- •Содержание
- •5. Методы и методики проектирования 35
- •Сокращения и обозначения
- •Введение
- •Теоретическая часть
- •Постановка проблемы коиб ас.
- •Состав компонентов ксиб.
- •Методология формирования задач
- •Интеграция средств информационной безопасности в технологическую среду.
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Сзи и общеметодологические принципы ее построения. Основы архитектурного построения
- •Методология проектирования сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Этапы проектирования ксоиб и требования к ним
- •Типовая структура комплексной сзи от нсд
- •Методы и методики проектирования
- •Методика выявления возможных каналов нсд
- •Последовательность работ при проектировании комплексной сзи от нсд и утечки за счет пэмин
- •Методы и методики проектирования
- •Моделирование как инструментарий проектирования
- •Методика построения административного управления ксоиб
- •Методы и методики оценки качества ксиб
- •Методы неформального оценивания
- •Методы экспертных оценок
- •Методы экспертно-лингвистических оценок
- •Неформальные методы поиска оптимальных решений
- •Декомпозиция общей задачи на ряд частных
- •Макромоделирование
- •Анализ и оценка рисков в ас
- •Требования к эксплуатационной документации ксиб
- •Справочно-информационные документы
- •Стандарты
- •Инструкции
- •Аттестация по требованиям безопасности
- •Планирование
- •Сбор информации
- •Базовый анализ
- •Детальный анализ
- •Подготовка отчетных документов по результатам аттестации
- •Аккредитация
- •Особенности эксплуатации ксиб на объекте защиты
- •Организационно-функциональные задачи сб
- •Ведение специальной информационной базы данных ксиб
- •Мониторинг и контроль состояния окружающей среды
- •Практическая часть
- •Постановка проблемы коиб ас. Состав компонентов ксиб. Методология формирования задач зи Виды информации и ее носители
- •Множество функций защиты
- •Интеграция средств информационной безопасности в технологическую среду. Этапы и особенности проектирования ксиб на современном уровне и требования к ним Анализ решения задач зи
- •Возможные варианты сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним. Типовая структура комплексной сзи от нсд Общие рекомендации по формированию требований к зи
- •Методы и методики проектирования Анализ рисков
- •Определение ценности ресурсов
- •Оценка характеристик факторов риска
- •Оценивание уровней рисков
- •Разделение рисков на приемлемые и не приемлемые
- •Методы и методики проектирования Модели систем и процессов зи Модель сзи
- •Модель hru
- •Основные положения неформальных теорий Основные положения теории нечетких множеств
- •Основные положения теории конфликтов
- •Основные положения теории вероятностных автоматов
- •Основные понятия неформальной теории систем
- •Формально-эвристические методы
- •Основные понятия нестрогой математики
- •Метод Монте-Карло
- •Ранжирование
- •Метод Терстоуна
- •Минимаксный подход к определению качества.
- •Программа «Оценка сзи»
- •Требования к эксплуатационной документации ксиб. Аттестация по требованиям безопасности Ведомость эд
- •Формуляр
- •Руководство по техническому обслуживанию
- •Рд, используемые при аттестации ас
- •Особенности эксплуатации ксиб на объекте защиты Права начальника отдела режима и охраны:
- •Права работников сектора режима:
- •Ведение специальной ибд ксиб. Мониторинг и контроль состояния окружающей среды
- •Ас радиационно-экологического мониторинга (постоянного слежения) МосНпо «Радон»
- •Библиографический список
Типовая структура комплексной сзи от нсд
Ключевые понятия:
НСД к информации;
способ НСД, виды;
нарушитель, виды, злоумышленник;
подсистема управления доступом;
подсистема регистрации и учета;
криптографическая подсистема;
подсистема обеспечения целостности.
Р ис. 6. Типовая структура комплексной СЗИ от НСД.
В отечественной и зарубежной литературе имеется различное толкование, как понятия способа НСД, так и его содержания.
Субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС называется нарушителем. Наиболее опасная форма нарушителя – злоумышленник. Нарушители делятся на две группы – внешние и внутренние. Внутренние нарушители характеризуются по способам и уровню возможностей, предоставляемых им штатными средствами АС. РД ГТК «Концепция защиты СВТ и АС от НСД к информации» выделяет четыре уровня этих возможностей.
Для защиты от НСД существенно важным являются условия, при которых может осуществятся НСД к защищаемой информации. Одним из наиболее существенных параметров является местонахождение защищаемой информации: организация-разработчик, АС, внешние организации. Поэтому различают ЗИ от НСД в организациях и ЗИ от НСД в АС.
Обеспечение же ЗИ от НСД в АС осуществляется:
созданием СРД субъектов к объектам доступа,
созданием обеспечивающих средств для СРД.
ЗИ от НСД – проблема комплексная. И, следовательно, решаться она должна в процессе решения общей задачи ЗИ в комплексе. В общем случае комплексная СЗИ от НСД включает следующие компоненты:
подсистема управления доступом,
подсистема регистрации и учета,
криптографическая подсистема,
подсистема обеспечения целостности.
В соответствии с исходными данными проводится классификация защищенности АС от НСД к информации.
Основные руководящие документы ГТК по критериям защищенности СВТ и АС:
Временное положение по организации разработки, изготовления и эксплуатации программных и технических СрЗИ от НСД в АС и СВТ,
Концепция СВТ и АС от НСД к информации,
СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации,
АС. Защита от НСД к информации. Классификация АС и требования по ЗИ,
СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации,
Защита от НСД к информации. Часть 1. Программное обеспечение СрЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей.
Основные зарубежные стандарты по критериям защищенности:
Критерии оценки безопасности компьютерных систем МО США (“Оранжевая книга” - TSEC),
Интерпретация Критериев оценки безопасности компьютерных систем МО США для сетевых конфигураций,
Рекомендации Х.800 для распределенных систем,
Гармонизированные критерии европейских стран (ITSEC),
Канадские критерии безопасности компьютерных систем (СТСРЕС),
Федеральные критерии оценки безопасности информационных технологий,
Общие критерии оценки безопасности информационных технологий (ССЕВ). Версия 1.0,
Критерии оценки безопасности информационных технологий ISO 15408-99.