- •В.И. Аверченков, м.Ю. Рытов,
- •Предисловие
- •1. Анализ и систематизация существующего информационного, методического и программного обеспечения автоматизации проектирования организационно - технических систем
- •1.1.1.Понятие организационно-технических систем
- •1.1.2.Анализ подходов к проектированию организационно-технических систем
- •1.2. Характеристика видов обеспечения процесса
- •1.3. Исследование состава комплексных систем защиты
- •1.3.1.Система защиты информации и общеметодологические принципы ее построения
- •1.3.2. Исследование архитектурного построения систем защиты
- •1.4. Существующие подходы к автоматизации проектирования комплексных систем защиты информации
- •1.4.1. Программные продукты аудита информационной безопасности
- •1.4.2. Сетевые сканеры
- •1.4.3. Сапр систем физической защиты
- •1.4.4.Существующие подходы к созданию сапр ксзи
- •2.Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к
- •2.1.Сущность комплексного подхода к разработке системы защиты информации
- •2.2. Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к объекту защиты
- •3. Разработка методов математического описания и методик построения методов
- •3.1. Требования к математическому обеспечению сапр ксзи
- •3.2.Общий подход к математическому моделированию ксзи
- •3.3.Построение математической модели общей оценки угроз
- •3.4. Построение математической модели оценки рисков
- •3.5. Варианты решения задачи выбора средств защиты
- •3.5.1. Математическое обеспечение выбора средств защиты информации на основе четких множеств с четкими соответствиями
- •3.5.2.Математическое обеспечение выбора средств защиты информации на основе нечетких соответствий четких множеств
- •3.5.3. Математическое обеспечение выбора средств защиты информации на основе нечетких множеств
- •3.6. Анализ используемых методик выбора средств защиты информации в сапр ксзи
- •4. Выработка концептуального подхода
- •4.1.Типовое вариантное проектирование ксзи
- •4.2.Выбор способа представления инженерных знаний в системах параметрического проектирования
- •Имя слота 1 (значение слота 1); Имя слота 2 (значение слота 2);
- •Имя слота к (значение слота к)).
- •4.3.Формирование сетевой модели комплексной системы защиты информации на основе типизации её элементов
- •4.4.Разработка структурно-функциональной модели сапр ксзи
- •4.4.1.Разработка структуры и наполнение информационного обеспечения сапр ксзи
- •4.4.2.Разработка лингвистического обеспечения сапр ксзи
- •5. Возможности сапр для проектирования комплексной системы защиты информации на примере вуза
- •5.1.Анализ объекта защиты на примере высшего учебного заведения
- •Информация
- •5.2.Разработка проекта системы защиты конфиденциальной информации вуза
- •5.2.1. Разработка проекта программно-аппаратной защиты
- •5.2.2.Разработка проекта инженерно-технической защиты
- •5.2.2.1.Разработка проекта схемы размещения пожарных извещателей
- •5.2.2.2. Разработка проекта размещения оборудования помещений объекта техническими средствами охранной сигнализации
- •5.2.3. Разработка проекта организационно-распорядительной
- •1.Правового характера:
- •2.Организационного характера:
- •3.Организационно-технического характера:
- •4. Режимного характера:
- •5.3. Анализ результатов работы сапр ксзи
- •Заключение
- •Список литературы
- •Аверченков Владимир Иванович
1.4.4.Существующие подходы к созданию сапр ксзи
Структурно-функциональная схема САПР зашиты информации, по мнению ученых РГГУ [16], может быть представлена в виде пяти основных модулей (рис.10.):
- типовая сетевая модель процесса создания СЗИ;
- типовой план проведения специального инженерного анализа защищаемой системы;
- модули расчета параметров подсистем СЗИ;
- модуль синтеза и оптимизации СЗИ;
- модуль выбора стандартных средств и типовых проектных решений.
Кроме того, модель включает в себя проблемно-ориентированный банк данных и блок интерфейса и визуализации.
Модуль— типовая сетевая модель процесса создания СЗИ.
В качестве метода планирования комплекса работ по созданию системы защиты целесообразно принять метод сетевого планирования, т. к. создание СЗИ определяется большим числом и различным содержанием работ, требующих взаимной увязки по срокам исполнения. Необходимая цель создания СЗИ достигается коллективом специалистов. Помимо того, необходимо обеспечивать заданные сроки создания СЗИ и т. д.
Типовая сетевая модель позволяет разработчику:
- формулировать общую программу работ и их последовательность;
- определять:
содержание работ по созданию СЗИ;
исполнителей работ;
исходные материалы, необходимые для выполнения каждой
работы;
выходные материалы и результаты выполнения каждой работы;
усредненные сроки и трудоемкость работ.
- обеспечивать оптимизацию процесса создания СЗИ по срокам выполнения работ, затратам и ресурсам.
Рис.10. Структурно-функциональная модель САПР КСЗИ
Типовая сетевая модель дает возможность представить все операции и работы процесса создания СЗИ. упорядочить эти работы в их надлежащей последовательности, выяснить содержание и значение каждой работы и определить, каким образом и с помощью каких средств она может быть выполнена.
2.Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к
ОБЪЕКТУ ЗАЩИТЫ
2.1.Сущность комплексного подхода к разработке системы защиты информации
Проблема обеспечения желаемого уровня защиты информации весьма сложная, требующая для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специальных средств и методов, а создания целостной системы организационно-технологических мероприятий и применения комплекса специальных средств и методов по ЗИ.
На основе теоретических исследований и практических работ в области ЗИ сформулирован системно-концептуальный подход к защите информации [4].
Под системностью как основной частью системно-концептуального похода понимается:
системность целевая, т. е. защищенность информации рассматривается как основная часть общего понятия качества информации;
системность пространственная, предлагающая взаимоувязанное решение всех вопросов защиты на всех компонентах объекта защиты;
системность временная, означающая непрерывность работ по ЗИ, осуществляемых в соответствии с планами;
системность организационная, означающая единство организации всех работ по ЗИ и управления ими.
Комплексный (системный) подход к построению любой системы включает в себя:
Изучение объекта внедряемой системы.
Оценку угроз безопасности объекта.
Анализ средств для построения системы.
Оценку экономической целесообразности построения системы.
Изучение самой системы, ее свойств, принципов работы и возможности увеличения ее эффективности.
Соотношение всех внутренних и внешних факторов.
Возможность дополнительных изменений в процессе построения системы.
Полную организацию процесса построения от начала до конца [6].
Комплексный (системный) подход не рекомендует приступать к созданию системы до тех пор, пока не определены ее основные компоненты (рис.11).
Рис.11.Компоненты системы защиты информации
Входные элементы. Это те элементы, для обработки которых создается система. В качестве входных элементов выступают виды угроз безопасности, возможные на данном объекте; виды информации, циркулирующей на объекте.
Ресурсы. Это средства, которые обеспечивают создание и функционирование системы (например, материальные затраты, энергопотребление, допустимые размеры и т. д.).
Обычно рекомендуется четко определять виды и допустимое потребление каждого вида ресурса как в процессе создания системы, так и в ходе ее эксплуатации.
Окружающая среда. Следует помнить, что любая реальная система всегда взаимодействует с другими системами, каждый объект связан с другими объектами.
Как бы ни устанавливались границы системы, нельзя игнорировать ее взаимодействие с окружающей средой, т.к. в этом случае принятые решения могут оказаться бессмысленными. Это справедливо как для границ защищаемого объекта, так и для границ системы защиты.
Назначение и функции. Для каждой системы должна быть сформулирована цель, к которой система стремится. Эта цель может быть описана как назначение системы, как ее функция. Чем точнее и конкретнее указано назначение или перечислены функции системы, тем быстрее и правильнее можно выбрать лучший вариант ее построения.
Критерий эффективности. Необходимо всегда рассматривать несколько путей, ведущих к цели, в частности нескольких вариантов построения системы, обеспечивающей заданные цели функционирования. Для того чтобы оценить, какой из путей лучше, необходимо иметь инструмент сравнения — критерий эффективности. Он должен характеризовать качество реализации заданных функций; учитывать затраты ресурсов, необходимых для выполнения функционального назначения системы; иметь ясный и однозначный физический смысл; быть связанным с основными характеристиками системы и допускать количественную оценку на всех этапах создания системы[19].
Таким образом, учитывая многообразие потенциальных угроз информации на объекте защиты, сложность его структуры, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания СЗИ на основе комплексного подхода.
Главная цель создания КСЗИ— достижение максимальной эффективности защиты путем одновременного использования всех необходимых ресурсов, методов и средств, исключающих несанкционированный доступ к защищаемой информации и обеспечивающих физическую сохранность ее носителей[20].