- •В.И. Аверченков, м.Ю. Рытов,
- •Предисловие
- •1. Анализ и систематизация существующего информационного, методического и программного обеспечения автоматизации проектирования организационно - технических систем
- •1.1.1.Понятие организационно-технических систем
- •1.1.2.Анализ подходов к проектированию организационно-технических систем
- •1.2. Характеристика видов обеспечения процесса
- •1.3. Исследование состава комплексных систем защиты
- •1.3.1.Система защиты информации и общеметодологические принципы ее построения
- •1.3.2. Исследование архитектурного построения систем защиты
- •1.4. Существующие подходы к автоматизации проектирования комплексных систем защиты информации
- •1.4.1. Программные продукты аудита информационной безопасности
- •1.4.2. Сетевые сканеры
- •1.4.3. Сапр систем физической защиты
- •1.4.4.Существующие подходы к созданию сапр ксзи
- •2.Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к
- •2.1.Сущность комплексного подхода к разработке системы защиты информации
- •2.2. Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к объекту защиты
- •3. Разработка методов математического описания и методик построения методов
- •3.1. Требования к математическому обеспечению сапр ксзи
- •3.2.Общий подход к математическому моделированию ксзи
- •3.3.Построение математической модели общей оценки угроз
- •3.4. Построение математической модели оценки рисков
- •3.5. Варианты решения задачи выбора средств защиты
- •3.5.1. Математическое обеспечение выбора средств защиты информации на основе четких множеств с четкими соответствиями
- •3.5.2.Математическое обеспечение выбора средств защиты информации на основе нечетких соответствий четких множеств
- •3.5.3. Математическое обеспечение выбора средств защиты информации на основе нечетких множеств
- •3.6. Анализ используемых методик выбора средств защиты информации в сапр ксзи
- •4. Выработка концептуального подхода
- •4.1.Типовое вариантное проектирование ксзи
- •4.2.Выбор способа представления инженерных знаний в системах параметрического проектирования
- •Имя слота 1 (значение слота 1); Имя слота 2 (значение слота 2);
- •Имя слота к (значение слота к)).
- •4.3.Формирование сетевой модели комплексной системы защиты информации на основе типизации её элементов
- •4.4.Разработка структурно-функциональной модели сапр ксзи
- •4.4.1.Разработка структуры и наполнение информационного обеспечения сапр ксзи
- •4.4.2.Разработка лингвистического обеспечения сапр ксзи
- •5. Возможности сапр для проектирования комплексной системы защиты информации на примере вуза
- •5.1.Анализ объекта защиты на примере высшего учебного заведения
- •Информация
- •5.2.Разработка проекта системы защиты конфиденциальной информации вуза
- •5.2.1. Разработка проекта программно-аппаратной защиты
- •5.2.2.Разработка проекта инженерно-технической защиты
- •5.2.2.1.Разработка проекта схемы размещения пожарных извещателей
- •5.2.2.2. Разработка проекта размещения оборудования помещений объекта техническими средствами охранной сигнализации
- •5.2.3. Разработка проекта организационно-распорядительной
- •1.Правового характера:
- •2.Организационного характера:
- •3.Организационно-технического характера:
- •4. Режимного характера:
- •5.3. Анализ результатов работы сапр ксзи
- •Заключение
- •Список литературы
- •Аверченков Владимир Иванович
Информация
Открытая
С ограниченным
доступом
Конфиденциальная
Государственная
тайна
Защищаемые
государством
сведения
в области его
военной, внешнеполитической, экономической,
разведывательной, контрразведывательной
и оперативно-розыскной деятельности,
распространение которых может нанести
ущерб
безопасности
Российской
Федерации
Рис.36.Классификация информации по типу регламентации распространения и использования
Под открытой информацией понимается информация, собираемая, создаваемая и/или сохраняемая вузом и которая не составляет государственную или иного вида тайну, определенную законодательством, либо уставом вуза. К ней можно отнести учебные расписания, методическую литературу и др.
К информации ограниченного доступа относится информация, определенная законодательством и уставом вуза, как информация ограниченного доступа. К данному типу можно отнести:
Государственная тайна. Вузы, владеют значительным объемом информации, относящейся к передовым направлениям науки и техники, используемой как при подготовке специалистов, так и при выполнении научно-исследовательских работ, значительная часть которых финансировалась и финансируется по настоящее время государством. Среди этого потока информации существует значительное количество сведений, составляющих государственную тайну, разглашение которых может нанести ущерб государственным интересам. Обращение с этими сведениями требует особого режима, исключающего допуск сторонних лиц. Права и обязанности участников информационных процессов при работе со сведениями, составляющими государственную тайну, регламентируются законом «О государственной тайне» [6];
Служебная тайна - существует целый ряд сведений, не являющихся государственными секретами, связанных с производством, технологией, управлением, финансами, другой деятельностью хозяйствующего субъекта, разглашение которых (передача, утечка) может нанести ущерб его интересам. Такие сведения принято называть служебной и/или коммерческой тайной;
Профессиональная тайна – секреты, связанные с организацией учебных процессов и др.[6];
Персональные данные – под персональными данными понимается любая документированная и/или занесенная на машинные носители информация, которая относится к конкретному человеку и/или которая может быть отождествлена с конкретным человеком. Это информация о студентах, преподавателях, партнерах и др.[7].
К информации ограниченного доступа также относятся сведения о содержании проектов постановлений, распоряжений и других внутренних документов [2].
Доступ к общедоступной информации является открытым, и ее использование не может нанести вреда ИС. Что касается информации ограниченного доступа, то доступ к ней должен быть строго регламентирован, т.е. должно быть четко установлено, где, кем, в каком объеме и на каких условиях может быть использована данной информация. Такое разграничение должно обусловливаться тем, что пользователи ИС ВУЗА имеют различные профессиональные интересы и уровень подготовки при работе с информацией различного рода. Это преподаватели, занятые постановкой новых лекционных курсов, лабораторных и исследовательских практикумов; научные сотрудники, ведущие исследовательские и проектные разработки; сотрудники офисных служб вуза, учебного и научно-исследовательского отделов, деканатов, библиотеки и т.п., а также студенты.
Из этого следует, что информация ограниченного доступа должна подвергаться защите от воздействия различных событий, явлений как внутренних, так и внешних, способных в тои или иной мере нанести ущерб данной информации.
Таким образом, организация обеспечения информационной безопасности вуза должна носить комплексный характер и основываться на глубоком анализе негативных всевозможных последствий, который предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению (уязвимостей) и как следствие определение актуальных угроз информационной безопасности вуза. Территориально распределенная структура ИС ВУЗА, создает ряд предпосылок для реализации разнообразия потенциальных угроз ИБ, которые могут нанести ущерб ИС. Как и для любой другой ИС, для ИС ВУЗА характерны антропогенные, техногенные и стихийные источники угроз, которые воздействуют на систему через ее уязвимости, характерные для любой ИС (как бы она идеально ни была построена), реализуя тем самым угрозы ИБ.
Процесс построения комплексной системы защиты информации вуза представляет собой весьма затратное мероприятие с точки зрения трудоемкости и материальных затрат, требующее наличия квалифицированных специалистов. Для сокращения затрат на проектирование комплексной системы защиты информации вуза в условиях ограниченного финансирования, отсутствия, как правило, квалифицированных специалистов и значительного снижения трудоемкости целесообразно использовать специализированные объектно-ориентированные САПР. Рассмотрим возможность применения разработанной коллективом ученых Брянского государственного технического университета САПР КСЗИ для проектирования системы комплексной защиты информации объекта. Объектом защиты, для которого с целью исследования возможностей разработанной САПР КСЗИ проектируется комплексная система защиты информации, является технический университет, расположенный в областном центре (далее - Университет). Истинное наименование вуза не указывается, так как при создании комплексной системы защиты информации возможна утечка конфиденциальной информации, присущей конкретному вузу.
При анализе защищенности информационных ресурсов в ФГБОУ ВПО «Университет» были выявлены следующие виды информации: открытая информация, информация о ноу-хау и научно-исследовательских работах, а также информация о персональных данных сотрудников, преподавателей, студентов и аспирантов университета. Открытая информация, информация о ноу-хау и научно-исследовательских разработках защищена на достаточно высоком уровне, способном противостоять проявлению множества возможных угроз. Локально-вычислительная сеть ФГБОУ ВПО «Университет» также защищена наиболее передовыми технологиями и средствами в области защиты информации.
В ходе проведения аудита было выявлено, что информационные системы персональных данных являются незащищенными информационными ресурсами с точки зрения программных и технических средств, а также организационных мер по защите ИСПДн в соответствия с требованиями законодательства.
Ввиду этого было решено спроектировать систему защиты информационных систем персональных данных – комплексную систему защиты конфиденциальной информации, применив САПР КСЗИ, позволяющую в автоматизированном режиме провести аудит, оценку состояния защищенности и формирование рекомендаций по защите информационных систем персональных данных в ФГБОУ ВПО «Университет».