4.4.Разработка структурно-функциональной модели сапр ксзи
Комплексная система защиты информации (КСЗИ) характеризуется большим числом взаимодействующих между собой средств и многофункциональным характером решаемых с ее помощью задач [3].
Проектирование, осуществляемое человеком при взаимодействии с ЭВМ, называют автоматизированным. Автоматизированное проектирование осуществляется в рамках САПР [15]. САПР — система, объединяющая технические средства, математическое и программное обеспечение, параметры и характеристики которых выбирают с максимальным учетом особенностей задач проектирования [15].
Структурными составными составляющими САПР являются подсистемы, обладающие всеми свойствами систем и создаваемые как самостоятельные системы.
По назначению подсистемы САПР могут быть проектирующими или обслуживающими. Первые из них непосредственно участвуют в выполнении проектных процедур, а вторые обеспечивают правильное функционирование первых [15].
Процесс проектирования реализуется в подсистемах в виде определенной последовательности проектных процедур и операций. Проектная процедура соответствует части проектной подсистемы, в результате выполнения которой принимается некоторое проектное решение. Она состоит из элементарных проектных операции, имеет твердо установленный порядок их выполнения и направлена на достижение локальной цели в процессе проектирования.
Структурное единство подсистем САПР обеспечивается строгой регламентацией связей между различными видами обеспечения, объединенных общей для данной подсистемы целевой функцией [29].
Различают следующие виды обеспечения САПР [33] (рис. 30).
Рис.30. Виды обеспечения САПР
Техническое обеспечение САПР совокупность взаимосвязанных и взаимодействующих технических средств, предназначенных для выполнения автоматизированного проектирования.
Техническое обеспечение делится на группы средств программной обработки данных, подготовки и ввода данных, средств отображения и документирования, архива проектных решений, средств передачи данных.
Математическое обеспечение САПР включает в себя математические модели проектируемых объектов, методы и алгоритмы проектных процедур, используемые при автоматизированном проектировании.
Элементы математического проектирования САПР чрезвычайно разнообразны. К ним относятся принципы построения функциональных моделей, методы численного решения алгебраических и дифференциальных уравнений, постановки экстремальных задач, поиска экстремума и т.д. Формы представления математического обеспечения довольно разнообразны, но его практическое использование происходит после реализации в программном обеспечении.
Программное обеспечение САПР – объединяет собственно программы для систем обработки данных на машинных носителях и программную документацию, необходимую для эксплуатации программы.
Программное обеспечение (ПО) делится:
на общесистемное;
на базовое;
на прикладное (специальное).
Общесистемное ПО предназначено для организации функционирования технических средств, т.е. для планирования и управления вычислительным процессом, распределения имеющихся ресурсов. Общесистемное ПО обычно создается для многих приложений и специфики САПР не отражает.
Базовое и прикладное ПО создаются для нужд САПР. В базовое ПО входят программы, обеспечивающие правильное функционирование прикладных программ.
В прикладном ПО реализуется математическое обеспечение для непосредственного выполнения проектных процедур. Прикладное ПО обычно имеет форму пакетов прикладных программ, каждый из которых обслуживает определенный этап процесса проектирования или группу однотипных задач внутри различных этапов.
Информационное обеспечение САПР – объединяет всевозможные данные, необходимые для выполнения автоматизированного проектирования.
Данные могут быть представлены в виде документов на различных носителях, содержащих сведения справочного характера о материалах, комплектующих изделиях, типовых проектных решениях, параметрах элементов, сведения о состоянии текущих разработок в виде промежуточных и окончательных проектных решений, структур и параметров проектируемых объектов и т.п.
Основная часть информационного обеспечения САПР - банк данных, представляющий собой совокупность средств для централизованного накопления и коллективного использования данных в САПР.
Лингвистическое обеспечение САПР – представлено совокупностью языков, применяемых для описания процедур автоматизированного проектирования и проектных решений. Основная часть лингвистического обеспечения – языки общения человека с ЭВМ.
Методическое обеспечение САПР составляют документы, характеризующие состав, правила отбора и эксплуатации средств автоматизированного проектирования. Допускается более широкое толкование понятия методического обеспечения, при котором под методическим обеспечением подразумевают совокупность математического, лингвистического обеспечения и названных документов, реализующих правила использования средств проектирования.
Организационное обеспечение САПР – включает положения, инструкции, приказы, штатные расписания, квалификационные требования и другие документы, регламентирующие организационную структуру подразделений проектной организации и их взаимодействие с комплексом средств автоматизированного проектирования [15].
Для эффективного функционирования такой сложной системы, как комплексная система защиты информации необходимо рассмотреть целый комплекс вопросов еще на стадии ее создания. С целью повышения эффективности построения и дальнейшего функционирования КСЗИ используют модель системы автоматизированного проектирования - САПР КСЗИ.
В общем виде структурно-функциональная модель САПР КСЗИ представлена на рис.31.
Модуль описания
объекта
информатизации
Модуль проектирования
технической защиты
Ввод
информации о системе
Блок проектирования
КСЗИ
Блок аудита ИБ
– экспертная система
Модуль определения
вида
защищаемой
информации
Модуль проектирование
программной защиты
Рис.31.Структурно-функциональная
схема САПР КСЗИ
Модуль анализа
защищенности по требованиям СТРК-К/РД
и международным стандартам
Модуль формирования
модели угроз и оценки уязвимостей
Модуль формирования
ТЗ
на разработку
проекта КСЗИ
Модуль выявления
необходимой ОРД на объекте
Модуль выбора
критериев
Модуль формирования
целевой функции
Система
защищена
Блок оптимизации
КСЗИ
Утверждение
проекта КСЗИ
Да
Нет
Да
Нет
Модуль проектирование
организационной защиты
Необходимость проектирования КСЗИ для конкретного объекта следует согласовать с должностными лицами, отвечающими за функционирование объекта, и получить соответствующие полномочия - разрешение доступа к ресурсам, форму допуска к конфиденциальной информации.
При проектировании КСЗИ на начальных этапах происходит получение модели объекта защиты – выполняется структурирование информации, циркулирующей на объекте защиты, и определяются характеристики процесса проектирования (с «нуля» или модифицировать существующую систему защиты), определяют категорию объекта защиты и виды обрабатываемой информации, возможные людские, материальные и финансовые ограничения КСЗИ. Далее выполняется моделирование возможных угроз информации и ранжирование их.
На следующем этапе осуществляется аудит информационной безопасности объекта защиты. В ходе проведения аудита анализируется используемая на защищаемом объекте информация, определяются её виды, степень конфиденциальности, ценность, актуальность и важность и выявляются все виды угроз, которым может быть подвергнут защищаемый объект и все возможные каналы утечки информации [1].
В результате проведения аудита безопасности происходит оценка эффективности действующей системы защиты информации и принимается решение о направлениях её модернизации или разработки принципиально новой модели КСЗИ. Результатом этого этапа является техническое задание (ТЗ) на проектирование КСЗИ для объекта защиты.
Далее в соответствие с ТЗ выбираются методы и средства, разрабатываются способы защиты информации и организационные соответствующие структуры, которые объединяются в единую совокупность – КСЗИ, – обеспечивающую защиту информации от всех потенциально возможных и выявленных в ходе аудита угроз и каналов утечки. Затем разработанный план КСЗИ оптимизируется и в случае необходимости корректируется.
Таким образом, разработанная САПР КСЗИ обеспечивает:
Возможность проведения аудита информационной безопасности объекта защиты.
Получение комплекта проекта проектной документации для развертывания комплексной системы защиты информации на защищаемом объекте.
Технико-экономическую оценку спроектированного варианта комплексной системы защиты информации.
Хранение ранее спроектированных вариантов проектов КСЗИ и возможность их редактирования.
Исходные данные на разработку автоматизированной системы проектирования включают:
характеристику объекта защиты;
вид защищаемой информации.
Результатом работы САПР КСЗИ является разработка политики безопасности, определяющей комплексное использование правовых, организационных, инженерно-технических, программно-аппаратных и криптографических методов, средств и способов защиты информации.