Формализация (моделирование)
Построения КСЗИ
Теоретические основы построения систем защиты исключительно сложны и, несмотря на интенсивность исследований в этой предметной области, еще далеки от совершенства.
В данном подходе предусматривается формализация функционирования КСЗИ по трем аспектам (ракурсам):
Основы построения комплексной систем защиты информации
Базовые направления создания КСЗИ
3. Типовые этапы создания КСЗИ
1. Основы построения комплексной систем защиты информации
В этой части рассматриваются следующие ОСНОВЫ построения систем защиты информации:
1. Законодательная, нормативно-методическая и научная база: правовая основа;
2. Структура и задачи органов (подразделений), осуществляющих комплексную защиту информации: организационная основа;
3. Организационно-технические и режимные меры (политика информационной безопасности): техническая основа;
4. Программно-технические методы и средства защиты информации: программно-апппаратная основа.
2. Направления создания систем защиты информации
ИС как объект защиты рассматривается по следующим направлениям (подсистемы КСЗИ):
1. Защита физических объектов информационных систем;
2. Защита, процедур и программ обработки информации;
3. Защита каналов связи;
4. Подавление побочных электромагнитных излучений;
Управление защитой.
Этапы создания систем защиты информации
Рассматриваются (устанавливаются) следующие ЭТАПЫ создания КСЗИ:
1. Определение информационных и технических ресурсов, а также объектов ИС подлежащих защите;
2. Выявление полного множество потенциально возможных угроз и каналов утечки информации;
3. Проведение оценки уязвимости и рисков информации (ресурсов ИС) при имеющемся множестве угроз и каналов утечки;
4. Определение требований к системе защиты информации;
5. Осуществление выбора средств защиты информации и их характеристик;
6. Внедрение и организация использования выбранных мер, способов и средств защиты;
Осуществление контроля целостности и управление системой защиты.
Матрица знаний информационной безопасности
МАТРИЦЫСОСТОЯНИЙ – своего рода турнирная таблица, позволяющая логически объединить составляющие блоков “ОСНОВЫ”, “НАПРАВЛЕНИЯ” и “ЭТАПЫ” по принципу каждый с каждым.
Напомним, что матрица появляется не сама по себе, а формируется в каждом конкретном случае, исходя из конкретных задач по созданию конкретной СЗИ для конкретной ИС.
Наглядно процесс формирования СЗИ с использованием матрицы знаний изображен на Рис. 5.
 |
 |
Рассмотрим как можно использовать предложенную матрицу.
· Элементы матрицы имеют соответствующую нумерацию (см. Рис.)
В общем случае количество элементов матрицы может быть определено из соотношения
K = Oi*Hj*Mk,
где К – количество элементов матрицы
Oi – количество составляющих блока “ОСНОВЫ”
Hj – количество составляющих блока “НАПРАВЛЕНИЯ”
Mk – количество составляющих блока “ЭТАПЫ”
Общее количество элементов “матрицы” равно 140
K=4*5*7=140.
поскольку Oi=4, Hj=5, Mk=7
Представление элементов матрицы
На Рис.7 представлен пример, элемента матрицы 321, который формируется с учетом следующих составляющих:
300 – Проведение оценки уязвимости и рисков (составляющая № 3 блока “ЭТАПЫ”);
020 – Защита процессов и программ (составляющая № 2 блока “НАПРАВЛЕНИЯ”)
001 – Нормативная база (составляющая № 1 блока “ОСНОВЫ”)
Рисунок 7
Содержание каждого из элементов МАТРИЦЫописывает взаимосвязь составляющих создаваемой СЗИ. Перечень вопросов описывающих каждый из элементов матрицы, приведен в приложении А.
Комплекс вопросов создания и оценки СЗИ рассматривается путем анализа различных групп элементов матрицы, в зависимости от решаемых задач.
Например отдельно можно оценить качество нормативной базы (Рис.8) или защищенность каналов связи (Рис.9), или качество мероприятий по выявлению каналов утечки информации (Рис.10) и т.д.
Рисунок 8
 |
Рисунок 9
 |
В общем случае основным содержанием элементов матрицы является ответ на вопрос “Какие из мероприятий по защите информации, кем и как выполняются?”
Рисунок 10
В другом примере на Рис.11 приведено содержание для элементов № 321, 322, 323, 324, которые объединяют следующие составляющие:
№ 3 (300 проведение оценки уязвимости и рисков) блока “ЭТАПЫ”,
№ 2 (020 защита процессов и программ) блока “НАПРАВЛЕНИЯ”
№ 1, 2, 3, 4 (001 нормативная база, 002 структура органов, 003 мероприятия, 004 используемые средства) блока “ОСНОВЫ”.
 |
Опишем содержание информации в указанных элементах матрицы.
Рисунок 11
Вот что получилось:
· Элемент № 321 содержит информацию о том насколько полно отражены в законодательных, нормативных и методических документах вопросы, определяющие порядок проведения оценки уязвимости и рисков для информации используемой в процессах и программах конкретной ИС?
· Элемент № 322 содержит информацию о том имеется ли структура органов (сотрудники), ответственная за проведение оценки уязвимости и рисков для процессов и программ ИС?
· Элемент № 323 содержит информацию о том определены ли режимные меры, обеспечивающие своевременное и качественное проведение оценки уязвимости и рисков для информации используемой в процессах и программах ИС?
· Элемент № 324 содержит информацию о том применяются ли технические, программные или другие средства, для обеспечения оперативности и качества проведения оценки уязвимости и рисков в процессах и программах ИС?
Это содержание только четырех вопросов из ста сорока, но ответы на них уже позволяют сформировать некое представление о состоянии дел по защите информации в конкретной ИС.
В общем случае рассматриваются все 140 вопросов (по числу элементов матрицы). Описание этих вопросов позволяют составить полное представление о СЗИ и оценить достигнутый уровень защиты.
Полный перечень 140 вопросов изложен в Приложение А.