2.9.4 Аудит и проектирование ксзи.
Методы анализа при оценке информации
Цель:
выявление информации, нуждающейся в защите и степени ее защищенности.
Задачи:
Выявление всех источников и носителей информации на предприятии
Построение структуры секретности (система- «гриф»)
Составление перечня защищаемой информации
Степень защищенности информации определяется ее важностью. Важность информации во многом зависит от ее ценности (стоимости, выраженной в деньгах).
Методы определения ценности
Информация может появиться на предприятии вследствие ее покупки или работы самого предприятия.
,
где
-
стоимость информации,
- стоимость затрат,
- стоимость работ)
Важность информации будет зависеть также от убытка, который понесет фирма в результате разглашения информации:
,
где
- рыночная стоимость товара,
- себестоимость товара у конкурентов,
- убыток
,
где
- себестоимость товара на собственном
предприятии
Стоимость информации может изменяться во времени.
Методика проектирования КСЗИ
Существуют принципиально 2-е методики выявления угроз безопасности:
1 методика. От источника. Она заключается в том, что каждый источник информации «обходится по кругу» либо по, либо против часовой стрелки и рассматриваются характеристики каждого носителя, выходящего (входящего) в этот источник по порядку пересечения их обходом. Для каждого носителя составляются таблицы технических характеристик этого носителя.
2 методика. Все плечи графа нумеруются, после чего последовательно составляются таблицы технических характеристик для каждого плеча (носителя).
Основная цель методик – получение списка технических характеристик каждого носителя.
Полученные таблицы совмещаются. Для получения списка рисков безопасности информации необходимо:
во-первых, построение модели нарушителя;
во-вторых, анализ условий разведывательного контакта.
Разведывательный контакт – это ситуация, в которой злоумышленник имеет возможность получить интересующую его информацию. Этот контакт может иметь три условия: энергетическое, временное, пространственное.
Риск безопасности информации определяется вероятностью получения злоумышленником этой информации, которая определяется как произведение вероятности того, что:
злоумышленник получил доступ в помещение, где находится информация;
информация действительно находилась в той комнате в то время, когда туда попал злоумышленник;
качество информации достаточное для того, чтобы ее воспринимать.
3 этап. Происходит подбор средств зависимости от характеристик каждого КНПИ, а также разработка организационных мероприятий.
4 этап. Как правило, повторяет первые два этапа или, как минимум, второй этап. С учетом требований, выдвинутых в техническом задании (самоконтроль), либо требований, определяемых стандартом (сертификация). На 4-ом этапе необходимо учитывать экономические показатели эффективности спроектированной КСЗИ.
Этапы проектирования КСЗИ:
Разработка технического задания.
Эскизное проектирование.
Техническое проектирование.
Рабочее проектирование.
Производство опытного образца.
Анализ информации циркулирующей в системе:
определение источников информации
определение всех носителей информации
оценка стоимости информации
разработка информационной структуры
Выявление угроз безопасности производится методом экспертных оценок
Построение модели КСЗИ
Разработка организации и технических мероприятий по обеспечению КСЗИ.
Состоит в издании нормативно-методических документов (приказы, графики, инструкции и т.д), позволяющих организовать (построить) СЗИ.
Внедрение КСЗИ и её эксплуатация. Состоит в использовании техники по назначению и проведению организационных мероприятий. Важным является проведение мероприятий по анализу состояния КСЗИ для дальнейшего её развития.
Определение и общие методологические требования к построению КСЗИ
КСЗИ представляет собой совокупность всех средств, методов и мероприятий, выделяемых или предусматриваемых для решения задач защиты.
Это означает, что все ресурсы, выделенные для защиты информации должны объединяться в единую систему. Такая система является функционально самостоятельной подсистемой предприятия.
КСЗИ должна быть адаптивной, то есть, способной изменяться (подстраиваться) при изменении структуры, технологических процессов или условий функционирования предприятия.
Помимо общего концептуального требования, к СЗИ предъявляется ряд следующих требований:
Функциональные
Решение поставленных задач
Удовлетворение требованиям защиты
Эргономические
Удобство для пользователя
Удобство для персонала СЗИ
Экономические
Минимизация затрат
Минимизация используемых ресурсов
Технические
Комплексное использование средств
Оптимальная архитектура
Организационные
Структурность всех компонентов
Простота эксплуатации
Комплексное использование средств подразумевает такое состояние, при котором, недостатки одного средства компенсируются достоинствами другого.
Общие методологические принципы построения СЗИ:
Концептуальное единство.
Адекватность требованиям.
Гибкость (адаптивность).
Основные принципы построения систем защиты информации:
Системности.
Комплектности.
Непрерывности.
Разумной достаточности.
Гибкости управления и применения.
Открытый алгоритм и механизм защиты.
Простоты применения защитных мер и средств.
Системность: учет всех взаимосвязей, а также факторов и условий, взаимодействующих и изменяющихся во времени. Система должна строиться с учетом ее развития.
Комплексность: согласованное применение разнородных средств, перекрывающие все существующие каналы реализации угроз информации и не содержащие слабых мест. Защита должна строиться этоганированно.
Непрерывность: проведение не разовых мероприятий, и даже не совокупности мероприятий и установки средств защиты, а непрерывный целенаправленный процесс. Перерывы в работе систем защиты могут привести к ее нецелесообразности.
Гибкость: создать абсолютно защищенную систему нельзя, т.к. появляются все новые методы ее разрушения, поэтому система должна иметь средства для эффективной обороны от новых.
Открытый алгоритм и механизм защиты. Знание алгоритма работы системы защиты не должно давать возможности ее преодоления, даже ее автору.
Простота применения: механизмы защиты должны быть интуитивно понятны и проекты в исполнении.