Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4629 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Поволжский государственный технологический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Методические указания к пр бр ч2.doc
Скачиваний:
23
Добавлен:
20.11.2019
Размер:
791.55 Кб
Скачать
►Содержание►

  1. Методы и методики проектирования

Ключевые понятия:

ДФ, основные типы ДФ;

каналы НСД;

требования к ЗИ от НСД,

т ребования к ЗИ от утечки за счет ПЭМИН.

Рис. 7. Методы и методики проектирования.

В целях соблюдения принципов системно-концептуального подхода к решению проблемы ЗИ необходимо разработать совокупность методов и методик проектирования КСИБ, включающую:

  • методику выявления возможных каналов утечки информации,

  • методологию формирования задач защиты,

  • определение работ при проектировании,

  • методы и методики управления КСИБ

  • методики оценки.

Методика выявления возможных каналов нсд

Р ис. 8. Методика выявления возможных каналов НСД.

Для того чтобы защищенность информации могла быть нарушена, должны существовать такие условия, при которых могут проявиться ДФ, поэтому методика выявления возможных каналов утечки информации включает формирование множества ДФ. В соответствии с архитектурой, технологией и условиями функционирования АС основные типы ДФ определяются следующим образом:

  • количественная недостаточность,

  • качественная недостаточность,

  • отказ,

  • сбой,

  • ошибка,

  • стихийное бедствие,

  • злоумышленное действие,

  • побочное явление.

Т.к. каждый из типов факторов могут проявиться в различных источниках, то возможны 40 различных групп ДФ, следствием которых может быть нарушение защищенности информации, в том числе и ее утечки за счет НСД к ней.

Одним из наиболее адекватных и эффективных методов формирования множества ДФ является метод натуральных экспериментов. Для первоначального же формирования множества ДФ наиболее целесообразно использовать методы экспертной оценки в различных их модификациях.

В зависимости от взаимодействия злоумышленника с АС все множество каналов НСД можно строго разделить на 6 классов:

  • по отношению к защищаемой информации в АС:

  1. каналы НСД, безотносительные к обработке информации,

  2. каналы НСД, проявляющиеся в процессе обработке информации;

  • по степени взаимодействия злоумышленника с элементами АС:

  1. без доступа к элементам АС,

  2. с доступом к элементам АС, но без изменения их состояния или содержания,

  3. с доступом к элементам АС с изменением их состояния или содержания.

Если же имеются потенциальные возможности для проявления ДФ, необходимо регулярное проведение анализа возможности открытия каналов утечки информации, как следствие проявления ДФ.

Последовательность работ при проектировании комплексной сзи от нсд и утечки за счет пэмин

Р ис. 9. Последовательность работ при проектировании комплексной СЗИ от НСД и утечки информации за счет ПЭМИН.

Последовательность процедуры проектирования была описана выше. Применительно к комплексной СЗИ от ее утечки по каналам НСД и ПЭМИН для формирования множества требований к ЗИ необходимо обратиться к РД ГТК:

  1. РД «АС. Защита от НСД к информации. Классификация АС и требования по ЗИ»,

  2. ГОСТ Р 5073-95 «СВТ. ЗИ от НСД к информации»,

  3. ГОСТ 29339-92 «Информационная технология. ЗИ от утечки за счет ПЭМИН при ее обработке СВТ. Общие технические требования».

Все множество требований, предъявляемых к ЗИ от НСД, можно разделить на 4 класса:

  1. требования к подсистеме управления доступом:

  2. требования к подсистеме регистрации и учета:

  3. требования к криптографической подсистеме:

  4. требования к подсистеме обеспечения целостности:

Требования в ЗИ от утечки по каналу ПЭМИН также можно разделить на 4 класса:

  1. требования к ОТСС,

  2. требования к ВТСС,

  3. требования к цепям электропитания и заземления,

  4. требования к линиям передачи данных.

Обязательным этапом проектирования СЗИ является оценка соответствия выбранного варианта СЗИ предъявленным требованиям. Оценка соответствия производится по разработанным методикам:

  1. Типовые методики оценки соответствия комплекса СрЗИ требованиям показателей защищенности от НСД к информации,

  2. Типовая методика испытаний объектов информатики по требованиям безопасности информации.

Для оценки соответствия используются следующие методы проверок и испытаний:

  • экпертно-документальный метод,

  • измерения и оценка защищенности информации в АС по принятым критериям для данных каналов утечки информации,

  • проверка отдельных функций ЗИ или их комплекса с помощью тестирующих средств,

  • попытка взлома СЗИ.

На этапе реализации выбранного варианта проектирования одним из обязательных и немаловажных действий является оформление документации:

  1. руководство пользователя;

  2. руководство по СЗИ;

  3. тестовая документация;

конструкторская (проектная) документация;

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности