- •Содержание
- •5. Методы и методики проектирования 35
- •Сокращения и обозначения
- •Введение
- •Теоретическая часть
- •Постановка проблемы коиб ас.
- •Состав компонентов ксиб.
- •Методология формирования задач
- •Интеграция средств информационной безопасности в технологическую среду.
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Сзи и общеметодологические принципы ее построения. Основы архитектурного построения
- •Методология проектирования сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Этапы проектирования ксоиб и требования к ним
- •Типовая структура комплексной сзи от нсд
- •Методы и методики проектирования
- •Методика выявления возможных каналов нсд
- •Последовательность работ при проектировании комплексной сзи от нсд и утечки за счет пэмин
- •Методы и методики проектирования
- •Моделирование как инструментарий проектирования
- •Методика построения административного управления ксоиб
- •Методы и методики оценки качества ксиб
- •Методы неформального оценивания
- •Методы экспертных оценок
- •Методы экспертно-лингвистических оценок
- •Неформальные методы поиска оптимальных решений
- •Декомпозиция общей задачи на ряд частных
- •Макромоделирование
- •Анализ и оценка рисков в ас
- •Требования к эксплуатационной документации ксиб
- •Справочно-информационные документы
- •Стандарты
- •Инструкции
- •Аттестация по требованиям безопасности
- •Планирование
- •Сбор информации
- •Базовый анализ
- •Детальный анализ
- •Подготовка отчетных документов по результатам аттестации
- •Аккредитация
- •Особенности эксплуатации ксиб на объекте защиты
- •Организационно-функциональные задачи сб
- •Ведение специальной информационной базы данных ксиб
- •Мониторинг и контроль состояния окружающей среды
- •Практическая часть
- •Постановка проблемы коиб ас. Состав компонентов ксиб. Методология формирования задач зи Виды информации и ее носители
- •Множество функций защиты
- •Интеграция средств информационной безопасности в технологическую среду. Этапы и особенности проектирования ксиб на современном уровне и требования к ним Анализ решения задач зи
- •Возможные варианты сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним. Типовая структура комплексной сзи от нсд Общие рекомендации по формированию требований к зи
- •Методы и методики проектирования Анализ рисков
- •Определение ценности ресурсов
- •Оценка характеристик факторов риска
- •Оценивание уровней рисков
- •Разделение рисков на приемлемые и не приемлемые
- •Методы и методики проектирования Модели систем и процессов зи Модель сзи
- •Модель hru
- •Основные положения неформальных теорий Основные положения теории нечетких множеств
- •Основные положения теории конфликтов
- •Основные положения теории вероятностных автоматов
- •Основные понятия неформальной теории систем
- •Формально-эвристические методы
- •Основные понятия нестрогой математики
- •Метод Монте-Карло
- •Ранжирование
- •Метод Терстоуна
- •Минимаксный подход к определению качества.
- •Программа «Оценка сзи»
- •Требования к эксплуатационной документации ксиб. Аттестация по требованиям безопасности Ведомость эд
- •Формуляр
- •Руководство по техническому обслуживанию
- •Рд, используемые при аттестации ас
- •Особенности эксплуатации ксиб на объекте защиты Права начальника отдела режима и охраны:
- •Права работников сектора режима:
- •Ведение специальной ибд ксиб. Мониторинг и контроль состояния окружающей среды
- •Ас радиационно-экологического мониторинга (постоянного слежения) МосНпо «Радон»
- •Библиографический список
Инструкции
К инструкциям относятся систематизированные наборы типовых инструкций для различных категорий подразделений и лиц, имеющих отношение к ЗИ. Инструкции должны быть утверждены полномочными органами, причем утверждение дает инструкциям статус типовых, на основе которых на каждом конкретном предприятии (учреждении, заведении) должны разрабатываться и утверждаться соответствующими должностными лицами рабочие инструкции, учитывающие специфику предприятий (учреждений, заведений). При этом, так как основными категориями подразделений и лиц, имеющих непосредственное отношение к ЗИ, являются пользователи (абоненты) АС, сотрудники самой АС и служба ЗИ, то необходимо предусмотреть для каждой из категорий свою разновидность типовых инструкций.
ЭД на АС
ЭД, разрабатываемую в ходе жизненного цикла АС, можно разделить следующим образом:
документация функциональной части АС,
документация организационного обеспечения АС,
документация информационного обеспечения АС,
документация технического обеспечения АС,
документация программного обеспечения АС
ЭД на АС должна:
быть достаточной для ввода АС в действие и ее эффективного функционирования,
содержать сведения, необходимые для быстрого и качественного освоения и правильной эксплуатации средств автоматизации АС,
содержать указания по деятельности персонала АС в аварийных ситуациях или при нарушении нормальных условий функционирования АС,
не содержать положений, допускающих неоднозначное толкование.
В состав ЭД входят:
Ведомость ЭД,
План организационно-технических мероприятий по подготовке АС к внедрению,
Описания технологии обработки (передачи) информации,
Технический паспорт,
Формуляр системы,
Руководство пользователя,
Руководство администратора,
Программа и методика предварительных испытаний,
Программа и методика приемочных испытаний,
Инструкция по эксплуатации комплекса ТС.
Аттестация по требованиям безопасности
Ключевые понятия:
сертификация по требованиям безопасности;
аттестация по требованиям безопасности;
критическая информация, критические АС;
«Аттестат соответствия»;
порядок аттестации;
планирование, сбор информации, базовый анализ, функциональный уровень, детальный анализ, отчетная документация, аккредитация безопасности АС.
Рис.16. Аттестация по требованиям безопасности.
В современных условиях наиболее перспективным способом проверки достигнутого качества функционирования и уровня защищенности АС является процедура аттестации. Для многих АС аттестация носит добровольный характер, но существует большая категория АС, для которых аттестация является обязательным условием их эксплуатации. Система аттестации АС является составной частью Единой системы сертификации СрЗИ и аттестации объектов информатизации по требованиям БИ, организация функционирования которой осуществляется ГТК. Существует два направления решения этой проблемы: связанное со СВТ и направление, связанное с АС. Это послужило причиной отличия используемой в нашей стране терминологии от принятой в других странах. Понятие «сертификация по требованиям безопасности»3 в России применяется по отношению к СВТ, в то время как тот же самый процесс по отношению к АС называется аттестацией. В США в обоих случаях используется понятие «сертификация». В дальнейшем используется принятый в нашей стране термин аттестация.
Процедуру аттестации АС можно условно разделить на несколько последовательных этапов:
планирование,
сбор информации,
базовый анализ,
детальный анализ,
подготовка отчетных документов,
аккредитация.