курсак
.pdf
11
д) управление системой защиты.
Рисунок 1.2 – Направления построения системы защиты информации
Каждый из показателей блока направления должен быть структурирован в зависимости от заданной глубины детализации СЗИ. Представим направления (рис. 1.2) в виде куба, внутри которого и находятся все вопросы (предметная область) защиты информации. Но поскольку каждое из этих направлений базируется на перечисленных выше основах, то грани куба объединяют основы и направления, которые неразрывно связанные друг с другом. Далее рассмотрим этапы (последовательность шагов) построения СЗИ, которые необходимо пройти в равной степени для всех и каждого в отдельности направлений (с учетом всех основ).
Проведенный анализ существующих методик (последовательностей) работ по созданию и проектированию СЗИ позволяет выделить следующие этапы:
а) определение информационных и технических ресурсов, а также объектов ИС подлежащих защите;
б) выявление полного множество потенциально возможных угроз и каналов утечки информации;
в) проведение оценки уязвимости и рисков информации (ресурсов информационных сетей) при имеющемся множестве угроз и каналов утечки;
12
г) определение требований к системе защиты информации; д) осуществление выбора средств защиты информации и их
характеристик; е) внедрение и организация использования выбранных мер, способов и
средств защиты; ж) осуществление контроля целостности и управление системой защиты.
Указанная последовательность действий осуществляется непрерывно по замкнутому циклу, с проведением соответствующего анализа состояния СЗИ и уточнением требований к ней после каждого шага. По этой причине системы защиты информации создают по методике, циклически повторяющуюся в течение всего периода ее функционирования, по выше перечисленной последовательности этапов (рис. 1.3).
1 Определение |
|
Анализ состояния |
|
7 Осуществление кон- |
|
информации, подле- |
|
целостности инфор- |
|
троля целостности и |
|
жащей защите |
|
мации и уточнение |
|
управляемости |
|
|
|
требований к СЗИ |
|
системой защиты |
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
2 Выявление полного |
|
|
|
6 Внедрение и орагни- |
|
|
|
|
|
|
|
множества потенци- |
|
|
|
зация использования |
|
|
|
|
|
|
|
ально возможных уг- |
|
Основные этапы |
|
выбранных мер, спосо- |
|
роз и каналов утечки |
|
создания системы |
|
бов и средств защиты |
|
информации |
|
защиты информации |
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
5 Осуществление вы- |
|
3 Проведение оценки |
|
|
|
||
|
|
|
бора средств защиты |
|
|
уязвимости и рисков |
|
|
|
|
|
|
|
|
информации и их |
|
|
информации при |
|
|
|
|
|
|
|
|
характеристик |
|
|
имеющемся множе- |
|
|
|
|
|
|
|
|
|
|
|
стве угроз и каналов |
|
|
|
|
|
утечки |
|
|
|
|
|
|
|
|
|
|
|
4 Определение требований к системе защиты
Рисунок 1.3 – Основные этапы построения СЗИ
13
Последовательность прохождения этапов создания СЗИ для каждого из направлений с учетом общего представления структуры СЗИ, условно можно представить в следующем виде (рис. 1.4).
Рисунок 1.4 – Основные этапы построения СЗИ
1.2 Матрица информационной безопасности
Матрица состояний – таблица, позволяющая логически объединить составляющие блоков "ОСНОВЫ", "НАПРАВЛЕНИЯ" и "ЭТАПЫ" по принципу каждый с каждым.
Напомним, что матрица появляется не сама по себе, а формируется в каждом конкретном случае, исходя из конкретных задач по созданию конкретной СЗИ для конкретной ИС.
Наглядно процесс формирования СЗИ с использованием матрицы знаний изображен на рис. 1.5.
Рассмотрим, как можно использовать предложенную матрицу. Элементы матрицы имеют соответствующую нумерацию (табл. 1.1) Следует обратить внимание на обозначения каждого из элементов матрицы, где:
а) первое знакоместо (Х00) соответствует номерам составляющих блока "ЭТАПЫ",
б) второе знакоместо (0Х0) соответствует номерам составляющих блока "НАПРАВЛЕНИЯ",
14
в) третье знакоместо (00Х) соответствует номерам составляющих блока "ОСНОВЫ".
Рисунок 1.5 – Структурная схема формирования СЗИ с помощью матрицы
В общем случае количество элементов матрицы может быть определено из соотношения
K = Oi · Hj · Mk , |
(1.1) |
где K – количество элементов матрицы, Oi – количество составляющих блока "ОСНОВЫ", Hj – количество составляющих блока "НАПРАВЛЕНИЯ", Mk – количество составляющих блока "ЭТАПЫ".
Внашем случае общее количество элементов "матрицы" равно 140, то есть:
К= 4·5·7 = 140, поскольку Oi = 4 , Hj = 5 , Mk = 7.
Показатель уровня защиты СЗИ предлагается определять методом экспертных оценок, используя положения теории нечеткой логики и нечетких утверждений. Напомним, что структура модели оценки представлена на рис. 1.5, а логическое дерево для расчета обобщенного и частных показателей уровня защиты СЗИ представлено на рис. 1.6.
Величина обобщенного показателя уровня защиты определяется на основе частных показателей путем сравнения заданных профилей безопасности с
15
достигнутыми. Заданный профиль, услуги и механизмы безопасности определяются заказчиком или выбираются в соответствии с принятыми "Критериями безопасности" (например Федеральные, Канадские, Общие Критерии, НД ТЗИ 2.5-004-99 или другие) в зависимости от требований, которые устанавливаются к создаваемой СЗИ. Уровень достигнутого профиля защиты определяется экспертным путем в соответствии с теми же критериями оценки защищенности.
Таблица 1.1 – Нумерация элементов матрицы состояния
|
Направления |
|
|
010 |
|
|
|
020 |
|
|
|
030 |
|
|
|
040 |
|
|
|
050 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление системой |
||||
|
– > |
|
Защита объектов ИС |
|
Защита процессов и программ |
Защита каналов связи |
|
ПЭМИН |
|
||||||||||||
<–Этапы |
|
|
|
|
|
защиты |
|
||||||||||||||
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
Основы –> |
База |
Структура |
Меры |
Средства |
База |
Структура |
Меры |
Средства |
База |
Структура |
Меры |
Средства |
База |
Структура |
Меры |
Средства |
База |
Структура |
Меры |
Средства |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
011 |
012 |
013 |
014 |
021 |
022 |
023 |
024 |
031 |
032 |
033 |
034 |
041 |
042 |
043 |
044 |
051 |
052 |
053 |
054 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Определение |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
100 |
информации, |
111 |
112 |
113 |
114 |
121 |
122 |
123 |
124 |
131 |
132 |
133 |
134 |
141 |
142 |
143 |
144 |
151 |
152 |
153 |
154 |
|
подлежащей |
||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
защите |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Выявление |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
200 |
угроз и |
211 |
212 |
213 |
214 |
221 |
222 |
223 |
224 |
231 |
232 |
233 |
234 |
241 |
242 |
243 |
244 |
251 |
252 |
253 |
254 |
|
каналов утечки |
||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
информации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Проведение |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
300 |
оценки |
311 |
312 |
313 |
314 |
321 |
322 |
323 |
324 |
331 |
332 |
333 |
334 |
341 |
342 |
343 |
344 |
351 |
352 |
353 |
354 |
|
уязвимости и |
||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
рисков |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Определение |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
400 |
требований к |
411 |
412 |
413 |
414 |
421 |
422 |
423 |
424 |
431 |
432 |
433 |
434 |
441 |
442 |
443 |
444 |
451 |
452 |
453 |
454 |
|
|
СЗИ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Осуществление |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
500 |
выбора средств |
511 |
512 |
513 |
514 |
521 |
522 |
523 |
524 |
531 |
532 |
533 |
534 |
541 |
542 |
543 |
544 |
551 |
552 |
553 |
554 |
|
|
защиты |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Внедрение и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
использование |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
600 |
выбранных |
611 |
612 |
613 |
614 |
621 |
622 |
623 |
624 |
631 |
632 |
633 |
634 |
641 |
642 |
643 |
644 |
651 |
652 |
653 |
654 |
|
|
средств |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
защиты |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Контроль |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
700 |
целостности и |
711 |
712 |
713 |
714 |
721 |
722 |
723 |
724 |
731 |
732 |
733 |
734 |
741 |
742 |
743 |
744 |
751 |
752 |
753 |
754 |
|
управление |
||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
защитой |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
17
Матрица ИБ
Руководство по |
|
Система |
|
Система оценки |
созданию СЗИ |
|
требований |
|
эффективности |
(перечень |
|
к АС ЗИ |
|
СЗИ |
необходимых |
|
(перечень |
|
(перечень |
действий) |
|
заданных |
|
критериев и |
|
|
требований) |
|
показателей) |
|
|
|
|
|
Матрица знаний |
|
Матрица |
|
Матрица оценок |
|
|
требований |
|
|
|
|
|
|
|
Решение по созданию СЗИ
Рисунок 1.6 – Матрица логической связи
1.3 Методика расчёта оценки качества системы защиты информации на основе анализа профиля безопасности
Под профилем безопасности в дальнейшем будем понимать графическое представление степени выполнения требований предъявляемых к системе защиты
всистеме координат:
по горизонтали – перечень требований, предъявляемых к СЗИ;
по вертикали – степень выполнения каждого требования.
Наиболее удобный случай – это случай, когда степень выполнения требований задается в шкале
|
18 |
0 < Qj < 1, |
(1.2) |
___ |
|
где j = 1, m.
Целесообразно рассматривать два профиля безопасности: требуемый и достигнутый. Для построения требуемого профиля безопасности используются предварительно заданные экспертами значения
ТР |
1, |
|
0 Q j |
(1.3) |
___
где j = 1, m.
Исходные данные для построения требуемого профиля безопасности представляются в виде матрицы состояний.
Качество СЗИ определяется степенью (полнотой) выполнения требований к СЗИ. Исходные данные, необходимо представить в виде табл. 1.2 для каждого направления СЗИ.
Поясним используемые обозначения: 1 номер этапа с 1 по 7;
2 перечень показателей т для соответствующих элементов матрицы (от 1 до
28);
3 коэффициенты важности а, которые определяются для показателей каждого из этапов;
4показатели требуемого профиля безопасности QТp;
5показатели достигнутого профиля безопасности Qд;
6показатели достигнутого профиля безопасности с учетом коэффициентов
важности Qдaj;
7 сравнение профилей Sпр , которое производится следующим образом:
а) Sпр = 1 – если значение показателя достигнутого профиля безопасности равно или превышает значение показателя заданного;
б) Sпр = 0 – если значение показателя достигнутого профиля безопасности ниже значение показателя заданного.
8 степень выполнения групп требований Qгруп определяется с учетом коэффициентов важности;
9 качественная оценка Q определяется исходя из значений показателей Qгруп вычисленных для соответствующих этапов;
|
|
|
|
|
|
|
|
|
19 |
|
Таблица 1.2 – Исходные данные для каждого направления |
|
|
||||||
Номер этапа N |
Перечень показателей m Номер элемента матрицы Nm |
Коэффициент важности aj |
Профиль безопасности требуемый Qтр Профиль безопасности достигнутый Qд |
Qд · aj |
Сравнение профилей Sпр |
Степень выполнения группы требований Qгруп |
Качественная оценка Q |
Количественная оценка S |
|
|
1 |
111 |
|
|
|
|
|
|
|
1 |
2 |
112 |
|
|
|
|
|
|
|
3 |
113 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
4 |
114 |
|
|
|
|
|
|
|
|
5 |
211 |
|
|
|
|
|
|
|
2 |
6 |
212 |
|
|
|
|
|
|
|
7 |
213 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
8 |
214 |
|
|
|
|
|
|
|
|
9 |
311 |
|
|
|
|
|
|
|
3 |
10 |
312 |
|
|
|
|
|
|
|
11 |
313 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
12 |
314 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
13 |
411 |
|
|
|
|
|
|
|
4 |
14 |
412 |
|
|
|
|
|
|
|
15 |
413 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
16 |
414 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
17 |
511 |
|
|
|
|
|
|
|
5 |
18 |
512 |
|
|
|
|
|
|
|
19 |
513 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
20 |
514 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
21 |
611 |
|
|
|
|
|
|
|
6 |
22 |
612 |
|
|
|
|
|
|
|
23 |
613 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
24 |
614 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
25 |
711 |
|
|
|
|
|
|
|
7 |
26 |
712 |
|
|
|
|
|
|
|
27 |
713 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
28714
1.3Расчёт оценки качества системы защиты информации на основе анализа профиля безопасности
1.4.1 Защищенность информационной системы
20
Исходные данные и расчёты по защищенности информационной системы предоставлены в табл. 1.3.
Таблица 1.3 – Данные о защищенности объектов ИС
Номер этапа N |
Перечень показателей m |
Номер элемента матрицы Nm |
Коэффициент важности Ai |
Профиль безопасности требуемый Qтр |
Профиль безопасности достигнутый Qд |
Qд · Ai |
Сравнение профилей Sпр |
Степень выполнения группы требований Qгруп |
Качественная оценка Q |
Количественная оценка S |
|
|
1 |
111 |
0,27 |
0,54 |
0,89 |
0,240 |
1 |
|
|
|
|
1 |
2 |
112 |
0,22 |
0,58 |
0,85 |
0,187 |
1 |
0,827 |
|
|
|
3 |
113 |
0,17 |
0,62 |
0,81 |
0,138 |
1 |
|
|
|||
|
|
|
|
||||||||
|
4 |
114 |
0,34 |
0,66 |
0,77 |
0,262 |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
5 |
211 |
0,24 |
0,7 |
0,73 |
0,175 |
1 |
|
|
|
|
2 |
6 |
212 |
0,19 |
0,74 |
0,69 |
0,131 |
0 |
0,654 |
|
|
|
7 |
213 |
0,31 |
0,51 |
0,61 |
0,189 |
1 |
|
|
|||
|
|
|
|
||||||||
|
8 |
214 |
0,26 |
0,51 |
0,61 |
0,159 |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
9 |
311 |
0,21 |
0,55 |
0,57 |
0,120 |
1 |
|
|
|
|
3 |
10 |
312 |
0,16 |
0,59 |
0,53 |
0,085 |
0 |
0,770 |
|
|
|
11 |
313 |
0,28 |
0,63 |
0,92 |
0,258 |
1 |
|
|
|||
|
|
|
|
||||||||
|
12 |
314 |
0,35 |
0,67 |
0,88 |
0,308 |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
13 |
411 |
0,18 |
0,71 |
0,84 |
0,151 |
1 |
|
|
|
|
4 |
14 |
412 |
0,3 |
0,75 |
0,8 |
0,240 |
1 |
0,776 |
0,732 |
0,750 |
|
15 |
413 |
0,25 |
0,79 |
0,76 |
0,190 |
0 |
|||||
|
|
|
|
||||||||
|
16 |
414 |
0,27 |
0,52 |
0,72 |
0,194 |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
17 |
511 |
0,15 |
0,56 |
0,68 |
0,102 |
1 |
|
|
|
|
5 |
18 |
512 |
0,27 |
0,6 |
0,64 |
0,173 |
1 |
0,608 |
|
|
|
19 |
513 |
0,22 |
0,64 |
0,6 |
0,132 |
0 |
|
|
|||
|
|
|
|
||||||||
|
20 |
514 |
0,36 |
0,68 |
0,56 |
0,202 |
0 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
21 |
611 |
0,29 |
0,72 |
0,52 |
0,151 |
0 |
|
|
|
|
6 |
22 |
612 |
0,24 |
0,76 |
0,91 |
0,218 |
1 |
0,767 |
|
|
|
23 |
613 |
0,19 |
0,8 |
0,87 |
0,165 |
1 |
|
|
|||
|
|
|
|
||||||||
|
24 |
614 |
0,28 |
0,53 |
0,83 |
0,232 |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
25 |
711 |
0,26 |
0,57 |
0,79 |
0,205 |
1 |
|
|
|
|
7 |
26 |
712 |
0,21 |
0,61 |
0,75 |
0,158 |
1 |
0,724 |
|
|
|
27 |
713 |
0,16 |
0,65 |
0,71 |
0,114 |
1 |
|
|
|||
|
|
|
|
||||||||
|
28 |
714 |
0,37 |
0,69 |
0,67 |
0,248 |
0 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|