Содержание

1. Стадии и этапы проектирования Комплексной системы обеспечения информационной безопасности.

2. Типовая структура Комплексной системы обеспечения информационной безопасности от несанкционированного доступа

3. Последовательность работ при проектировании Комплексной системы обеспечения информационной безопасности от несанкционированного доступа.

4. Предпроектное исследование системы безопасности.

5. Игровые модели принятия решений системы информационной безопасности, анализ информированности.

6. Метод экспертных структурных опросников для оценки качества Комплексной системы обеспечения информационной безопасности.

7. Аттестация по требованиям безопасности.
8. Концепция Комплексной системы обеспечения информационной безопасности.
9. Требования к эксплуатационной документации Комплексной системы обеспечения информационной безопасности.
10. Организационное управление защитой информации. Организационно-функциональные задачи службы безопасности.
11. Моделирование угроз информационной безопасности и защиты.
12. Мониторинг и контроль состояния окружающей среды.
13. Литература

1. Стадии и этапы проектирования Комплексной системы обеспечения информационной безопасности.

Этапы проектирования комплексной системы защиты:

Разработка технико-экономического обоснования создания комплексной системы обеспечения информационной безопасности автоматизированных систем. На данном этапе обосновывается необходимость и актуальность задачи обеспечения защиты информации в автоматизированных системах (АС), приводятся цели построения системы, производится ориентировочная оценка затрат, этапы и сроки проведения работ.
Формирование требований по обеспечению безопасности конфиденциальной информации. Для формирования требований используются руководящие документы Гостехкомиссии при президенте Российской Федерации, в том числе "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (ГОСТ Р ИСО/МЭК 15408-2002, "Common Critera") реализующего более современный подход к обеспечению информационной безопасности.
Разработка и утверждение технического задания на создание комплексной системы ОИБ. На этом этапе проводят разработку, оформление, согласование и утверждение технического задания на систему.
Разработка технического проекта. Разработка проектных решений по созданию комплексной системы по обеспечению информационной безопасности АС включает в себя обоснование и выбор решений по защите информации в АС, выбор состава средств защиты информации, определение мест размещения средств защиты, определение режимов функционирования и настроек средств защиты, определение необходимости доработки существующих средств защиты, либо разработки дополнительных, разработка порядка и этапов внедрения системы информационной безопасности, сметную стоимость работ.
Разработка и адаптация организационно-распорядительных документов по вопросам обеспечения информационной безопасности. Разработку организационно-распорядительных документов по вопросам обеспечения информационной безопасности АС предполагается производить путем адаптации разработанных типовых организационно-распорядительных документов, регламентирующих защиту АС в соответствии с разработанной технологией управления безопасностью.
Ввод в действие систему. На этом этапе осуществляется установка и настройка внедряемой системы защиты на площадке пользователя, а также проведение обучения персонала.
Этап сопровождения системы защиты, на котором проводятся консультации Заказчика по вопросам, связанным с эксплуатацией комплекса защиты.

В общем случае этапы и стадии создания АС приведены в ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания». Конкретный состав работ по каждому из вышеперечисленных этапов формируется исходя из характеристик автоматизированной системы Заказчика, а также состава проектируемой системы обеспечения информационной безопасности.

Л. 2. с.102-105.

2. Типовая структура Комплексной системы обеспечения информационной безопасности от несанкционированного доступа.

Основной характеристикой системы является ее комплексность, т.е. наличие в ней обязательных элементов, охватывающих все направления защиты информации. Элементами системы являются: организационный, правовой, инженерно-технический, программно-аппаратный и криптографический.

Организационный элемент системы защиты информации содержит меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Эти меры связаны с установлением режима конфиденциальности в фирме.

Элемент включает в себя регламентацию:

Формирования и организации деятельности службы безопасности и службы конфиденциальной документации (или менеджера по безопасности, или референта первого руководителя), обеспечения деятельности этих служб (сотрудника) нормативно-методическими документами по организации и технологии защиты информации;
Составления и регулярного обновления состава (перечня, списка, матрицы) защищаемой информации фирмы, составления и ведения перечня (описи) защищаемых бумажных, машиночитаемых и электронных документов фирмы;
Разрешительной системы (иерархической системы) разграничения доступа персонала к защищаемой информации;
Методов отбора персонала для работ с защищаемой информацией, методики обучения и инструктирования сотрудников;
Направлений и методов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации;
Технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов фирмы (делопроизводственной, автоматизирований и смешанной технологии); внемашинной технологии защиты электронных документов;
Порядка защиты ценной информации фирмы от случайных или умышленных несанкционированных действий персонала;
Ведения всех видов аналитической работы;
Порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями рекламных агентств, средств массовой информации;
Оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации и охраны, сертификация информационных систем, предназначенных для обработки защищаемой информации;
Пропускного режима на территории, в здании и помещениях фирмы, предназначенных для обработки защищаемой информации;
Системы охраны территории, здания, помещений, оборудования, транспорта и персонала фирмы;
Действий персонала в экстремальных ситуациях;
Организационных вопросов приобретения, установки и эксплуатации технических средств зашиты информации и охраны;
Организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;
Работы по управлению системой защиты информации;
Критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.

Правовой элемент системы защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а так же ответственности персонала за нарушение порядка защиты информации.

Этот элемент включает:

наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;
формулирование и доведение до всех сотрудников фирмы (в том числе не связанных с конфиденциальной информацией) положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика.

Элемент включает в себя:

Сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);
Средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования, при проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке документов и т.п.;
Средств защиты помещений от визуальных способов технической разведки;
Средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализации, информирования и идентификации);
Средства противопожарной охраны;
Средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т.п.);
Технические средства контроля, предотвращающие вынос персоналом из помещений специально маркированных предметов, документов, дискет, книг и т.п.

Программно-аппаратный элемент системы защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите.

Элемент включает в себя:

Автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;
Программы защиты информации, работающие в комплексе с программами обработки информации;
Программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных и др.).

Криптографический элемент системы защиты информации предназначен для защиты конфиденциальной информации методами криптографии.

Элемент включает:

Регламентацию использования различных криптографических методов в ЭВМ и локальных сетях;
Определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи;
Регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радио связи;
Регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;
Регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров.

Л. 2. с.113-126, с.153-180.

3. Последовательность работ при проектировании Комплексной системы обеспечения информационной безопасности от несанкционированного доступа.

Анализ исходных данных о предмете защиты;
Установить источники угроз, которые смогут воздействовать на предмет защиты;
Классифицировать виды угроз, которые при их реализации приведут к изменению качественных характеристик информационной безопасности (конфиденциальности, целостности, доступности);
Разработать вероятностную модель поведения нарушителя (способы и методы реализации угроз);
Провести анализ состояния защищенности информации в организации, выявить возможные каналы утечки, несанкционированного доступа к информации;
Выбрать средства защиты;
Обосновать критерии выбора оптимального варианта системы защиты информации (СЗИ);
Разработать комплекс рекомендаций по обеспечению информационной безопасности;
Внедрение и организация использования выбранных мер, способов и средств защиты;
Осуществление контроля целостности и управление системой защиты.

Л. 2. с.99-113.

4. Предпроектное исследование системы безопасности.

Прежде всего, необходимо произвести системный анализа соответствующих угроз безопасности. Основой такого анализа должна быть классификация, проведенная по определенным базовым признакам и дающая исследователю целостное представление о различных вариантах деструктивного воздействия.

Классификация угроз безопасности информации

Следующий этап является решение проблемы организационного управления защитой информации в АСУ. Так, применение в АСУ современных вычислит. средств и новых технологий обработки информации могут не только повышать эффективность, но и снижать ее за счет появления новых угроз. Очевидно, что необходимо внедрять в такие АСУ соответствующие СЗИ, но при этом использование отдельных средств и механизмов защиты часто оказывается неэффективным без разработки соответствующего организационного управления ими. Суть такого управления заключается в принятии решений на выработку стратегий защиты на всех этапах обнаружения, анализа и компенсации деструктивного воздействия противника. Однако возрастающие требования по разработке и внедрению технологий управления СЗИ при проектировании новых и эксплуатации имеющихся АСУ противоречат существующему к настоящему времени состоянию комплексных научных исследований по организационному управлению защитой информации, которые бы позволяли адекватно решать задачи анализа и синтеза как самих СЗИ, так и процессов их функционирования. Наиболее практический интерес представляют задачи синтеза организационного управления защитой информации в следующей формулировке. При заданной структуре, характеристиках информационных потоков и решаемых в АСУ задач, характеристиках средств защиты информации, характеристиках множества угроз информации, определить значение структурных и функциональных показателей эффективности организационного управления СЗИ, при которых обеспечивается достижение максимальной защищенности информации в АСУ на множестве заданных временных, технических, технологических ограничений.

В свою очередь обеспечение повышенной защищенности информации в сложных АСУ возможно только при комплексном решении научных задач организационного управления процессами защиты с позиции системного, кибернетического и информационного подходов. Основным содержанием системного подхода является разработка методов повышения защищенности информации с учетом исследования всех составляющих элементов обеспечения требуемой эффективности функционирования СЗИ как единой системы. Такая система в свою очередь является подсистемой общей системы автоматизированнонго управления. Основными методами системного подхода является системный, структурный и функциональный анализ. Системный анализ предполагает учет и классификацию всех аспектов и совокупности целей, связанных с назначением организ. управления системой защиты. Структурный анализ служит целям выявления организационных, топологических и информационных структур, связей в системе ЗИ.. Элементы структур представляются точками, узлами, массивами методами математических теорий графов, массового обслуживания, сетей и систем. Функциональный анализ используют для выявления функций системы защиты и и связей между ними. Функциональный анализ необходим для выработки гибких алгоритмов функционирования СЗИ.

Кибернетический подход распространяет методологию системных исследований на кибернетические подсистемы. С позиции данного подхода система защиты информации представляет собой совокупность органа управления (системы принятия рещения на защиту), объекта управления (механизмов защиты информации) и подсистемы информационного обеспечения (системы сбора информации о противнике). Основными принципами являются принцип единства управления и связи и принцип дуальности. Принцип единства и связи предполагает поиск связей, достаточных для реализации требуемых функций управления. Принцип дуальности утверждает, что информация, необходимая для управления объектами, добывается в ходе наблюдения в процессе управления.

Информационный подход определяет количественную меру неопределенности информации, благодаря чему оказывается возможным в разных организациях использовать одинаковый качественно-количественный аппарат теории информации. Информационный подход базируется на принципах отражения и неопределенности. Принцип отражения предполагает отображение структурно-функциональных свойств объектов информационного противоборства в соответствующей информационной модели.

Л. 1. с.11-39; Л. 5 с. 17-51.

5. Игровые модели принятия решений системы информационной безопасности, анализ информированности.

Можно различить две игровые модели принятия решений системой инф. безопасности:

1. Модель чистой стратегииДля начала необходимо определить две рекуррентные функции inf и sup . Функция sup(x,s) вычисляет максимальное значение, а функция inf(x,s) - минимальное значение, которое принимает переменная на множестве решений . – множество вариантов защиты, – множество вариантов нападения. Защищаемая сторона и злоумышленник знают множества и , но им неизвестен конкретный выбор противника. В качестве целевой функции эффективности первой стороной (защиты) принимается известная обеим сторонам функция защищенности информации в рассматриваемой АСУ. Будем считать, что функция защищенности R(j,i) определена и ограничена на $N \times M$ . Число $S_1 = \sup_{i \in M}\inf_{j \in M}R(j,i)$ - максимальный гарантированный результат, на который может рассчитывать защищаемая сторона (нижняя цена игры). $S_2 = \sup_{i \in N}\inf_{j \in M}R(j,i)$ минимальный гарантированный результат, на который может рассчитывать нарушитель (верхняя цена игры). Обозначим через $\Gamma_1$ игру, в которой первая сторона, пусть это будет СЗИ, выбирает вариант защиты $i \in M$ , а вторая сторона, нарушитель, выбирает, одновременно, вариант нападения $j \in M$ . Через $\Gamma_2$ обозначим игру в которой сначала нарушитель выбирает стратегию нападения, а после этого, СКЗ, зная выбранную нарушителем стратегию нападения, выбирает стратегию защиты. Тогда S_1 и S_2 $\Gamma_1$ и $\Gamma_2$ соответственно. Игры $\Gamma_1$ и $\Gamma_2$ соответствуют двух крайним степеням информированности первой стороны о выборе второй стороны. Если S_1 = S_2 , то функция R(j,i) имеет обобщенную седловую точку на $N \times M$ . В этом случае для достижения гарантированного исхода S_2 нет необходимости в получении какой бы то ни было информации о конкретном выборе второй стороны, и этот исход достижим первой стороной и в $\Gamma_1$ . справедливы для

Л. 1. с. 62-74.

Продолжение : http://sib081.ucoz.es/publ/1-1-0-8

	Четверг, 03.07.2025, 19:40
	Сайт группы ИБ-081 !

Главная \| Регистрация \| Вход	Приветствую Вас Гость \| RSS

Комплексное обеспечение информационной безопасности автоматизированных систем

1. Стадии и этапы проектирования Комплексной системы обеспечения информационной безопасности.

2. Типовая структура Комплексной системы обеспечения информационной безопасности от несанкционированного доступа.

3. Последовательность работ при проектировании Комплексной системы обеспечения информационной безопасности от несанкционированного доступа.

4. Предпроектное исследование системы безопасности.

5. Игровые модели принятия решений системы информационной безопасности, анализ информированности.