Министерство образования и науки, молодёжи и спорта украины

ОДЕССКАЯ НАЦИОНАЛЬНАЯ АКАДЕМИЯ СВЯЗИ ИМ. А.С. ПОПОВА

Кафедра информационной безопасности и передачи данных

КУРСОВОЙ ПРОЕКТ

По дисциплине:

Проектирование систем защиты информации

Выполнил:

Студент группы:

ИБ-4.01

Ковбасюк В. С.

Проверил:

Онацкий А. В.

Одесса 2013

ЗАДАНИЕ НА КУРСОВОЙ ПРОЕКТ

1 Провести оценку качества системы защиты информации (СЗИ) на основе анализа профиля безопасности.

Требуется:

1. Определить оценку защищённости объектов информационной системы (ИС) (оценка достигнутого профиля защиты, сравнение профилей, оценка этапов);

2. Определить оценку защищённости процессов и программ ИС (оценка достигнутого профиля защиты, сравнение профилей, оценка этапов);

3. Определить оценку защищённости канала связи ИС (оценка достигнутого профиля защиты, сравнение профилей, оценка этапов);

4. Определить оценку защищённости от утечки по техническим каналам (ПЭМИН) (оценка достигнутого профиля защиты, сравнение профилей, оценка этапов);

5. Определить оценку защищённости элементов системы защиты (управления и контроль) (оценка достигнутого профиля защиты, сравнение профилей, оценка этапов);

6. Определить достигнутый суммарный профиль безопасности (количественная оценка);

7. Определить количественные показатели степени выполнения требований по ЗИ;

8. Определить обобщённые показатели уровня защиты ИС (количественная и качественная оценка);

9. Построить матрицу количественных и качественных оценок;

10. Оценить степень выполнения требований по ЗИ, определить сильные и слабые места в СЗИ. Какие мероприятия, методы и средства необходимо применить для повышения качества защиты.

Исходные данные для расчёта оценки качества системы защиты информации на основе анализа профиля безопасности приведены в

табл. 1-5.

Таблица 1 – Данные о защищенности объектов ИС

Номер этапа N	Перечень показателей m	Номер элемента матрицы Nm	Коэффициент важности Ai	Профиль безопасности требуемый Qтр	Профиль безопасности достигнутый Qд
1	1	111	0,27	0,54	0,89
	2	112	0,22	0,58	0,85
	3	113	0,17	0,62	0,81
	4	114	0,34	0,66	0,77
2	5	211	0,24	0,7	0,73
	6	212	0,19	0,74	0,69
	7	213	0,31	0,51	0,61
	8	214	0,26	0,51	0,61
3	9	311	0,21	0,55	0,57
	10	312	0,16	0,59	0,53
	11	313	0,28	0,63	0,92
	12	314	0,35	0,67	0,88
4	13	411	0,18	0,71	0,84
	14	412	0,3	0,75	0,8
	15	413	0,25	0,79	0,76
	16	414	0,27	0,52	0,72
5	17	511	0,15	0,56	0,68
	18	512	0,27	0,6	0,64
	19	513	0,22	0,64	0,6
	20	514	0,36	0,68	0,56
6	21	611	0,29	0,72	0,52
	22	612	0,24	0,76	0,91
	23	613	0,19	0,8	0,87
	24	614	0,28	0,53	0,83
7	25	711	0,26	0,57	0,79
	26	712	0,21	0,61	0,75
	27	713	0,16	0,65	0,71
	28	714	0,37	0,69	0,67

Таблица 2 – Данные о защищенности процессов ИС

Номер этапа N	Перечень показателей m	Номер элемента матрицы Nm	Коэффициент важности Ai	Профиль безопасности требуемый Qтр	Профиль безопасности достигнутый Qд
1	1	111	0,22	0,58	0,85
	2	112	0,29	0,66	0,77
	3	113	0,19	0,74	0,69
	4	114	0,3	0,51	0,61
2	5	211	0,16	0,59	0,53
	6	212	0,23	0,67	0,88
	7	213	0,3	0,75	0,8
	8	214	0,31	0,52	0,72
3	9	311	0,27	0,6	0,64
	10	312	0,17	0,68	0,56
	11	313	0,24	0,76	0,91
	12	314	0,32	0,53	0,83
4	13	411	0,21	0,61	0,75
	14	412	0,28	0,69	0,67
	15	413	0,18	0,77	0,59
	16	414	0,33	0,54	0,51
5	17	511	0,15	0,62	0,86
	18	512	0,22	0,7	0,78
	19	513	0,29	0,78	0,7
	20	514	0,34	0,55	0,62
6	21	611	0,26	0,63	0,54
	22	612	0,16	0,71	0,89
	23	613	0,23	0,79	0,81
	24	614	0,35	0,56	0,73
7	25	711	0,2	0,64	0,65
	26	712	0,27	0,72	0,57
	27	713	0,17	0,8	0,92
	28	714	0,36	0,57	0,84

Таблица 3 – Данные о защищенности каналов связи

Номер этапа N	Перечень показателей m	Номер элемента матрицы Nm	Коэффициент важности Ai	Профиль безопасности требуемый Qтр	Профиль безопасности достигнутый Qд
1	1	111	0,17	0,62	0,81
	2	112	0,19	0,74	0,69
	3	113	0,21	0,55	0,57
	4	114	0,43	0,67	0,88
2	5	211	0,25	0,79	0,76
	6	212	0,27	0,6	0,64
	7	213	0,29	0,72	0,52
	8	214	0,19	0,53	0,83
3	9	311	0,16	0,65	0,71
	10	312	0,18	0,77	0,59
	11	313	0,2	0,58	0,9
	12	314	0,46	0,7	0,78
4	13	411	0,24	0,51	0,66
	14	412	0,26	0,63	0,54
	15	413	0,28	0,75	0,85
	16	414	0,22	0,56	0,73
5	17	511	0,15	0,68	0,61
	18	512	0,17	0,8	0,92
	19	513	0,19	0,61	0,8
	20	514	0,49	0,73	0,68
6	21	611	0,23	0,54	0,56
	22	612	0,25	0,66	0,87
	23	613	0,27	0,78	0,75
	24	614	0,25	0,59	0,63
7	25	711	0,31	0,71	0,51
	26	712	0,16	0,52	0,82
	27	713	0,18	0,64	0,7
	28	714	0,35	0,76	0,58

Таблица 4 – Данные о защищённости от утечки по техническим каналам

Номер этапа N	Перечень показателей m	Номер элемента матрицы Nm	Коэффициент важности Ai	Профиль безопасности требуемый Qтр	Профиль безопасности достигнутый Qд
1	1	111	0,29	0,66	0,77
	2	112	0,26	0,51	0,61
	3	113	0,23	0,67	0,88
	4	114	0,22	0,52	0,72
2	5	211	0,17	0,68	0,56
	6	212	0,31	0,53	0,83
	7	213	0,28	0,69	0,67
	8	214	0,24	0,54	0,51
3	9	311	0,22	0,7	0,78
	10	312	0,19	0,55	0,62
	11	313	0,16	0,71	0,89
	12	314	0,43	0,56	0,73
4	13	411	0,27	0,72	0,57
	14	412	0,24	0,57	0,84
	15	413	0,21	0,73	0,68
	16	414	0,28	0,58	0,52
5	17	511	0,15	0,74	0,79
	18	512	0,29	0,59	0,63
	19	513	0,26	0,75	0,9
	20	514	0,3	0,6	0,74
6	21	611	0,2	0,76	0,58
	22	612	0,17	0,61	0,85
	23	613	0,31	0,77	0,69
	24	614	0,32	0,62	0,53
7	25	711	0,25	0,78	0,8
	26	712	0,22	0,63	0,64
	27	713	0,19	0,79	0,91
	28	714	0,34	0,64	0,75

Таблица 5 – Данные о защищенности объектов ИС

Номер этапа N	Перечень показателей m	Номер элемента матрицы Nm	Коэффициент важности Ai	Профиль безопасности требуемый Qтр	Профиль безопасности достигнутый Qд
1	1	111	0,24	0,7	0,73
	2	112	0,16	0,59	0,53
	3	113	0,25	0,79	0,76
	4	114	0,35	0,68	0,56
2	5	211	0,26	0,57	0,79
	6	212	0,18	0,77	0,59
	7	213	0,27	0,66	0,82
	8	214	0,29	0,55	0,62
3	9	311	0,28	0,75	0,85
	10	312	0,2	0,64	0,65
	11	313	0,29	0,53	0,88
	12	314	0,23	0,73	0,68
4	13	411	0,3	0,62	0,91
	14	412	0,22	0,51	0,71
	15	413	0,31	0,71	0,51
	16	414	0,17	0,6	0,74
5	17	511	0,15	0,8	0,54
	18	512	0,24	0,69	0,77
	19	513	0,16	0,58	0,57
	20	514	0,45	0,78	0,8
6	21	611	0,17	0,67	0,6
	22	612	0,26	0,56	0,83
	23	613	0,18	0,76	0,63
	24	614	0,39	0,65	0,86
7	25	711	0,19	0,54	0,66
	26	712	0,28	0,74	0,89
	27	713	0,2	0,63	0,69
	28	714	0,33	0,52	0,92

2 Провести оценку экономически эффективной системы информационной безопасности.

Требуется:

1. Привести и описать структуру банковской платежной системы;

2. Описать методику проектирования оптимальной системы защиты;

3. Рассчитать характеристики вариантов системы;

4. Определить допустимые варианты системы;

5. Построить графики в координатах защищенность – стоимость, защищенность – время, защищенность – удельная стоимость;

6. Провести анализ полученных результатов;

7. Описать компонент реализации электронной цифровой подписи;

8. Описать компонент реализации хэш-функции.

Исходные данные для расчёта оценки экономически эффективной системы информационной безопасности приведены в табл. 6 – 7.

Таблица 6 – Набор механизмов для реализации ЭЦП.

№	Компонент	Z	ΔC	ΔT	ΔЦ
a1	RSA программно	0,98	23	12	1
a2	RSA аппаратно	0,96	24	19	4
a3	DSA программно на Паскале	0,94	22	21	1
a4	ГОСТ аппаратно	0,92	17	18	4
a5	ГОСТ программно на C++	0,9	28	10	1
a6	ГОСТ программно на ASM	0,98	17	14	4

Таблица 7 – Набор механизмов для реализации хеш-функции.

№	Компонент	Z	ΔC	ΔT	ΔЦ
b1	MD4 программно на С++	0,94	22	13	1
b2	MD5 программно на С++	0,96	24	7	4
b3	MD5 аппаратно	0,98	23	13	1
b4	MD5 программно на Pascal	0,81	19	14	4
b5	SHA программно на С++	0,83	12	10	1
b6	SHA аппаратно	0,85	28	7	4
b7	ГОСТ аппаратно	0,87	25	19	5
b8	ГОСТ программно на С++	0,89	22	14	1
b9	ГОСТ программно на ASM	0,91	19	9	2

Система должна удовлетворять следующим ограничениями:

С_доп  35, Т_доп  26, Ц_доп  6, Z  max.

СОДЕРЖАНИЕ

1 ОЦЕНКА КАЧЕСТВА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ОСНОВЕ АНАЛИЗА ПРОФИЛЯ БЕЗОПАСНОСТИ…..……………….…………………...10 1.1 Основы, направления и этапы построения системы защиты информации …10

1.2 Матрица информационной безопасности…………………………………....…13

1.3 Методика расчёта оценки качества системы защиты информации на основе анализа профиля безопасности………………………………………………………16

1.4 Расчёт оценки качества системы защиты информации на основе анализа профиля безопасности ………………………………………………………………..18 1.4.1 Защищенность информационной системы……………………..……………..18 1.4.2 Защищенность процессов информационной системы ……..…………...……21 1.4.3 Защищенность каналов связи………………………………………….……….23 1.4.4 Защищённость от утечки по техническим каналам…………………………..25 1.4.5 Защищённость системы защиты информационной системы ………..………27

1.4.6 Результирующий профиль безопасности …...……………………….………..29

ВЫВОДЫ……………………………………………………………………...………34

2. ОЦЕНКА ЭКОНОМИЧЕСКИ ЭФФЕКТИВНОЙ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ…………………………………………38

2.1 Структура банковской платежной системы…….….…………………………. .38 2.2 Вопросы оценки эффективности и проектирования систем защиты.……….. .39

2.3 Расчет оценки эффективности банковской платежной системы ……….……..42

2.4 Реализация электронной цифровой подписи на примере алгоритма ГОСТ….47

2.5 Реализация хеш-функции на примере алгоритма MD4...………………………50

1 ОЦЕНКА КАЧЕСТВА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ОСНОВЕ АНАЛИЗА ПРОФИЛЯ БЕЗОПАСНОСТИ

1.1 Основы, направления и этапы построения системы защиты информации

Известно, что основой системы защиты информации (СЗИ) являются (рис. 1.1):

1. Законодательная, нормативно-правовая и научная база;

2. Структура и задачи органов (подразделений), обеспечивающих безопасность информационных технологий;

3. Организационно-технические и режимные меры (политика информационной безопасности);

4. Программно-технические методы и средства защиты информации.

Рисунок 1.1 – Основы построения системы защиты информации

Выделим основные направления в общей проблеме обеспечения безопасности информационных технологий, которые представлены на рис. 1.2.

Направления формируются исходя из конкретных особенностей ИС, как объекта защиты. В общем случае, исходя из типовой структуры ИС и исторически сложившихся видов работ по защите информации рассмотрим следующие направления:

1. защита объектов информационных систем;

2. защита процессов, процедур и программ обработки информации;

3. защита каналов связи;

4. подавление побочных электромагнитных излучений (наводок);

5. управление системой защиты.

Рисунок 1.2 – Направления построения системы защиты информации

Каждый из показателей блока направления должен быть структурирован в зависимости от заданной глубины детализации СЗИ. Представим направления (рис. 1.2) в виде куба, внутри которого и находятся все вопросы (предметная область) защиты информации. Но поскольку каждое из этих направлений базируется на перечисленных выше основах, то грани куба объединяют основы и направления, которые неразрывно связанные друг с другом. Далее рассмотрим этапы (последовательность шагов) построения СЗИ, которые необходимо пройти в равной степени для всех и каждого в отдельности направлений (с учетом всех основ).

Проведенный анализ существующих методик (последовательностей) работ по созданию и проектированию СЗИ позволяет выделить следующие этапы:

1. определение информационных и технических ресурсов, а также объектов ИС подлежащих защите;

2. выявление полного множество потенциально возможных угроз и каналов утечки информации;

3. проведение оценки уязвимости и рисков информации (ресурсов информационных сетей) при имеющемся множестве угроз и каналов утечки;

4. определение требований к системе защиты информации;

5. осуществление выбора средств защиты информации и их характеристик;

6. внедрение и организация использования выбранных мер, способов и средств защиты;

7. осуществление контроля целостности и управление системой защиты.

Указанная последовательность действий осуществляется непрерывно по замкнутому циклу, с проведением соответствующего анализа состояния СЗИ и уточнением требований к ней после каждого шага. По этой причине системы защиты информации создают по методике, циклически повторяющуюся в течение всего периода ее функционирования, по выше перечисленной последовательности этапов (рис. 1.3).

Рисунок 1.3 – Основные этапы построения СЗИ

Последовательность прохождения этапов создания СЗИ для каждого из направлений с учетом общего представления структуры СЗИ, условно можно представить в следующем виде (рис. 1.4).

Рисунок 1.4 – Основные этапы построения СЗИ

1.2 Матрица информационной безопасности

Матрица состояний – таблица, позволяющая логически объединить составляющие блоков "ОСНОВЫ", "НАПРАВЛЕНИЯ" и "ЭТАПЫ" по принципу каждый с каждым.

Напомним, что матрица появляется не сама по себе, а формируется в каждом конкретном случае, исходя из конкретных задач по созданию конкретной СЗИ для конкретной ИС.

Наглядно процесс формирования СЗИ с использованием матрицы знаний изображен на рис. 1.5.

Рассмотрим, как можно использовать предложенную матрицу. Элементы матрицы имеют соответствующую нумерацию (табл. 1.1) Следует обратить внимание на обозначения каждого из элементов матрицы, где:

1. первое знакоместо (Х00) соответствует номерам составляющих блока "ЭТАПЫ",

2. второе знакоместо (0Х0) соответствует номерам составляющих блока "НАПРАВЛЕНИЯ",

3. третье знакоместо (00Х) соответствует номерам составляющих блока "ОСНОВЫ".

Рисунок 1.5 – Структурная схема формирования СЗИ с помощью матрицы

В общем случае количество элементов матрицы может быть определено из соотношения

K = O_i · H_j · M_k , (1.1)

где K – количество элементов матрицы, O_i - количество составляющих блока "ОСНОВЫ", H_j – количество составляющих блока "НАПРАВЛЕНИЯ", M_k – количество составляющих блока "ЭТАПЫ".

В нашем случае общее количество элементов "матрицы" равно 140, то есть:

К = 4·5·7 = 140, поскольку O_i = 4 , H_j = 5 , M_k = 7.

Показатель уровня защиты СЗИ предлагается определять методом экспертных оценок, используя положения теории нечеткой логики и нечетких утверждений. Напомним, что структура модели оценки представлена на рис. 1.5, а логическое дерево для расчета обобщенного и частных показателей уровня защиты СЗИ представлено на рис. 1.6.

Величина обобщенного показателя уровня защиты определяется на основе частных показателей путем сравнения заданных профилей безопасности с достигнутыми. Заданный профиль, услуги и механизмы безопасности определяются заказчиком или выбираются в соответствии с принятыми "Критериями безопасности" (например Федеральные, Канадские, Общие Критерии, НД ТЗИ 2.5-004-99 или другие) в зависимости от требований, которые устанавливаются к создаваемой СЗИ. Уровень достигнутого профиля защиты определяется экспертным путем в соответствии с теми же критериями оценки защищенности.

Таблица 1.1 – Нумерация элементов матрицы состояни

<–Этапы	Направления – >	010					020					030					040					050
		Защита объектов ИС					Защита процессов и программ					Защита каналов связи					ПЭМИН					Управление системой защиты
	Основы –>	База	Структура	Меры	Средства	База		Структура	Меры	Средства	База		Структура	Меры	Средства	База		Структура	Меры	Средства	База		Структура	Меры	Средства
		011	012	013	014	021		022	023	024	031		032	033	034	041		042	043	044	051		052	053	054
100	Определение информации, подлежащей защите	111	112	113	114	121		122	123	124	131		132	133	134	141		142	143	144	151		152	153	154
200	Выявление угроз и каналов утечки информации	211	212	213	214	221		222	223	224	231		232	233	234	241		242	243	244	251		252	253	254
300	Проведение оценки уязвимости и рисков	311	312	313	314	321		322	323	324	331		332	333	334	341		342	343	344	351		352	353	354
400	Определение требований к СЗИ	411	412	413	414	421		422	423	424	431		432	433	434	441		442	443	444	451		452	453	454
500	Осуществление выбора средств защиты	511	512	513	514	521		522	523	524	531		532	533	534	541		542	543	544	551		552	553	554
600	Внедрение и использование выбраных средств защиты	611	612	613	614	621		622	623	624	631		632	633	634	641		642	643	644	651		652	653	654
700	Контроль целостности и управление защитой	711	712	713	714	721		722	723	724	731		732	733	734	741		742	743	744	751		752	753	754

Рисунок 1.6 – Матрица логической связи

1.3 Методика расчёта оценки качества системы защиты информации на основе анализа профиля безопасности

Под профилем безопасности в дальнейшем будем понимать графическое представление степени выполнения требований предъявляемых к системе защиты в системе координат:

• по горизонтали – перечень требований, предъявляемых к СЗИ;

• по вертикали – степень выполнения каждого требования.

Наиболее удобный случай – это случай, когда степень выполнения требований задается в шкале

0 < Q_j < 1, (1.2)

___

где j = 1, m.

Целесообразно рассматривать два профиля безопасности: требуемый и достигнутый. Для построения требуемого профиля безопасности используются предварительно заданные экспертами значения

, (1.3)

___

где j = 1, m.

Исходные данные для построения требуемого профиля безопасности представляются в виде матрицы состояний.

Качество СЗИ определяется степенью (полнотой) выполнения требований к СЗИ. Исходные данные, необходимо представить в виде табл. 1.2 для каждого направления СЗИ.

Поясним используемые обозначения:

1. номер этапа с 1 по 7;

2. перечень показателей т для соответствующих элементов матрицы (от 1 до 28);

3. коэффициенты важности а, которые определяются для показателей каждого из этапов;

4. показатели требуемого профиля безопасности Q_mp;

5. показатели достигнутого профиля безопасности Q_д;

6. показатели достигнутого профиля безопасности с учетом коэффициентов важности Q_дa_j;

7. сравнение профилей S_пр , которое производится следующим образом:

1. S_пр = 1 – если значение показателя достигнутого профиля безопасности равно или превышает значение показателя заданного;

2. S_пр = 0 – если значение показателя достигнутого профиля безопасности ниже значение показателя заданного.

8. степень выполнения групп требований Q_груп определяется с учетом коэффициентов важности;

9. качественная оценка Q определяется исходя из значений показателей Q_груп вычисленных для соответствующих этапов;

Таблица 1.2 – Исходные данные для каждого направления

Номер этапа N	Перечень показателей m	Номер элемента матрицы Nm	Коэффициент важности aj	Профиль безопасности требуемый Qтр	Профиль безопасности достигнутый Qд	Qд · aj	Сравнение профилей Sпр	Степень выполнения группы требований Qгруп	Качественная оценка Q	Количественная оценка S
1	1	111
	2	112
	3	113
	4	114
2	5	211
	6	212
	7	213
	8	214
3	9	311
	10	312
	11	313
	12	314
4	13	411
	14	412
	15	413
	16	414
5	17	511
	18	512
	19	513
	20	514
6	21	611
	22	612
	23	613
	24	614
7	25	711
	26	712
	27	713
	28	714

3. Расчёт оценки качества системы защиты информации на основе анализа профиля безопасности

1.4.1 Защищенность информационной системы

Исходные данные и расчёты по защищенности информационной системы предоставлены в табл. 1.3.

Таблица 1.3 – Данные о защищенности объектов ИС

Номер этапа N	Перечень показателей m	Номер элемента матрицы Nm	Коэффициент важности Ai	Профиль безопасности требуемый Qтр	Профиль безопасности достигнутый Qд	Qд * Ai	Сравнение профилей Sпр	Степень выполнения группы требований Qгруп	Качественная оценка Q	Количественная оценка S
1	1	111	0,27	0,54	0,89	0,240	1	0,827	0,732	0,750
	2	112	0,22	0,58	0,85	0,187	1
	3	113	0,17	0,62	0,81	0,138	1
	4	114	0,34	0,66	0,77	0,262	1
2	5	211	0,24	0,7	0,73	0,175	1	0,654
	6	212	0,19	0,74	0,69	0,131	0
	7	213	0,31	0,51	0,61	0,189	1
	8	214	0,26	0,51	0,61	0,159	1
3	9	311	0,21	0,55	0,57	0,120	1	0,770
	10	312	0,16	0,59	0,53	0,085	0
	11	313	0,28	0,63	0,92	0,258	1
	12	314	0,35	0,67	0,88	0,308	1
4	13	411	0,18	0,71	0,84	0,151	1	0,776
	14	412	0,3	0,75	0,8	0,240	1
	15	413	0,25	0,79	0,76	0,190	0
	16	414	0,27	0,52	0,72	0,194	1
5	17	511	0,15	0,56	0,68	0,102	1	0,608
	18	512	0,27	0,6	0,64	0,173	1
	19	513	0,22	0,64	0,6	0,132	0
	20	514	0,36	0,68	0,56	0,202	0
6	21	611	0,29	0,72	0,52	0,151	0	0,767
	22	612	0,24	0,76	0,91	0,218	1
	23	613	0,19	0,8	0,87	0,165	1
	24	614	0,28	0,53	0,83	0,232	1
7	25	711	0,26	0,57	0,79	0,205	1	0,724
	26	712	0,21	0,61	0,75	0,158	1
	27	713	0,16	0,65	0,71	0,114	1
	28	714	0,37	0,69	0,67	0,248	0

По результатам расчёта табл. 1.3 построим графики, которые представлены на рис. 1.7 , рис. 1.8, рис. 1.9.

Рисунок 1.7 – Оценка достигнутого профиля защиты

- Q_д – достигнутый профиль безопасности

- Q_тр – требуемый профиль безопасности

Рисунок 1.8 – Сравнение профилей защиты

Рисунок 1.9 – Оценка этапов

1.4.2 Защищенность процессов информационных систем

Исходные данные и расчёты по защищенности процессов информационных систем представлены в табл. 1.4

Таблица 1.4 – Данные о защищенности процессов ИС

Номер этапа N	Перечень показателей m	Номер элемента матрицы Nm	Коэффициент важности Ai	Профиль безопасности требуемый Qтр	Профиль безопасности достигнутый Qд	Qд * Ai	Сравнение профилей Sпр	Степень выполнения группы требований Qгруп	Качественная оценка Q	Количественная оценка S
1	1	111	0,27	0,54	0,59	0,159	1	0,732	0,714	0,714
	2	112	0,22	0,58	0,68	0,150	1
	3	113	0,17	0,62	0,77	0,131	1
	4	114	0,34	0,66	0,86	0,292	1
2	5	211	0,24	0,7	0,52	0,125	0	0,663
	6	212	0,19	0,74	0,61	0,116	0
	7	213	0,31	0,78	0,7	0,217	0
	8	214	0,26	0,51	0,79	0,205	1
3	9	311	0,21	0,55	0,88	0,185	1	0,700
	10	312	0,16	0,59	0,54	0,086	0
	11	313	0,28	0,63	0,63	0,176	1
	12	314	0,35	0,67	0,72	0,252	1
4	13	411	0,18	0,71	0,81	0,146	1	0,731
	14	412	0,3	0,75	0,9	0,270	1
	15	413	0,25	0,79	0,56	0,140	0
	16	414	0,27	0,52	0,65	0,176	1
5	17	511	0,15	0,56	0,74	0,111	1	0,746
	18	512	0,27	0,6	0,83	0,224	1
	19	513	0,22	0,64	0,92	0,202	1
	20	514	0,36	0,68	0,58	0,209	0
6	21	611	0,29	0,72	0,67	0,194	0	0,681
	22	612	0,24	0,76	0,76	0,182	1
	23	613	0,19	0,8	0,85	0,162	1
	24	614	0,28	0,53	0,51	0,143	0
7	25	711	0,26	0,57	0,6	0,156	1	0,748
	26	712	0,21	0,61	0,69	0,145	1
	27	713	0,16	0,65	0,78	0,125	1
	28	714	0,37	0,69	0,87	0,322	1

По результатам расчёта табл. 1.4 построим графики, которые представлены на рис. 1.10 , рис. 1.11 рис. 1.12.

Рисунок 1.10 – Оценка достигнутого профиля защиты

- Q_д – достигнутый профиль безопасности

- Q_тр – требуемый профиль безопасности

Рисунок 1.11 – Сравнение профилей защиты

1. 

Рисунок 1.12 – Оценка этапов

1.4.3 Защищенность каналов связи

Исходные данные и расчёты по защищенности каналов связи предоставлены в табл. 1.5

Таблица 1.5 - Данные о защищенности каналов связи

Номер этапа N	Перечень показателей m	Номер элемента матрицы Nm	Коэффициент важности Ai	Профиль безопасности требуемый Qтр	Профиль безопасности достигнутый Qд	Qд * Ai	Сравнение профилей Sпр	Степень выполнения группы требований Qгруп	Качественная оценка Q	Количественная оценка S
1	1	111	0,16	0,56	0,85	0,136	1	0,690	0,714	0,643
	2	112	0,17	0,62	0,77	0,131	1
	3	113	0,18	0,68	0,69	0,124	1
	4	114	0,49	0,74	0,61	0,299	0
2	5	211	0,2	0,8	0,53	0,106	0	0,733
	6	212	0,21	0,55	0,88	0,185	1
	7	213	0,22	0,61	0,8	0,176	1
	8	214	0,37	0,67	0,72	0,266	1
3	9	311	0,24	0,73	0,64	0,154	0	0,738
	10	312	0,25	0,79	0,56	0,140	0
	11	313	0,26	0,54	0,91	0,237	1
	12	314	0,25	0,6	0,83	0,208	1
4	13	411	0,28	0,66	0,75	0,210	1	0,648
	14	412	0,29	0,72	0,67	0,194	0
	15	413	0,3	0,78	0,59	0,177	0
	16	414	0,13	0,53	0,51	0,066	0
5	17	511	0,15	0,59	0,86	0,129	1	0,695
	18	512	0,16	0,65	0,78	0,125	1
	19	513	0,17	0,71	0,7	0,119	0
	20	514	0,52	0,77	0,62	0,322	0
6	21	611	0,19	0,52	0,54	0,103	1	0,743
	22	612	0,2	0,58	0,89	0,178	1
	23	613	0,21	0,64	0,81	0,170	1
	24	614	0,4	0,7	0,73	0,292	1
7	25	711	0,23	0,76	0,65	0,150	0	0,752
	26	712	0,24	0,51	0,57	0,137	1
	27	713	0,25	0,57	0,92	0,230	1
	28	714	0,28	0,53	0,84	0,235	1

По результатам расчёта табл. 1.5 построим графики, которые представлены на рис. 1.13 , рис. 1.14, рис. 1.15.

Рисунок 1.13 – Оценка достигнутого профиля защиты

- Q_д – достигнутый профиль безопасности

- Q_тр – требуемый профиль безопасности

Рисунок 1.14 – Сравнение профилей защиты

Рисунок 1.15 – Оценка этапов

1.4.4 Защищённость от утечки по техническим каналам

Исходные данные и расчёты по защищенности от утечки по техническим каналам предоставлены в табл. 1.6

Таблица 1.6 – Данные о защищённости от утечки по техническим каналам

Номер этапа N	Перечень показателей m	Номер элемента матрицы Nm	Коэффициент важности Ai	Профиль безопасности требуемый Qтр	Профиль безопасности достигнутый Qд	Qд * Ai	Сравнение профилей Sпр	Степень выполнения группы требований Qгруп	Качественная оценка Q	Количественная оценка S
1	1	111	0,22	0,58	0,68	0,150	1	0,752	0,727	0,643
	2	112	0,29	0,66	0,86	0,249	1
	3	113	0,19	0,74	0,61	0,116	0
	4	114	0,3	0,51	0,79	0,237	1
2	5	211	0,16	0,59	0,54	0,086	0	0,724
	6	212	0,23	0,67	0,72	0,166	1
	7	213	0,3	0,75	0,9	0,270	1
	8	214	0,31	0,52	0,65	0,202	1
3	9	311	0,27	0,6	0,83	0,224	1	0,668
	10	312	0,17	0,68	0,58	0,099	0
	11	313	0,24	0,76	0,76	0,182	1
	12	314	0,32	0,53	0,51	0,163	0
4	13	411	0,21	0,61	0,69	0,145	1	0,764
	14	412	0,28	0,69	0,87	0,244	1
	15	413	0,18	0,77	0,62	0,112	0
	16	414	0,33	0,54	0,8	0,264	1
5	17	511	0,15	0,62	0,55	0,083	0	0,731
	18	512	0,22	0,7	0,73	0,161	1
	19	513	0,29	0,78	0,91	0,264	1
	20	514	0,34	0,55	0,66	0,224	1
6	21	611	0,26	0,63	0,84	0,218	1	0,672
	22	612	0,16	0,71	0,59	0,094	0
	23	613	0,23	0,79	0,77	0,177	0
	24	614	0,35	0,56	0,52	0,182	0
7	25	711	0,2	0,64	0,7	0,140	1	0,776
	26	712	0,27	0,72	0,88	0,238	1
	27	713	0,17	0,8	0,63	0,107	0
	28	714	0,36	0,57	0,81	0,292	1

По результатам расчёта табл. 1.6 построим графики, которые представлены на рис. 1.16 , рис. 1.17, рис. 1.18.

Рисунок 1.16 – Оценка достигнутого профиля защиты

- Q_д – достигнутый профиль безопасности

- Q_тр – требуемый профиль безопасности

Рисунок 1.17 – Сравнение профилей защиты

Рисунок 1.18 – Оценка этапов

1.4.5 Защищённость системы защиты информационной системы

Исходные данные и расчёты по защищенности системы защиты информационной системы предоставлены в табл. 1.7

Таблица 1.7 – Данные о защищённости системы защиты информационной системы

Номер этапа N	Перечень показателей m	Номер элемента матрицы Nm	Коэффициент важности Ai	Профиль безопасности требуемый Qтр	Профиль безопасности достигнутый Qд	Qд * Ai	Сравнение профилей Sпр	Степень выполнения группы требований Qгруп	Качественная оценка Q	Количественная оценка S
1	1	111	0,28	0,6	0,51	0,143	0	0,525	0,645	0,464
	2	112	0,24	0,7	0,52	0,125	0
	3	113	0,2	0,8	0,53	0,106	0
	4	114	0,28	0,59	0,54	0,151	0
2	5	211	0,29	0,69	0,55	0,160	0	0,564
	6	212	0,25	0,79	0,56	0,140	0
	7	213	0,21	0,58	0,57	0,120	0
	8	214	0,25	0,68	0,58	0,145	0
3	9	311	0,3	0,78	0,59	0,177	0	0,604
	10	312	0,26	0,57	0,6	0,156	1
	11	313	0,22	0,67	0,61	0,134	0
	12	314	0,22	0,77	0,62	0,136	0
4	13	411	0,31	0,56	0,63	0,195	1	0,643
	14	412	0,27	0,66	0,64	0,173	0
	15	413	0,23	0,76	0,65	0,150	0
	16	414	0,19	0,55	0,66	0,125	1
5	17	511	0,15	0,65	0,67	0,101	1	0,688
	18	512	0,28	0,75	0,68	0,190	0
	19	513	0,24	0,54	0,69	0,166	1
	20	514	0,33	0,64	0,7	0,231	1
6	21	611	0,16	0,74	0,71	0,114	0	0,727
	22	612	0,29	0,53	0,72	0,209	1
	23	613	0,25	0,63	0,73	0,183	1
	24	614	0,3	0,73	0,74	0,222	1
7	25	711	0,17	0,52	0,75	0,128	1	0,766
	26	712	0,3	0,62	0,76	0,228	1
	27	713	0,26	0,72	0,77	0,200	1
	28	714	0,27	0,51	0,78	0,211	1

По результатам расчёта табл. 1.7 построим графики, которые представлены на рис. 1.19 , рис. 1.20, рис. 1.21.

4. Рисунок 1.19 – Оценка достигнутого профиля защиты

- Q_д – достигнутый профиль безопасности

- Q_тр – требуемый профиль безопасности

7. Рисунок 1.20 – Сравнение профилей защиты

Рисунок 1.21 – Оценка этапов

1.4.6 Результирующий профиль безопасности

По результатам рассчитанным в табл. 1.3 – табл. 1.7 определим результирующий профиль безопасности, который представлен в табл. 1.8

Таблица 1.8 – Результирующий профиль безопасности

Требования	Направления защиты						Qсзи
	1	2	3	4	5
1	1	1	1	1	0	0,8		0
2	1	1	1	1	0	0,8		0
3	1	1	1	0	0	0,6		0
4	1	1	0	1	0	0,6		0
5	0	0	0	0	0	0		0
6	1	0	1	1	0	0,6		0
7	0	0	1	1	0	0,4		0
8	1	1	1	1	0	0,8		0
9	1	1	0	1	0	0,6		0
10	0	0	0	0	1	0,2		0
11	1	1	1	1	0	0,8		0
12	0	1	1	0	0	0,4		0
13	1	1	1	1	1	1		1
14	0	1	0	1	0	0,4		0
15	0	0	0	0	0	0		0
16	1	1	0	1	1	0,8		0
17	1	1	1	0	1	0,8		0
18	1	1	1	1	0	0,8		0
19	1	1	0	1	1	0,8		0
20	0	0	0	1	1	0,4		0
21	1	0	1	1	0	0,6		0
22	1	1	1	0	1	0,8		0
23	1	1	1	0	1	0,8		0
24	1	0	1	0	1	0,6		0
25	0	1	0	1	1	0,6		0
26	1	1	1	1	1	1		1
27	0	1	1	0	1	0,6		0
28	1	1	1	1	1	1		1

По данным результатам табл. 1.8 строим графики, которые показаны на рис. 1.22 – рис. 1.24

Рисунок 1.22 – Графическое представление обобщенных количественных оценок степени выполнения требования

- защита объектов информационных систем

- защита процессов и программ

- защита каналов связи

- ПЭМИН

- управление системой защиты

- достигнутый профиль защиты

Рисунок 1.23 – Достигнутый профиль защиты

- защита объектов информационных систем

- защита процессов и программ

- защита каналов связи

- ПЭМИН

- управление системой защиты

Рисунок 1.24 – Графическое представление степени выполнения требований

Обобщенный показатель уровня защищенности (качественный и количественный) представим в табл. 1.9.

Таблица 1.9 – Обобщённый показатель защищённости

Показатели	Направления защиты						Qсзи
	1	2	3	4	5
Кол. Оценка S	0,75	0,679	0,643	0,679	0,643	0,6788
Кач. Оценка Q	0,732	0,718	0,707	0,709	0,736	0,7204

В табл. 1.10 и табл. 1.11 представлены матрицы количественных и качественных оценок уровня защищенности, позволяющие наглядно оценить степень выполнения требований по защите информации.

Таблица 1.10 – Матрица количественных оценок

Этапы	Направления	Защита объектов и ИС 010					Защита программ и процедур 020					Защита каналов связи 030					ПЭМИН 040					Управление СЗИ 050
	Основы	база 001	структура 002	меры 003	средства 004	база 001		структура 002	меры 003	средства 004	база 001		структура 002	меры 003	средства 004	база 001		структура 002	меры 003	средства 004	база 001		структура 002	меры 003	средства 004
1	определение информации подлежащей защите	1	1	1	1	1		1	1	1	1		1	1	0	1		1	0	1	0		0	0	0	0,7
2	выявление угроз и каналов утечки информации	0	1	0	1	0		0	0	1	0		1	1	1	0		1	1	1	0		0	0	0	0,45
3	проведение оценки уязвимости и риска информации	1	0	1	0	1		0	1	1	0		0	1	1	1		0	1	0	0		1	0	0	0,5
4	определение требования к СЗ	1	0	0	1	1		1	0	1	1		0	0	0	1		1	0	1	1		0	0	1	0,55
5	выбор средств защиты и их характеристика	1	1	1	0	1		1	1	0	1		1	0	0	0		1	1	1	1		0	1	1	0,7
6	внедрение и организация выбраных мер	1	1	1	1	0		1	1	0	1		1	1	1	1		0	0	0	0		1	1	1	0,7
7	осуществление контроля и управления системой	0	1	0	1	1		1	1	1	0		1	1	1	1		1	0	1	1		1	1	1	0,8
		0,71	0,71	0,57	0,71	0,71		0,71	0,71	0,71	0,57		0,71	0,71	0,57	0,71		0,71	0,43	0,71	0,43		0,43	0,43	0,57

Таблица 1.11 – Матрица качественных оценок

Этапы	Направления	Защита объектов и ИС 010					Защита программ и процедур 020					Защита каналов связи 030					ПЭМИН 040					Управление СЗИ 050
	Основы	база 001	структура 002	меры 003	средства 004	база 001		структура 002	меры 003	средства 004	база 001		структура 002	меры 003	средства 004	база 001		структура 002	меры 003	средства 004	база 001		структура 002	меры 003	средства 004
1	определение информации подлежащей защите	0,16	0,159	0,136	0,245	0,159		0,15	0,131	0,292	0,136		0,131	0,124	0,3	0,15		0,2	0,12	0,24	0,14		0,125	0,11	0,151	0,17
2	выявление угроз и каналов утечки информации	0,143	0,131	0,138	0,275	0,125		0,116	0,217	0,205	0,106		0,185	0,176	0,27	0,09		0,2	0,27	0,2	0,16		0,14	0,12	0,145	0,17
3	проведение оценки уязвимости и риска информации	0,124	0,125	0,234	0,171	0,185		0,086	0,176	0,252	0,154		0,14	0,237	0,21	0,22		0,1	0,18	0,16	0,18		0,156	0,13	0,136	0,17
4	определение требования к СЗ	0,218	0,217	0,106	0,19	0,146		0,27	0,14	0,176	0,21		0,194	0,177	0,07	0,15		0,2	0,11	0,26	0,2		0,173	0,15	0,125	0,18
5	выбор средств защиты и их характеристика	0,093	0,185	0,192	0,2	0,111		0,224	0,202	0,209	0,129		0,125	0,119	0,32	0,08		0,2	0,26	0,22	0,1		0,19	0,17	0,231	0,18
6	внедрение и организация выбраных мер	0,176	0,176	0,151	0,238	0,194		0,182	0,162	0,143	0,103		0,178	0,17	0,29	0,22		0,1	0,18	0,18	0,11		0,209	0,18	0,222	0,18
7	осуществление контроля и управления системой	0,16	0,146	0,154	0,261	0,156		0,145	0,125	0,322	0,15		0,137	0,23	0,24	0,14		0,2	0,11	0,29	0,13		0,228	0,2	0,211	0,19
		0,15	0,16	0,16	0,23	0,15		0,17	0,16	0,23	0,14		0,16	0,18	0,24	0,15		0,18	0,18	0,22	0,15		0,17	0,15	0,17

ВЫВОДЫ