- •Содержание
- •5. Методы и методики проектирования 35
- •Сокращения и обозначения
- •Введение
- •Теоретическая часть
- •Постановка проблемы коиб ас.
- •Состав компонентов ксиб.
- •Методология формирования задач
- •Интеграция средств информационной безопасности в технологическую среду.
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Сзи и общеметодологические принципы ее построения. Основы архитектурного построения
- •Методология проектирования сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Этапы проектирования ксоиб и требования к ним
- •Типовая структура комплексной сзи от нсд
- •Методы и методики проектирования
- •Методика выявления возможных каналов нсд
- •Последовательность работ при проектировании комплексной сзи от нсд и утечки за счет пэмин
- •Методы и методики проектирования
- •Моделирование как инструментарий проектирования
- •Методика построения административного управления ксоиб
- •Методы и методики оценки качества ксиб
- •Методы неформального оценивания
- •Методы экспертных оценок
- •Методы экспертно-лингвистических оценок
- •Неформальные методы поиска оптимальных решений
- •Декомпозиция общей задачи на ряд частных
- •Макромоделирование
- •Анализ и оценка рисков в ас
- •Требования к эксплуатационной документации ксиб
- •Справочно-информационные документы
- •Стандарты
- •Инструкции
- •Аттестация по требованиям безопасности
- •Планирование
- •Сбор информации
- •Базовый анализ
- •Детальный анализ
- •Подготовка отчетных документов по результатам аттестации
- •Аккредитация
- •Особенности эксплуатации ксиб на объекте защиты
- •Организационно-функциональные задачи сб
- •Ведение специальной информационной базы данных ксиб
- •Мониторинг и контроль состояния окружающей среды
- •Практическая часть
- •Постановка проблемы коиб ас. Состав компонентов ксиб. Методология формирования задач зи Виды информации и ее носители
- •Множество функций защиты
- •Интеграция средств информационной безопасности в технологическую среду. Этапы и особенности проектирования ксиб на современном уровне и требования к ним Анализ решения задач зи
- •Возможные варианты сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним. Типовая структура комплексной сзи от нсд Общие рекомендации по формированию требований к зи
- •Методы и методики проектирования Анализ рисков
- •Определение ценности ресурсов
- •Оценка характеристик факторов риска
- •Оценивание уровней рисков
- •Разделение рисков на приемлемые и не приемлемые
- •Методы и методики проектирования Модели систем и процессов зи Модель сзи
- •Модель hru
- •Основные положения неформальных теорий Основные положения теории нечетких множеств
- •Основные положения теории конфликтов
- •Основные положения теории вероятностных автоматов
- •Основные понятия неформальной теории систем
- •Формально-эвристические методы
- •Основные понятия нестрогой математики
- •Метод Монте-Карло
- •Ранжирование
- •Метод Терстоуна
- •Минимаксный подход к определению качества.
- •Программа «Оценка сзи»
- •Требования к эксплуатационной документации ксиб. Аттестация по требованиям безопасности Ведомость эд
- •Формуляр
- •Руководство по техническому обслуживанию
- •Рд, используемые при аттестации ас
- •Особенности эксплуатации ксиб на объекте защиты Права начальника отдела режима и охраны:
- •Права работников сектора режима:
- •Ведение специальной ибд ксиб. Мониторинг и контроль состояния окружающей среды
- •Ас радиационно-экологического мониторинга (постоянного слежения) МосНпо «Радон»
- •Библиографический список
Состав компонентов ксиб.
Ключевые понятия:
объект защиты, информация, источник информации, носитель информации, виды информации;
угроза, виды угроз;
СЗИ.
В общем виде, если отбросить научную фразеологию, концепция информационной безопасности отвечает на 3 простых вопроса:
что защищать – объект защиты,
от чего защищать – угроза,
к ак защищать – СЗИ,
которые и формируют компоненты КСОИБ.
Рис. 2. Состав компонентов КСОИБ.
На основании разделения СрЗИ можно выделить состав КСОИБ:
нормативно-правовое,
морально-эстетическое,
организационное,
техническое
обеспечение информационной безопасности:
В качестве объектов, подлежащих защите в интересах субъектов информационных отношений, должны рассматриваться:
информация, представленная в любой материальной форме, ее носители;
информационные средства, процессы и системы обработки (передачи, хранения) информации.
Под информацией понимают сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (их свойствах, характеристиках) в некоторой предметной области, которые (сведения) используются (необходимые) для оптимизации принимаемых решений в процессе управления данными объектами. В зависимости от наносимого собственнику ущерба защищаемая информация делится на информацию открытого и ограниченного доступа (государственная, служебная, коммерческая тайна…). Источник информации – материальный объект или субъект информации, способный накапливать, хранить, преобразовывать и выдавать информацию в виде сообщений или сигналов различной физической природы. Информация доступна человеку, если она содержится на материальном носителе. Значит, правильнее будет сказать, что объектами защиты являются материальные носители информации – это физическое лица или материальный объект, в том числе физическое поле, в котором информация находит свое отображение в виде символов, образов, сигналов, технических решений или процессов. Носители бывают: прямые и косвенные.
В общем случае среди информационных средств, представляемых в качестве объекта защиты, выделяют: ОТСС, ВТСС, выделенные (защищаемые) помещения.
Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. По отношению к объекту защиты угрозы бывают объективные и субъективные, внутренние и внешние.
Методология формирования задач
Ключевые понятия:
методологические основы ЗИ;
особенности проблемы ЗИ;
функции ЗИ, множество функций ЗИ, его состав, требование к множеству функций ЗИ;
задачи ЗИ, множество задач ЗИ, его состав, требование к множеству задач ЗИ.
Р ис. 3. Методология формирования задач ЗИ.
Особенности проблемы ЗИ, многолетний опыт решения частных проблем ЗИ, отсутствие системных наработок в данной области привели к необходимости разработки методологического базиса, как самой проблемы, так и ее решения. Как было указано ранее, для этого приняты принципы системного концептуального подхода к проблеме комплексной ЗИ. Все это и привело к формированию методологических основ ЗИ.
Системообразующим компонентом, предназначенным для создания концепции в рамках системно-концептуального подхода, является определение и формирование множества функций защиты. Функции защиты – это совокупность мероприятий, регулируемых и определяемых в АС различными средствами и методами для создания, поддержания и обеспечения условий, необходимых для надежной ЗИ. Множество функций ЗИ должно состоять из двух подмножеств:
функции непосредственной ЗИ,
функции управления механизмами защиты.
Для того чтобы множество функций соответствовало своему назначению, оно должно удовлетворять требованию полноты. Это требование является абсолютным (при его нарушении принципы системно-концептуального подхода к ЗИ вообще не могут быть реализованы).
Множество перечисленных функций управления является универсальным и полным в том смысле, что создает объективные предпосылки для эффективного управления любыми системами в любых условиях их функционирования.
Обеспечение регулярного осуществления функций ЗИ достигается тем, что в АС регулярно решаются специальные задачи ЗИ. Задачи ЗИ – это организованные возможности средств, методов и мероприятий, осуществляемых в АС с целью полного или частичного осуществления одной или нескольких функций ЗИ в одной или нескольких зонах защиты. Основное концептуальное требование к задачам ЗИ – это надежное обеспечение заданного уровня осуществления каждой из полного множества функций ЗИ. Практическая реализация этой возможности может быть обеспечена лишь в том случае, если множество задач ЗИ будет репрезентативным.
Аналогично двум видам функций должны быть предусмотрены и два вида задач ЗИ:
создания и реализации механизмов защиты,
управления механизмами защиты.
По оценкам, множество задач ЗИ должно включать огромное количество (порядка 10 тыс.) групп задач. Размерность этого множества можно существенно уменьшить, проведя системную классификацию задач. Анализ показывает, что репрезентативное множество задач может состоять из некоторого количества классов задач. На основе системного и предметного анализа рациональных путей осуществления функций ЗИ сформировано 10 классов задач первого вида (решаемых с целью создания механизмов ЗИ) и 4 класса задач второго вида (решаемых с целью управления механизмами защиты):
Класс 1.1. — введение избыточности элементов системы.
Класс 1.2 — резервирование элементов системы.
Класс 1.3. — регулирование доступа к элементам системы.
Класс 1.4. — регулирование использования элементов.
Класс 1.5 — маскировка информации.
Класс 1.6 — контроль элементов системы.
Класс 1.7 — регистрация сведений.
Класс 1.8 — уничтожение информации.
Класс 1.9 — сигнализация.
Класс 1.10 — реагирование.
Класс 2.1 — планирование ЗИ.
Класс 2.2 — оперативно-диспетчерское управление ЗИ.
Класс 2.3 — календарно-плановое руководство ЗИ.
Класс 2.4 — обеспечение повседневной деятельности всех подразделений и отдельных должностных лиц, имеющих непосредственное отношение к ЗИ.