- •Введение
- •1. Сущность и задачи комплексной защиты информации
- •1.1 Понятийный аппарат в области обеспечения безопасности информации
- •1.2 Цели, задачи и принципы построения ксзи
- •1.3 О понятиях безопасности и защищенности
- •1.4 Разумная достаточность и экономическая эффективность
- •1.5 Управление безопасностью предприятия. Международные стандарты
- •1.6 Цели и задачи защиты информации в автоматизированных системах
- •1.7 Современное понимание методологии защиты информации
- •1.7.1 Особенности национального технического регулирования
- •1.7.2 Что понимается под безопасностью ит
- •1.7.3 Документы пользователя
- •1.7.4 Требования к средствам обеспечения безопасности
- •2. Принципы организации и этапы разработки ксзи
- •2.1 Методологические основы организации ксзи
- •2.2 Разработка политики безопасности и регламента безопасности предприятия
- •2.3 Основные положения теории сложных систем
- •2.4 Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями
- •2.5 Требования, предъявляемые к ксзи
- •2.5.1 Требования к организационной и технической составляющим ксзи
- •2.5.2 Требования по безопасности, предъявляемые к изделиям ит
- •2.5.2.1. Порядок задания требований
- •2.5.2.2. Разработка изделия ит
- •2.5.2.3. Обеспечение поддержки доверия к безопасности изделия ит при эксплуатации
- •2.5.2.4 Подтверждение соответствия изделий ит требованиям безопасности информации
- •2.5.2.5. Поставка и ввод в действие. Эксплуатация изделия
- •2.6 Этапы разработки ксзи
- •3. Факторы, влияющие на организацию ксзи
- •3.1 Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •Юридические лица, являющиеся коммерческими организациями
- •3.3 Характер основной деятельности предприятия
- •3.4 Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5 Структура и территориальное расположение предприятия
- •3.6 Режим функционирования предприятия
- •3.7 Конструктивные особенности предприятия
- •3.8 Количественные и качественные показатели ресурсообеспечения
- •3.9 Степень автоматизации основных процедур обработки защищаемой информации
- •4. Определение и нормативное закрепление состава защищаемой информации
- •4.1 Классификация информации по видам тайны и степеням конфиденциальности
- •4.2 Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение Задачи 1
- •4.2.2 Решение задачи 2
- •4.2.3 Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3 Методика определения состава защищаемой информации
- •4.4 Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5. Определение объектов защиты
- •5.1 Значение носителей защищаемой информации, как объектов защиты
- •5.2 Методика выявления состава носителей защищаемой информации
- •5.4 Особенности взаимоотношений с контрагентами, как объект защиты информации ограниченного доступа
- •5.5 Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты
- •Основные принципы оборудования сигнализацией
- •5.7 Транспортные средства и особенности транспортировки
- •5.8 Состав средств обеспечения, подлежащих защите
- •6. Дестабилизирующие воздействия на информацию и их нейтрализация
- •6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз
- •6.2 Угрозы безопасности информации
- •6.3 Модели нарушителей безопасности ас
- •6.4 Подходы к оценке ущерба от нарушений иб
- •6.5 Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6 Реагирование на инциденты иб
- •6.7 Резервирование информации и отказоустойчивость
- •7. Определение потенциальных каналов и методов несанкционированного доступа к информации
- •7.1 Технические каналы утечки информации, их классификация
- •7.2 Задачи ксзи по выявлению угроз и куи
- •7.3 Особенности защиты речевой информации
- •7.4 Особенности защиты компьютерной информации от утечки по каналам пэмин
- •8. Определение возможностей несанкционированного доступа к защищаемой информации
- •8.1 Методы и способы защиты информации
- •8.2 Классификация сзи нсд
- •8.3 Механизмы обеспечения безопасности информации
- •8.3.1. Идентификация и аутентификация
- •8.2.2. Разграничение доступа
- •8.2.3. Регистрация и аудит
- •8.2.4. Криптографическая подсистема
- •8.2.5. Межсетевое экранирование
- •8.3 Методика выявления нарушителей, тактики их действий и состава интересующей их информации
- •9.1 Особенности синтеза сзи ас от нсд
- •9.2 Методика синтеза сзи
- •9.2.1 Общее описание архитектуры ас, системы защиты информации и политики безопасности
- •9.2.2 Формализация описания архитектуры исследуемой ас
- •9.2.3 Формулирование требований к системе защиты информации
- •9.2.4 Выбор механизмов и средств защиты информации
- •9.2.5 Определение важности параметров средств защиты информации
- •9.3 Оптимальное построение системы защиты для ас
- •9.4 Выбор структуры сзи ас
- •9.5 Проектирование системы защиты информации для существующей ас
- •10. Определение условий функционирования ксзи
- •10.1 Содержание Концепции построения ксзи
- •10.2 Объекты защиты
- •10.3 Цели и задачи обеспечения безопасности информации
- •10.4 Основные угрозы безопасности информации ас организации
- •10.5 Основные положения технической политики в области обеспечения безопасности информации ас организации
- •10.6 Основные принципы построения ксзи
- •10.7 Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- •10.8 Первоочередные мероприятия по обеспечению безопасности информации ас организации
- •11. Разработка модели ксзи
- •11.1 Общая характеристика задач моделирования ксзи
- •11.2 Формальные модели безопасности и их анализ
- •11.2.1 Классификация формальных моделей безопасности
- •11.2.2 Модели обеспечения конфиденциальности
- •11.2.3 Модели обеспечения целостности
- •11.2.4 Субъектно-ориентированная модель
- •11.3 Прикладные модели защиты информации в ас
- •11.4 Формальное построение модели защиты: пример
- •11.4.1 Описание объекта защиты
- •11.4.2 Декомпозиция ас на субъекты и объекты
- •11.4.3 Модель безопасности: неформальное описание
- •11.4.3.1 Неформальное описание правил разграничений доступа
- •11.4.3.2 Идентификация активов и определение их ценности
- •11.4.3.3 Некоторые особенности определения правил разграничения доступа
- •11.4.4 Декомпозиция системы защиты информации
- •11.4.5 Противостояние угрозам. Реализация системы защиты информации субъекта ас субъектно-объектной модели
- •11.5 Формализация модели безопасности
- •11.5.1 Процедура создания пары субъект-объект, наделение их атрибутами безопасности
- •11.5.2 Осуществление доступа субъекта к объекту
- •11.5.3 Взаимодействие с внешними сетями
- •11.5.4 Удаление субъекта-объекта
- •12. Технологическое и организационное построение ксзи
- •12.1 Общее содержание работ по организации ксзи
- •Раздел 1. Характеристика предприятия, как объекта защиты.
- •Раздел 2. Цели ксзи формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.
- •Раздел 3. Типовые задачи ксзи:
- •Раздел 4. Принципы создания и функционирования ксзи (типовые):
- •Раздел 5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
- •Раздел 6. Организация защиты информации на предприятии:
- •12.2 Характеристика основных стадий создания ксзи Организационное направление работ по созданию ксзи
- •Техническое направление работ по созданию ксзи
- •12.3 Назначение и структура технического задания (общие требования к содержанию)
- •12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •13 Кадровое обеспечение функционирования комплексной системы защиты информации
- •13.1 Специфика персонала предприятия как объекта защиты
- •13.2 Распределение функций по защите информации
- •13.2.1 Функции руководства предприятия
- •13.2.2 Функции службы защиты информации
- •13.2.3 Функции специальных комиссий
- •13.2.4 Обязанности пользователей защищаемой информации
- •13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4 Подбор и обучение персонала
- •14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации
- •14.1 Значение материально-технического обеспечения функционирования ксзи, его состав
- •Перечень вопросов зи, требующих документационного закрепления
- •15. Назначение, структура и содержание управления ксзи
- •15.1 Понятие, сущность и цели управления ксзи
- •15.2 Принципы управления ксзи
- •15.3 Структура процессов управления
- •15.4 Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16. Принципы и методы планирования функционирования ксзи
- •16.1 Понятие и задачи планирования функционирования ксзи
- •16.2 Способы и стадии планирования
- •16.3 Факторы, влияющие на выбор способов планирования
- •16.4 Основы подготовки и принятия решений при планировании
- •16.5 Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6 Организация выполнения планов
- •17 Сущность и содержание контроля функционирования комплексной системы защиты информации
- •17.1 Виды контроля функционирования ксзи
- •17.2 Цель проведения контрольных мероприятий в ксзи
- •17.3 Анализ и использование результатов проведения контрольных мероприятий
- •18. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций
- •18.1 Понятие и основные виды чрезвычайных ситуаций
- •18.2 Технология принятия решений в условиях чс
- •18.3 Факторы, влияющие на принятие решений в условиях чс
- •18.4 Подготовка мероприятий на случай возникновения чс
- •19. Общая характеристика подходов к оценке эффективности ксзи
- •19.1 Вероятностный подход
- •19.2.Оценочный подход
- •19.3 Требования рд свт и рд ас
- •19.4 Задание требований безопасности информации и оценка соответствия им согласно гост 15408-2002
- •19.5. Экспериментальный подход
- •20. Методы и модели оценки эффективности ксзи
- •20.1 Показатель уровня защищенности, основанный на экспертных оценках
- •20.2. Методы проведения экспертного опроса
- •20.3. Экономический подход к оценке эффективности ксзи
- •20.3.1. Определение размеров ущерба с использованием моделей «осведомленность – эффективность»
- •20.3.2. Определение размеров ущерба с использованием экспертных оценок
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
- •Литература
16.5 Методы сбора, обработки и изучения информации, необходимой для планирования
Процессы сбора, обработки и изучения информации, в том числе используемой при планировании, характеризуются наличием нескольких видов ее преобразования:
1) формальным;
2) содержательным;
3) пространственным (коммуникационным);
4) временным.
1. Любое действие с информацией первоначально требует ее отображения (представления) ДЛ для восприятия и понимания. Данная функция реализуется при формальном преобразовании. Это преобразование связано с перекодированием информации, т.е. с изменением формы представления информации (из графической в текстовую или наоборот), а также изменением ее структуры, например из произвольной в табличную. Необходимость перекодирования информации обусловлена тем, что ее форма, получаемая от множества источников, может быть различной (текстовой машинописной или рукописной, графической, звуковой и др.), а для отображения в используемых документах форма представления должна быть однообразной и принятой для данного документа.
2. Под содержательным преобразованием информации понимается такой процесс обработки информации, в результате которого появляется “новая” информация. В этом смысле новой будет только та информация, которая ранее в системе не содержалась и не поступала извне, а получена путем осуществления операций преобразования имеющейся “старой” информации. В качестве примеров такого преобразования могут рассматриваться процессы обобщения данных, проведения расчетов, логических рассуждений, моделирования и т.п.
Основное содержательное преобразование информации выполняется при подготовке и принятии решений. Непосредственно при разработке документов содержательное преобразование информации осуществляется во время операций заполнения итоговых и сравнительных полей документа, полей оценки, реализуемых на основании данных, содержащихся как в одном, так и в нескольких документах.
3. Процесс сбора данных является выполнением пространственного (коммуникационного) преобразования информации.
4. Временной аспект преобразования информации при разработке документов связан с необходимостью их хранения. От информации, внесенной в документ, зависят сроки его хранения, периодичность обращения к нему и ситуации, в которых он используется. А это в свою очередь определяет способ и место хранения документа и возможности по поиску информации.
Современные средства вычислительной техники качественно изменяют процессы подготовки принятия решений, включая методы и процедуры сбора, накопления, передачи, хранения, обработки и выдачи информации в удобном для восприятия виде. Такие автоматизированные системы ППР имеют следующие основные черты: 1) более строгая дисциплина и упорядоченность процесса ППР; 2) системность поддержки этого процесса; 3) возможность научного обоснования принимаемых решений; 4) способность к многовариантности и гибкости анализа; 5) комплексность анализа вариантов решений; 6) большая наглядность и образность результатов поддержки решений.
Система ППР это: интерактивная автоматизированная система, использующая модели выработки решений, обеспечивающая пользователям легкий и эффективный доступ к большому распределенному хранилищу информации и предоставляющая им разнообразные возможности по отображению информации. В таком понимании СППР представляет собой совокупность следующих подсистем: комплекса распределенных технических средств, комплекса математических моделей анализа состояний и выработки решений, баз данных и знаний, системы управления моделями, удобных для пользователя языков моделирования, обработки и отображения информации.
Двумя частными формами поддержки процессов ППР являются представление руководству информации и выполнение расчетов для него, выражающиеся в информационной и вычислительной поддержке ППР соответственно. Существование этих двух форм обусловливается особенностями процессов ППР и сопутствующих им процессов переработки информации, которые могут значительно различаться между собой по сложности.
Задачей информационной поддержки ППР при планировании в КСЗИ является обеспечение должностных лиц органа управления – как по их запросу, так и в режиме регулярного информирования – своевременной, безошибочной и нужной информацией на всех этапах планирования. Выполнение этой задачи связано со сбором, накоплением, хранением, обработкой больших объемов данных и выдачей как “сырой”, так и переработанной информации в виде сводок, справок и т.п.
Информационная поддержка ППР в своем развитии прошла несколько этапов.
Первоначально считалось, что так как информационная поддержка ППР является необходимым условием повышения качества принимаемых решений, то чем больше информации передается ЛПР, тем более качественным будет решение. Однако, как показала практика ППР, увеличение объема информации мало связано с повышением качества принимаемых решений. Это объясняется рядом обстоятельств. Когда для поддержки решений предлагается информация, действительно нужная для принятия решения, но в больших объемах, она либо игнорируется ЛПР, либо вынуждает его тратить больше времени на организацию и усвоение этой информации, либо вызывает у него информационную перегрузку. В любом случае на качество решения оказывается отрицательное воздействие. Если же в этой информации попадается такая, которая не имеет отношения к проблеме, то это создает бесполезный избыток информации, способствующий, как правило, снижению качества решения.
В дальнейшем, по мере появления опыта использования различных автоматизированных систем, полагалось, что руководитель в состоянии иметь представление о необходимой для принятия решения информации, готов к ее усвоению и может сознательно ограничивать свою информационную потребность, когда ему угрожает информационная перегрузка. Однако и этот подход обладает определенными недостатками. То, что ЛПР имеет представление о необходимой ему информации и готов к работе с ней, еще не гарантирует, что вся полученная им информация действительно окажется нужной, а его готовность к ее переработке – абсолютной.
На современном этапе развития средств информационной поддержки ППР стало складываться представление о том, что акцент следует делать на удовлетворение потребностей конкретного ЛПР в информации, объективно необходимой для решения поставленных задач. Поэтому для нахождения оптимального (рационального) решения ЛПР необходим некий оптимальный уровень количества и качества информации. Однако дать ЛПР практические рекомендации о том, от каких факторов мог бы зависеть этот уровень, как его определить и достигнуть, достаточно сложно. Кроме того, отсутствуют надежные средства определения необходимой для решения поставленной задачи (релевантной) информации.
Автоматизированная система информационной поддержки ППР при планировании должна включать в себя следующие элементы: 1) ЭВМ и другие технические средства; 2) информационную базу, часть которой организована в виде баз данных; 3) программные средства работы с базами данных, т.е. средства создания баз данных, их ведения, выполнения над ними различных операций, включая стыковку с расчетными программами и т.п.; 4) персонал поддержки.
Вычислительная поддержка ППР при планировании КСЗИ строится на использовании разнообразных моделей КСЗИ и процессов подготовки и принятия решений.
Для того чтобы помочь должностным лицам органов управления в решении сложных задач планирования, специалисты создают математические модели и алгоритмы получения информации, нужной в конечном счете для квалифицированного принятия решения. В настоящее время широкое применение в КСЗИ нашли автоматизированные информационно-расчетные системы, позволяющие выполнять вычисления как по сравнительно простым формулам, так и по сложным моделям оптимизационного характера. При работе таких систем к должностным лицам попадают уже результаты расчетов, которым они дают окончательную оценку.
Диалоговые возможности информационной и вычислительной поддержки решений, позволяют обеспечить многовариантность расчетов при использовании различных математических моделей. Это означает, что прежде чем прийти к окончательному решению, ЛПР имеет возможность сгенерировать и проверить с помощью системы поддержки ППР различные варианты решения интересующей его задачи, сочетая возможности формальных моделей и неформальных суждений и оценок, как своих собственных, так и привлекаемых экспертов.