- •Содержание
- •5. Методы и методики проектирования 35
- •Сокращения и обозначения
- •Введение
- •Теоретическая часть
- •Постановка проблемы коиб ас.
- •Состав компонентов ксиб.
- •Методология формирования задач
- •Интеграция средств информационной безопасности в технологическую среду.
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Сзи и общеметодологические принципы ее построения. Основы архитектурного построения
- •Методология проектирования сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Этапы проектирования ксоиб и требования к ним
- •Типовая структура комплексной сзи от нсд
- •Методы и методики проектирования
- •Методика выявления возможных каналов нсд
- •Последовательность работ при проектировании комплексной сзи от нсд и утечки за счет пэмин
- •Методы и методики проектирования
- •Моделирование как инструментарий проектирования
- •Методика построения административного управления ксоиб
- •Методы и методики оценки качества ксиб
- •Методы неформального оценивания
- •Методы экспертных оценок
- •Методы экспертно-лингвистических оценок
- •Неформальные методы поиска оптимальных решений
- •Декомпозиция общей задачи на ряд частных
- •Макромоделирование
- •Анализ и оценка рисков в ас
- •Требования к эксплуатационной документации ксиб
- •Справочно-информационные документы
- •Стандарты
- •Инструкции
- •Аттестация по требованиям безопасности
- •Планирование
- •Сбор информации
- •Базовый анализ
- •Детальный анализ
- •Подготовка отчетных документов по результатам аттестации
- •Аккредитация
- •Особенности эксплуатации ксиб на объекте защиты
- •Организационно-функциональные задачи сб
- •Ведение специальной информационной базы данных ксиб
- •Мониторинг и контроль состояния окружающей среды
- •Практическая часть
- •Постановка проблемы коиб ас. Состав компонентов ксиб. Методология формирования задач зи Виды информации и ее носители
- •Множество функций защиты
- •Интеграция средств информационной безопасности в технологическую среду. Этапы и особенности проектирования ксиб на современном уровне и требования к ним Анализ решения задач зи
- •Возможные варианты сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним. Типовая структура комплексной сзи от нсд Общие рекомендации по формированию требований к зи
- •Методы и методики проектирования Анализ рисков
- •Определение ценности ресурсов
- •Оценка характеристик факторов риска
- •Оценивание уровней рисков
- •Разделение рисков на приемлемые и не приемлемые
- •Методы и методики проектирования Модели систем и процессов зи Модель сзи
- •Модель hru
- •Основные положения неформальных теорий Основные положения теории нечетких множеств
- •Основные положения теории конфликтов
- •Основные положения теории вероятностных автоматов
- •Основные понятия неформальной теории систем
- •Формально-эвристические методы
- •Основные понятия нестрогой математики
- •Метод Монте-Карло
- •Ранжирование
- •Метод Терстоуна
- •Минимаксный подход к определению качества.
- •Программа «Оценка сзи»
- •Требования к эксплуатационной документации ксиб. Аттестация по требованиям безопасности Ведомость эд
- •Формуляр
- •Руководство по техническому обслуживанию
- •Рд, используемые при аттестации ас
- •Особенности эксплуатации ксиб на объекте защиты Права начальника отдела режима и охраны:
- •Права работников сектора режима:
- •Ведение специальной ибд ксиб. Мониторинг и контроль состояния окружающей среды
- •Ас радиационно-экологического мониторинга (постоянного слежения) МосНпо «Радон»
- •Библиографический список
Ранжирование
Ранг получается приписыванием 0 объекту или критерию с максимальным рангом, 1 – следующему за максимальным и т.д.
Метод Терстоуна
Суть метода заключается в следующей последовательности действий:
эксперты ранжируют оцениваемые величины или критерии,
затем определяется aij – число случаев, когда i-ая величина оказывается важнее, чем j-ой. Строится матрица A=//aij //, i≤j, j≤n, главная диагональ матрицы остается незаполненной.
строится матрица, определяющая те случаи, когда i-ая величина важнее, чем j-ой: P=//Pij//, i≤j, j≤n,
Pij= aij/m,
m – число экспертов,
Pij+Pji=1.
строится матрица z, элементы которой zij являются нормированными отклонениями, соответствующими элементам Pij,:
,
рассчитывается важность i-ой величины, выраженная в стандартных отклонениях:
,
где ,
по таблицам нормального распределения определяется вероятность соответствующая ,
произведя нормирование Pi так чтобы , получаем коэффициенты относительной важности оцениваемых характеристик.
Минимаксный подход к определению качества.
Алгоритм метода заключатся в следующем:
формируется некий класс ожидаемых сценариев (моделей) развития событий (процессов ЗИ);
из этого класса выбирается два сценария, при которых процесс достигает максимальной и минимальной эффективности, соответственно;
затем ожидаемый эффект оценивается по формуле Гурвица с параметром согласия L. При L=0 (точка Вальда) за основу при принятии решения выбирается наиболее пессимистичная оценка эффективности проекта, когда в условиях реализации самого неблагоприятного из сценариев сделано все, чтобы снизить ожидаемые убытки.
Цель такого подхода – минимизировать риски потери информации. Но большинство проектов, имеющих неплохие шансы на успех, будет забраковано.
Программа «Оценка сзи»
Программа «Оценка СЗИ» реализована на языке программирования Delphi:
предназначена для оценки эффективности мероприятий, проводимых при создании и функционировании СЗИ,
иллюстрирует работу модели СЗИ представленной в виде трехмерной матрицы,
демонстрирует преимущества системного подхода к созданию и оценке эффективности СЗИ,
позволяет рассчитать условные показатели эффективности СЗИ,
дает возможность графического представления состояния достигнутого уровня безопасности по отношению к заданному.
Для оценки эффективности создаваемой или уже функционирующей СЗИ необходимо по всем показателям (элементам матрицы трехмерной модели) выставить соответствующие оценки. Существует много методов оценок, выбирайте любой понятный и прозрачный для вас. Наиболее популярный на сегодняшний день метод «Три П» - пол, палец, потолок.
Заказчик определяет необходимые требования к СЗИ и устанавливает заданный уровень безопасности в соответствующие элементы матрицы. Эксперты в процессе проведения оценки качества созданной СЗИ определяют, реализован ли заданный уровень безопасности, и свои оценки выставляют в тех же элементах матрицы, только в режиме «достигнутый».
Требования к эксплуатационной документации ксиб. Аттестация по требованиям безопасности Ведомость эд
содержит следующие разделы:
общие документы на АС,
документы на составные части АС.
Документы записывают в ведомости в порядке возрастания кода вида документа, входящего в обозначение.
Ведомость можно оформить в виде таблицы:
Заголовок |
Обозначение |
Наименование |
Кол. экз. |
Местонахождение |
производится запись документов; для документов, выполненных печатным способом, заголовок подчеркивают |
указывают обозначение документов |
указывают полное наименование ЭД в соответствии с наименованием, указанным на листе утверждения или титульном листе |
указывают количество экземпляров данного документа |
указывают номер папки, в которой хранится документ, выполненный печатным способом |
Для документов на составные части АС записывают только наименование и вид документов. Допускается записывать текст примечаний и дополнительные сведения, относящиеся к дополнительным ЭД, если это необходимо, при этом приводить порядковые номера примечаний. Текст примечаний может быть записан в конце соответствующих разделов ведомости ЭД; допускается записывать на последних листах ведомости ЭД на формах без граф с проставлением порядкового номера примечаний.
При необходимости в ведомости приводят перечень папок, в которые уложены документы, выполненные печатным способом. Папки записывают после перечисления всех документов под заголовком «Перечень папок» в графе «Наименование» в порядке возрастания их порядковых номеров.
При записи папок графы ведомости заполняют следующим образом:
графу «Обозначение» подчеркивают;
в графе «Наименование» указывают наименование и номер папки, например, «Папка № 1»;
в графе «Кол. экз.» указывают количество экземпляра папок данного наименования, входящих в состав одного комплекта эксплуатационных документов;
в графе «Местонахождение» указывают, при необходимости, местонахождение папок.