- •Министерство образования и науки, молодёжи и спорта украины
- •1.2 Матрица информационной безопасности
- •1.4 Оценка качества системы защиты информации на основе анализа профиля безопасности
- •2.1 Структура банковской платежной системы
- •2.2 Вопросы оценки эффективности проектирования систем защиты
- •2.4 Описание компонентов
- •2.4.1 Реализация электронной цифровой подписи на базе алгоритма гост
- •2.4.2 Реализация хеш-функции на примере алгоритма md4
1.4 Оценка качества системы защиты информации на основе анализа профиля безопасности
Под профилем безопасности в дальнейшем будем понимать графическое представление степени выполнения требований предъявляемых к системе защиты в системе координат :
– по горизонтали перечень – привет требований, предъявляемых к СЗИ;
– по вертикали – степень выполнения каждого требования.
Наиболее удобный случай – это случай, когда степень выполнения требований задается в шкале
0 < Qj < 1 (1.2)
Целесообразно рассматривать два профиля безопасности: требуемый и реально достигнутый.
Для построения требуемого профиля безопасности используются предварительно заданные экспертами значения
(1.3)
Исходные данные для построения требуемого профиля безопасности представляются в виде матрицы состояний.
Качество СЗИ определяется степенью (полнотой) выполнения требований к СЗИ. Исходные данные, необходимо представить в виде табл. 1.2 для каждого направления СЗИ.
Поясним используемые обозначения:
номер этапа с 1 по 7;
перечень показателей т для соответствующих элементов матрицы (от 1 до 28);
коэффициенты важности а, которые определяются для показателей каждого из этапов;
показатели требуемого профиля безопасности Qmp;
показатели достигнутого профиля безопасности Qд;
показатели достигнутого профиля безопасности с учетом коэффициентов важности Qдaj;
сравнение профилей Sпр , которое производится следующим образом:
Sпр = 1 – если значение показателя достигнутого профиля безопасности равно или превышает значение показателя заданного;
Sпр = 0 – если значение показателя достигнутого профиля безопасности ниже значение показателя заданного.
степень выполнения групп требований Qгруп определяется с учетом коэффициентов важности;
качественная оценка Q определяется исходя из значений показателей Qгруп вычисленных для соответствующих этапов;
количественная оценка S определятся путем подсчета значений Sпр, а именно нулей и единиц полученных при сравнении профилей. Это более грубая оценка, определяющая количество выполненных (достигнутых) требований.
Таблица 1.2 – Исходные данные для каждого направления
№ Этапа |
Перечень показателей |
№элемента матрицы |
Коэффициент важности |
Профиль безопасности требуемый |
Профиль безопасности достигнутый |
Qд*αj |
Сравнение профилей |
Степень выполнения группы требований |
Качественная оценка |
Количественная оценка |
№ |
m |
№ |
aj |
Qmp |
Qд |
Qд aj |
Sпр |
Qгруп |
Q |
S |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
1
|
1 |
111 |
|
|
|
|
|
|
|
|
2 |
112 |
|
|
|
|
| ||||
3 |
113 |
|
|
|
|
| ||||
4 |
114 |
|
|
|
|
| ||||
2 |
5 |
211 |
|
|
|
|
|
|
|
|
6 |
212 |
|
|
|
|
| ||||
7 |
213 |
|
|
|
|
| ||||
8 |
214 |
|
|
|
|
| ||||
3 |
9 |
311 |
|
|
|
|
|
|
|
|
10 |
312 |
|
|
|
|
| ||||
11 |
313 |
|
|
|
|
| ||||
12 |
314 |
|
|
|
|
|
Продолжение таблицы 1.2
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
4 |
13 |
411 |
|
|
|
|
|
|
|
|
14 |
412 |
|
|
|
|
| ||||
15 |
413 |
|
|
|
|
| ||||
16 |
414 |
|
|
|
|
| ||||
5 |
17 |
511 |
|
|
|
|
|
|
|
|
18 |
512 |
|
|
|
|
| ||||
19 |
513 |
|
|
|
|
| ||||
20 |
514 |
|
|
|
|
| ||||
6 |
21 |
611 |
|
|
|
|
|
|
|
|
22 |
612 |
|
|
|
|
| ||||
23 |
613 |
|
|
|
|
| ||||
24 |
614 |
|
|
|
|
| ||||
7 |
25 |
711 |
|
|
|
|
|
|
|
|
26 |
712 |
|
|
|
|
| ||||
27 |
713 |
|
|
|
|
| ||||
28 |
714 |
|
|
|
|
|
1.4 Расчет оценки качества защищенности информационной системы
1.4.1 Исходные данные представлены в таблице 1.5
Таблица 1.3 – Данные о защищенности объектов информационной системы
Номер этапа N |
Перечень показателей m |
Номер элемента матрицы Nm |
Коэффициент важности Ai |
Профиль безопасности требуемый Qтр |
Профиль безопасности достигнутый Qд |
Qд * Ai |
Сравнение профилей Sпр |
Степень выполнения группы тренований Qгруп |
Качественная оценка Q |
Количественная оценка S |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
Продолжение таблицы 1.3
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
1 |
1 |
111 |
0,27 |
0,56 |
0,63 |
0,170 |
1 |
0,689 |
0,702 |
0,679 |
2 |
112 |
0,22 |
0,62 |
0,76 |
0,167 |
1 | ||||
3 |
113 |
0,17 |
0,68 |
0,89 |
0,151 |
1 | ||||
4 |
114 |
0,34 |
0,74 |
0,59 |
0,201 |
0 | ||||
2 |
5 |
211 |
0,24 |
0,8 |
0,72 |
0,173 |
0 |
0,682 | ||
6 |
212 |
0,19 |
0,55 |
0,85 |
0,162 |
1 | ||||
7 |
213 |
0,31 |
0,61 |
0,55 |
0,171 |
0 | ||||
8 |
214 |
0,26 |
0,67 |
0,68 |
0,177 |
1 | ||||
3 |
9 |
311 |
0,21 |
0,73 |
0,81 |
0,170 |
1 |
0,700 | ||
10 |
312 |
0,16 |
0,79 |
0,51 |
0,082 |
0 | ||||
11 |
313 |
0,28 |
0,54 |
0,64 |
0,179 |
1 | ||||
12 |
314 |
0,35 |
0,6 |
0,77 |
0,270 |
1 | ||||
4 |
13 |
411 |
0,18 |
0,66 |
0,9 |
0,162 |
1 |
0,757 | ||
14 |
412 |
0,3 |
0,72 |
0,6 |
0,180 |
0 | ||||
15 |
413 |
0,25 |
0,78 |
0,73 |
0,183 |
0 | ||||
16 |
414 |
0,27 |
0,53 |
0,86 |
0,232 |
1 | ||||
5 |
17 |
511 |
0,15 |
0,59 |
0,56 |
0,084 |
0 |
0,638 |
|
|
18 |
512 |
0,27 |
0,65 |
0,69 |
0,186 |
1 | ||||
19 |
513 |
0,22 |
0,71 |
0,82 |
0,180 |
1 | ||||
20 |
514 |
0,36 |
0,77 |
0,52 |
0,187 |
0 | ||||
6 |
21 |
611 |
0,29 |
0,52 |
0,65 |
0,189 |
1 |
0,719 | ||
22 |
612 |
0,24 |
0,58 |
0,78 |
0,187 |
1 | ||||
23 |
613 |
0,19 |
0,64 |
0,91 |
0,173 |
1 | ||||
24 |
614 |
0,28 |
0,7 |
0,61 |
0,171 |
0 | ||||
7 |
25 |
711 |
0,26 |
0,76 |
0,74 |
0,192 |
0 |
0,725 | ||
26 |
712 |
0,21 |
0,51 |
0,87 |
0,183 |
1 | ||||
27 |
713 |
0,16 |
0,57 |
0,57 |
0,091 |
1 | ||||
28 |
714 |
0,37 |
0,63 |
0,7 |
0,259 |
1 |
По результатам расчета табл. 1.3 построим следующие графики, которые представлены на рис. 1.8, рис. 1.9 и рис. 1.10.
Рисунок 1.8 – Оценка достигнутого профиля защиты
Рисунок 1.9 – Сравнение профилей защиты
Рисунок 1.10 – Оценка этапов
1.4.2 Защищенность процессов информационной системы
Исходные данные представлены в таблице 1.6
Таблица 1.4 – Данные о защищенности процессов информационной системы
Номер этапа N |
Перечень показателей m |
Номер элемента матрицы Nm |
Коэффициент важности Ai |
Профиль безопасности требуемый Qтр |
Профиль безопасности достигнутый Qд |
Qд * Ai |
Сравнение профилей Sпр |
Степень выполнения группы тренований Qгруп |
Качественная оценка Q |
Количественная оценка S |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
1 |
1 |
111 |
0,22 |
0,62 |
0,76 |
0,167 |
1 |
0,704 |
0,714 |
0,643 |
2 |
112 |
0,29 |
0,74 |
0,59 |
0,171 |
0 | ||||
3 |
113 |
0,19 |
0,55 |
0,85 |
0,162 |
1 | ||||
4 |
114 |
0,3 |
0,67 |
0,68 |
0,204 |
1 |
Продолжение таблицы 1.4
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
2 |
5 |
211 |
0,16 |
0,79 |
0,51 |
0,082 |
0 |
0,697 |
|
|
6 |
212 |
0,23 |
0,6 |
0,77 |
0,177 |
1 | ||||
7 |
213 |
0,3 |
0,72 |
0,6 |
0,180 |
0 | ||||
8 |
214 |
0,3 |
0,53 |
0,86 |
0,258 |
1 | ||||
3 |
9 |
311 |
0,27 |
0,65 |
0,69 |
0,186 |
1 |
0,657 | ||
10 |
312 |
0,17 |
0,77 |
0,52 |
0,088 |
0 | ||||
11 |
313 |
0,24 |
0,58 |
0,78 |
0,187 |
1 | ||||
12 |
314 |
0,32 |
0,7 |
0,61 |
0,195 |
0 | ||||
4 |
13 |
411 |
0,21 |
0,51 |
0,87 |
0,183 |
1 |
0,735 | ||
14 |
412 |
0,28 |
0,63 |
0,7 |
0,196 |
1 | ||||
15 |
413 |
0,18 |
0,75 |
0,53 |
0,095 |
0 | ||||
16 |
414 |
0,33 |
0,56 |
0,79 |
0,261 |
1 | ||||
5 |
17 |
511 |
0,15 |
0,68 |
0,62 |
0,093 |
0 |
0,676 | ||
18 |
512 |
0,22 |
0,8 |
0,88 |
0,194 |
1 | ||||
19 |
513 |
0,29 |
0,61 |
0,71 |
0,206 |
1 | ||||
20 |
514 |
0,34 |
0,73 |
0,54 |
0,184 |
0 | ||||
6 |
21 |
611 |
0,26 |
0,54 |
0,8 |
0,208 |
1 |
0,766 | ||
22 |
612 |
0,16 |
0,66 |
0,63 |
0,101 |
0 | ||||
23 |
613 |
0,23 |
0,78 |
0,89 |
0,205 |
1 | ||||
24 |
614 |
0,35 |
0,59 |
0,72 |
0,252 |
1 | ||||
7 |
25 |
711 |
0,2 |
0,71 |
0,55 |
0,110 |
0 |
0,762 | ||
26 |
712 |
0,27 |
0,52 |
0,81 |
0,219 |
1 | ||||
27 |
713 |
0,17 |
0,64 |
0,64 |
0,109 |
1 | ||||
28 |
714 |
0,36 |
0,76 |
0,9 |
0,324 |
1 |
По результатам расчета табл. 1.4 построим следующие графики, которые представлены на рис. 1.11, рис. 1.12 и рис. 1.13
Рисунок 1.11 – Оценка достигнутого профиля защиты
Рисунок 1.12 – Сравнение профилей защиты
Рисунок 1.13 – Оценка этапов
1.4.3 Расчет защищенности каналов связи
Исходные данные представлены в таблице 1.7
Таблица 1.5 – Данные о защищенности каналов связи
Номер этапа N |
Перечень показателей m |
Номер элемента матрицы Nm |
Коэффициент важности Ai |
Профиль безопасности требуемый Qтр |
Профиль безопасности достигнутый Qд |
Qд * Ai |
Сравнение профилей Sпр |
Степень выполнения группы тренований Qгруп |
Качественная оценка Q |
Количественная оценка S |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
1 |
1 |
111 |
0,17 |
0,68 |
0,89 |
0,1513 |
1 |
0,814 |
0,737 |
0,786 |
2 |
112 |
0,19 |
0,55 |
0,85 |
0,162 |
1 | ||||
3 |
113 |
0,21 |
0,73 |
0,81 |
0,170 |
1 | ||||
4 |
114 |
0,43 |
0,6 |
0,77 |
0,331 |
1 |
Продолжение таблицы 1.5
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
2 |
5 |
211 |
0,25 |
0,78 |
0,73 |
0,183 |
0 |
0,673 |
|
|
6 |
212 |
0,27 |
0,65 |
0,69 |
0,186 |
1 | ||||
7 |
213 |
0,29 |
0,52 |
0,65 |
0,189 |
1 | ||||
8 |
214 |
0,19 |
0,7 |
0,61 |
0,116 |
0 | ||||
3 |
9 |
311 |
0,16 |
0,57 |
0,57 |
0,091 |
1 |
0,775 | ||
10 |
312 |
0,18 |
0,75 |
0,53 |
0,095 |
0 | ||||
11 |
313 |
0,2 |
0,62 |
0,92 |
0,184 |
1 | ||||
12 |
314 |
0,46 |
0,8 |
0,88 |
0,405 |
1 | ||||
4 |
13 |
411 |
0,24 |
0,67 |
0,84 |
0,202 |
1 |
0,781 | ||
14 |
412 |
0,26 |
0,54 |
0,8 |
0,208 |
1 | ||||
15 |
413 |
0,28 |
0,72 |
0,76 |
0,213 |
1 | ||||
16 |
414 |
0,22 |
0,59 |
0,72 |
0,158 |
1 | ||||
5 |
17 |
511 |
0,15 |
0,77 |
0,68 |
0,102 |
0 |
0,599 | ||
18 |
512 |
0,17 |
0,64 |
0,64 |
0,109 |
1 | ||||
19 |
513 |
0,19 |
0,51 |
0,6 |
0,114 |
1 | ||||
20 |
514 |
0,49 |
0,69 |
0,56 |
0,274 |
0 | ||||
6 |
21 |
611 |
0,23 |
0,56 |
0,52 |
0,120 |
0 |
0,790 | ||
22 |
612 |
0,25 |
0,74 |
0,91 |
0,228 |
1 | ||||
23 |
613 |
0,27 |
0,61 |
0,87 |
0,235 |
1 | ||||
24 |
614 |
0,25 |
0,79 |
0,83 |
0,208 |
1 | ||||
7 |
25 |
711 |
0,31 |
0,66 |
0,79 |
0,245 |
1 |
0,727 | ||
26 |
712 |
0,16 |
0,53 |
0,75 |
0,120 |
1 | ||||
27 |
713 |
0,18 |
0,71 |
0,71 |
0,128 |
1 | ||||
28 |
714 |
0,35 |
0,58 |
0,67 |
0,235 |
1 |
По результатам расчета табл. 1.5 построим следующие графики, которые представлены на рис. 1.14, рис. 1.15 и рис. 1.16
Рисунок 1.14 – Оценка достигнутого профиля защиты
Рисунок 1.15 – Сравнение профилей защиты
Рисунок 1.16 – Оценка этапов
1.4.4 Расчет защищённости от утечки по техническим каналам
Исходные данные представлены в таблице 1.8
Таблица 1.6 – Данные о защищённости от утечки по техническим каналам
Номер этапа N |
Перечень показателей m |
Номер элемента матрицы Nm |
Коэффициент важности Ai |
Профиль безопасности требуемый Qтр |
Профиль безопасности достигнутый Qд |
Qд * Ai |
Сравнение профилей Sпр |
Степень выполнения группы тренований Qгруп |
Качественная оценка Q |
Количественная оценка S |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
1 |
1 |
111 |
0,29 |
0,74 |
0,59 |
0,171 |
0 |
0,697 |
0,715 |
0,679 |
2 |
112 |
0,26 |
0,67 |
0,68 |
0,177 |
1 | ||||
3 |
113 |
0,23 |
0,6 |
0,77 |
0,177 |
1 | ||||
4 |
114 |
0,2 |
0,53 |
0,86 |
0,172 |
1 |
Продолжение таблицы 1.6
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
2 |
5 |
211 |
0,17 |
0,77 |
0,52 |
0,088 |
0 |
0,663 |
|
|
6 |
212 |
0,31 |
0,7 |
0,61 |
0,189 |
0 | ||||
7 |
213 |
0,28 |
0,63 |
0,7 |
0,196 |
1 | ||||
8 |
214 |
0,24 |
0,56 |
0,79 |
0,190 |
1 | ||||
3 |
9 |
311 |
0,22 |
0,8 |
0,88 |
0,194 |
1 |
0,707 | ||
10 |
312 |
0,19 |
0,73 |
0,54 |
0,103 |
0 | ||||
11 |
313 |
0,16 |
0,66 |
0,63 |
0,101 |
0 | ||||
12 |
314 |
0,43 |
0,59 |
0,72 |
0,310 |
1 | ||||
4 |
13 |
411 |
0,27 |
0,52 |
0,81 |
0,219 |
1 |
0,734 | ||
14 |
412 |
0,24 |
0,76 |
0,9 |
0,216 |
1 | ||||
15 |
413 |
0,21 |
0,69 |
0,56 |
0,118 |
0 | ||||
16 |
414 |
0,28 |
0,62 |
0,65 |
0,182 |
1 | ||||
5 |
17 |
511 |
0,15 |
0,55 |
0,74 |
0,111 |
1 |
0,765 | ||
18 |
512 |
0,29 |
0,79 |
0,83 |
0,241 |
1 | ||||
19 |
513 |
0,26 |
0,72 |
0,92 |
0,239 |
1 | ||||
20 |
514 |
0,3 |
0,65 |
0,58 |
0,174 |
0 | ||||
6 |
21 |
611 |
0,2 |
0,58 |
0,67 |
0,134 |
1 |
0,690 | ||
22 |
612 |
0,17 |
0,51 |
0,76 |
0,129 |
1 | ||||
23 |
613 |
0,31 |
0,75 |
0,85 |
0,264 |
1 | ||||
24 |
614 |
0,32 |
0,68 |
0,51 |
0,163 |
0 | ||||
7 |
25 |
711 |
0,25 |
0,61 |
0,6 |
0,150 |
0 |
0,746 | ||
26 |
712 |
0,22 |
0,54 |
0,69 |
0,152 |
1 | ||||
27 |
713 |
0,19 |
0,78 |
0,78 |
0,148 |
1 | ||||
28 |
714 |
0,34 |
0,71 |
0,87 |
0,296 |
1 |
По результатам расчета табл. 1.6 построим следующие графики, которые представлены на рис. 1.17, рис. 1.18 и рис. 1.19
Рисунок 1.17 – Оценка достигнутого профиля защиты
Рисунок 1.18 – Сравнение профилей защиты
Рисунок 1.19 – Оценка этапов
1.4.5 Расчет защищённости системы защиты информационной сети
Исходные данные представлены в таблице 1.7
Таблица 1.7 – Данные о защищённости системы защиты ИС
Номер этапа N |
Перечень показателей m |
Номер элемента матрицы Nm |
Коэффициент важности Ai |
Профиль безопасности требуемый Qтр |
Профиль безопасности достигнутый Qд |
Qд * Ai |
Сравнение профилей Sпр |
Степень выполнения группы тренований Qгруп |
Качественная оценка Q |
Количественная оценка S |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
1 |
1 |
111 |
0,24 |
0,8 |
0,72 |
0,173 |
0 |
0,619 |
0,673 |
0,536 |
2 |
112 |
0,16 |
0,79 |
0,51 |
0,082 |
0 | ||||
3 |
113 |
0,25 |
0,78 |
0,73 |
0,183 |
0 | ||||
4 |
114 |
0,35 |
0,77 |
0,52 |
0,182 |
0 | ||||
2 |
5 |
211 |
0,26 |
0,76 |
0,74 |
0,192 |
0 |
0,647 | ||
6 |
212 |
0,18 |
0,75 |
0,53 |
0,095 |
0 | ||||
7 |
213 |
0,27 |
0,74 |
0,75 |
0,203 |
1 | ||||
8 |
214 |
0,29 |
0,73 |
0,54 |
0,157 |
0 |
Продолжение таблицы 1.7
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
3 |
9 |
311 |
0,28 |
0,72 |
0,76 |
0,213 |
1 |
0,675 |
|
|
10 |
312 |
0,2 |
0,71 |
0,55 |
0,110 |
0 | ||||
11 |
313 |
0,29 |
0,7 |
0,77 |
0,223 |
1 | ||||
12 |
314 |
0,23 |
0,69 |
0,56 |
0,129 |
0 | ||||
4 |
13 |
411 |
0,3 |
0,68 |
0,78 |
0,234 |
1 |
0,703 | ||
14 |
412 |
0,22 |
0,67 |
0,57 |
0,125 |
0 | ||||
15 |
413 |
0,31 |
0,66 |
0,79 |
0,245 |
1 | ||||
16 |
414 |
0,17 |
0,65 |
0,58 |
0,099 |
0 | ||||
5 |
17 |
511 |
0,15 |
0,64 |
0,8 |
0,120 |
1 |
0,661 | ||
18 |
512 |
0,24 |
0,63 |
0,59 |
0,142 |
0 | ||||
19 |
513 |
0,16 |
0,62 |
0,81 |
0,130 |
1 | ||||
20 |
514 |
0,45 |
0,61 |
0,6 |
0,270 |
0 | ||||
6 |
21 |
611 |
0,17 |
0,6 |
0,82 |
0,139 |
1 |
0,689 | ||
22 |
612 |
0,26 |
0,59 |
0,61 |
0,159 |
1 | ||||
23 |
613 |
0,18 |
0,58 |
0,83 |
0,149 |
1 | ||||
24 |
614 |
0,39 |
0,57 |
0,62 |
0,242 |
1 | ||||
7 |
25 |
711 |
0,19 |
0,56 |
0,84 |
0,160 |
1 |
0,717 | ||
26 |
712 |
0,28 |
0,55 |
0,63 |
0,176 |
1 | ||||
27 |
713 |
0,2 |
0,54 |
0,85 |
0,170 |
1 | ||||
28 |
714 |
0,33 |
0,53 |
0,64 |
0,211 |
1 |
По результатам расчета табл. 1.7 построим следующие графики, которые представлены на рис. 1.2, рис. 1.21 и рис. 1.22
Рисунок 1.20 – Оценка достигнутого профиля защиты
Рисунок 1.21 – Сравнение профилей защиты
Рисунок 1.22 – Оценка этапов
По результатам расчетов таб. 1.3, таб. 1.4, таб. 1.5, таб. 1.6 и таб. 1.7 определяем результирующий профиль безопасности, который представлен в таблице 1.8.
Таблица 1.8 – Результирующий профиль безопасности
Требования |
Направления защиты |
Qсзи | |||||
1 |
2 |
3 |
4 |
5 |
| ||
1 |
2 |
3 |
4 |
5 |
6 |
7 | |
1 |
1 |
1 |
1 |
0 |
0 |
0,6 | |
2 |
1 |
0 |
1 |
1 |
0 |
0,6 | |
3 |
1 |
1 |
1 |
1 |
0 |
0,8 | |
4 |
0 |
1 |
1 |
1 |
0 |
0,6 | |
5 |
0 |
0 |
0 |
0 |
0 |
0 | |
6 |
1 |
1 |
1 |
0 |
0 |
0,6 | |
7 |
0 |
0 |
1 |
1 |
1 |
0,6 | |
8 |
1 |
1 |
0 |
1 |
0 |
0,6 | |
9 |
1 |
1 |
1 |
1 |
1 |
1 | |
10 |
0 |
0 |
0 |
0 |
0 |
0 | |
11 |
1 |
1 |
1 |
0 |
1 |
0,8 | |
12 |
1 |
0 |
1 |
1 |
0 |
0,6 | |
13 |
1 |
1 |
1 |
1 |
1 |
1 | |
14 |
0 |
1 |
1 |
1 |
0 |
0,6 | |
15 |
0 |
0 |
1 |
0 |
1 |
0,4 | |
16 |
1 |
1 |
1 |
1 |
0 |
0,8 | |
17 |
0 |
0 |
0 |
1 |
1 |
0,4 |
Продолжение таблицы 1.8
1 |
2 |
3 |
4 |
5 |
6 |
7 |
18 |
1 |
1 |
1 |
1 |
0 |
0,8 |
19 |
1 |
1 |
1 |
1 |
1 |
1 |
20 |
0 |
0 |
0 |
0 |
0 |
0 |
21 |
1 |
1 |
0 |
1 |
1 |
0,8 |
22 |
1 |
0 |
1 |
1 |
1 |
0,8 |
23 |
1 |
1 |
1 |
1 |
1 |
1 |
24 |
0 |
1 |
1 |
0 |
1 |
0,6 |
25 |
0 |
0 |
1 |
0 |
1 |
0,4 |
26 |
1 |
1 |
1 |
1 |
1 |
1 |
27 |
1 |
1 |
1 |
1 |
1 |
1 |
28 |
1 |
1 |
1 |
1 |
1 |
1 |
По данным результатам таб. 1.8 строим графики, которые представлены на рис. 1.23, рис. 1.24 и рис. 1.25.
Рисунок 1.23 – Графическое представление обобщенных количественных оценок степени выполнения требования
Рисунок 1.24 – Достигнутый профиль защиты
Рисунок 1.25 – Графическое представление степени выполнения требований
Обобщенный показатель уровня защищенности (качественный и количественный) представим в табл. 1.9.
Таблица 1.9 – Обобщённый показатель защищённости
Показатели |
Направления защиты |
Qсзи | |||||
1 |
2 |
3 |
4 |
5 |
| ||
Кол. Оценка S |
0,679 |
0,643 |
0,786 |
0,679 |
0,536 |
0,665 | |
Кач. Оценка Q |
0,702 |
0,714 |
0,737 |
0,715 |
0,673 |
0,708 |
В табл. 1.10, 1.11 представлены матрицы количественных и качественных оценок уровня защищенности, позволяющие наглядно оценить степень выполнения требований по защите информации.
Таблица 1.10 – Матрица количественных оценок
Этапы |
Направления |
защита объектов и ИС 010 |
защита программ и процедур 020 |
защита каналов связи 030 |
ПЭМИН 040 |
управление СЗИ 050 |
Оценки | ||||||||||||||||||||
Основы |
база 001 |
структура 002 |
меры 003 |
средства 004 |
база 001 |
структура 002 |
меры 003 |
средства 004 |
база 001 |
структура 002 |
меры 003 |
средства 004 |
база 001 |
структура 002 |
меры 003 |
средства 004 |
база 001 |
структура 002 |
меры 003 |
средства 004 |
| ||||||
1 |
Определение информации, подлежащей защите |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
0 |
1 |
1 |
0 |
1 |
0 |
0 |
0 |
0 |
0,7 | |||||
2 |
Выявление угроз и каналов утечки инф-ии |
0 |
1 |
0 |
1 |
0 |
0 |
0 |
1 |
0 |
1 |
1 |
1 |
0 |
1 |
1 |
1 |
0 |
0 |
0 |
0 |
0,45 | |||||
3 |
Проведение оценки уязвимости и рисков |
1 |
0 |
1 |
0 |
1 |
0 |
1 |
1 |
0 |
0 |
1 |
1 |
1 |
0 |
1 |
0 |
0 |
1 |
0 |
0 |
0,5 | |||||
4 |
Определение требований к СЗИ |
1 |
0 |
0 |
1 |
1 |
1 |
0 |
1 |
1 |
0 |
0 |
0 |
1 |
1 |
0 |
1 |
1 |
0 |
0 |
1 |
0,55 | |||||
5 |
Осуществление выбора средств защиты |
1 |
1 |
1 |
0 |
1 |
1 |
1 |
0 |
1 |
1 |
0 |
0 |
0 |
1 |
1 |
1 |
1 |
0 |
1 |
1 |
0,7 | |||||
6 |
Внедрение и использование выбранных средств защиты |
1 |
1 |
1 |
1 |
0 |
1 |
1 |
0 |
1 |
1 |
1 |
1 |
1 |
0 |
0 |
0 |
0 |
1 |
1 |
1 |
0,7 | |||||
7 |
Контроль целостности и управления системой |
0 |
1 |
0 |
1 |
1 |
1 |
1 |
1 |
0 |
1 |
1 |
1 |
1 |
1 |
0 |
1 |
1 |
1 |
1 |
1 |
0,8 | |||||
Оценки |
0,71 |
0,71 |
0,57 |
0,71 |
0,71 |
0,71 |
0,71 |
0,71 |
0,57 |
0,71 |
0,71 |
0,57 |
0,71 |
0,71 |
0,43 |
0,71 |
0,43 |
0,43 |
0,43 |
0,57 |
|
Таблица 1.11– Матрица качественных оценок
Этапы |
Направления |
Защита объектов ИС 010 |
Защита процессов и программ 020 |
Защита каналов связи 030 |
ПЭМИН 040 |
управление СЗИ 050 |
Оценки | ||||||||||||||||||||||||||||||||||||||||
Основы |
база 001 |
структура 002 |
меры 003 |
средства 004 |
база 001 |
структура 002 |
меры 003 |
средства 004 |
база 001 |
структура 002 |
меры 003 |
средства 004 |
база 001 |
структура 002 |
меры 003 |
средства 004 |
база 001 |
структура 002 |
меры 003 |
средства 004 |
| ||||||||||||||||||||||||||
1 |
Определение информации, подлежащей защите |
0,17 |
0,17 |
0,151 |
0,2 |
0,167 |
0,171 |
0,162 |
0,204 |
0,1513 |
0,162 |
0,17 |
0,331 |
0,171 |
0,177 |
0,177 |
0,17 |
0,173 |
0,082 |
0,183 |
0,182 |
0,18 | |||||||||||||||||||||||||
2 |
Выявление угроз и каналов утечки инф-ии |
0,173 |
0,16 |
0,171 |
0,18 |
0,082 |
0,177 |
0,18 |
0,258 |
0,183 |
0,186 |
0,189 |
0,116 |
0,088 |
0,189 |
0,196 |
0,19 |
0,192 |
0,095 |
0,203 |
0,157 |
0,18 | |||||||||||||||||||||||||
3 |
Проведение оценки уязвимости и рисков |
0,17 |
0,08 |
0,179 |
0,27 |
0,186 |
0,088 |
0,187 |
0,195 |
0,091 |
0,095 |
0,184 |
0,405 |
0,194 |
0,103 |
0,101 |
0,31 |
0,213 |
0,11 |
0,223 |
0,129 |
0,18 | |||||||||||||||||||||||||
4 |
Определение требования к СЗИ |
0,162 |
0,18 |
0,183 |
0,23 |
0,183 |
0,196 |
0,095 |
0,261 |
0,202 |
0,208 |
0,213 |
0,158 |
0,219 |
0,216 |
0,118 |
0,182 |
0,234 |
0,125 |
0,245 |
0,099 |
0,19 | |||||||||||||||||||||||||
5 |
Осуществление выбора средств защиты |
0,084 |
0,19 |
0,18 |
0,19 |
0,093 |
0,194 |
0,206 |
0,184 |
0,102 |
0,109 |
0,114 |
0,274 |
0,111 |
0,241 |
0,239 |
0,174 |
0,12 |
0,142 |
0,13 |
0,27 |
0,17 | |||||||||||||||||||||||||
6 |
Внедрение и использование выбранных средств защиты |
0,189 |
0,19 |
0,173 |
0,17 |
0,208 |
0,101 |
0,205 |
0,252 |
0,12 |
0,228 |
0,235 |
0,208 |
0,134 |
0,2 |
0,264 |
0,163 |
0,139 |
0,159 |
0,149 |
0,242 |
0,18 | |||||||||||||||||||||||||
7 |
Контроль целостности и управления защитой |
0,192 |
0,18 |
0,091 |
0,26 |
0,11 |
0,219 |
0,109 |
0,324 |
0,245 |
0,12 |
0,128 |
0,235 |
0,15 |
0,152 |
0,148 |
0,296 |
0,16 |
0,176 |
0,17 |
0,211 |
0,18 | |||||||||||||||||||||||||
Оценки |
0,16 |
0,16 |
0,16 |
0,21 |
0,15 |
0,16 |
0,16 |
0,24 |
0,16 |
0,16 |
0,18 |
0,25 |
0,15 |
0,18 |
0,18 |
0,21 |
0,18 |
0,13 |
0,19 |
0,18 |
|
ВЫВОДЫ
По результатам выполнения расчёта оценки качества СЗИ на основе матрицы безопасности можно сделать следующие выводы:
Лучший показатель этапа 1(Определение требования к СЗИ– 0,19).
При анализе качественной оценки достаточныйуровень защиты мы получили для несколькихнаправлений и основ:
ПЭМИН – средства (0,21),структура (0,18);
б) Управление СЗИ (0,18).
При анализе качественной оценки недостаточный уровень защиты мы получили для этапа5 (Осуществление выбора средств защиты 0,16)
При анализе направлений и основ защиты недостаточный уровень защиты получили для направления 5(управление СЗИ) в блоке показателей основ (структура – 0,12).
Осуществление выбора средств защиты
Программно-аппаратные средства решения проблем:
Использование систем управления доступом (защита от несанкционированной загрузки персонального компьютера, ограничение доступа к внутренним ресурсам), использование средств автоматического поиска уязвимости автоматизированных систем ограничит круг лиц, имеющих доступ к информации;
Регистрация, хранение и обработка сведений о событиях, имеющих отношение к безопасности системы, позволит частично выявить и заняться мониторингом источников угрозы;
Должны существовать документы с описанием доступных пользователю сервисов, допустимых правил работы в ИС и правил обеспечения режима ЗИ.
Сервисы ИС должны не предоставлять доступ, пока не будут закончены процедуры определения полномочий.Для управления доступом к многопользовательским сервисам должна быть разработана процедура регистрации пользователей.
Эта процедура должна:
- проверять, предоставлено ли пользователю разрешение на использование сервиса ответственным за его использование;
- вести учет всех зарегистрированных лиц, использующих ИС;
- проверять, достаточен ли уровень доступа пользователя к системе и не противо
речит ли он политике безопасности, принятой в организации, например, не ком
прометирует ли он принцип разделения.
Компьютер, не включенный в локальную сеть и имеющий конфиденциальную информацию, подвержен достаточно большому количеству различных угроз, величину которых можно уменьшить применением программно-аппаратных средств защиты:
- несанкционированный доступ к компьютеру со стороны сотрудников и других лиц;
- потеря информации в результате заражения вредоносными программами, некомпетентности сотрудников или стихийных бедствий;
- несанкционированный доступ к информации через электромагнитные излучения средств вычислительной техники;
- несанкционированный доступ к информации на съемных носителях;
- несанкционированный доступ к информации, размещенной на отказавших узлах персонального компьютера, отправляемых в ремонт;
- кража или выемка компьютера или его составных частей, носителей информации.
Использование антивирусных средств и резервирования данных может уменьшить потери информации в результате заражения вредоносными программами, некомпетентности сотрудников организации и стихийных бедствий.
Использование средств электромагнитного зашумления и экранирования позволит снизить потери информации через электромагнитные излучения средств вычислительной техники;
Использование средств Wipe и криптографического сокрытия информации, установка блокирующих устройств (электронные ключи) позволяют снизить уровень потерь в результате несанкционированного доступа к информации на съемных носителях, доступа к информации, размещенной на отказавших узлах персонального компьютера, отправляемых в ремонт, кражи или выемки компьютера или его составных частей, носителей информации.
Однако, большинство современных автоматизированных систем обработки информации в общем случае, представляет собой территориально распределенные взаимодействующие локальные вычислительные сети, состоящие из отдельных компьютеров. На компьютерах, включенных в локальную вычислительную сеть, возможно осуществление всех вышеперечисленных угроз с целью вмешательства в их работу и доступа к информации. Также появляются дополнительные угрозы, определяемые сетевой архитектурой:
несанкционированный доступ к сети со стороны рабочих станций и серверов, контролируемых сотрудниками или третьими лицами;
потеря информации в каналах связи в результате заражения вредоносными программами, некомпетентности сотрудников, отказа канала связи, стихийных бедствий;
несанкционированный программно-аппаратный доступ к информации, находящейся в канале связи;
несанкционированный доступ к информации через электромагнитные излучения каналов связи и средств передачи информации;
несанкционированный доступ к информации, размещенной на удаленных и передающих серверах.
К рекомендуемым в данном случае программно-аппаратным средствам решения проблем относятся следующие:
установка программно-аппаратных брандмауэров и маршрутизаторов, использование кратковременного канала связи позволяет снизить угрозу несанкционированного доступа к сети со стороны рабочих станций и серверов, контролируемых сотрудниками или третьими лицами;
использование сетевых антивирусов, позволяет снизить потери информации в каналах связи в результате заражения вредоносными программами;
бороться с некомпетентностью сотрудников программно-аппаратными средствами в случае сетевых приложений чрезвычайно сложно, дублирование информации в сети не намного поднимет надежность, но очень осложнит работу сети, и не снимет проблему неправильно настроенной маршрутизации, однако реально поможет в случае стихийных бедствий;
использование алгоритмов криптографирования (электронной подписи, сжатия с паролем, шифрования) и экранирование каналов, позволяет снизить потери от несанкционированного программно-аппаратного доступа к информации, находящейся в канале связи и доступа к информации через электромагнитные излучения каналов связи и средств передачи информации, также доступа к информации, размещенной на удаленных и передающих серверах.
При организации корпоративной информационной сети с использованием Internet потерь информации достигают наивысшего уровня. Становится возможным:
организация внешних атак на корпоративную сеть;
несанкционированный доступ к сети организации со стороны рабочих станций, удаленных и передающих серверов, включенных в сеть Internet;
потеря информации в каналах связи Internet в результате заражения вредоносными программами, некомпетентности сотрудников, отказа канала связи, стихийных бедствий;
несанкционированный программно-аппаратный доступ к информации, находящейся в канале связи Internet;
несанкционированный доступ к информации через электромагнитные излучения каналов связи и средств передачи информации Internet;
несанкционированный доступ к информации, размещенной на удаленных и передающих серверах Internet;
сбор и мониторинг сетевой информации в интересах третьих лиц;
переизбыток ненужной и вредоносной информации в системе.
Из всего вышеперечисленного следует, что если ваш компьютер или корпоративная сеть является носителем ценной информации необходимо серьезно подумать перед подключением ее в Internet. И перед выполнением следующих рекомендаций выполнить по возможности все рекомендации по средствам защиты перечисленные выше. Провести тщательный анализ и изъятие конфиденциальной информации из подключаемой сети или персонального компьютера. Проконсультироваться со специалистами, занимающимися информационной безопасностью, и выполнить нижеизложенные рекомендации до подключения к Internet. Итак, пути решения:
При работе в сети Internet на первое место выходит "межсетевой экран" или брандмауэр. Брандмауэр - неотъемлемая часть системы защиты, без которой невозможна разработка ее политики. Брандмауэр позволяет значительно снизить число эффективных внешних атак на корпоративную сеть или персональный компьютер, несанкционированный доступ к сети организации со стороны рабочих станций, удаленных и передающих серверов, включенных в сеть Internet, снизить вероятность сбора и мониторинга сетевой информации в интересах третьих лиц, блокировать доступ ненужной и вредоносной информации в систему;
использование VPN технологии, алгоритмов криптографирования (электронной подписи, сжатия с паролем, шифрования), позволяет снизить потери от несанкционированного программно-аппаратного доступа к информации, находящейся в канале связи Internet, доступ к информации через электромагнитные излучения каналов связи и средств передачи информации Internet, также доступа к информации, размещенной на удаленных и передающих серверах Internet, сбор и мониторинг информации в интересах третьих лиц;
дублирование канала Internet и сжатие информации позволяет повысить надежность системы в случае отказа или перегрузки канала связи и в случае стихийных бедствий;
использование антивирусных средств, не без оснований, считается необходимым условием при подключении к Internet, позволяет значительно снизить потери информации в результате заражения вредоносными программами;
использование автоматизированных средств проверки сети на возможные уязвимости в системе защиты и аудита безопасности корпоративных серверов позволяет установить источники угроз и значительно снизить вероятность эффективных атак на корпоративную сеть или персональный компьютер;
использование Proxy и анонимных серверов позволяет оставаться условно анонимным при действиях в Internet и снизить риски, связанные со сбором и мониторинг сетевой информации в интересах третьих лиц, потоком ненужной и вредоносной информации в систему;
использование систем ограничения доступа сотрудников к сетевым ресурсам Internet, использование маршрутизаторов и надежных поставщиков сетевых услуг, кратковременного канала связи позволяют сократить сбор и мониторинг сетевой информации в интересах третьих лиц, поток ненужной и вредоносной информации в систему.