1.4.4.Существующие подходы к созданию сапр ксзи

Структурно-функциональная схема САПР зашиты информации, по мнению ученых РГГУ [16], может быть представлена в виде пяти основных модулей (рис.10.):

- типовая сетевая модель процесса создания СЗИ;

- типовой план проведения специального инженерно­го анализа защищаемой системы;

- модули расчета параметров подсистем СЗИ;

- модуль синтеза и оптимизации СЗИ;

- модуль выбора стандартных средств и типовых проектных решений.

Кроме того, модель включает в себя проблемно-ори­ентированный банк данных и блок интерфейса и визуали­зации.

Модуль— типовая сетевая модель процесса создания СЗИ.

В качестве метода планирования комплекса работ по созданию системы защиты целесообразно принять метод сетевого планирования, т. к. создание СЗИ определяется большим числом и различным содержанием работ, требу­ющих взаимной увязки по срокам исполнения. Необходи­мая цель создания СЗИ достигается коллективом специа­листов. Помимо того, необходимо обеспечивать заданные сроки создания СЗИ и т. д.

Типовая сетевая модель позволяет разработчику:

- формулировать общую программу работ и их последовательность;

- определять:

• содержание работ по созданию СЗИ;

• исполнителей работ;

• исходные материалы, необходимые для выполнения каждой

работы;

• выходные материалы и результаты вы­полнения каждой работы;

• усредненные сроки и трудоемкость ра­бот.

- обеспечивать оптимизацию процесса создания СЗИ по срокам выполнения работ, затратам и ресурсам.

Рис.10. Структурно-функциональная модель САПР КСЗИ

Типовая сетевая модель дает возможность представить все операции и работы процесса создания СЗИ. упорядо­чить эти работы в их надлежащей последовательности, вы­яснить содержание и значение каждой работы и опреде­лить, каким образом и с помощью каких средств она может быть выполнена.

2.Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к

ОБЪЕКТУ ЗАЩИТЫ

2.1.Сущность комплексного подхода к разработке системы защиты информации

Проблема обеспечения желаемого уровня защиты ин­формации весьма сложная, требующая для своего решения не просто осуществления некоторой совокупности науч­ных, научно-технических и организационных мероприятий и применения специальных средств и методов, а создания целостной системы организационно-технологических мероприятий и применения комплекса специальных средств и методов по ЗИ.

На основе теоретических исследований и практичес­ких работ в области ЗИ сформулирован системно-концеп­туальный подход к защите информации [4].

Под системностью как основной частью системно-кон­цептуального похода понимается:

• системность целевая, т. е. защищенность информа­ции рассматривается как основная часть общего понятия качества информации;

• системность пространственная, предлагающая вза­имоувязанное решение всех вопросов защиты на всех ком­понентах объекта защиты;

• системность временная, означающая непрерывность работ по ЗИ, осуществляемых в соответствии с планами;

• системность организационная, означающая единс­тво организации всех работ по ЗИ и управления ими.

Комплексный (системный) подход к построению лю­бой системы включает в себя:

1. Изучение объ­екта внедряемой системы.

2. Оценку угроз безопасности объ­екта.

3. Анализ средств для построения системы.

4. Оценку экономической целесооб­разности построения системы.

5. Изучение самой системы, ее свойств, принципов работы и возможности увеличения ее эффективности.

6. Со­отношение всех внутренних и внешних факторов.

7. Возмож­ность дополнительных изменений в процессе построения системы.

8. Полную организацию процесса построения от начала до конца [6].

Комплексный (системный) подход не рекомендует приступать к созданию системы до тех пор, пока не опре­делены ее основные компоненты (рис.11).

Рис.11.Компоненты системы защиты информации

1. Входные элементы. Это те элементы, для обработки которых создается система. В качестве входных элементов выступают виды угроз безопасности, возможные на дан­ном объекте; виды информации, циркулирующей на объекте.

2. Ресурсы. Это средства, которые обеспечивают со­здание и функционирование системы (например, матери­альные затраты, энергопотребление, допустимые размеры и т. д.).

Обычно рекомендуется четко определять виды и допустимое потребление каждого вида ресурса как в про­цессе создания системы, так и в ходе ее эксплуатации.

3. Окружающая среда. Следует помнить, что любая реальная система всегда взаимодействует с другими систе­мами, каждый объект связан с другими объектами.

Как бы ни устанавливались границы системы, нельзя игнорировать ее взаимодействие с окружающей средой, т.к. в этом случае принятые решения могут оказаться бессмысленными. Это справедливо как для границ защищаемого объекта, так и для границ системы защиты.

4. Назначение и функции. Для каждой системы должна быть сформулирована цель, к которой система стре­мится. Эта цель может быть описана как назначение систе­мы, как ее функция. Чем точнее и конкретнее указано на­значение или перечислены функции системы, тем быстрее и правильнее можно выбрать лучший вариант ее построе­ния.

5. Критерий эффективности. Необходимо всегда рас­сматривать несколько путей, ведущих к цели, в частности нескольких вариантов построения системы, обеспечива­ющей заданные цели функционирования. Для того чтобы оценить, какой из путей лучше, необходимо иметь инстру­мент сравнения — критерий эффективности. Он должен характеризовать качество реализации заданных функций; учитывать затраты ресурсов, необходимых для выполнения функционального назначения системы; иметь ясный и однозначный физический смысл; быть связанным с ос­новными характеристиками системы и допускать количес­твенную оценку на всех этапах создания системы[19].

Таким образом, учитывая многообразие потенциальных угроз информации на объекте защиты, сложность его структуры, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания СЗИ на основе комплексного подхода.

Главная цель создания КСЗИ— достижение макси­мальной эффективности защиты путем одновременно­го использования всех необходимых ресурсов, методов и средств, исключающих несанкционированный доступ к за­щищаемой информации и обеспечивающих физическую сохранность ее носителей[20].