- •Содержание
- •1.2 Матрица информационной безопасности
- •1.4.2 Защищенность процессов информационных систем
- •1.4.3 Защищенность каналов связи
- •1.4.4 Защищённость от утечки по техническим каналам
- •1.4.5 Защищённость системы защиты информационной системы
- •2.4 Расчёт оценки экономически эффективной системы информационной безопасности
1.2 Матрица информационной безопасности
Матрица состояний – таблица, позволяющая логически объединить составляющие блоков "ОСНОВЫ", "НАПРАВЛЕНИЯ" и "ЭТАПЫ" по принципу каждый с каждым.
Напомним, что матрица появляется не сама по себе, а формируется в каждом конкретном случае, исходя из конкретных задач по созданию конкретной СЗИ для конкретной ИС.
Наглядно процесс формирования СЗИ с использованием матрицы знаний изображен на рис. 1.5.
Рассмотрим, как можно использовать предложенную матрицу. Элементы матрицы имеют соответствующую нумерацию (табл. 1.1) Следует обратить внимание на обозначения каждого из элементов матрицы, где:
-
первое знакоместо (Х00) соответствует номерам составляющих блока "ЭТАПЫ",
-
второе знакоместо (0Х0) соответствует номерам составляющих блока "НАПРАВЛЕНИЯ",
-
третье знакоместо (00Х) соответствует номерам составляющих блока "ОСНОВЫ".
Рисунок 1.5 – Структурная схема формирования СЗИ с помощью матрицы
В общем случае количество элементов матрицы может быть определено из соотношения
K = Oi · Hj · Mk , (1.1)
где K – количество элементов матрицы, Oi - количество составляющих блока "ОСНОВЫ", Hj – количество составляющих блока "НАПРАВЛЕНИЯ", Mk – количество составляющих блока "ЭТАПЫ".
В нашем случае общее количество элементов "матрицы" равно 140, то есть
К = 4·5·7 = 140, поскольку Oi = 4 , Hj = 5 , Mk = 7.
Показатель уровня защиты СЗИ предлагается определять методом экспертных оценок, используя положения теории нечетко логики и нечетких утверждений. Напомним, что структура модели оценки представлена на рис.1.5, а логическое дерево для расчета обобщенного и частных показателей уровня защиты СЗИ представлено на рис.1.6.
Величина обобщенного показателя уровня защиты определяется на основе частных показателей путем сравнения заданных профилей безопасности с достигнутыми. Заданный профиль, услуги и механизмы безопасности определяются заказчиком или выбираются в соответствии с принятыми "Критериями безопасности" (например Федеральные, Канадские, Общие Критерии, НД ТЗИ 2.5-004-99 или другие) в зависимости от требований, которые устанавливаются к создаваемой СЗИ. Уровень достигнутого профиля защиты определяется экспертным путем в соответствии с теми же критериями оценки защищенности.
Таблица 1.1 – Нумерация элементов матрицы состояний
<---Этапы |
Направления--> |
010 |
020 |
030 |
040 |
050 |
|||||||||||||||||||
Защита объектов ИС |
Защита процессов и программ |
Защита каналов связи |
ПЭМИН |
Управление системой защиты |
|||||||||||||||||||||
Основы--> |
База |
Структура |
Меры |
Средства |
База |
Структура |
Меры |
Средства |
База |
Структура |
Меры |
Средства |
База |
Структура |
Меры |
Средства |
База |
Структура |
Меры |
Средства |
|||||
011 |
012 |
013 |
014 |
021 |
022 |
023 |
024 |
031 |
032 |
033 |
034 |
041 |
042 |
043 |
044 |
051 |
052 |
053 |
054 |
||||||
100 |
Определение информации, подлежащей защите |
111 |
112 |
113 |
114 |
121 |
122 |
123 |
124 |
131 |
132 |
133 |
134 |
141 |
142 |
143 |
144 |
151 |
152 |
153 |
154 |
||||
200 |
Выявление угроз и каналов утечки информации |
211 |
212 |
213 |
214 |
221 |
222 |
223 |
224 |
231 |
232 |
233 |
234 |
241 |
242 |
243 |
244 |
251 |
252 |
253 |
254 |
||||
300 |
Проведение оценки уязвимости и рисков |
311 |
312 |
313 |
314 |
321 |
322 |
323 |
324 |
331 |
332 |
333 |
334 |
341 |
342 |
343 |
344 |
351 |
352 |
353 |
354 |
||||
400 |
Определение требований к СЗИ |
411 |
412 |
413 |
414 |
421 |
422 |
423 |
424 |
431 |
432 |
433 |
434 |
441 |
442 |
443 |
444 |
451 |
452 |
453 |
454 |
||||
500 |
Осуществление выбора средств защиты |
511 |
512 |
513 |
514 |
521 |
522 |
523 |
524 |
531 |
532 |
533 |
534 |
541 |
542 |
543 |
544 |
551 |
552 |
553 |
554 |
||||
600 |
Внедрение и использование выбраных средств защиты |
611 |
612 |
613 |
614 |
621 |
622 |
623 |
624 |
631 |
632 |
633 |
634 |
641 |
642 |
643 |
644 |
651 |
652 |
653 |
654 |
||||
700 |
Контроль целостности и управление защитой |
711 |
712 |
713 |
714 |
721 |
722 |
723 |
724 |
731 |
732 |
733 |
734 |
741 |
742 |
743 |
744 |
751 |
752 |
753 |
754 |
Рисунок 1.6 – Матрица логической связи
1.3 Методика расчёта оценки качества системы защиты информации на основе анализа профиля безопасности
Под профилем безопасности в дальнейшем будем понимать графическое представление степени выполнения требований предъявляемых к системе защиты в системе координат:
-
по горизонтали – перечень требований, предъявляемых к СЗИ;
-
по вертикали – степень выполнения каждого требования.
Наиболее удобный случай – это случай , когда степень выполнения требований задается в шкале
0 < Qj < 1, (1.2)
___
где j = 1, m.
Целесообразно рассматривать два профиля безопасности: требуемый и реально достигнутый.
Для построения требуемого профиля безопасности используются предварительно заданные экспертами значения
, (1.3)
___
где j = 1, m.
Исходные данные для построения требуемого профиля безопасности представляются в виде матрицы состояний.
Качество СЗИ определяется степенью (полнотой) выполнения требований к СЗИ. Исходные данные, необходимо представить в виде табл. 1.2 для каждого направления СЗИ.
Поясним используемые обозначения:
-
номер этапа с 1 по 7;
-
перечень показателей т для соответствующих элементов матрицы (от 1 до 28);
-
коэффициенты важности а, которые определяются для показателей каждого из этапов;
-
показатели требуемого профиля безопасности Qmp;
-
показатели достигнутого профиля безопасности Qд;
-
показатели достигнутого профиля безопасности с учетом коэффициентов важности Qдaj;
-
сравнение профилей Sпр , которое производится следующим образом:
-
Sпр = 1 – если значение показателя достигнутого профиля безопасности равно или превышает значение показателя заданного;
-
Sпр = 0 – если значение показателя достигнутого профиля безопасности ниже значение показателя заданного.
-
степень выполнения групп требований Qгруп определяется с учетом коэффициентов важности;
-
качественная оценка Q определяется исходя из значений показателей Qгруп вычисленных для соответствующих этапов;
-
количественная оценка S определятся путем подсчета значений Sпр, а именно нулей и единиц полученных при сравнении профилей. Это более грубая оценка, определяющая количество выполненных (достигнутых) требований.
Таблица 1.2 – Исходные данные для каждого направления
Номер этапа N |
Перечень показателей m |
Номер элемента матрицы Nm |
Коэффициент важности aj |
Профиль безопасности требуемый Qтр |
Профиль безопасности достигнутый Qд |
Qд * aj |
Сравнение профилей Sпр |
Степень выполнения группы тренований Qгруп |
Качественная оценка Q |
Количественная оценка S |
|
1 |
1 |
111 |
|
|
|
|
|
|
|
|
|
2 |
112 |
|
|
|
|
|
|||||
3 |
113 |
|
|
|
|
|
|||||
4 |
114 |
|
|
|
|
|
|||||
2 |
5 |
211 |
|
|
|
|
|
|
|
|
|
6 |
212 |
|
|
|
|
|
|||||
7 |
213 |
|
|
|
|
|
|||||
8 |
214 |
|
|
|
|
|
|||||
3 |
9 |
311 |
|
|
|
|
|
|
|||
10 |
312 |
|
|
|
|
|
|||||
11 |
313 |
|
|
|
|
|
|||||
12 |
314 |
|
|
|
|
|
|||||
4 |
13 |
411 |
|
|
|
|
|
|
|||
14 |
412 |
|
|
|
|
|
|||||
15 |
413 |
|
|
|
|
|
|||||
16 |
414 |
|
|
|
|
|
|||||
5 |
17 |
511 |
|
|
|
|
|
|
|||
18 |
512 |
|
|
|
|
|
|||||
19 |
513 |
|
|
|
|
|
|||||
20 |
514 |
|
|
|
|
|
|||||
6 |
21 |
611 |
|
|
|
|
|
|
|||
22 |
612 |
|
|
|
|
|
|||||
23 |
613 |
|
|
|
|
|
|||||
24 |
614 |
|
|
|
|
|
|||||
7 |
25 |
711 |
|
|
|
|
|
|
|||
26 |
712 |
|
|
|
|
|
|||||
27 |
713 |
|
|
|
|
|
|||||
28 |
714 |
|
|
|
|
|
-
Расчёт оценки качества системы защиты информации на основе анализа профиля безопасности
1.4.1 Защищенность информационной системы
Исходные данные и расчёты по защищенности информационной системы предоставлены в табл. 1.3
Таблица 1.3 – Данные о защищенности объектов ИС
Номер этапа N |
Перечень показателей m |
Номер элемента матрицы Nm |
Коэффициент важности aj |
Профиль безопасности требуемый Qтр |
Профиль безопасности достигнутый Qд |
Qд * aj |
Сравнение профилей Sпр |
Степень выполнения группы тренований Qгруп |
Качественная оценка Q |
Количественная оценка S |
1 |
1 |
111 |
0,16 |
0,74 |
0,63 |
0,101 |
0 |
0,679 |
0,713 |
0,607 |
2 |
112 |
0,17 |
0,67 |
0,76 |
0,129 |
1 |
||||
3 |
113 |
0,18 |
0,6 |
0,89 |
0,160 |
1 |
||||
4 |
114 |
0,49 |
0,53 |
0,59 |
0,289 |
1 |
||||
2 |
5 |
211 |
0,2 |
0,77 |
0,72 |
0,144 |
0 |
0,695 |
||
6 |
212 |
0,21 |
0,7 |
0,85 |
0,179 |
1 |
||||
7 |
213 |
0,22 |
0,63 |
0,55 |
0,121 |
0 |
||||
8 |
214 |
0,37 |
0,56 |
0,68 |
0,252 |
1 |
||||
3 |
9 |
311 |
0,24 |
0,8 |
0,81 |
0,194 |
1 |
0,681 |
||
10 |
312 |
0,25 |
0,73 |
0,51 |
0,128 |
0 |
||||
11 |
313 |
0,26 |
0,66 |
0,64 |
0,166 |
0 |
||||
12 |
314 |
0,25 |
0,59 |
0,77 |
0,193 |
1 |
||||
4 |
13 |
411 |
0,28 |
0,52 |
0,9 |
0,252 |
1 |
0,757 |
||
14 |
412 |
0,29 |
0,76 |
0,6 |
0,174 |
0 |
||||
15 |
413 |
0,3 |
0,69 |
0,73 |
0,219 |
1 |
||||
16 |
414 |
0,13 |
0,62 |
0,86 |
0,112 |
1 |
||||
5 |
17 |
511 |
0,15 |
0,55 |
0,56 |
0,084 |
1 |
0,604 |
||
18 |
512 |
0,16 |
0,79 |
0,69 |
0,110 |
0 |
||||
19 |
513 |
0,17 |
0,72 |
0,82 |
0,139 |
1 |
||||
20 |
514 |
0,52 |
0,65 |
0,52 |
0,270 |
0 |
||||
6 |
21 |
611 |
0,19 |
0,58 |
0,65 |
0,124 |
1 |
0,715 |
||
22 |
612 |
0,2 |
0,51 |
0,78 |
0,156 |
1 |
||||
23 |
613 |
0,21 |
0,75 |
0,91 |
0,191 |
1 |
||||
24 |
614 |
0,4 |
0,68 |
0,61 |
0,244 |
0 |
||||
7 |
25 |
711 |
0,23 |
0,61 |
0,74 |
0,170 |
1 |
0,860 |
||
26 |
712 |
0,24 |
0,54 |
0,87 |
0,209 |
1 |
||||
27 |
713 |
0,5 |
0,78 |
0,57 |
0,285 |
0 |
||||
28 |
714 |
0,28 |
0,71 |
0,7 |
0,196 |
0 |
По результатам расчёта табл. 1.3 построим следующие графики, которые представлены на рис. 1.7 , рис. 1.8, рис. 1.9.
Рисунок 1.7 – Оценка достигнутого профиля защиты
- Qд – достигнутый профиль безопасности
- Qтр – требуемый профиль безопасности
Рисунок 1.8 – Сравнение профилей защиты
Рисунок 1.9 - Оценка этапов