- •Введение
- •1. Сущность и задачи комплексной защиты информации
- •1.1 Понятийный аппарат в области обеспечения безопасности информации
- •1.2 Цели, задачи и принципы построения ксзи
- •1.3 О понятиях безопасности и защищенности
- •1.4 Разумная достаточность и экономическая эффективность
- •1.5 Управление безопасностью предприятия. Международные стандарты
- •1.6 Цели и задачи защиты информации в автоматизированных системах
- •1.7 Современное понимание методологии защиты информации
- •1.7.1 Особенности национального технического регулирования
- •1.7.2 Что понимается под безопасностью ит
- •1.7.3 Документы пользователя
- •1.7.4 Требования к средствам обеспечения безопасности
- •2. Принципы организации и этапы разработки ксзи
- •2.1 Методологические основы организации ксзи
- •2.2 Разработка политики безопасности и регламента безопасности предприятия
- •2.3 Основные положения теории сложных систем
- •2.4 Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями
- •2.5 Требования, предъявляемые к ксзи
- •2.5.1 Требования к организационной и технической составляющим ксзи
- •2.5.2 Требования по безопасности, предъявляемые к изделиям ит
- •2.5.2.1. Порядок задания требований
- •2.5.2.2. Разработка изделия ит
- •2.5.2.3. Обеспечение поддержки доверия к безопасности изделия ит при эксплуатации
- •2.5.2.4 Подтверждение соответствия изделий ит требованиям безопасности информации
- •2.5.2.5. Поставка и ввод в действие. Эксплуатация изделия
- •2.6 Этапы разработки ксзи
- •3. Факторы, влияющие на организацию ксзи
- •3.1 Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •Юридические лица, являющиеся коммерческими организациями
- •3.3 Характер основной деятельности предприятия
- •3.4 Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5 Структура и территориальное расположение предприятия
- •3.6 Режим функционирования предприятия
- •3.7 Конструктивные особенности предприятия
- •3.8 Количественные и качественные показатели ресурсообеспечения
- •3.9 Степень автоматизации основных процедур обработки защищаемой информации
- •4. Определение и нормативное закрепление состава защищаемой информации
- •4.1 Классификация информации по видам тайны и степеням конфиденциальности
- •4.2 Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение Задачи 1
- •4.2.2 Решение задачи 2
- •4.2.3 Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3 Методика определения состава защищаемой информации
- •4.4 Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5. Определение объектов защиты
- •5.1 Значение носителей защищаемой информации, как объектов защиты
- •5.2 Методика выявления состава носителей защищаемой информации
- •5.4 Особенности взаимоотношений с контрагентами, как объект защиты информации ограниченного доступа
- •5.5 Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты
- •Основные принципы оборудования сигнализацией
- •5.7 Транспортные средства и особенности транспортировки
- •5.8 Состав средств обеспечения, подлежащих защите
- •6. Дестабилизирующие воздействия на информацию и их нейтрализация
- •6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз
- •6.2 Угрозы безопасности информации
- •6.3 Модели нарушителей безопасности ас
- •6.4 Подходы к оценке ущерба от нарушений иб
- •6.5 Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6 Реагирование на инциденты иб
- •6.7 Резервирование информации и отказоустойчивость
- •7. Определение потенциальных каналов и методов несанкционированного доступа к информации
- •7.1 Технические каналы утечки информации, их классификация
- •7.2 Задачи ксзи по выявлению угроз и куи
- •7.3 Особенности защиты речевой информации
- •7.4 Особенности защиты компьютерной информации от утечки по каналам пэмин
- •8. Определение возможностей несанкционированного доступа к защищаемой информации
- •8.1 Методы и способы защиты информации
- •8.2 Классификация сзи нсд
- •8.3 Механизмы обеспечения безопасности информации
- •8.3.1. Идентификация и аутентификация
- •8.2.2. Разграничение доступа
- •8.2.3. Регистрация и аудит
- •8.2.4. Криптографическая подсистема
- •8.2.5. Межсетевое экранирование
- •8.3 Методика выявления нарушителей, тактики их действий и состава интересующей их информации
- •9.1 Особенности синтеза сзи ас от нсд
- •9.2 Методика синтеза сзи
- •9.2.1 Общее описание архитектуры ас, системы защиты информации и политики безопасности
- •9.2.2 Формализация описания архитектуры исследуемой ас
- •9.2.3 Формулирование требований к системе защиты информации
- •9.2.4 Выбор механизмов и средств защиты информации
- •9.2.5 Определение важности параметров средств защиты информации
- •9.3 Оптимальное построение системы защиты для ас
- •9.4 Выбор структуры сзи ас
- •9.5 Проектирование системы защиты информации для существующей ас
- •10. Определение условий функционирования ксзи
- •10.1 Содержание Концепции построения ксзи
- •10.2 Объекты защиты
- •10.3 Цели и задачи обеспечения безопасности информации
- •10.4 Основные угрозы безопасности информации ас организации
- •10.5 Основные положения технической политики в области обеспечения безопасности информации ас организации
- •10.6 Основные принципы построения ксзи
- •10.7 Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- •10.8 Первоочередные мероприятия по обеспечению безопасности информации ас организации
- •11. Разработка модели ксзи
- •11.1 Общая характеристика задач моделирования ксзи
- •11.2 Формальные модели безопасности и их анализ
- •11.2.1 Классификация формальных моделей безопасности
- •11.2.2 Модели обеспечения конфиденциальности
- •11.2.3 Модели обеспечения целостности
- •11.2.4 Субъектно-ориентированная модель
- •11.3 Прикладные модели защиты информации в ас
- •11.4 Формальное построение модели защиты: пример
- •11.4.1 Описание объекта защиты
- •11.4.2 Декомпозиция ас на субъекты и объекты
- •11.4.3 Модель безопасности: неформальное описание
- •11.4.3.1 Неформальное описание правил разграничений доступа
- •11.4.3.2 Идентификация активов и определение их ценности
- •11.4.3.3 Некоторые особенности определения правил разграничения доступа
- •11.4.4 Декомпозиция системы защиты информации
- •11.4.5 Противостояние угрозам. Реализация системы защиты информации субъекта ас субъектно-объектной модели
- •11.5 Формализация модели безопасности
- •11.5.1 Процедура создания пары субъект-объект, наделение их атрибутами безопасности
- •11.5.2 Осуществление доступа субъекта к объекту
- •11.5.3 Взаимодействие с внешними сетями
- •11.5.4 Удаление субъекта-объекта
- •12. Технологическое и организационное построение ксзи
- •12.1 Общее содержание работ по организации ксзи
- •Раздел 1. Характеристика предприятия, как объекта защиты.
- •Раздел 2. Цели ксзи формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.
- •Раздел 3. Типовые задачи ксзи:
- •Раздел 4. Принципы создания и функционирования ксзи (типовые):
- •Раздел 5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
- •Раздел 6. Организация защиты информации на предприятии:
- •12.2 Характеристика основных стадий создания ксзи Организационное направление работ по созданию ксзи
- •Техническое направление работ по созданию ксзи
- •12.3 Назначение и структура технического задания (общие требования к содержанию)
- •12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •13 Кадровое обеспечение функционирования комплексной системы защиты информации
- •13.1 Специфика персонала предприятия как объекта защиты
- •13.2 Распределение функций по защите информации
- •13.2.1 Функции руководства предприятия
- •13.2.2 Функции службы защиты информации
- •13.2.3 Функции специальных комиссий
- •13.2.4 Обязанности пользователей защищаемой информации
- •13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4 Подбор и обучение персонала
- •14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации
- •14.1 Значение материально-технического обеспечения функционирования ксзи, его состав
- •Перечень вопросов зи, требующих документационного закрепления
- •15. Назначение, структура и содержание управления ксзи
- •15.1 Понятие, сущность и цели управления ксзи
- •15.2 Принципы управления ксзи
- •15.3 Структура процессов управления
- •15.4 Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16. Принципы и методы планирования функционирования ксзи
- •16.1 Понятие и задачи планирования функционирования ксзи
- •16.2 Способы и стадии планирования
- •16.3 Факторы, влияющие на выбор способов планирования
- •16.4 Основы подготовки и принятия решений при планировании
- •16.5 Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6 Организация выполнения планов
- •17 Сущность и содержание контроля функционирования комплексной системы защиты информации
- •17.1 Виды контроля функционирования ксзи
- •17.2 Цель проведения контрольных мероприятий в ксзи
- •17.3 Анализ и использование результатов проведения контрольных мероприятий
- •18. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций
- •18.1 Понятие и основные виды чрезвычайных ситуаций
- •18.2 Технология принятия решений в условиях чс
- •18.3 Факторы, влияющие на принятие решений в условиях чс
- •18.4 Подготовка мероприятий на случай возникновения чс
- •19. Общая характеристика подходов к оценке эффективности ксзи
- •19.1 Вероятностный подход
- •19.2.Оценочный подход
- •19.3 Требования рд свт и рд ас
- •19.4 Задание требований безопасности информации и оценка соответствия им согласно гост 15408-2002
- •19.5. Экспериментальный подход
- •20. Методы и модели оценки эффективности ксзи
- •20.1 Показатель уровня защищенности, основанный на экспертных оценках
- •20.2. Методы проведения экспертного опроса
- •20.3. Экономический подход к оценке эффективности ксзи
- •20.3.1. Определение размеров ущерба с использованием моделей «осведомленность – эффективность»
- •20.3.2. Определение размеров ущерба с использованием экспертных оценок
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
- •Литература
9.2.4 Выбор механизмов и средств защиты информации
При принятии решения о выборе наилучшего варианта системы защиты информации в соответствии с некоторым критерием возникает задача определения требований, предъявляемых к параметрам СЗИ. Эти параметры обуславливают качество СЗИ.
Для оптимального проектирования системы защиты информации воспользуемся основными понятиями квалиметрии.
Качество - это свойство или совокупность свойств объекта, обусловливающих его пригодность для использования по назначению.
Каждое из свойств объекта может быть описано с помощью некоторой переменной, значение которой характеризует меру (интенсивность) его качества относительно этого свойства. Эту меру называют показателем свойства или единичным, частным показателем качества (ЧПК) объекта.
Например, СЗИ каждого вида может характеризоваться такими ЧПК, как Mij = {Cij, Pij, Tij, Vij, ,…}, где Cij – стоимость средства защиты, Pij – уровень защищенности, Tij – время на осуществление элементарной операции, Vij – необходимый объем оперативной памяти. При необходимости, проектировщики могут добавлять новые ЧПК для оценки механизмов защиты.
Уровень качества объекта характеризуется значениями совокупности показателей его существенных - атрибутивных свойств (АС) , т.е. свойств, необходимых для соответствия объекта его назначению. Эта совокупность называется показателем качества.
Показатель качества объекта - это вектор, компоненты которого суть показатели его отдельных свойств, представляющие собой частные, единичные показатели качества объекта.
Критерий оценивания качества - это руководящее правило (условие или совокупность условии), вытекающее из принятых принципов оценивания, реализуемое при принятии того или иного решения (проектного, организационного, управленческого и т.п.) о качестве исследуемого объекта.
Для того, чтобы использовать показатели качества в дальнейших математических расчетах, они должны быть выражены некоторыми количественными значениями. Показатели качества подсистемы защиты складываются из показателей качества ее элементов, то есть СЗИ.
Показатели качества системы защиты складываются из совокупности характеристик подсистем, таким образом, можно учесть ограничения, накладываемые на систему в целом и найти оптимальный состав механизмов защиты для достижения требуемых показателей эффективности системы защиты информации. Значения характеристик системы можно варьировать путем перебора различных вариантов состава подсистем защиты.
Таким образом, при выборе СЗИ при проектировании системы защиты необходимо:
1) определить необходимый состав механизмов защиты;
2) определить ЧПК средств защиты, реализующих эти механизмы;
3) определить важность каждого ЧПК для решения общей задачи защиты информации и сформировать показатели качества СЗИ;
4) составить список имеющихся или проектируемых СЗИ и рассчитать для них показатели качества;
5) выполнить оптимальное проектирование системы защиты.
По отношению к выбору необходимого состава механизмов защиты в настоящее время известны различные подходы. Один из подходов описан в РД Гостехкомиссии России «АС. Защита от НСД. Классификация АС и требования по защите информации» и заключается в жестком перечислении необходимых механизмов безопасности в зависимости от класса защищенности АС. Этот подход обладает определенными недостатками, в частности:
статичность требований к АС, сложность их технической реализации;
инвариантность к результатам оценки рисков и среде эксплуатации АС;
низкая эффективность защиты;
несогласованность с новой нормативной базой безопасности изделий ИТ (ГОСТ Р ИСО/МЭК 15408-2002).
Альтернативный подход описан в проекте специального технического регламента №45, согласно которому все АС разбиваются на классы, в зависимости от возможного ущерба, к которому может привести нарушение безопасности информации. Ущерб выражен в денежном выражении, а также связан с жизнью и здоровьем людей. Недостатком такого подхода является сложность определения ущерба в каждом конкретном случае, а также отсутствие методик такого расчета для информации ограниченного распространения.
Наиболее рациональный подход к методологии задания требований безопасности информации и оценке их выполнения для АС приведен в стандарте ISO/IEC 19791, который пока еще не переведен на русский язык. Этот стандарт расширяет концепцию ГОСТ 15408 для АС, позволяет предъявлять требования как к ИТ-составляющим АС, так и не к ИТ-составляющим. Вместе с тем, вне области действия ISO/IEC 19791 находятся такие аспекты, как:
категорирование информации;
категорирование АС;
определение необходимого уровня безопасности АС, с учетом которого должны задаваться минимально необходимые требования безопасности АС;
вопросы анализа рисков.
Получить значения ЧПК средств защиты информации обычно не составляет труда. Например, может быть известно, что программный межсетевой экран стоит 1500 руб, его применение потребует 32 Мбайт системной памяти и займет ресурс центрального процессора примерно 5%. Защищенность СЗИ может быть оценена косвенно, на основе имеющихся данных о классе защищенности.
Для формирования показателя качества СЗИ можно присвоить каждому ЧПК некоторый вес, то есть ввести понятие веса, определяющего его важность.
Для этого могут быть использованы формальные и неформальные методы экспертной оценки. Не всегда представляется возможным определить веса непосредственно или вычислить по известным аналитическим зависимостям. В случае, когда значения весов невозможно получить изложенными выше способами, необходимо использовать неформальные экспертные оценки. Подобные методы состоят из двух этапов: сбор экспертных оценок важности ЧПК и статистическая обработка полученных результатов.