онацкий / onackiy (1)
.pdf
|
|
1 |
|
ОГЛАВЛЕНИЕ |
|
|
|
С. |
ГЛАВА 1 |
|
2 |
1.1 |
ЗАДАНИЕ .......................................................... |
2 |
1.2 |
ОСНОВЫ, НАПРАВЛЕНИЯ И ЭТАПЫ ПОСТРОЕНИЯ |
|
СЗИ |
......................................................................... |
3 |
1.3 |
МАТРИЦА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ .... |
6 |
1.4 |
ОЦЕНКА КАЧЕСТВА СЗИ НА ОСНОВЕ АНАЛИЗА ПРО - |
|
ФИЛЯ ..............................................БЕЗОПАСНОСТИ |
10 |
|
1.5 ..................................... |
ВЫПОЛНЕНИЕ ЗАДАНИЯ |
14 |
1.6 ........................................................... |
ВЫВОДЫ |
31 |
ГЛАВА 2 |
|
33 |
2.1 .......................................................... |
ЗАДАНИЕ |
33 |
2.2СТРУКТУРА БАНКОВСКОЙ ПЛАТЕЖНОЙ СИСТЕМЫ . 33
2.3ВОПРОСЫ ОЦЕНКИ ЭФФЕКТИВНОСТИ И ПРОЕК-
ТИРОВАНИЯ СИСТЕМ ЗАЩИТЫ .................................. |
35 |
2.4 ВЫПОЛНЕНИЕ ЗАДАНИЯ ..................................... |
37 |
2
ГЛАВА 1
1.1ЗАДАНИЕ
Необходимо: Провести оценку качества системы защиты информации на основе анализа профиля безопасности.
Требуется:
а) Определить оценку защищённости объектов информационной системы (ИС) (оценка достигнутого профиля защиты, сравнение профилей, оценка этапов).
б) Определить оценку защищённости процессов и программ ИС (оценка достигнутого профиля защиты, сравнение профилей, оценка этапов).
в) Определить оценку защищённости канала связи ИС (оценка достигнутого профиля защиты, сравнение профилей, оценка этапов).
г) Определить оценку защищённости от утечки по техническим каналам (ПЭМИН) (оценка достигнутого профиля защиты, сравнение профилей, оценка этапов).
д) Определить оценку защищённости элементов системы защиты (управления и контроль) (оценка достигнутого профиля защиты, сравнение профилей, оценка этапов).
е) Определить достигнутый суммарный профиль безопасности (количественная оценка).
ж) Определить количественные показатели степени выполнения требований по ЗИ.
з) Определить обобщённые показатели уровня защиты ИС (количественная и качественная оценка).
и) Построить матрицу количественных и качественных оценок.
к) Оценить степень выполнения требований по ЗИ, определить сильные и слабые места в СЗИ. Какие мероприятия, методы и средства необходимо применить для повышения качества защиты.
3
1.2ОСНОВЫ, НАПРАВЛЕНИЯ И ЭТАПЫ ПОСТРОЕНИЯ СЗИ
Известно, что основой системы защиты информации являются (рис.1.1).
-Законодательная, нормативно-правовая и научная база
-Структура и задачи органов (подразделений), обеспечивающих безопасность информационных технологий;
-Организационно-технические и режимные меры (политика информационной безопасности);
-Программно-технические методы и средства защиты информации;
Рисунок 1.1 — Основы построения СЗИ
Выделим основные направления в общей проблеме обеспечения безопасности информационных технологий (они представлены на рис.1.2).
Направления формируются исходя из конкретных особенностей ИС, как объекта защиты. В общем случае, исходя из типовой структуры ИС и исторически сложившихся видов работ по защите информации рассмотрим следующие направления:
-Защита объектов информационных систем;
-Защита процессов, процедур и программ обработки информации;
-Защита каналов связи;
-Подавление побочных электромагнитных излучений (наводок);
-Управление системой защиты;
4
Рисунок 1.2 — Направления построения СЗИ
Каждый из показателей блока направления должен быть структурирован в зависимости от заданной глубины детализации СЗИ. Представим направления (рис.1.2) в виде куба, внутри которого и находятся все вопросы (предметная область) защиты информации. Но поскольку каждое из этих направлений базируется на перечисленных выше основах, то грани куба объединяют основы и направления, которые неразрывно связанные друг с другом. Далее рассмотрим этапы (последовательность шагов) построения СЗИ, которые необходимо пройти в равной степени для всех и каждого в отдельности направлений (с учетом всех основ).
Проведенный анализ существующих методик (последовательностей) работ по созданию и проектированию СЗИ позволяет выделить следующие этапы:
а) Определение информационных и технических ресурсов, а также объектов ИС подлежащих защите;
б) Выявление полного множество потенциально возможных угроз и каналов утечки информации;
5
в) Проведение оценки уязвимости и рисков информации (ресурсов ИС) при имеющемся множестве угроз и каналов утечки;
г) Определение требований к системе защиты информации; д) Осуществление выбора средств защиты информации и их характери-
стик; е) Внедрение и организация использования выбранных мер, способов и
средств защиты; ж) Осуществление контроля целостности и управление системой защи-
ты; Указанная последовательность действий осуществляется непрерывно по
замкнутому циклу, с проведением соответствующего анализа состояния СЗИ и уточнением требований к ней после каждого шага. По этой причине системы защиты информации создают по методике, циклически повторяющуюся в течение всего периода ее функционирования, выше перечисленных последовательность этапов (рис.1.3).
Рисунок 1.3 — Основные этапы построения СЗИ
Последовательность прохождения этапов создания СЗИ для каждого из направлений с учетом основ (общего представления структуры СЗИ) условно можно представить следующим видом (см. рис.1.4).
6
Рисунок 1.4 — Основные этапы построения СЗИ
1.3МАТРИЦА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Матрица состояний – таблица, позволяющая логически объединить составляющие блоков "ОСНОВЫ" , "НАПРАВЛЕНИЯ" и "ЭТАПЫ" по принципу каждый с каждым.
Напомним, что матрица появляется не сама по себе, а формируется в каждом конкретном случае, исходя из конкретных задач по созданию конкретной СЗИ для конкретной ИС.
Наглядно процесс формирования СЗИ с использованием матрицы знаний изображен на рис.1.5.
Рассмотрим, как можно использовать предложенную матрицу. Элементы матрицы имеют соответствующую нумерацию (таб.1.1) Следует обратить
7
Рисунок 1.5 — Структурная схема формирования СЗИ с помощью матрицы
внимание на обозначения каждого из элементов матрицы, где:
а) первое знакоместо (Х00) соответствует номерам составляющих блока "ЭТАПЫ",
б) второе знакоместо (0Х0) соответствует номерам составляющих блока "НАПРАВЛЕНИЯ",
в) третье знакоместо (00Х) соответствует номерам составляющих блока "ОСНОВЫ".
В общем случае количество элементов матрицы может быть определено из соотношения
KÆ Oi£ Hj£ Mk |
(1.1) |
где K – количество элементов матрицы, Oi - количество составляющих блока "ОСНОВЫ", Hj – количество составляющих блока "НАПРАВЛЕНИЯ",
Mk – количество составляющих блока "ЭТАПЫ".
В нашем случае общее количество элементов "матрицы" равно 140
K Æ 4 ¢5 ¢7 Æ 140,
поскольку Oi = 4 , Hj = 5 , Mk = 7.
8
Таблица 1.1 — Нумерация элементов матрицы состояний
Показатель уровня защиты СЗИ предлагается определять методом экспертных оценок, используя положения теории нечеткой логики и нечетких утверждений. Напомним, что структура модели оценки представлена на рис.1.6, а логическое дерево для расчета обобщенного и частных показателей уровня защиты СЗИ представлено на рис.1.7.
Величина обобщенного показателя уровня защиты определяется на основе частных показателей путем сравнения заданных профилей безопасности с достигнутыми. Заданный профиль, услуги и механизмы безопасности определяются заказчиком или выбираются в соответствии с принятыми "Критериями безопасности" (например Федеральные, Канадские, Общие Критерии, НД ТЗИ 2.5-004-99 или другие) в зависимости от требований, которые устанавливаются к создаваемой СЗИ. Уровень достигнутого профиля защиты определяется экспертным путем в соответствии с теми же критериями оценки защищенности.
9
Рисунок 1.6 — Логическое дерево для расчета обобщенных и частных показателей уровня защиты СЗИ
Рисунок 1.7 — Матрица логической связи
10
1.4ОЦЕНКА КАЧЕСТВА СЗИ НА ОСНОВЕ АНАЛИЗА ПРОФИЛЯ БЕЗОПАСНОСТИ
Под профилем безопасности в дальнейшем будем понимать графическое
представление степени выполнения требований предъявляемых к системе
защиты в системе координат:
-по горизонтали - перечень требований, предъявляемых к СЗИ;
-по вертикали - степень выполнения каждого требования;
Наиболее удобный случай – это случай , когда степень выполнения требований задается в шкале
0 Ç Q j Ç 1, jÆ1, m |
(1.2) |
Целесообразно рассматривать два профиля безопасности: требуемый и реально достигнутый.
Для построения требуемого профиля безопасности используются предварительно заданные экспертами значения
0 · QTPj · 1, jÆ1, m |
(1.3) |
Исходные данные для построения требуемого профиля безопасности представляются в виде матрицы состояний.
Качество СЗИ определяется степенью (полнотой) выполнения требований к СЗИ. Исходные данные, необходимо представить в виде табл.1.2 для каждого направления СЗИ. Поясним используемые обозначения:
а) номер этапа с 1 по 7;
б) перечень показателей m для соответствующих элементов матрицы (от 1 до 28);
в) коэффициенты важности a, которые определяются для показателей каждого из этапов;
г) показатели требуемого профиля безопасности Qmp; д) показатели достигнутого профиля безопасности Qд;