- •Содержание
- •Сокращения и обозначения
- •Введение
- •Теоретическая часть
- •Проектирование ксоиб ас
- •Обоснование требований и анализ условий зи
- •Определить объект защиты:
- •Определить и обосновать факторы, влияющие не зи в ас:
- •Проанализировать условия зи в ас:
- •Выбрать и обосновать требования по зи:
- •Определение функций зи
- •Определение перечня потенциально возможных каналов несанкционированного получения информации
- •Обоснование перечня задач зи
- •Выбор средств решения задач зи
- •Оценка эффективности зи
- •Обоснование уточнения задания на проектирование
- •Обоснование структуры и технологии функционирования сзи
- •Технико-экономические оценки проекта
- •Решение организационно-правовых вопросов зи
- •Оформление эксплуатационной документации ксиб
- •Аттестация по требованиям безопасности
- •Подготовка отчетных документов по результатам аттестации
- •Аккредитация
- •Эксплуатации ксиб на объекте защиты
- •Исхдные данные
- •Порядок выполнения работы
- •Библиографический список
Оценка эффективности зи
Данный этап работ предполагает:
оценку защищенности информации в условиях решений выбранных задач выбранными средствами,
сравнение полученных оценок защищенности с требуемой.
На основании проведенных ранее этапов проектирования оформляются некоторые проекты – модели СЗИ, с помощью оценки которых и производиться выбор оптимального варианта СЗИ. Для оценки систем, обладающих высокой степенью неопределенности, таких как СЗИ приходиться пользоваться методами, основанными на применении неформальной теории. Основными частями неформальной теории систем являются:
методы неформального оценивания,
неформальные методы поиска оптимальных решений,
декомпозиция общей задачи на ряд частных,
макромоделирование.
Следует отметить, что никогда нельзя использовать только один метод оценки.
Оценка соответствия СЗИ требуемым показателям производится по разработанным методикам:
Типовые методики оценки соответствия комплекса СрЗИ требованиям показателей защищенности от НСД к информации,
Типовая методика испытаний объектов информатики по требованиям безопасности информации.
Для оценки соответствия используются следующие методы проверок и испытаний:
экпертно-документальный метод,
измерения и оценка защищенности информации в АС по принятым критериям для данных каналов утечки информации,
проверка отдельных функций ЗИ или их комплекса с помощью тестирующих средств,
попытка взлома СЗИ.
Оценка защищенности включает в себя и оценку рисков.
Обоснование уточнения задания на проектирование
Работы данного этапа обусловлены вероятностью того, что в результате выполнения предыдущего этапа (при оценке эффективности проектов СЗИ) полученные оценки защищенности не будут удоввлетворять требуемым показателям. В этом случае проводятся мероприятия по:
определению причин недостаточного обеспечения ЗИ,
выбору рационального варианта уточнения задания на проектирование СЗИ.
В результате чего корректируется задание на проектирование КСОИБ АС, вносятся изменения с сам проект СЗИ.
Обоснование структуры и технологии функционирования сзи
После внесения всех изменений с учетом результатов работ на предыдущих этапах проектирования СЗИ необходимо окончательно:
определить общую сруктуру СЗИ, ее подсистем и ядра защиты,
определить состав технического, математического, программного, информационного и лингвистического обеспечений, нормативно-превовых актов и организационно-технических мероприятий по ЗИ,
обосновать структуру компонентов и архитектуры СЗИ,
обосновать технологию функционирования СЗИ во всех режимах автоматизированной обработки информации;
обосновать технологии управления ЗИ,
обосновать схему обеспечения повседненвной деятельности СЗИ.
СЗИ представляет собой действующие в единой совокупности законодательные, организационные, технические и другие способы и средства, обеспечивающие ЗИ от всех выявленных угроз и возможных каналов утечки. В общем случае комплексная СЗИ состоит из 4-х компонентов:
техническое,
нормативно-правовое,
морально-эстетическое,
организационное
обеспечения безопасности информации и АС.
Структура комплексной СЗИ может быть разбита на подсистемы защиты на структурных компонентах АС и некоторое управляющее звено – ядро СЗИ – это специальный компонент системы, предназначенный для объединения всех подсистем СЗИ в целостную систему, а также для организации, обеспечения и контроля функционирования СЗИ.
Пример структуры такой СЗИ можно представить следующим образом:
Р ис. 1. Общая структура СЗИ.
В зависимости от вида системы различают:
математическое обеспечение системы – в его описании приводят состав, область применения (ограничения) и способы использования в системе математических методов и моделей, типовых алгоритмов и алгоритмов, подлежащих разработке;
информационное обеспечение – содержит описание:
состава, структуры и способов организации системы,
информационного обмена между компонентами системы,
информационной совместимости со смежными системами,
использованию общесоюзных и зарегистрированных республиканских, отраслевых классификаторов (документов, производящих градацию по каким-то признакам), унифицированных документов и классификаторов, действующих в данной организации,
структуры процесса сбора, обработки, передачи и предоставления данных в системе,
защиты данных от разрушений при авариях и сбоях системы,
контроля, хранения, обновления и восстановления данных;
лингвистическое обеспечение – в данном случае необходимо указать:
применяемые в системе языки программирования, языки взаимодействия пользователей и ТС системы,
применяемые методы кодированию и декодированию данных,
языки ввода/вывода данных,
способы организации диалога;
программное обеспечение содержит перечень программных СрЗИ, способы их функционирования и контроля;
техническое обеспечение системы – в описании указывают:
виды ТС, в том числе комплексы ТС, программно-технические комплексы и другие комплектующие изделия, доступные к использованию в СЗИ,
функциональные, конструктивные и эксплуатационные характеристики средств технического обеспечения системы;
метрологическое обеспечение – здесь необходимо описать:
перечень измерительных каналов и их метрологические характеристики,
точность измерений параметров,
требования к совместимости ТС СЗИ,
перечень управляющих и вычислительных каналов системы, для которых необходимо определить точные величины,
метрологическое обеспечение технических и программных средств, входящих в состав измерительных каналов системы, средств встроенного контроля, метрологической пригодности измерительных каналов и средств измерений, используемых при наладке и испытаниях СЗИ,
вид метрологической аттестации с указанием порядка ее проведения и организаций, проводящих аттестацию;
организационное обеспечение – описание содержит:
описание структуры и функций подразделений, участвующих в функционировании СЗИ или обеспечивающих ее эксплуатацию,
организации функционирования системы и порядка взаимодействия персонала АС и подразделений по ЗИ;
защиты от ошибочных действий персонала АС и СЗИ;
методическое обеспечение – в описании данного компонента СЗИ указывают состав нормативно-технической документации системы (перечень применяемых стандартов, нормативов, методик…).
Описание технологии функционирования СЗИ содержит описание:
режимов работы системы,
интервалов времени, в течение которых функционирует каждый из режимов работы,
непосредственной технологии ЗИ в каждом из режимов работы АС:
перечень и описание мероприятий по ЗИ,
перечень и описание СрЗИ и их функционирование,
перечень и ответственность лиц, участвующих в обработке защищаемой информации, ответственных за обеспечение ЗИ на объекте, за эксплуатацию АС, СрЗИ, режим их работы, взаимодействие между собой и подразделениями по ЗИ…
Комплексная СЗИ от НСД включает следующие компоненты:
подсистема управления доступом,
подсистема регистрации и учета,
криптографическая подсистема,
подсистема обеспечения целостности.
Что касается управления – это элементарная функция организованных систем, которая обеспечивает сохранение порядка в данной системе, поддержание стабильности деятельности этих систем и выполнения целевой функции их организации. Одной из особенностей СЗИ, как сложной системы, является наличие управления, имеющего сложную иерархическую структуру. Общая схема управления КСОИБ в АС может быть представлена следующим образом:
Р ис. 2. Общая схема управления КСОИБ в АС.
Общая модель управления включает два этапа:
этап планирования:
этап реализации
Основными процессами управления в СЗИ, как в системе организационно-технологического типа, являются:
планирование – процесс выработки программы оптимального использования имеющихся СрЗИ в предстоящий период обработки данных,
оперативно-диспетчерское управление,
календарно-плановое руководство выполнением планов,
обеспечение повседневной деятельности системы управления.
При этом различают краткосрочное, среднесрочное и долгосрочное управление.