- •В.И. Аверченков, м.Ю. Рытов,
- •Предисловие
- •1. Анализ и систематизация существующего информационного, методического и программного обеспечения автоматизации проектирования организационно - технических систем
- •1.1.1.Понятие организационно-технических систем
- •1.1.2.Анализ подходов к проектированию организационно-технических систем
- •1.2. Характеристика видов обеспечения процесса
- •1.3. Исследование состава комплексных систем защиты
- •1.3.1.Система защиты информации и общеметодологические принципы ее построения
- •1.3.2. Исследование архитектурного построения систем защиты
- •1.4. Существующие подходы к автоматизации проектирования комплексных систем защиты информации
- •1.4.1. Программные продукты аудита информационной безопасности
- •1.4.2. Сетевые сканеры
- •1.4.3. Сапр систем физической защиты
- •1.4.4.Существующие подходы к созданию сапр ксзи
- •2.Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к
- •2.1.Сущность комплексного подхода к разработке системы защиты информации
- •2.2. Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к объекту защиты
- •3. Разработка методов математического описания и методик построения методов
- •3.1. Требования к математическому обеспечению сапр ксзи
- •3.2.Общий подход к математическому моделированию ксзи
- •3.3.Построение математической модели общей оценки угроз
- •3.4. Построение математической модели оценки рисков
- •3.5. Варианты решения задачи выбора средств защиты
- •3.5.1. Математическое обеспечение выбора средств защиты информации на основе четких множеств с четкими соответствиями
- •3.5.2.Математическое обеспечение выбора средств защиты информации на основе нечетких соответствий четких множеств
- •3.5.3. Математическое обеспечение выбора средств защиты информации на основе нечетких множеств
- •3.6. Анализ используемых методик выбора средств защиты информации в сапр ксзи
- •4. Выработка концептуального подхода
- •4.1.Типовое вариантное проектирование ксзи
- •4.2.Выбор способа представления инженерных знаний в системах параметрического проектирования
- •Имя слота 1 (значение слота 1); Имя слота 2 (значение слота 2);
- •Имя слота к (значение слота к)).
- •4.3.Формирование сетевой модели комплексной системы защиты информации на основе типизации её элементов
- •4.4.Разработка структурно-функциональной модели сапр ксзи
- •4.4.1.Разработка структуры и наполнение информационного обеспечения сапр ксзи
- •4.4.2.Разработка лингвистического обеспечения сапр ксзи
- •5. Возможности сапр для проектирования комплексной системы защиты информации на примере вуза
- •5.1.Анализ объекта защиты на примере высшего учебного заведения
- •Информация
- •5.2.Разработка проекта системы защиты конфиденциальной информации вуза
- •5.2.1. Разработка проекта программно-аппаратной защиты
- •5.2.2.Разработка проекта инженерно-технической защиты
- •5.2.2.1.Разработка проекта схемы размещения пожарных извещателей
- •5.2.2.2. Разработка проекта размещения оборудования помещений объекта техническими средствами охранной сигнализации
- •5.2.3. Разработка проекта организационно-распорядительной
- •1.Правового характера:
- •2.Организационного характера:
- •3.Организационно-технического характера:
- •4. Режимного характера:
- •5.3. Анализ результатов работы сапр ксзи
- •Заключение
- •Список литературы
- •Аверченков Владимир Иванович
2.2. Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к объекту защиты
Главной характеристикой системы безопасности является ее комплексность, т.е. наличие в ней обязательных элементов, охватывающих все направления защиты информации. Соотношение элементов и их содержания обеспечивает индивидуальность построения системы защиты информации конкретного объекта и гарантируют неповторимость системы, трудность ее преодоления.
КСЗИ — это организованная совокупность объектов и субъектов ЗИ, используемых методов и средств защиты, а также осуществляемых защитных мероприятий.
Компоненты КСЗИ, с одной стороны, являются составной частью системы, с другой — сами организуют систему, осуществляя защитные мероприятия [3].
По способам осуществления все компоненты КСЗИ подразделяются на правовые (законодательные), организационные (административные), инженерно-технические, программно-аппаратные и криптографические (рис.12) [9]. Рассмотрим наборы типовых вариантов компонентов КСЗИ.
К правовым (законодательным) мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации, и являющиеся сдерживающим фактором для потенциальных нарушителей [19].
Законодательные меры защиты определяют правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение.
Рис.12.Основные компоненты КСЗИ
Организационные (административные) меры защиты - это комплекс направлений и методов управленческого, ограничительного и технологического характера, определяющих основы и содержание системы защиты, побуждающих персонал соблюдать правила защиты конфиденциальной информации [2]. Они включают (рис.13.):
мероприятия, осуществляемые:
при проектировании, строительстве и оборудовании объектов защиты;
по разработке правил доступа персонала к защищаемым объектам (разработка политики безопасности);
при подборе и подготовке персонала.
организацию:
охраны и надежного пропускного режима;
учета, хранения, использования и уничтожения документов и носителей с информацией;
явного и скрытого контроля за работой персонала [9].
Рис.13. Состав организационных мер защиты информации
Организационным мерам защиты присущи серьезные недостатки, такие как:
1) низкая надежность без соответствующей поддержки инженерно-техническими, программно-аппаратными и криптографическими средствами;
2) дополнительные неудобства, связанные с большим объемом рутинной формальной деятельности.
Организационные меры необходимы для обеспечения эффективного применения других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными физическими и техническими средствами.
Инженерно – техническая защита информации – защита информации при её обработке техническими средствами, осуществляемая с использованием технических средств и способов защиты. К техническим средствам и способам защиты в общем случае относят технические, инженерные и аппаратные средства, а также способы их использования [2].
Рис.14. Состав инженерно-технических мер защиты
Данный компонент КСЗИ включает в себя (рис.14.):
сооружения инженерной защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);
средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования;
средства защиты помещений от визуальных способов технической разведки;
средства обеспечения охраны территории, здания и помещений;
средства обнаружения приборов и устройств технической разведки.
Программно-аппаратная защита информации – защита информации, предусматривающая использование аппаратных средств и специального программного обеспечения для защиты данных в АСОД.
Данный компонент КСЗИ включает в себя (рис.15):
автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;
программы защиты информации, работающие в комплексе с программами обработки информации;
программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных и др.).
Рис.15. Состав программно-аппаратной защиты информации
Данный компонент КСЗИ включает (рис.16):
регламентацию использования различных криптографических методов в ЭВМ и локальных сетях;
определение условий и методов шифрования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи;
регламентацию:
использования средств криптографирования переговоров по незащищенным каналам телефонной и радио связи;
доступа к базам данных, файлам, электронным документам с использованием методов персональной идентификации;
доступа персонала в выделенные помещения с помощью средств персональной идентификации.
Рис.16.Состав криптографических методов защиты информации
Инженерно-технические, программно-аппаратные, криптографические средства защиты призваны устранить недостатки организационных мер, поставить прочные барьеры на пути злоумышленников и в максимальной степени исключить возможность несанкционированного доступа и получения защищаемой информации.
Взаимосвязь рассмотренных компонентов КСЗИ приведена на рис.17.
Рис.17.Взаимосвязь компонентов КСЗИ:
Yi – виды угроз безопасности;
Ii – виды информации, обрабатываемой на объекте защиты;
ПИБ – политика информационной безопасности.
Примечания:
1 – Организационная защита информации обеспечивает исполнение существующих нормативных актов и строится с учетом существующих правил поведения, принятых в стране и/или организации.
2 - Воплощение организационных мер защиты информации требует создания нормативных документов.
3 - Для эффективного применения организационные меры защиты информации должны быть поддержаны инженерно-техническими, программно-аппаратными и криптографическими средствами защиты информации.
4 - Применение и использование инженерно-технических, программно-аппаратных и криптографических средств защиты требует соответствующей организационной поддержки [9].
Все компоненты КСЗИ, в свою очередь, в общем виде состоят из средств, устройств и способов защиты информации, а также методов их использования.
В каждом элементе комплексной системы защиты могут быть реализованы на практике только отдельные составные части в зависимости от поставленных задач защиты информации на конкретном объекте [2].