- •Содержание
- •5. Методы и методики проектирования 35
- •Сокращения и обозначения
- •Введение
- •Теоретическая часть
- •Постановка проблемы коиб ас.
- •Состав компонентов ксиб.
- •Методология формирования задач
- •Интеграция средств информационной безопасности в технологическую среду.
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Сзи и общеметодологические принципы ее построения. Основы архитектурного построения
- •Методология проектирования сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Этапы проектирования ксоиб и требования к ним
- •Типовая структура комплексной сзи от нсд
- •Методы и методики проектирования
- •Методика выявления возможных каналов нсд
- •Последовательность работ при проектировании комплексной сзи от нсд и утечки за счет пэмин
- •Методы и методики проектирования
- •Моделирование как инструментарий проектирования
- •Методика построения административного управления ксоиб
- •Методы и методики оценки качества ксиб
- •Методы неформального оценивания
- •Методы экспертных оценок
- •Методы экспертно-лингвистических оценок
- •Неформальные методы поиска оптимальных решений
- •Декомпозиция общей задачи на ряд частных
- •Макромоделирование
- •Анализ и оценка рисков в ас
- •Требования к эксплуатационной документации ксиб
- •Справочно-информационные документы
- •Стандарты
- •Инструкции
- •Аттестация по требованиям безопасности
- •Планирование
- •Сбор информации
- •Базовый анализ
- •Детальный анализ
- •Подготовка отчетных документов по результатам аттестации
- •Аккредитация
- •Особенности эксплуатации ксиб на объекте защиты
- •Организационно-функциональные задачи сб
- •Ведение специальной информационной базы данных ксиб
- •Мониторинг и контроль состояния окружающей среды
- •Практическая часть
- •Постановка проблемы коиб ас. Состав компонентов ксиб. Методология формирования задач зи Виды информации и ее носители
- •Множество функций защиты
- •Интеграция средств информационной безопасности в технологическую среду. Этапы и особенности проектирования ксиб на современном уровне и требования к ним Анализ решения задач зи
- •Возможные варианты сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним. Типовая структура комплексной сзи от нсд Общие рекомендации по формированию требований к зи
- •Методы и методики проектирования Анализ рисков
- •Определение ценности ресурсов
- •Оценка характеристик факторов риска
- •Оценивание уровней рисков
- •Разделение рисков на приемлемые и не приемлемые
- •Методы и методики проектирования Модели систем и процессов зи Модель сзи
- •Модель hru
- •Основные положения неформальных теорий Основные положения теории нечетких множеств
- •Основные положения теории конфликтов
- •Основные положения теории вероятностных автоматов
- •Основные понятия неформальной теории систем
- •Формально-эвристические методы
- •Основные понятия нестрогой математики
- •Метод Монте-Карло
- •Ранжирование
- •Метод Терстоуна
- •Минимаксный подход к определению качества.
- •Программа «Оценка сзи»
- •Требования к эксплуатационной документации ксиб. Аттестация по требованиям безопасности Ведомость эд
- •Формуляр
- •Руководство по техническому обслуживанию
- •Рд, используемые при аттестации ас
- •Особенности эксплуатации ксиб на объекте защиты Права начальника отдела режима и охраны:
- •Права работников сектора режима:
- •Ведение специальной ибд ксиб. Мониторинг и контроль состояния окружающей среды
- •Ас радиационно-экологического мониторинга (постоянного слежения) МосНпо «Радон»
- •Библиографический список
Детальный анализ
Во многих случаях для проведения аттестации бывает недостаточно одного базового анализа, что требует проведения детального анализа для поиска конкретных ошибок в реализации АС, при этом:
оценивают эффективность реализации функций безопасности,
проверяется правильность функционирования механизмов БИ (работоспособность механизмов БИ, эксплуатационные характеристики, устойчивости к попыткам взлома, мониторинг механизмов безопасности).
Здесь может использоваться большинство известных методов тестирования, формальная верификация
Подготовка отчетных документов по результатам аттестации
Основными отчетными документами по результатам аттестации являются:
«Заключение по результатам аттестационных испытаний» - содержит выводы относительно соответствия механизмов БИ АС критериям аттестации, оценку уровня защищенности и рекомендации по обеспечению режима БИ АС, дополняющие существующие организационные меры защиты,
«Протокола аттестационных испытаний», прилагаемые к «Заключению…».
На основании Заключения председатель аттестационной комиссии принимает решение о выдаче «Аттестата соответствия».
Аккредитация
В США термином «аккредитация безопасности АС» обозначается основывающаяся на результатах аттестации санкция руководства предприятия, позволяющая использовать АС для обработки жизненно-важной и/или конфиденциальной информации в данной среде функционирования.
Особенности эксплуатации ксиб на объекте защиты
Ключевые понятия:
эксплуатация КСИБ, принципы эксплуатации;
контроль, виды, субъекты и объекты контроля;
служба безопасности, ее функции, задачи, методика построения и состав;
отдел режима и охраны, права и обязанности;
отдел ЗИ, права и обязанности;
инженерно-техническая группа, права и обязанности.
Рис. 17. Особенности эксплуатации КСИБ на объекте защиты.
КСИБ на объект должна руководствоваться следующими принципами:
приоритет мер,
законность,
комплексное использование сил и средств,
координация и взаимодействие внутри и вне объекта,
сочетание гласности с конспирацией,
компетентность,
экономическая целесообразность,
плановая основа деятельности,
системность,
что гарантирует соблюдение принципов системно-концептуального подхода к решению проблемы ЗИ в процессе эксплуатации объекта.
Согласно этим принципам эксплуатация КСИБ включает в себя:
применение сданных в эксплуатацию СрЗИ;
планирование эксплуатационных мероприятий и контроль за их исполнением;
техническое обслуживание, ремонт приборов и аппаратуры СрЗИ, технический контроль за эксплуатацией СрЗИ;
материальное обеспечение эксплуатационных нужд;
ведение установленной технической ЭД;
сбор и обобщение статистических данных по эксплуатационно-техническому обслуживанию;
анализ причин отказов в работе аппаратуры и причин, способствующих совершению краж и пожаров с заблокированных участков объекта.
Одной из основных функций при введении и эксплуатации КСОИБ АС является контроль – состоит в процессе сопоставления фактически достигнутых результатов с запланированными. Субъекты контрольной деятельности делятся на внутренние (руководитель предприятия, эксплуатирующего АС, члены СБ) и внешние (сотрудники лицензионно-разрешительных подразделений органов внутренних дел и прокуратуры). Контролю подлежат деятельность подразделений, состояние технической защиты объекта, защищенность информации, система профессиональной подготовки и переподготовки сотрудников СБ и т.д. Различают три вида контроля: предварительный, текущий и заключительный.
В рамках контроля состояния ЗИ на предприятии должны быть изучены следующие вопросы:
соблюдение норм, правил хранения и охраны в помещениях, спецхранилищах, на рабочих местах носителей информации;
ведение учета и обеспечение личной ответственности за выполнение данной функции;
соблюдение порядка хранения и уничтожения сведений, подлежащих защите;
соблюдение требований порядка обращения с носителями информации;
меры по предотвращению несанкционированного выноса носителей информации за территорию предприятия;
соблюдение режима и охраны их при транспортировке, рассылке, переносе, доставке;
организация доступа командированных, приглашенных лиц к информации предприятия;
уровень знания требований режима лиц, допущенных к закрытым работам и документам;
степень обеспеченности СБ надежными хранилищами, запирающими устройствами, средствами опечатывания;
уровень обеспеченности сотрудников предприятия соответствующими рабочими местами для работы с носителями информации;
состояние пропускного и внутреннего режима в зданиях, помещениях, в целом на предприятии;
механизм распределения носителей информации по уровням исполнения и управления;
обоснованность доступа к различным видам носителей конкретных групп сотрудников;
порядок обращения с носителями на рабочих местах;
порядок пользования средствами получения, обработки, хранения, отображения, передачи информации;
порядок обмена сведениями внутри предприятия и с внешними партнерами;
своевременность и правильность засекречивания и раскрытия сведений;
организация и проведение совещаний, переговоров, выставок, конференций, симпозиумов и т.д.;
качество разработки организационно-методических документов, выполнение планов работ и специальных мероприятий по ЗИ;
уровень и полнота выполнения требований руководства предприятия;
состояние профилактической работы с сотрудниками;
уровень организационно-методического обеспечения взаимодействия между подразделениями;
время поиска и доведения информации до исполнителей.
Таким образом, одним из условий, необходимых для реализации и эксплуатации КСИБ являются организационные условия, одно из которых заключается в необходимости создания системы органов, основу которой составили бы специализированные центры ЗИ и службы. В этих целях на предприятиях создаются специальные службы, зачастую называемые СБ.