- •Содержание
- •5. Методы и методики проектирования 35
- •Сокращения и обозначения
- •Введение
- •Теоретическая часть
- •Постановка проблемы коиб ас.
- •Состав компонентов ксиб.
- •Методология формирования задач
- •Интеграция средств информационной безопасности в технологическую среду.
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Сзи и общеметодологические принципы ее построения. Основы архитектурного построения
- •Методология проектирования сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Этапы проектирования ксоиб и требования к ним
- •Типовая структура комплексной сзи от нсд
- •Методы и методики проектирования
- •Методика выявления возможных каналов нсд
- •Последовательность работ при проектировании комплексной сзи от нсд и утечки за счет пэмин
- •Методы и методики проектирования
- •Моделирование как инструментарий проектирования
- •Методика построения административного управления ксоиб
- •Методы и методики оценки качества ксиб
- •Методы неформального оценивания
- •Методы экспертных оценок
- •Методы экспертно-лингвистических оценок
- •Неформальные методы поиска оптимальных решений
- •Декомпозиция общей задачи на ряд частных
- •Макромоделирование
- •Анализ и оценка рисков в ас
- •Требования к эксплуатационной документации ксиб
- •Справочно-информационные документы
- •Стандарты
- •Инструкции
- •Аттестация по требованиям безопасности
- •Планирование
- •Сбор информации
- •Базовый анализ
- •Детальный анализ
- •Подготовка отчетных документов по результатам аттестации
- •Аккредитация
- •Особенности эксплуатации ксиб на объекте защиты
- •Организационно-функциональные задачи сб
- •Ведение специальной информационной базы данных ксиб
- •Мониторинг и контроль состояния окружающей среды
- •Практическая часть
- •Постановка проблемы коиб ас. Состав компонентов ксиб. Методология формирования задач зи Виды информации и ее носители
- •Множество функций защиты
- •Интеграция средств информационной безопасности в технологическую среду. Этапы и особенности проектирования ксиб на современном уровне и требования к ним Анализ решения задач зи
- •Возможные варианты сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним. Типовая структура комплексной сзи от нсд Общие рекомендации по формированию требований к зи
- •Методы и методики проектирования Анализ рисков
- •Определение ценности ресурсов
- •Оценка характеристик факторов риска
- •Оценивание уровней рисков
- •Разделение рисков на приемлемые и не приемлемые
- •Методы и методики проектирования Модели систем и процессов зи Модель сзи
- •Модель hru
- •Основные положения неформальных теорий Основные положения теории нечетких множеств
- •Основные положения теории конфликтов
- •Основные положения теории вероятностных автоматов
- •Основные понятия неформальной теории систем
- •Формально-эвристические методы
- •Основные понятия нестрогой математики
- •Метод Монте-Карло
- •Ранжирование
- •Метод Терстоуна
- •Минимаксный подход к определению качества.
- •Программа «Оценка сзи»
- •Требования к эксплуатационной документации ксиб. Аттестация по требованиям безопасности Ведомость эд
- •Формуляр
- •Руководство по техническому обслуживанию
- •Рд, используемые при аттестации ас
- •Особенности эксплуатации ксиб на объекте защиты Права начальника отдела режима и охраны:
- •Права работников сектора режима:
- •Ведение специальной ибд ксиб. Мониторинг и контроль состояния окружающей среды
- •Ас радиационно-экологического мониторинга (постоянного слежения) МосНпо «Радон»
- •Библиографический список
Методы и методики проектирования
Ключевые понятия:
ДФ, основные типы ДФ;
каналы НСД;
требования к ЗИ от НСД,
т ребования к ЗИ от утечки за счет ПЭМИН.
Рис. 7. Методы и методики проектирования.
В целях соблюдения принципов системно-концептуального подхода к решению проблемы ЗИ необходимо разработать совокупность методов и методик проектирования КСИБ, включающую:
методику выявления возможных каналов утечки информации,
методологию формирования задач защиты,
определение работ при проектировании,
методы и методики управления КСИБ
методики оценки.
Методика выявления возможных каналов нсд
Р ис. 8. Методика выявления возможных каналов НСД.
Для того чтобы защищенность информации могла быть нарушена, должны существовать такие условия, при которых могут проявиться ДФ, поэтому методика выявления возможных каналов утечки информации включает формирование множества ДФ. В соответствии с архитектурой, технологией и условиями функционирования АС основные типы ДФ определяются следующим образом:
количественная недостаточность,
качественная недостаточность,
отказ,
сбой,
ошибка,
стихийное бедствие,
злоумышленное действие,
побочное явление.
Т.к. каждый из типов факторов могут проявиться в различных источниках, то возможны 40 различных групп ДФ, следствием которых может быть нарушение защищенности информации, в том числе и ее утечки за счет НСД к ней.
Одним из наиболее адекватных и эффективных методов формирования множества ДФ является метод натуральных экспериментов. Для первоначального же формирования множества ДФ наиболее целесообразно использовать методы экспертной оценки в различных их модификациях.
В зависимости от взаимодействия злоумышленника с АС все множество каналов НСД можно строго разделить на 6 классов:
по отношению к защищаемой информации в АС:
каналы НСД, безотносительные к обработке информации,
каналы НСД, проявляющиеся в процессе обработке информации;
по степени взаимодействия злоумышленника с элементами АС:
без доступа к элементам АС,
с доступом к элементам АС, но без изменения их состояния или содержания,
с доступом к элементам АС с изменением их состояния или содержания.
Если же имеются потенциальные возможности для проявления ДФ, необходимо регулярное проведение анализа возможности открытия каналов утечки информации, как следствие проявления ДФ.
Последовательность работ при проектировании комплексной сзи от нсд и утечки за счет пэмин
Р ис. 9. Последовательность работ при проектировании комплексной СЗИ от НСД и утечки информации за счет ПЭМИН.
Последовательность процедуры проектирования была описана выше. Применительно к комплексной СЗИ от ее утечки по каналам НСД и ПЭМИН для формирования множества требований к ЗИ необходимо обратиться к РД ГТК:
РД «АС. Защита от НСД к информации. Классификация АС и требования по ЗИ»,
ГОСТ Р 5073-95 «СВТ. ЗИ от НСД к информации»,
ГОСТ 29339-92 «Информационная технология. ЗИ от утечки за счет ПЭМИН при ее обработке СВТ. Общие технические требования».
Все множество требований, предъявляемых к ЗИ от НСД, можно разделить на 4 класса:
требования к подсистеме управления доступом:
требования к подсистеме регистрации и учета:
требования к криптографической подсистеме:
требования к подсистеме обеспечения целостности:
Требования в ЗИ от утечки по каналу ПЭМИН также можно разделить на 4 класса:
требования к ОТСС,
требования к ВТСС,
требования к цепям электропитания и заземления,
требования к линиям передачи данных.
Обязательным этапом проектирования СЗИ является оценка соответствия выбранного варианта СЗИ предъявленным требованиям. Оценка соответствия производится по разработанным методикам:
Типовые методики оценки соответствия комплекса СрЗИ требованиям показателей защищенности от НСД к информации,
Типовая методика испытаний объектов информатики по требованиям безопасности информации.
Для оценки соответствия используются следующие методы проверок и испытаний:
экпертно-документальный метод,
измерения и оценка защищенности информации в АС по принятым критериям для данных каналов утечки информации,
проверка отдельных функций ЗИ или их комплекса с помощью тестирующих средств,
попытка взлома СЗИ.
На этапе реализации выбранного варианта проектирования одним из обязательных и немаловажных действий является оформление документации:
руководство пользователя;
руководство по СЗИ;
тестовая документация;
конструкторская (проектная) документация;