- •Министерство образования и науки, молодёжи и спорта украины
- •1 Раздел
- •1.2 Основы, направления и этапы построения сзи
- •1.3 Матрица информационной безопасности
- •1.4 Оценка качества сзи на основе анализа профиля безопасности
- •1.5Выполнение задания
- •1.5.1 Защищенность информационной системы
- •1.5.2 Защищенность процессов ис
- •1.5.3 Защищенность каналов связи
- •1.5.4 Защищённость от утечки по техническим каналам
- •1.5.5 Защищённость системы защиты ис
- •1.6 Выводы
- •1.6.2 Меры и средства защиты от ткуи
- •1.6.3 Меры повышения качества сз
- •2 Раздел
- •2.3 Вопросы оценки эффективности и проектирования систем защиты
- •2.4 Выполнение задания
- •2.5 Описание компонента реализации электронной цифровой подписи
- •2.6 Описание компонента реализации хеш функции на примере алгоритма гост
1.2 Основы, направления и этапы построения сзи
Известно, что основой системы защиты информации являются (рис.1.1):
Законодательная, нормативно-правовая и научная база;
Структура и задачи органов (подразделений), обеспечивающих безопасность информационных технологий;
Организационно-технические и режимные меры (политика информационной безопасности);
Программно-технические методы и средства защиты информации.
Рисунок 1.1 – Основы построения СЗИ
Выделим основные направления в общей проблеме обеспечения безопасности информационных технологий (они представлены на рис. 1.2).
Рисунок 1.2 – Направления построения СЗИ
Направления формируются исходя из конкретных особенностей ИС, как объекта защиты. В общем случае, исходя из типовой структуры ИС и исторически сложившихся видов работ по защите информации рассмотрим следующие направления:
Защита объектов информационных систем;
Защита процессов, процедур и программ обработки информации;
Защита каналов связи;
Подавление побочных электромагнитных излучений (наводок);
Управление системой защиты.
Каждый из показателей блока направления должен быть структурирован в зависимости от заданной глубины детализации СЗИ. Представим направления (рис.2) в виде куба, внутри которого и находятся все вопросы (предметная область) защиты информации. Но поскольку каждое из этих направлений базируется на перечисленных выше основах, то грани куба объединяют основы и направления, которые неразрывно связанные друг с другом. Далее рассмотрим этапы (последовательность шагов) построения СЗИ, которые необходимо пройти в равной степени для всех и каждого в отдельности направлений (с учетом всех основ).
Проведенный анализ существующих методик (последовательностей) работ по созданию и проектированию СЗИ позволяет выделить следующие этапы:
Определение информационных и технических ресурсов, а также объектов ИС подлежащих защите;
Выявление полного множество потенциально возможных угроз и каналов утечки информации;
Проведение оценки уязвимости и рисков информации (ресурсов ИС) при имеющемся множестве угроз и каналов утечки;
Определение требований к системе защиты информации;
Осуществление выбора средств защиты информации и их характеристик;
Внедрение и организация использования выбранных мер, способов и средств защиты;
Осуществление контроля целостности и управление системой защиты.
Указанная последовательность действий осуществляется непрерывно по замкнутому циклу, с проведением соответствующего анализа состояния СЗИ и уточнением требований к ней после каждого шага. По этой причине системы защиты информации создают по методике, циклически повторяющуюся в течение всего периода ее функционирования, выше перечисленных последовательность этапов (рис. 1.3).
Рисунок 1.3 – Основные этапы построения СЗИ
Последовательность прохождения этапов создания СЗИ для каждого из направлений с учетом основ (общего представления структуры СЗИ) условно можно представить следующим видом (см. рис. 1.4).
Рисунок 1.4 – Основные этапы построения СЗИ