передачи важных конфиденциальных сведений;

6) Контроль элементов системы

- тестовые проверки аппаратуры, программного обеспечения, носителей и др. элементов системы на предмет исправности функционирования, отсутствия недекларированных возможностей, закладок, обнаружения прослушивания телефонных линий, съема информации через ПЭМИН и т.д.;

- контроль работоспособности систем пожарно-охраной сигнализации (проведение учебных пожарных тревог);

7) Регистрация сведений

- регистрация и учет операций в системе, затрагивающих критически важную конфиденциальную информацию;

- учет документов, хранящихся в помещении и выданных сотрудникам университета;

8) Уничтожение информации

- уничтожение остаточной информации после решения соответствующей задачи обработки данных, которая может представлять интерес для злоумышленника. Необходимо предусмотреть уничтожение такой информации не только с основных носителей, но и с дополнительных, а также носителей, находящихся в резерве.

9) Сигнализация

- обеспечение работоспособности оповещения о пожароопасной ситуации на пульты охраны;

- обеспечение сигнализации на терминал администратора в случае нарушения прав доступа к системе, нарушения целостности элементов и т.д.;

10) Реагирование

- реагирование на нарушения целостности системы, несанкционированный доступ путем блокирования работы пользователя или устройств, псевдоработы с пользователем и др.;

- обучение сотрудников кафедры поведению во время чрезвычайных ситуаций;

- обеспечение механизмов ликвидации последствий, пожара, НСД, восстановление данных, оценка ущерба.

Представленное множество задач защиты позволит перекрыть наиболее опасные каналы несанкционированного получения информации с минимальными затратами на их решение.

На основании данного множества задач можно осуществлять выбор технических, программных, криптографических и организационных средств защиты информации, обрабатываемой в заданной автоматизированной системе.

Заключение

Грамотное определение перечня задач защиты информации, перекрывающих все потенциально возможные каналы несанкционированного получения информации в автоматизированной системе, обеспечивает выполнение функций защиты с минимальными затратами на их реализацию.

Этот этап – этап обоснования множества задач защиты – является весьма ответственным в процессе проектирования комплексной системы обеспечения информационной безопасности, поскольку на основании подлежащих решению задач защиты в дальнейшем выбираются конкретные технические, программные, криптографические и организационные средства защиты информации.

От того, насколько эффективно могут быть решены выявленные задачи, зависит эффективность всей системы защиты информации.

Список литературы

1 Герасименко В.А., Малюк А.А. Основы защиты информации. – М.: МИФИ, 1997. – 537 с.

2. ГОСТ 34.003-90 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» .

3. Руководящий документ «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (введен в действие приказом Гостехкомиссии России от 19.06.2002 № 187).

4 Павлов А.А., Гриша С.Н., Томашевский В.Н. и др. Основы системного анализа и проектирования АСУ: Учеб. пособие / Под общ. Ред. Павлова А.А.. – К.: Выща шк., 1991. – 367 с.: ил.

5 Флейшман Б.С. Элементы теории потенциальной эффективности сложных систем. М. Изд-во «Советское радио», 1971, 224 стр. т. 6600 экз.

1