Обоснование перечня задач ЗИ
На данном этапе необходимо:
· определить перечень задач ЗИ, перекрывающих все потенциально возможные каналы несанкционированного получения информации в АС,
· провести классификацию задач ЗИ,
· определить эффективность решения задач ЗИ с точки зрения перекрытия всех потенциально возможных каналов несанкционированного получения информации в АС,
· выбрать подлежащие решению задачи ЗИ.
Задачи ЗИ– это организованные возможности средств, методов и мероприятий, осуществляемых в АС с целью полного или частичного осуществления одной или нескольких функций ЗИ в одной или нескольких зонах защиты. Аналогично двум видам функций должны быть предусмотрены и два вида задач ЗИ:
1) создания и реализации механизмов защиты,
2) управления механизмами защиты.
Сформировано 10 классов задач первого вида (решаемых с целью создания механизмов ЗИ) и 4 класса задач второго вида (решаемых с целью управления механизмами защиты):
Класс 1.1. — введение избыточности элементов системы.
Класс 1.2 — резервирование элементов системы.
Класс 1.3. — регулирование доступа к элементам системы.
Класс 1.4. — регулирование использования элементов.
Класс 1.5 — маскировка информации.
Класс 1.6 — контроль элементов системы.
Класс 1.7 — регистрация сведений.
Класс 1.8 — уничтожение информации.
Класс 1.9 — сигнализация.
Класс 1.10 — реагирование.
Класс 2.1 — планирование ЗИ.
Класс 2.2 — оперативно-диспетчерское управление ЗИ.
Класс 2.3 — календарно-плановое руководство ЗИ.
Класс 2.4 — обеспечение повседневной деятельности всех подразделений и отдельных должностных лиц, имеющих непосредственное отношение к ЗИ.
Выбор средств решения задач ЗИ
На данном этапе работ необходимо:
· выбрать СрЗИ, необходимые и достаточные для перекрытия потенциально возможных каналов несанкционированного получения информации и решения выбранных задач ЗИ,
· определить перечнь ТПР, которые могут быть использованы для решения задач ЗИ,
· провести классификацию выбранных ТПР, определить эффективность их использования,
· определить оптимальный набор ТПР, неолбходимых для решения задач ЗИ с заданной эффективностью.
Множество и разнообразие возможных СрЗИ определяется возможными способами воздействия на ДФ или на причины, их порождающие. Им в свою очередь соответствуют способы обеспечения БИ, которые реализуются в АС применением различных средств. Все СрЗИ можно разделить на: технические, программные, криптографические и организационные. Для формирования полного набора возможных СрЗИ необходим системный анализ возможностей решения задач ЗИ средствами различных классов.
При проектировании СЗИ необходимо руководствоваться общим правилом: необходимо стремиться к возможно более широкому использованию ТПР:
| Вариант СЗИ | |||||||
| 2а | 3а | ||||||
| Тип АС | 1: Д/Ц | 1а: Д/Ц* | |||||
| 2а: Ц* | 2: Ц | 2б: Д/Ц* | |||||
| 3а: Д* | 3: Ц | 3б: Д/Ц* | 3в: Д* | ||||
| 4: Ц | 4а: Ц* | 4б: Ц* | 4в: Д* | ||||
| 5а: Ц* | 5: Ц | 5б: Д* | |||||
| 6а: Ц* | 6б: Ц* | 6: Ц | 6в: Ц* | 6г: Д* | |||
| 7а: Ц* | 7: Ц | 7б: Д* | 7в: Ц* | ||||
| 8: Ц | 8а: Ц* |
здесь: Д – допустимо,
Ц – целесообразно,
О – обязательно,
* – в отдельных случаях;
варианты СЗИ:
1 пассивные СЗИ слабой защиты,
2 полуактивные СЗИ сильной защиты,
2а активные СЗИ сильной защиты,
3а полуактивные СЗИ очень сильной защиты,
3 активные СЗИ очень сильной защиты,
4 активные СЗИ особой защиты;
тип АС:
1 ПЭВМ,
2 групповая ЭВМ,
3 вычислительный центр предприятия,
4 вычислительный центр коллективного использования,
5 ЛВС,
6 слабораспределенная ЛВС,
7 сильнораспределенная ЛВС,
8 глобальная ЛВС.
В соответствии с этим возможны следующие варианты подхода к проектированию СЗИ:
· с использованием типовых проектных решений:
на уровне типовых СЗИ;
· на уровне типовых компонентов СЗИ:
структурно-ориентированных компонентов,
функционально-ориентированных компонентов,
по шестирубежной модели;
· по индивидуальному проекту:
с использованием типовых проектных решений по СрЗИ;
с разработкой индивидуальных СрЗИ.
Оценка эффективности ЗИ
Данный этап работ предполагает:
· оценку защищенности информации в условиях решений выбранных задач выбранными средствами,
· сравнение полученных оценок защищенности с требуемой.
На основании проведенных ранее этапов проектирования оформляются некоторые проекты – модели СЗИ, с помощью оценки которых и производиться выбор оптимального варианта СЗИ. Для оценки систем, обладающих высокой степенью неопределенности, таких как СЗИ приходиться пользоваться методами, основанными на применении неформальной теории. Основными частями неформальной теории систем являются:
· методы неформального оценивания,
· неформальные методы поиска оптимальных решений,
· декомпозиция общей задачи на ряд частных,
· макромоделирование.
Следует отметить, что никогда нельзя использовать только один метод оценки.
Оценка соответствия СЗИ требуемым показателям производится по разработанным методикам:
1) Типовые методики оценки соответствия комплекса СрЗИ требованиям показателей защищенности от НСД к информации,
2) Типовая методика испытаний объектов информатики по требованиям безопасности информации.
Для оценки соответствия используются следующие методы проверок и испытаний:
· экпертно-документальный метод,
· измерения и оценка защищенности информации в АС по принятым критериям для данных каналов утечки информации,
· проверка отдельных функций ЗИ или их комплекса с помощью тестирующих средств,
· попытка взлома СЗИ.
Оценка защищенности включает в себя и оценку рисков.