Скачиваний:
241
Добавлен:
03.02.2018
Размер:
515.07 Кб
Скачать

Комплексная система защиты информации на объектах информатизации Системный подход при комплексной защите информации Объект информатизации как объект защиты

Информационное представление ОИ

Системность и комплексность защиты информации

Базовый фактор - структурные, технические, технологические и организационные решения по защите информации должны быть частью проектных решений АС и обеспечивающей их функционирование инфраструктуры.

КСЗИ - автоматизированная организационно-техническая система управления информационной безопасностью на объекте информатизации.

Цель создания КСЗИ-нейтрализация актуальных для ОИ и эксплуатируемых на объекте АС угроз информационного характера, которые могут иметь различные источники и быть различной природы. При этом понимается, что система является специализированной (имеет свою специальную нормативную базу) и разрабатывается для защиты информации ограниченного доступа

КСЗИ по охвату действия - обеспечивает защиту информации каждой функционирующей на объекте информатизации автоматизированной системы и всех информационных технологий, связанных с АС или с отдельными ИТ автоматизации/информатизации объекта

КСЗИ конструктивно - интегрированная обеспечивающая система для всех эксплуатируемых на объекте информатизации АС. Её компоненты могут быть подсистемами защиты информации АС (ПСЗИ АС), тем самым, осуществляя системную увязку средств КСЗИ, согласование политик безопасности различных эксплуатируемых АС и единство управления информационной безопасностью на объекте в рамках КСЗИ.

    • Принцип системности - при декомпозиции целей и синтезе структурных элементов КСЗИ между ними, компонентами АС и процессами реализации информационных технологий, в интересах которых осуществляется защита информации, должны быть установлены такие связи, которые обеспечивают цельность КСЗИ и её взаимодействие с другими системами объекта информатизации и подсистемами АС

При этом обеспечивается:

  • рассмотрение всех угроз информации, влияющих на состояние защищённости информации в АС и на объекте информатизации;

  • выделение актуальных из них путём анализа порождаемых ими рисков и последующего возможного ущерба, если риск становится реальным событием;

  • ранжирование актуальных угроз;

  • учёт всех выделенных актуальных угроз при создании КСЗИ.

    • Принцип комплексности - оптимальное использование различных методов, мер и средств защиты информации (административно-правовых, организационных, организационно-технических, технических, программных) для нейтрализации угроз информации и поддержания заданного уровня защищённости информации, интеграции этих средств в единую технологически связанную и управляемую систему

Структурная схема построения ксзи

Основным инструментарием построения КСЗИ является системный анализ. В соответствии с введённым понятием ОИ, который рассматривается как объект защиты информации, объект информатизации может быть представлен в информационном отношении в двух аспектах:

  • как система информационно-аналитического обеспечения основной деятельности ОИ или автоматизированного управления определёнными видами деятельности;

  • как функциональный объект, информационно проявляющий себя в окружающей среде (внешнее информационное проявление объекта).

Внешнее информационное проявление объекта защиты имеет место за счёт множества существующих возможных каналов получения информации из объекта или об объекте, в штатном режиме или несанкционированным путём.

Штатными каналами являются определённые легальные информационные технологии транспортировки данных через внешнюю среду в интересах ОИ (например, информационные технологии внешнего информационного взаимодействия с другими ОИ через ТКС).

Побочные информационные технологии (процессы) получения информации, являющиеся следствием специфичных свойств технических средств, программной среды, появляющихся нештатных информационных ситуаций при функционировании АС (сбои, отказы), или, наконец, возникающие за счёт человеческого фактора, создают несанкционированные пути получения информации. С позиций КСЗИ информационные ситуации, связанные с появлением побочных информационных технологий, являются критическими.

Системный анализ предполагает, во-первых, анализ самого объекта для формирования задач защиты, во-вторых, поиск средств реализации этих задач и, наконец, синтез структуры системы, технологической целостности и управления (так как КСЗИ по природе своей является системой управления). Тем самым решаются дескриптивная и конструктивная задачи системного анализа.

Решение дескриптивной задачи системного анализа включает в себя выполнение следующих основных процедур:

  • анализ информационных ресурсов и всей информационно-технологической инфраструктуры объекта (прежде всего, в отношении используемых АС) на предмет выявления защищаемых ресурсов и объективно имеющихся уязвимых мест;

  • выявление и анализ угроз информации, их источников, порождаемых ими информационных рисков, оценка возможного ущерба и, на основании этой оценки, ранжирование угроз информации для выделения актуальных угроз;

  • разработка модели нарушителя и модели угроз информационной безопасности для объекта защиты, при необходимости, для отдельных компонентов информационной сферы (деятельности) организации;

  • формирование политики информационной безопасности, в рамках которой определяются направления постановки функциональных задач защиты (ФЗ), защищаемые информационные технологии и критические ситуации, а также направления деятельности подразделений ОИ в интересах обеспечения информационной безопасности и функциональные роли в подразделениях;

  • определение необходимого набора функций назначения по защите информации, интеграция их в функциональные подсистемы и постановка функциональных задач защиты, обеспечивающих нейтрализацию актуальных угроз информации.

Результаты решения дескриптивной задачи системного анализа позволяют сформировать функциональную часть КСЗИ.

Далее решается конструктивная задача системного анализа, которая обеспечивает синтез и интеграцию системы.

Функциональные задачи защиты должны быть реализованы с помощью методов и средств, которые в защищаемых информационных технологиях, при критических ситуациях или в определённых условиях должны обеспечить выполнение требований политики безопасности. Упорядоченные по типам и видам совокупности этих методов и средств составляют набор обеспечивающих подсистем (обеспечивающая часть КСЗИ).