- •Содержание
- •5. Методы и методики проектирования 35
- •Сокращения и обозначения
- •Введение
- •Теоретическая часть
- •Постановка проблемы коиб ас.
- •Состав компонентов ксиб.
- •Методология формирования задач
- •Интеграция средств информационной безопасности в технологическую среду.
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Сзи и общеметодологические принципы ее построения. Основы архитектурного построения
- •Методология проектирования сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Этапы проектирования ксоиб и требования к ним
- •Типовая структура комплексной сзи от нсд
- •Методы и методики проектирования
- •Методика выявления возможных каналов нсд
- •Последовательность работ при проектировании комплексной сзи от нсд и утечки за счет пэмин
- •Методы и методики проектирования
- •Моделирование как инструментарий проектирования
- •Методика построения административного управления ксоиб
- •Методы и методики оценки качества ксиб
- •Методы неформального оценивания
- •Методы экспертных оценок
- •Методы экспертно-лингвистических оценок
- •Неформальные методы поиска оптимальных решений
- •Декомпозиция общей задачи на ряд частных
- •Макромоделирование
- •Анализ и оценка рисков в ас
- •Требования к эксплуатационной документации ксиб
- •Справочно-информационные документы
- •Стандарты
- •Инструкции
- •Аттестация по требованиям безопасности
- •Планирование
- •Сбор информации
- •Базовый анализ
- •Детальный анализ
- •Подготовка отчетных документов по результатам аттестации
- •Аккредитация
- •Особенности эксплуатации ксиб на объекте защиты
- •Организационно-функциональные задачи сб
- •Ведение специальной информационной базы данных ксиб
- •Мониторинг и контроль состояния окружающей среды
- •Практическая часть
- •Постановка проблемы коиб ас. Состав компонентов ксиб. Методология формирования задач зи Виды информации и ее носители
- •Множество функций защиты
- •Интеграция средств информационной безопасности в технологическую среду. Этапы и особенности проектирования ксиб на современном уровне и требования к ним Анализ решения задач зи
- •Возможные варианты сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним. Типовая структура комплексной сзи от нсд Общие рекомендации по формированию требований к зи
- •Методы и методики проектирования Анализ рисков
- •Определение ценности ресурсов
- •Оценка характеристик факторов риска
- •Оценивание уровней рисков
- •Разделение рисков на приемлемые и не приемлемые
- •Методы и методики проектирования Модели систем и процессов зи Модель сзи
- •Модель hru
- •Основные положения неформальных теорий Основные положения теории нечетких множеств
- •Основные положения теории конфликтов
- •Основные положения теории вероятностных автоматов
- •Основные понятия неформальной теории систем
- •Формально-эвристические методы
- •Основные понятия нестрогой математики
- •Метод Монте-Карло
- •Ранжирование
- •Метод Терстоуна
- •Минимаксный подход к определению качества.
- •Программа «Оценка сзи»
- •Требования к эксплуатационной документации ксиб. Аттестация по требованиям безопасности Ведомость эд
- •Формуляр
- •Руководство по техническому обслуживанию
- •Рд, используемые при аттестации ас
- •Особенности эксплуатации ксиб на объекте защиты Права начальника отдела режима и охраны:
- •Права работников сектора режима:
- •Ведение специальной ибд ксиб. Мониторинг и контроль состояния окружающей среды
- •Ас радиационно-экологического мониторинга (постоянного слежения) МосНпо «Радон»
- •Библиографический список
Планирование
Можно выделить четыре стадии планирования:
инициирование – определяется общий порядок выполнения работ, необходимые затраты ресурсов на проведения аттестации и согласование схемы аттестации с заказчиком работ;
анализ – определяют границы проведения аттестации и распределение работ, общие и внутренние требования БИ, предъявляемые к АС, собирают исходные данные, необходимые для разработки программы и методики аттестационных испытаний;
планирование ресурсов – осуществляется выделение ресурсов (временных, людских, ТС и т.п.), необходимых для выполнения намеченных задач;
документирование плана проведения аттестации – осуществляется подготовка и согласование плана проведения аттестации, который в общем случае включает в себя следующие разделы:
резюме – все необходимые сведения о порядке проведения работ,
введение – описывает структуру АС, границы проведения обследования, уровень критичности, группы решаемых системой задач, ограничения, накладываемые политикой безопасности, общий график работ, критерии для оценки уровня защищенности АС,
распределение ответственности – определяется организационная структура и обязанности участников процедуры аттестации,
требования БИ – определяется набор требований БИ,
подход к оцениванию – перечисляются задачи, выполняемые при проведении базового в случае необходимости детального анализа.
план-график работ – определяет сроки подготовки отчетных документов и исходных данных, сроки проведения совещаний и сроки окончания этапов выполнения работ,
поддержка – перечисляются требования к поддержке процедуры аттестации со стороны обслуживающего персонала и руководства организации,
отчетные документы – отчет по результатам предварительного обследования объекта информатизации, программа и методика проведения аттестационных испытаний, протокола испытаний, заключение по результатам испытаний,
приложения – структура отчета по результатам аттестационных испытаний, информация по методам и средствам проведения испытаний и анализа, даются ссылки на источники такой информации.
Принятая схема проведения аттестации оформляется в виде «Технического задания» и «Программы работ».
Сбор информации
Существует 3 основных метода сбора информации: от обслуживающего персонала и разработчиков АС, изучение документации, проведение опросов.
Для проведения аттестационных испытаний должны быть подготовлены следующие документы:
документы, содержащие требования БИ,
отчет по результатам анализа рисков – содержит описание ресурсов АС, оценку их критичности, описание существующих угроз и уязвимостей, оценку ущерба, оценку рисков,
диаграммы информационных потоков приложений – описывают входные, выходные и внутренние информационные потоки приложений, выполняющихся в рамках АС,
описание механизмов БИ.
Базовый анализ
В общем случае базовый анализ должен выполняться на функциональном уровне — это уровень абстракции, представленный спецификациями функций АС. Проводится анализ механизмов безопасности АС, позволяет определить общий уровень ее защищенности и степень соответствия требованиям БИ и заключается в проверке наличия в составе системы компонентов, реализующих необходимый набор требований БИ:
существующие, как общие требования БИ, так и специфичные для АС должны быть критически исследованы. Основная часть требований может содержаться в «Техническом задании на создание АС»;
анализируются механизмы безопасности – если требования БИ четко определены, то анализ проводится по спискам проверки (перечень контрольных вопросов) в противном случае используют методы тестирования механизмов безопасности АС. Важным вопросом анализа механизмов БИ является выбор уровня детализации;
проверяется существование механизмов БИ, представленных функциональными спецификациями АС;
рассматривается методология реализации механизмов БИ