- •Содержание
- •5. Методы и методики проектирования 35
- •Сокращения и обозначения
- •Введение
- •Теоретическая часть
- •Постановка проблемы коиб ас.
- •Состав компонентов ксиб.
- •Методология формирования задач
- •Интеграция средств информационной безопасности в технологическую среду.
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Сзи и общеметодологические принципы ее построения. Основы архитектурного построения
- •Методология проектирования сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Этапы проектирования ксоиб и требования к ним
- •Типовая структура комплексной сзи от нсд
- •Методы и методики проектирования
- •Методика выявления возможных каналов нсд
- •Последовательность работ при проектировании комплексной сзи от нсд и утечки за счет пэмин
- •Методы и методики проектирования
- •Моделирование как инструментарий проектирования
- •Методика построения административного управления ксоиб
- •Методы и методики оценки качества ксиб
- •Методы неформального оценивания
- •Методы экспертных оценок
- •Методы экспертно-лингвистических оценок
- •Неформальные методы поиска оптимальных решений
- •Декомпозиция общей задачи на ряд частных
- •Макромоделирование
- •Анализ и оценка рисков в ас
- •Требования к эксплуатационной документации ксиб
- •Справочно-информационные документы
- •Стандарты
- •Инструкции
- •Аттестация по требованиям безопасности
- •Планирование
- •Сбор информации
- •Базовый анализ
- •Детальный анализ
- •Подготовка отчетных документов по результатам аттестации
- •Аккредитация
- •Особенности эксплуатации ксиб на объекте защиты
- •Организационно-функциональные задачи сб
- •Ведение специальной информационной базы данных ксиб
- •Мониторинг и контроль состояния окружающей среды
- •Практическая часть
- •Постановка проблемы коиб ас. Состав компонентов ксиб. Методология формирования задач зи Виды информации и ее носители
- •Множество функций защиты
- •Интеграция средств информационной безопасности в технологическую среду. Этапы и особенности проектирования ксиб на современном уровне и требования к ним Анализ решения задач зи
- •Возможные варианты сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним. Типовая структура комплексной сзи от нсд Общие рекомендации по формированию требований к зи
- •Методы и методики проектирования Анализ рисков
- •Определение ценности ресурсов
- •Оценка характеристик факторов риска
- •Оценивание уровней рисков
- •Разделение рисков на приемлемые и не приемлемые
- •Методы и методики проектирования Модели систем и процессов зи Модель сзи
- •Модель hru
- •Основные положения неформальных теорий Основные положения теории нечетких множеств
- •Основные положения теории конфликтов
- •Основные положения теории вероятностных автоматов
- •Основные понятия неформальной теории систем
- •Формально-эвристические методы
- •Основные понятия нестрогой математики
- •Метод Монте-Карло
- •Ранжирование
- •Метод Терстоуна
- •Минимаксный подход к определению качества.
- •Программа «Оценка сзи»
- •Требования к эксплуатационной документации ксиб. Аттестация по требованиям безопасности Ведомость эд
- •Формуляр
- •Руководство по техническому обслуживанию
- •Рд, используемые при аттестации ас
- •Особенности эксплуатации ксиб на объекте защиты Права начальника отдела режима и охраны:
- •Права работников сектора режима:
- •Ведение специальной ибд ксиб. Мониторинг и контроль состояния окружающей среды
- •Ас радиационно-экологического мониторинга (постоянного слежения) МосНпо «Радон»
- •Библиографический список
Декомпозиция общей задачи на ряд частных
Метод предлагает декомпозицию (разбиение) общей задачи оценки эффективности на ряд частных задач:
задача оценки эффективности СЗИ от сбоев и отказов аппаратных и программных СрЗИ,
задача оценки эффективности СЗИ от НСД к информации,
задача оценки эффективности СЗИ от ПЭМИН и т.д.
В свою очередь частные задачи могут быть разбиты на подзадачи.
Главная сложность этого метода заключается в учете взаимосвязи и взаимного влияния частных задач и оптимизации.
Макромоделирование
Такое моделирование осуществляется в основном с целью получения предварительных общих оценок системы. Задача при этом упрощается за счет использования при построении модели только основных характеристик.
Одним из этапов Оценки качества КСОИБ является оценка рисков в АС.
Анализ и оценка рисков в ас
Под риском следует понимать – следствие действия либо бездействия, в результате которого существует реальная возможность получения неопределенных результатов различного характера, как положительно, так и отрицательно влияющих на деятельность рассматриваемого объекта.
При выполнении полного анализа рисков необходимо провести ряд мероприятий:
определить ценность ресурсов – для этого выбирается подходящая система критериев, которые должны описать потенциальный ущерб, связанный с нарушением конфиденциальности, целостности, доступности информации:
стоимость ресурсов,
ущерб репутации организации,
неприятности, связанные с нарушением действующего законодательства,
ущерб для здоровья персонала,
ущерб, связанный с разглашением персональных данных отдельных лиц,
финансовые потери от разглашения информации,
финансовые потери, связанные с восстановлением ресурсов,
потери, связанные с невозможностью выполнения обязательств,
ущерб от дезорганизации деятельности и др.;
составить полный список угроз БИ и оценить их параметры – необходимо проанализировать ресурсы с точки зрения воздействия возможных угроз БИ и идентифицировать уязвимости СЗИ. Угрозы ранжируются по привлекательности ресурса и вероятности реализации угроз;
оценить уязвимость ресурсов – для каждого уровня угрозы оценивается уровень уязвимости информации (легкость, с которой реализованная угроза способна привести к негативному воздействию). Например, уровень угроз и уровень уязвимостей можно оценить по шкале «высокий-средний-низкий»;
оценить риски – метод основан на использовании таблиц и учитывает ценность ресурса, уровни угрозы и уязвимости. Каждому значению уровня риска должно быть поставлено в соответствие описание, позволяющее однозначно его трактовать разным людям и понимать, где проходит граница между значениями. Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска: 1: риск практически отсутствует,
2: риск очень мал,
3: …
8: риск очень велик.
Другой метод оценки рисков состоит в разделении их на приемлемые и неприемлемые. Вопрос о том, как провести границу между приемлемыми и не приемлемыми рисками, остается на усмотрении пользователя;
выбрать контрмеры – оценить существующие средств обеспечения информационной безопасности и оценить их эффективность.