Оценка эффективности зи

Данный этап работ предполагает:

• оценку защищенности информации в условиях решений выбранных задач выбранными средствами,

• сравнение полученных оценок защищенности с требуемой.

На основании проведенных ранее этапов проектирования оформляются некоторые проекты – модели СЗИ, с помощью оценки которых и производиться выбор оптимального варианта СЗИ. Для оценки систем, обладающих высокой степенью неопределенности, таких как СЗИ приходиться пользоваться методами, основанными на применении неформальной теории. Основными частями неформальной теории систем являются:

• методы неформального оценивания,

• неформальные методы поиска оптимальных решений,

• декомпозиция общей задачи на ряд частных,

• макромоделирование.

Следует отметить, что никогда нельзя использовать только один метод оценки.

Оценка соответствия СЗИ требуемым показателям производится по разработанным методикам:

1. Типовые методики оценки соответствия комплекса СрЗИ требованиям показателей защищенности от НСД к информации,

2. Типовая методика испытаний объектов информатики по требованиям безопасности информации.

Для оценки соответствия используются следующие методы проверок и испытаний:

• экпертно-документальный метод,

• измерения и оценка защищенности информации в АС по принятым критериям для данных каналов утечки информации,

• проверка отдельных функций ЗИ или их комплекса с помощью тестирующих средств,

• попытка взлома СЗИ.

Оценка защищенности включает в себя и оценку рисков.

Обоснование уточнения задания на проектирование

Работы данного этапа обусловлены вероятностью того, что в результате выполнения предыдущего этапа (при оценке эффективности проектов СЗИ) полученные оценки защищенности не будут удоввлетворять требуемым показателям. В этом случае проводятся мероприятия по:

• определению причин недостаточного обеспечения ЗИ,

• выбору рационального варианта уточнения задания на проектирование СЗИ.

В результате чего корректируется задание на проектирование КСОИБ АС, вносятся изменения с сам проект СЗИ.

Обоснование структуры и технологии функционирования сзи

После внесения всех изменений с учетом результатов работ на предыдущих этапах проектирования СЗИ необходимо окончательно:

• определить общую сруктуру СЗИ, ее подсистем и ядра защиты,

• определить состав технического, математического, программного, информационного и лингвистического обеспечений, нормативно-превовых актов и организационно-технических мероприятий по ЗИ,

• обосновать структуру компонентов и архитектуры СЗИ,

• обосновать технологию функционирования СЗИ во всех режимах автоматизированной обработки информации;

• обосновать технологии управления ЗИ,

• обосновать схему обеспечения повседненвной деятельности СЗИ.

СЗИ представляет собой действующие в единой совокупности законодательные, организационные, технические и другие способы и средства, обеспечивающие ЗИ от всех выявленных угроз и возможных каналов утечки. В общем случае комплексная СЗИ состоит из 4-х компонентов:

• техническое,

• нормативно-правовое,

• морально-эстетическое,

• организационное

обеспечения безопасности информации и АС.

Структура комплексной СЗИ может быть разбита на подсистемы защиты на структурных компонентах АС и некоторое управляющее звено – ядро СЗИ – это специальный компонент системы, предназначенный для объединения всех подсистем СЗИ в целостную систему, а также для организации, обеспечения и контроля функционирования СЗИ.

Пример структуры такой СЗИ можно представить следующим образом:

Р ис. 1. Общая структура СЗИ.

В зависимости от вида системы различают:

• математическое обеспечение системы – в его описании приводят состав, область применения (ограничения) и способы использования в системе математических методов и моделей, типовых алгоритмов и алгоритмов, подлежащих разработке;

• информационное обеспечение – содержит описание:

• состава, структуры и способов организации системы,

• информационного обмена между компонентами системы,

• информационной совместимости со смежными системами,

• использованию общесоюзных и зарегистрированных республиканских, отраслевых классификаторов (документов, производящих градацию по каким-то признакам), унифицированных документов и классификаторов, действующих в данной организации,

• структуры процесса сбора, обработки, передачи и предоставления данных в системе,

• защиты данных от разрушений при авариях и сбоях системы,

• контроля, хранения, обновления и восстановления данных;

• лингвистическое обеспечение – в данном случае необходимо указать:

• применяемые в системе языки программирования, языки взаимодействия пользователей и ТС системы,

• применяемые методы кодированию и декодированию данных,

• языки ввода/вывода данных,

• способы организации диалога;

• программное обеспечение содержит перечень программных СрЗИ, способы их функционирования и контроля;

• техническое обеспечение системы – в описании указывают:

• виды ТС, в том числе комплексы ТС, программно-технические комплексы и другие комплектующие изделия, доступные к использованию в СЗИ,

• функциональные, конструктивные и эксплуатационные характеристики средств технического обеспечения системы;

• метрологическое обеспечение – здесь необходимо описать:

  • перечень измерительных каналов и их метрологические характеристики,

  • точность измерений параметров,

  • требования к совместимости ТС СЗИ,

  • перечень управляющих и вычислительных каналов системы, для которых необходимо определить точные величины,

  • метрологическое обеспечение технических и программных средств, входящих в состав измерительных каналов системы, средств встроенного контроля, метрологической пригодности измерительных каналов и средств измерений, используемых при наладке и испытаниях СЗИ,

  • вид метрологической аттестации с указанием порядка ее проведения и организаций, проводящих аттестацию;

• организационное обеспечение – описание содержит:

• описание структуры и функций подразделений, участвующих в функционировании СЗИ или обеспечивающих ее эксплуатацию,

• организации функционирования системы и порядка взаимодействия персонала АС и подразделений по ЗИ;

• защиты от ошибочных действий персонала АС и СЗИ;

• методическое обеспечение – в описании данного компонента СЗИ указывают состав нормативно-технической документации системы (перечень применяемых стандартов, нормативов, методик…).

Описание технологии функционирования СЗИ содержит описание:

• режимов работы системы,

• интервалов времени, в течение которых функционирует каждый из режимов работы,

• непосредственной технологии ЗИ в каждом из режимов работы АС:

  • перечень и описание мероприятий по ЗИ,

  • перечень и описание СрЗИ и их функционирование,

  • перечень и ответственность лиц, участвующих в обработке защищаемой информации, ответственных за обеспечение ЗИ на объекте, за эксплуатацию АС, СрЗИ, режим их работы, взаимодействие между собой и подразделениями по ЗИ…

Комплексная СЗИ от НСД включает следующие компоненты:

1. подсистема управления доступом,

2. подсистема регистрации и учета,

3. криптографическая подсистема,

4. подсистема обеспечения целостности.

Что касается управления – это элементарная функция организованных систем, которая обеспечивает сохранение порядка в данной системе, поддержание стабильности деятельности этих систем и выполнения целевой функции их организации. Одной из особенностей СЗИ, как сложной системы, является наличие управления, имеющего сложную иерархическую структуру. Общая схема управления КСОИБ в АС может быть представлена следующим образом:

Р ис. 2. Общая схема управления КСОИБ в АС.

Общая модель управления включает два этапа:

1. этап планирования:

2. этап реализации

Основными процессами управления в СЗИ, как в системе организационно-технологического типа, являются:

• планирование – процесс выработки программы оптимального использования имеющихся СрЗИ в предстоящий период обработки данных,

• оперативно-диспетчерское управление,

• календарно-плановое руководство выполнением планов,

• обеспечение повседневной деятельности системы управления.

При этом различают краткосрочное, среднесрочное и долгосрочное управление.