- •В.И. Аверченков, м.Ю. Рытов,
- •Предисловие
- •1. Анализ и систематизация существующего информационного, методического и программного обеспечения автоматизации проектирования организационно - технических систем
- •1.1.1.Понятие организационно-технических систем
- •1.1.2.Анализ подходов к проектированию организационно-технических систем
- •1.2. Характеристика видов обеспечения процесса
- •1.3. Исследование состава комплексных систем защиты
- •1.3.1.Система защиты информации и общеметодологические принципы ее построения
- •1.3.2. Исследование архитектурного построения систем защиты
- •1.4. Существующие подходы к автоматизации проектирования комплексных систем защиты информации
- •1.4.1. Программные продукты аудита информационной безопасности
- •1.4.2. Сетевые сканеры
- •1.4.3. Сапр систем физической защиты
- •1.4.4.Существующие подходы к созданию сапр ксзи
- •2.Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к
- •2.1.Сущность комплексного подхода к разработке системы защиты информации
- •2.2. Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к объекту защиты
- •3. Разработка методов математического описания и методик построения методов
- •3.1. Требования к математическому обеспечению сапр ксзи
- •3.2.Общий подход к математическому моделированию ксзи
- •3.3.Построение математической модели общей оценки угроз
- •3.4. Построение математической модели оценки рисков
- •3.5. Варианты решения задачи выбора средств защиты
- •3.5.1. Математическое обеспечение выбора средств защиты информации на основе четких множеств с четкими соответствиями
- •3.5.2.Математическое обеспечение выбора средств защиты информации на основе нечетких соответствий четких множеств
- •3.5.3. Математическое обеспечение выбора средств защиты информации на основе нечетких множеств
- •3.6. Анализ используемых методик выбора средств защиты информации в сапр ксзи
- •4. Выработка концептуального подхода
- •4.1.Типовое вариантное проектирование ксзи
- •4.2.Выбор способа представления инженерных знаний в системах параметрического проектирования
- •Имя слота 1 (значение слота 1); Имя слота 2 (значение слота 2);
- •Имя слота к (значение слота к)).
- •4.3.Формирование сетевой модели комплексной системы защиты информации на основе типизации её элементов
- •4.4.Разработка структурно-функциональной модели сапр ксзи
- •4.4.1.Разработка структуры и наполнение информационного обеспечения сапр ксзи
- •4.4.2.Разработка лингвистического обеспечения сапр ксзи
- •5. Возможности сапр для проектирования комплексной системы защиты информации на примере вуза
- •5.1.Анализ объекта защиты на примере высшего учебного заведения
- •Информация
- •5.2.Разработка проекта системы защиты конфиденциальной информации вуза
- •5.2.1. Разработка проекта программно-аппаратной защиты
- •5.2.2.Разработка проекта инженерно-технической защиты
- •5.2.2.1.Разработка проекта схемы размещения пожарных извещателей
- •5.2.2.2. Разработка проекта размещения оборудования помещений объекта техническими средствами охранной сигнализации
- •5.2.3. Разработка проекта организационно-распорядительной
- •1.Правового характера:
- •2.Организационного характера:
- •3.Организационно-технического характера:
- •4. Режимного характера:
- •5.3. Анализ результатов работы сапр ксзи
- •Заключение
- •Список литературы
- •Аверченков Владимир Иванович
1.3. Исследование состава комплексных систем защиты
информации как вида организационно-технических систем
1.3.1.Система защиты информации и общеметодологические принципы ее построения
комплексная система защиты информации - это система, в которой действуют в единой совокупности правовые, организационные, технические, программно – аппаратные и другие нормы, методы, способы и средства, обеспечивающие защиту информации от всех потенциально возможных и выявленных угроз и каналов утечки. Элементы КСЗИ, в свою очередь, в общем виде, состоят из средств, устройств и способов защиты информации, а также методов их использования [3].
Понятие защиты информации в настоящее время ассоциируется, как правило, с проблемами обеспечения информационной безопасности в информационных системах (ИС).
Комплексная система защиты информации (КСЗИ) в самом общем виде может быть определена как организованная совокупность всех средств, методов и мероприятий, выделяемых в ИС для решения в ней выбранных задач защиты. Задачи же защиты информации решаются с целью нейтрализации дестабилизирующего воздействия причин нарушения целостности информации при обеспечении физической целостности информации или с целью перекрытия каналов несанкционированного получения информации — при защите от несанкционированного получения информации. В соответствии с основной целью данной монографии главное внимание в ней будет уделяться второму виду защиты, т.е. предупреждению несанкционированного получения информации [3].
Введением понятия КСЗИ постулируется тот факт, что все ресурсы, выделяемые для защиты информации, должны объединяться в единую целостную систему, которая является функционально самостоятельной подсистемой ИС.
Важнейшее концептуальное требование к КСЗИ - требование адаптируемости, т.е. способности к целенаправленному приспособлению при изменении структуры, технологических схем или условий функционирования ИС. Важность требования адаптируемости обусловливается, с одной стороны, тем, что перечисленные факторы, относящиеся к ИС, могут существенно изменяться, а с другой — тем, что процессы защиты информации относятся к слабоструктурированным, т.е. содержащим высокий уровень неопределенности. Управление же слабоструктурированными процессами может быть эффективным лишь при условии адаптируемости системы управления.
Помимо общего концептуального требования, к КСЗИ предъявляется еще целый ряд более конкретных, целевых требований, которые могут быть разделены на функциональные, эргономические, экономические, технические и организационные. В совокупности эти требования образуют систему, структура и содержание которой показаны на рис.6 [20].
В процессе развития работ по защите информации как у нас в стране, так и за рубежом, наряду с конкретными разработками конкретных вопросов защиты, формировались общеметодологические принципы (общие положения) построения и функционирования КСЗИ. Соблюдение требований таких принципов в общем случае способствует повышению эффективности зашиты. В условиях же системно-концептуального подхода к защите надо не просто руководствоваться теми или иными общими положениями — нужна стройная и возможно более полная система общеметодологических принципов.
Сформированная к настоящему времени система включает следующий перечень общеметодологических принципов: концептуальное единство; адекватность требованиям; гибкость (адаптируемость); функциональная самостоятельность; удобство использования; минимизация предоставляемых прав; полнота контроля; адекватность реагирования; экономичность.
Концептуальное единство означает, что архитектура, технология, организация и обеспечение функционирования как КСЗИ в целом, так и составных ее компонентов должны рассматриваться и реализовываться в строгом соответствии с основными положениями единой концепции защиты информации.
Адекватность требованиям означает, что КСЗИ должна строиться в строгом соответствии с требованиями к защите, которые, в свою очередь, определяются категорией соответствующего объекта и значениями параметров, влияющих на защиту информации.
Гибкость или адаптируемость системы защиты означает такое построение и такую организацию ее функционирования, при которых функции защиты осуществлялись бы достаточно эффективно при изменении в некотором диапазоне структуры ИС, технологических схем или условий функционирования каких-либо ее компонентов.
Рис.6. Система требований к системе защиты информации в ИС
Функциональная самостоятельность предполагает, что КСЗИ должна быть самостоятельной обеспечивающей подсистемой ОТС и при осуществлении функций защиты не зависеть от других подсистем. Удобство использования означает, что КСЗИ не должна создавать дополнительных неудобств для пользователей и персонала ОТС [15].
Минимизация предоставляемых прав означает, что каждому пользователю и каждому лицу из состава персонала ОТС должны предоставляться лишь те полномочия, на доступ к ресурсам ОТС и находящейся на ней информации, которые ему действительно необходимы для выполнения своих функций в процессе автоматизированной обработки информации. При этом предоставляемые права должны быть определены и установленным порядком утверждены заблаговременно.
Полнота контроля предполагает, что все процедуры автоматизированной обработки защищаемой информации должны контролироваться системой защиты в полном объеме, причем основные результаты контроля должны фиксироваться в специальных регистрационных журналах.
Активность реагирования означает, что СЗИ должна реагировать на любые попытки несанкционированных действий. Характер реагирования может быть различным и включать просьбу повторить действие; задержку в выполнении запросов; отключение структурного элемента, с которого осуществлено несанкционированное действие; исключение нарушителя из числа зарегистрированных пользователей; подача специального сигнала и некоторых др.
Экономичность СЗИ означает, что при условии соблюдения основных требований всех предыдущих принципов расходы на СЗИ должны быть минимальными.