Файловый архив студентов. Файловый архив студентов.
1301 вуз, 5076 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный исследовательский ядерный университет (МИФИ)
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Статья КСЗИ (24.09.09).doc
Скачиваний:
0
Добавлен:
01.05.2025
Размер:
684.54 Кб
Скачать
►Содержание►

2 Структурная схема построения ксзи

Основным инструментарием построения КСЗИ является системный анализ. В соответствии с введённым понятием ОИ, который ассоциируется как объект защиты информации, объект информатизации может быть представлен в информационном отношении в двух аспектах:

  • как система информационно-аналитического обеспечения основной деятельности ОИ или автоматизированного управления определёнными видами деятельности;

  • как функциональный объект, информационно проявляющий себя в окружающей среде (внешнее информационное проявление объекта).

Внешнее информационное проявление объекта защиты имеет место за счёт множества существующих возможных каналов получения информации из объекта или об объекте, в штатном режиме или несанкционированным путём. По существу штатными каналами являются определённые легальные информационные технологии транспортировки данных через внешнюю среду в интересах ОИ (например, информационные технологии внешнего информационного взаимодействия с другими ОИ через ТКС). Побочные информационные технологии (процессы) получения информации, являющиеся следствием специфичных свойств технических средств, программной среды, появляющихся нештатных информационных ситуаций при функционировании АС (сбои, отказы), или, наконец, возникающие за счёт человеческого фактора, создают несанкционированные пути получения информации. С позиций КСЗИ информационные ситуации, связанные с появлением побочных информационных технологий, являются критическими.

Системный анализ предполагает, во-первых, анализ самого объекта для формирования задач защиты, во-вторых, поиск средств реализации этих задач и, наконец, синтез структуры системы, технологической целостности и управления (так как КСЗИ, как это ранее было отмечено, по природе своей является системой управления). Тем самым решаются дескриптивная и конструктивная задачи системного анализа.

В данном случае решение дескриптивной задачи системного анализа включает в себя выполнение следующих основных процедур:

  • анализ информационных ресурсов и всей информационно-технологической инфраструктуры объекта (прежде всего, в отношении используемых АС) на предмет выявления защищаемых ресурсов и объективно имеющихся уязвимых мест;

  • выявление и анализ угроз информации, их источников, порождаемых ими информационных рисков, оценка возможного ущерба и, на основании этой оценки, ранжирование угроз информации для выделения актуальных угроз;

  • разработка модели нарушителя и модели угроз информационной безопасности для объекта защиты, при необходимости, для отдельных компонентов информационной сферы (деятельности) организации;

  • формирование политики информационной безопасности, в рамках которой определяются направления постановки функциональных задач защиты (ФЗ), защищаемые информационные технологии и критические ситуации, а также направления деятельности подразделений ОИ в интересах обеспечения информационной безопасности и функциональные роли в подразделениях;

  • определение необходимого набора функций назначения по защите информации, интеграция их в функциональные подсистемы и постановка функциональных задач защиты, обеспечивающих нейтрализацию актуальных угроз информации.

Результаты решения дескриптивной задачи системного анализа позволяют сформировать функциональную часть КСЗИ.

Далее решается конструктивная задача системного анализа, которая обеспечивает синтез и интеграцию системы.

Функциональные задачи защиты должны быть реализованы с помощью методов и средств, которые в защищаемых информационных технологиях, при критических ситуациях или в определённых условиях должны обеспечить выполнение требований политики безопасности. Упорядоченные по типам и видам совокупности этих методов и средств составляют набор обеспечивающих подсистем (обеспечивающая часть КСЗИ).

Рисунок 3. - Структурная схема построения КСЗИ

Из структурной схемы построения КСЗИ на объекте информатизации (Рисунок 3) следует две важных процедуры синтеза.

Средства защиты (организационные меры, организационно-технические мероприятия, программные, технические и аппаратно-программные средства - СрЗ) должны быть технологически увязаны между собой и с технологическими процессами обработки, хранения и передачи информации. Тем самым в структуру КСЗИ должен быть введён компонент, выполняющий эти функции – технологическое обеспечение КСЗИ.

КСЗИ обязан поддерживать определённый уровень информационной безопасности (защищённости информации) в АС и на ОИ в своей области ответственности. Без управления такое регулирование уровня защищённости информации невозможно. Поэтому в структуру КСЗИ вводится компонент управления информационной безопасностью, а КСЗИ становится, практически, системой управления.

Следовательно, управление – общесистемный структурный компонент КСЗИ, предназначенный для постоянного поддержания заданного уровня информационной безопасности в АС и на ОИ и обеспечивающий эффективную реализацию процессов управления, скоординированных и взаимоувязанных с управлением ИТ.

Таким образом, макроструктурными компонентами КСЗИ являются [5]:

  • функциональные подсистемы (ФП);

  • обеспечивающие подсистемы (ОП);

  • подсистема технологического обеспечения (ТЕХНОЛОГИЯ);

  • подсистема управления информационной безопасностью (УПРАВЛЕНИЕ).

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности