
- •Введение
- •1. Сущность и задачи комплексной защиты информации
- •1.1 Понятийный аппарат в области обеспечения безопасности информации
- •1.2 Цели, задачи и принципы построения ксзи
- •1.3 О понятиях безопасности и защищенности
- •1.4 Разумная достаточность и экономическая эффективность
- •1.5 Управление безопасностью предприятия. Международные стандарты
- •1.6 Цели и задачи защиты информации в автоматизированных системах
- •1.7 Современное понимание методологии защиты информации
- •1.7.1 Особенности национального технического регулирования
- •1.7.2 Что понимается под безопасностью ит
- •1.7.3 Документы пользователя
- •1.7.4 Требования к средствам обеспечения безопасности
- •2. Принципы организации и этапы разработки ксзи
- •2.1 Методологические основы организации ксзи
- •2.2 Разработка политики безопасности и регламента безопасности предприятия
- •2.3 Основные положения теории сложных систем
- •2.4 Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями
- •2.5 Требования, предъявляемые к ксзи
- •2.5.1 Требования к организационной и технической составляющим ксзи
- •2.5.2 Требования по безопасности, предъявляемые к изделиям ит
- •2.5.2.1. Порядок задания требований
- •2.5.2.2. Разработка изделия ит
- •2.5.2.3. Обеспечение поддержки доверия к безопасности изделия ит при эксплуатации
- •2.5.2.4 Подтверждение соответствия изделий ит требованиям безопасности информации
- •2.5.2.5. Поставка и ввод в действие. Эксплуатация изделия
- •2.6 Этапы разработки ксзи
- •3. Факторы, влияющие на организацию ксзи
- •3.1 Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •Юридические лица, являющиеся коммерческими организациями
- •3.3 Характер основной деятельности предприятия
- •3.4 Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5 Структура и территориальное расположение предприятия
- •3.6 Режим функционирования предприятия
- •3.7 Конструктивные особенности предприятия
- •3.8 Количественные и качественные показатели ресурсообеспечения
- •3.9 Степень автоматизации основных процедур обработки защищаемой информации
- •4. Определение и нормативное закрепление состава защищаемой информации
- •4.1 Классификация информации по видам тайны и степеням конфиденциальности
- •4.2 Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение Задачи 1
- •4.2.2 Решение задачи 2
- •4.2.3 Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3 Методика определения состава защищаемой информации
- •4.4 Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5. Определение объектов защиты
- •5.1 Значение носителей защищаемой информации, как объектов защиты
- •5.2 Методика выявления состава носителей защищаемой информации
- •5.4 Особенности взаимоотношений с контрагентами, как объект защиты информации ограниченного доступа
- •5.5 Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты
- •Основные принципы оборудования сигнализацией
- •5.7 Транспортные средства и особенности транспортировки
- •5.8 Состав средств обеспечения, подлежащих защите
- •6. Дестабилизирующие воздействия на информацию и их нейтрализация
- •6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз
- •6.2 Угрозы безопасности информации
- •6.3 Модели нарушителей безопасности ас
- •6.4 Подходы к оценке ущерба от нарушений иб
- •6.5 Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6 Реагирование на инциденты иб
- •6.7 Резервирование информации и отказоустойчивость
- •7. Определение потенциальных каналов и методов несанкционированного доступа к информации
- •7.1 Технические каналы утечки информации, их классификация
- •7.2 Задачи ксзи по выявлению угроз и куи
- •7.3 Особенности защиты речевой информации
- •7.4 Особенности защиты компьютерной информации от утечки по каналам пэмин
- •8. Определение возможностей несанкционированного доступа к защищаемой информации
- •8.1 Методы и способы защиты информации
- •8.2 Классификация сзи нсд
- •8.3 Механизмы обеспечения безопасности информации
- •8.3.1. Идентификация и аутентификация
- •8.2.2. Разграничение доступа
- •8.2.3. Регистрация и аудит
- •8.2.4. Криптографическая подсистема
- •8.2.5. Межсетевое экранирование
- •8.3 Методика выявления нарушителей, тактики их действий и состава интересующей их информации
- •9.1 Особенности синтеза сзи ас от нсд
- •9.2 Методика синтеза сзи
- •9.2.1 Общее описание архитектуры ас, системы защиты информации и политики безопасности
- •9.2.2 Формализация описания архитектуры исследуемой ас
- •9.2.3 Формулирование требований к системе защиты информации
- •9.2.4 Выбор механизмов и средств защиты информации
- •9.2.5 Определение важности параметров средств защиты информации
- •9.3 Оптимальное построение системы защиты для ас
- •9.4 Выбор структуры сзи ас
- •9.5 Проектирование системы защиты информации для существующей ас
- •10. Определение условий функционирования ксзи
- •10.1 Содержание Концепции построения ксзи
- •10.2 Объекты защиты
- •10.3 Цели и задачи обеспечения безопасности информации
- •10.4 Основные угрозы безопасности информации ас организации
- •10.5 Основные положения технической политики в области обеспечения безопасности информации ас организации
- •10.6 Основные принципы построения ксзи
- •10.7 Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- •10.8 Первоочередные мероприятия по обеспечению безопасности информации ас организации
- •11. Разработка модели ксзи
- •11.1 Общая характеристика задач моделирования ксзи
- •11.2 Формальные модели безопасности и их анализ
- •11.2.1 Классификация формальных моделей безопасности
- •11.2.2 Модели обеспечения конфиденциальности
- •11.2.3 Модели обеспечения целостности
- •11.2.4 Субъектно-ориентированная модель
- •11.3 Прикладные модели защиты информации в ас
- •11.4 Формальное построение модели защиты: пример
- •11.4.1 Описание объекта защиты
- •11.4.2 Декомпозиция ас на субъекты и объекты
- •11.4.3 Модель безопасности: неформальное описание
- •11.4.3.1 Неформальное описание правил разграничений доступа
- •11.4.3.2 Идентификация активов и определение их ценности
- •11.4.3.3 Некоторые особенности определения правил разграничения доступа
- •11.4.4 Декомпозиция системы защиты информации
- •11.4.5 Противостояние угрозам. Реализация системы защиты информации субъекта ас субъектно-объектной модели
- •11.5 Формализация модели безопасности
- •11.5.1 Процедура создания пары субъект-объект, наделение их атрибутами безопасности
- •11.5.2 Осуществление доступа субъекта к объекту
- •11.5.3 Взаимодействие с внешними сетями
- •11.5.4 Удаление субъекта-объекта
- •12. Технологическое и организационное построение ксзи
- •12.1 Общее содержание работ по организации ксзи
- •Раздел 1. Характеристика предприятия, как объекта защиты.
- •Раздел 2. Цели ксзи формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.
- •Раздел 3. Типовые задачи ксзи:
- •Раздел 4. Принципы создания и функционирования ксзи (типовые):
- •Раздел 5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
- •Раздел 6. Организация защиты информации на предприятии:
- •12.2 Характеристика основных стадий создания ксзи Организационное направление работ по созданию ксзи
- •Техническое направление работ по созданию ксзи
- •12.3 Назначение и структура технического задания (общие требования к содержанию)
- •12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •13 Кадровое обеспечение функционирования комплексной системы защиты информации
- •13.1 Специфика персонала предприятия как объекта защиты
- •13.2 Распределение функций по защите информации
- •13.2.1 Функции руководства предприятия
- •13.2.2 Функции службы защиты информации
- •13.2.3 Функции специальных комиссий
- •13.2.4 Обязанности пользователей защищаемой информации
- •13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4 Подбор и обучение персонала
- •14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации
- •14.1 Значение материально-технического обеспечения функционирования ксзи, его состав
- •Перечень вопросов зи, требующих документационного закрепления
- •15. Назначение, структура и содержание управления ксзи
- •15.1 Понятие, сущность и цели управления ксзи
- •15.2 Принципы управления ксзи
- •15.3 Структура процессов управления
- •15.4 Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16. Принципы и методы планирования функционирования ксзи
- •16.1 Понятие и задачи планирования функционирования ксзи
- •16.2 Способы и стадии планирования
- •16.3 Факторы, влияющие на выбор способов планирования
- •16.4 Основы подготовки и принятия решений при планировании
- •16.5 Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6 Организация выполнения планов
- •17 Сущность и содержание контроля функционирования комплексной системы защиты информации
- •17.1 Виды контроля функционирования ксзи
- •17.2 Цель проведения контрольных мероприятий в ксзи
- •17.3 Анализ и использование результатов проведения контрольных мероприятий
- •18. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций
- •18.1 Понятие и основные виды чрезвычайных ситуаций
- •18.2 Технология принятия решений в условиях чс
- •18.3 Факторы, влияющие на принятие решений в условиях чс
- •18.4 Подготовка мероприятий на случай возникновения чс
- •19. Общая характеристика подходов к оценке эффективности ксзи
- •19.1 Вероятностный подход
- •19.2.Оценочный подход
- •19.3 Требования рд свт и рд ас
- •19.4 Задание требований безопасности информации и оценка соответствия им согласно гост 15408-2002
- •19.5. Экспериментальный подход
- •20. Методы и модели оценки эффективности ксзи
- •20.1 Показатель уровня защищенности, основанный на экспертных оценках
- •20.2. Методы проведения экспертного опроса
- •20.3. Экономический подход к оценке эффективности ксзи
- •20.3.1. Определение размеров ущерба с использованием моделей «осведомленность – эффективность»
- •20.3.2. Определение размеров ущерба с использованием экспертных оценок
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
- •Литература
2.3 Основные положения теории сложных систем
Целенаправленность процесса функционирования КСЗИ является одной из важных ее особенностей, позволяющих отнести КСЗИ к классу сложных информационных систем. Формализация целей функционирования КСЗИ в виде некоторой системы критериев оптимальности либо обобщенного критерия связана с определением всех свойств КСЗИ, оказывающих влияние на достижение цели, введением их количественной меры - системы показателей качества, выбором процедуры редукции, нормализации и скаляризации (свертки) вектора показателей качества и получением обобщенного критерия оптимальности КСЗИ либо показателя эффективности ее функционирования.
Весомый вклад в создание научных основ формулировки систем критериев внесли работы Е.С. Вентцель, Н.П. Бусленко. Б.Р. Левина и др., в которых были сформулированы основные требования к системам критериев (адекватность целям, простота, минимальная размерность, возможность аналитического представления и использования эффективных методов исследования) и даны общие рекомендации по их достижению.
Как и в любой научной дисциплине, в теории систем для обозначения используемых понятий применяется специальная терминология.
Базовыми понятиями теории систем являются:
операция;
цель операции;
система;
задача системы;
стратегия;
операционная система;
операционный комплекс.
Операция - это упорядоченная совокупность (система) взаимосвязанных действий, направленных на достижение определенной цели.
Применительно к КСЗИ, операция - это целенаправленный процесс ее функционирования. Именно наличие общей цели объединяет множество объектов в систему.
Нераздельным атрибутом операции является конечная ее длительность, называемая операционным временем.
Цель - это требуемый (желаемый) исход операции.
Пока нет цели, нет и операции. В рамках теории систем предполагается, что цепь операции - единственная. Операция, преследующая несколько целей - это совокупность одноцелевых операций. При этом эффективности отдельных таких операций могут быть разными. Если цели этих операций взаимосвязаны, то иногда их совокупность может рассматриваться как одна обобщенная цель.
Цель считается достигнутой, если путем преобразования функционирующей системой некоторых ресурсов получен соответствующий ее результат (исход операции).
Система - это целостное множество (совокупность) взаимосвязанных объектов (предметов - элементов системы).
Сложная система (СС) - это система, характеризующаяся множеством возможных состояний, каждое из которых описывается набором значений ее конкретных параметров.
СС характеризуется сложным строением и сложным поведением. Все рассматриваемые в теории эффективности системы -сложные.
Сложная система КСЗИ - это человеко-машинная (эргодическая) система, множество взаимосвязанных материальных объектов (средств и комплексов ВТ, связи, средств защиты, обслуживающих их групп людей, документов), непосредственно участвующих в проведении операции (функционировании предприятия) и объединенных общей целью (защищенный обмен информацией).
Подсистема (субсистема) - это сложная система меньшего масштаба, чем исходная, организационно входящая в последнюю. реализующая самостоятельную операцию, цель которой подчинена цели операции, проводимой исходной системой, являющейся по отношению к подсистеме подсистемой (суперсистемой).
Элемент системы - это объект, входящий в состав системы. но не имеющий в рамках конкретной операции самостоятельной цели и не подлежащий расчленению на части.
Понятия подсистемы и элемента сугубо модельные и в этом смысле условные. Так, одна и та же совокупность объектов может в рамках одной операции являться элементом, в рамках другой - подсистемой, в рамках третьей - системой или даже суперсистемой.
Элементы сложной системы функционируют во взаимодействии, в результате чего свойства сложной системы определяются не только (и не столько) свойствами ее элементов и подсистем, но и характером взаимодействия между ними, т.е. новыми, так называемыми системными свойствами.
Комплекс - это совокупность объектов (систем, подсистем, элементов) различной физической природы, объединенных общей целью, но с менее жесткими, чем в системе, организационными связями.
Задача системы - это требуемый исход операции, который должен быть достигнут в результате функционирования КСЗИ при заданном расходе ресурсов, за заданное время и характеризуемый заданным набором количественных данных.
Другими словами, задача - это конкретизированная цель. По-существу, цель операции становится задачей системы, если конкретизированы количественные характеристики требуемого результата и отпускаемых на его получение ресурсов и времени. Практически цель операции достигается путем выполнения системой последовательности задач.
Если цель операции сформулирована (задача системы поставлена), то может быть начата разработка альтернативных способов (планов, программ) достижения цели (выполнения задачи). Из набора альтернативных планов наилучший выбирается на основе тех или иных концепций и вытекающих из них принципов, которые формально выражаются в форме критериев (правил суждения).
Стратегия - это определенная организация и способ проведения операции (применения системы связи).
Результаты операции - это совокупность всех ее эффектов (последствий) – см. рис.2.1.
Различают операции:
положительные и отрицательные;
прямые и косвенные (побочные).
Кроме того, в рамках каждого из блоков данной схемы результаты могут быть однородными и неоднородными.
Целевой эффект операции - это результат, ради получения которого проводится операция.
Ресурсы - это запасы материи (сырья), энергии, информации, времени, а также технические и людские ресурсы, необходимые для проведения операции и получения требуемого целевого эффекта.
Ресурсы могут быть классифицированы по структуре и по динамике превращения в целевой эффект.
По структуре ресурсы делятся на однородные и неоднородные.
Однородность ресурсов существенно упрощает исследование операции и ее эффективности, однако подобные операции крайне редки (если вообще существуют). По динамике превращения в целевой эффект различают ресурсы:
активные и пассивные;
динамические и статические.
ресурс трудовой - людской (П, Д) и т.д.
Свойство - это объективная особенность объекта, зависящая от его строения и характеризующая отдельную его сторону (аспект).
Операционная система (ОС) - это совокупность объектов (как материальных, так и нематериальных: информация, время и т.д.), в результате взаимодействия которых реализуется операция.
Операционный комплекс (OK) - это совокупность объектов, включающая в себя в качестве элементов операционную систему, суперсистему и окружающую среду.
Окружающая среда (ОКС) - это совокупность объектов, не входящих в операционную систему, непосредственного участия в операции не принимающих, но обусловливающих операционную ситуацию и оказывающих влияние на ЦПФС и его исход.
Каждый исследуемый объект обладает определенными свойствами, обуславливающими его качество.
Квалиметрия - это научная область, в которой разрабатываются методологические основы, методы и методики количественного оценивания и анализа качества объектов.
Качество - это свойство или совокупность свойств объекта, обусловливающих его пригодность для использования по назначению.
Каждое из свойств объекта может быть описано с помощью некоторой переменной, значение которой характеризует меру (интенсивность) его качества относительно этого свойства.
Эту меру называют показателем свойства или единичным, частным показателем качества (ЧПК) объекта.
Уровень качества объекта характеризуется значениями совокупности показателей его существенных - атрибутивных свойств (АС) , т.е. свойств, необходимых для соответствия объекта его назначению. Эта совокупность называется показателем качества.
Показатель качества объекта - это вектор, компоненты которого суть показатели его отдельных свойств, представляющие собой частные, единичные показатели качества объекта.
Критерий оценивания качества - это руководящее правило (условие или совокупность условии), вытекающее из принятых (положенных в основу исследования) концепций и принципов оценивания, реализуемое при принятии того или иного решения (проектного, организационного, управленческого и т.п.) о качестве исследуемого объекта.
При оценивании качества любого объекта, описываемого n -мерным векторным показателем, реализуется совокупность критериев, каждый из которых в общем случае может принадлежать одному из классов:
классу {G} критериев пригодности;
классу {0} критериев оптимальности;
классу {S } критериев превосходства.
Оценка качества - числовая характеристика показателя качества, получаемая опытным путем или с помощью расчетов (при косвенных измерениях) с использованием модели показателя качества.
По определению, качество - это свойство или совокупность существенных свойств объекта, обусловливающих его пригодность для использования по назначению. Применительно к целенаправленному процессу подобные его свойства - атрибуты называются операционными. К ним относятся:
результативность;
ресурсоемкость;
оперативность.
Результативность ЦП характеризуется получаемым в его результате целевым эффектом. Она обусловливается способностью операции давать целевой эффект (т.е. результат, ради которого проводится операция). Применительно к КСЗИ это свойство операции называется безопасностью.
Ресурсоемкость ЦП характеризуется расходом операционных ресурсов всех видов (материально-технических, энергетических, информационных, временных, финансовых, людских и т.п.), потребных для проведения операции и получении целевого эффекта.
Оперативность ЦП характеризуется расходом операционного времени, т.е. времени, потребного для достижении цели операции.
Эффективность - это комплексное операционное свойство целенаправленного процесса функционирования системы, характеризующее его приспособленность к достижению цели реализуемой КСЗИ операции (к выполнению стоящей перед КСЗИ задачи).
Любой показатель эффективности операции должен удовлетворять совокупности общих требований, чтобы соответствовать своему предназначению:
представительность (адекватность);
критичность (чувствительность);
комплексность (полнота);
стохастичностъ;
"простота".
Представительный показатель позволяет оценивать эффективность операции по достижении ее основной (а не второстепенных) цепи. Цель операции должна находить свое прямое отображение в показателе ее эффективности.
Критичный показатель чувствителен к изменениям исследуемых характеристик.
Комплексный (единый) показатель позволяет решать задачу исследования эффективности операции без привлечения других ее характеристик.
Стохастичный (вероятностный) показатель позволяет учитывать неопределенность условий проведения операции, обусловленную воздействием случайных факторов и всегда сопутствующую исследованию операции и ее эффективности.
Показатель эффективности должен быть достаточно простым (при необходимой комплексности), чтобы его вычисление и последующий анализ эффективности операции могли быть реализованы в приемлемые сроки и имели бы наглядную интерпретацию.
Всем перечисленным требованиям удовлетворяет показатель эффективности, представляющий собой вероятность достижения цели операции (или вероятность выполнения задачи КСЗИ) -- Pдц.
Критерий оценивания эффективности - совокупность условий, определяющих цели операции и в соответствии с ними пригодность, оптимальность или превосходство исследуемой операции.