Информационная безопасность / Eremenko - Sistemy zashchity informatsii 2016
.pdf
Кроме того, модель включает в себя проблемно-ориентированный банк данных и блок интерфейса и визуализации.
|
|
|
|
|
|
|
|
|
|
|
|
|
Комплекс |
|
|
|
|
|
|
|
|
|
|
||
|
Типовая сетевая |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
модулей |
|
|
|
|
|
|
|
|
|
|
||||||
|
модель |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
расчета |
|
|
|
|
|
|
|
|
|
|
||||||
|
процесса |
|
|
|
|
|
|
|
|
пара- |
|
|
|
|
|
|
|
|
|
|
|||||
|
создания СЗИ |
|
|
|
|
|
|
|
|
|
метров |
|
|
|
|
Блок |
|
|
|
Модель реше- |
|
||||
|
|
|
|
|
|
|
|
|
системы |
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
оценки |
|
|
|
ния слабо- |
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
качества |
|
|
|
структуриро- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Проекти- |
|
|
|
|
|
мер |
|
|
|
ванных задач |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
рованный |
|
|
|
|
|
защиты |
|
|
|
проектирова- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
набор |
|
|
|
|
|
|
|
|
|
ния СЗИ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
системы Х |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Модуль |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
Исходный |
|
|
|
выбора |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
Модели |
|
набор |
|
|
|
стандартных |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
нарушителей |
|
ресурсов |
|
|
|
средств и |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||
|
Блок анализа |
|
|
|
|
|
|
|
|
|
|
типовых |
|
|
|
|
|
|
|
|
|
|
|||
|
критического |
|
|
|
|
|
|
|
|
|
|
проектных |
|
|
|
|
|
|
|
|
|
|
|||
|
пути |
|
|
|
|
|
|
|
|
|
|
решений |
|
|
|
|
Блок |
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
оптимизации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
системы Y |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
Файл |
|
|
|
Каталог |
|
Каталог |
|
|
|
|
|
|
|
|
Блок интерак- |
|
||||||
|
|
|
стандартных |
|
|
|
стратегий |
|
мер |
|
|
|
|
|
|
|
|
тивного |
|
||||||
|
|
|
средств |
|
|
|
нападений Y |
|
защиты Х |
|
|
|
|
|
|
|
|
интерфейса |
|
||||||
|
|
|
защиты |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и визуализации |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 10. Структурно-функциональная модель САПР КСЗИ
Модуль – типовая сетевая модель процесса создания СЗИ.
В качестве метода планирования комплекса работ по созданию системы защиты целесообразно принять метод сетевого планирования, так как создание СЗИ определяется большим числом и различным содержанием работ, требующих взаимной увязки по срокам исполнения. Необходимая цель создания СЗИ достигается коллективом специалистов. Помимо того необходимо обеспечивать заданные сроки создания СЗИ и т. д.
Типовая сетевая модель позволяет разработчику:
•формулировать общую программу работ и их последовательность;
•определять:
-содержание работ по созданию СЗИ;
-исполнителей работ;
-исходные материалы, необходимые для выполнения каждой работы;
31
-выходные материалы и результаты выполнения каждой работы;
-усредненные сроки и трудоемкость работ;
• обеспечивать оптимизацию процесса создания СЗИ по срокам выполнения работ, затратам и ресурсам.
Типовая сетевая модель дает возможность представить все операции и работы процесса создания СЗИ, упорядочить эти работы в их надлежащей последовательности, выяснить содержание и значение каждой работы и определить, каким образом и с помощью каких средств она может быть выполнена.
32
2.СИСТЕМАТИЗАЦИЯ КОМПОНЕНТОВ КСЗИ. РАЗРАБОТКА НАБОРА ТИПОВЫХ ВАРИАНТОВ КСЗИ ПРИМЕНИТЕЛЬНО К ОБЪЕКТУ ЗАЩИТЫ
2.1.Сущность комплексного подхода к разработке системы защиты информации
Проблема обеспечения желаемого уровня защиты информации весьма сложная, требующая для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специальных средств и методов, а создания целостной системы организационно-техноло- гических мероприятий и использования комплекса специальных средств и методов по ЗИ.
На базе теоретических исследований и практических работ в области ЗИ сформулирован системно-концептуальный подход к защите информации [4]. Под системностью как основной частью системноконцептуального похода понимается:
−системность целевая, т. е. защищенность информации рассматривается как главная часть общего понятия качества информации;
−системность пространственная, предлагающая взаимоувязанное решение всех вопросов защиты на всех компонентах объекта защиты;
− системность временная, означающая непрерывность работ по ЗИ, осуществляемых в соответствии с планами;
− системность организационная, т.е. единство организации всех работ по ЗИ и управления ими.
Комплексный (системный) подход к построению любой системы включает в себя:
1)изучение объекта внедряемой системы;
2)оценку угроз безопасности объекта;
3)анализ средств построения системы;
4)оценку экономической целесообразности построения системы;
5)изучение самой системы, ее свойств, принципов работы и возможности увеличения ее эффективности;
6)соотношение всех внутренних и внешних факторов;
7)возможность дополнительных изменений в процессе построения системы;
8)полную организацию процесса построения от начала до конца [6].
33
Комплексный (системный) подход не рекомендует приступать к созданию системы до тех пор, пока не определены ее основные компоненты (рис. 11).
Входные элементы
Компоненты системы защиты информации
Ресурсы |
|
|
|
|
|
эффективности |
Ресурсы |
Назначение |
и функции |
Окружающая |
среда |
Критерий |
Рис. 11. Компоненты системы защиты информации
Входные элементы. Это те элементы, для обработки которых создается система. В качестве таковых выступают виды угроз безопасности, возможные на данном объекте; виды информации, циркулирующей на объекте.
Ресурсы. Это средства, которые обеспечивают создание и функционирование системы (например, материальные затраты, энергопотребление, допустимые размеры и т. д.) Рекомендуется четко определять виды и допустимое потребление каждого вида ресурса как в процессе создания системы, так и в ходе ее эксплуатации.
Окружающая среда. Следует помнить, что любая реальная система всегда взаимодействует с другими системами, каждый объект связан с другими объектами.
Как бы ни устанавливались границы системы, нельзя игнорировать ее взаимодействие с окружающей средой, так как в этом случае принятые решения могут оказаться бессмысленными. Это справедливо для границ как защищаемого объекта, так и системы защиты.
34
Назначение и функции. Для каждой системы должна быть сформулирована цель, к которой система стремится. Эта цель может быть описана как назначение системы, ее функция. Чем точнее и конкретнее указано назначение или перечислены функции системы, тем быстрее и правильнее можно выбрать лучший вариант ее построения.
Критерий эффективности. Необходимо всегда рассматривать несколько путей, ведущих к цели, в частности несколько вариантов построения системы, обеспечивающей заданные цели функционирования. Для того чтобы оценить, какой из путей лучше, следует иметь инструмент сравнения – критерий эффективности. Он должен характеризовать качество реализации заданных функций; учитывать затраты ресурсов, требуемых для выполнения функционального назначения системы; иметь ясный и однозначный физический смысл; быть связанным с основными характеристиками системы и допускать количественную оценку на всех этапах ее создания [19].
Таким образом, с учетом многообразия потенциальных угроз информации на объекте защиты, сложности его структуры, а также участия человека в технологическом процессе обработки информации цели защиты информации могут быть достигнуты только путем создания СЗИ на основе комплексного подхода.
Главная цель создания КСЗИ – достижение максимальной эффективности защиты путем одновременного использования всех необходимых ресурсов, методов и средств, исключающих несанкционированный доступ к защищаемой информации и обеспечивающих физическую сохранность ее носителей [20].
2.2. Систематизация компонентов КСЗИ. Разработка набора типовых вариантов КСЗИ применительно к объекту защиты
Главной характеристикой системы безопасности является ее комплексность, т.е. наличие в ней обязательных элементов, охватывающих все направления защиты информации. Соотношение элементов и их содержания обеспечивает индивидуальность построения системы защиты информации конкретного объекта и гарантирует неповторимость системы, трудность ее преодоления.
КСЗИ – это организованная совокупность объектов и субъектов ЗИ, используемых методов и средств защиты, а также осуществ-
35
ляемых защитных мероприятий. Компоненты КСЗИ, с одной стороны, являются составной частью системы, с другой – сами организуют систему, проводя защитные мероприятия [3].
По способам осуществления все компоненты КСЗИ подразделяются на правовые (законодательные), организационные (административные), инженерно-технические, программно-аппаратные и криптографические (рис. 12) [9].
Компоненты КСЗИ
|
|
|
|
|
|
|
|
|
|
|
Правовая защита информации |
|
Инженерно-техническаякая защитаинформации |
|
Программно-аппаратная защита информации |
|
Криптографическая защита информации |
||||
|
|
|
|
|
|
|
|
|
|
|
Рис. 12. Основные компоненты КСЗИ
К правовым (законодательным) мерам защиты относятся дейст-
вующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе обработки и использования информации, а также устанавливающие ответственность за нарушение этих правил, препятствуя тем самым неправомерному использованию информации, и являющиеся сдерживающим фактором для потенциальных нарушителей [19].
Законодательные меры защиты определяют правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение.
36
Организационные (административные) меры защиты – это ком-
плекс направлений и методов управленческого, ограничительного и технологического характера, определяющих основы и содержание системы защиты, побуждающих персонал соблюдать правила защиты конфиденциальной информации [2]. Они включают (рис. 13):
1) мероприятия:
∙ осуществляемые при проектировании, строительстве и оборудовании объектов защиты;
∙ по разработке правил доступа персонала к защищаемым объектам (разработка политики безопасности);
∙ выполняемые при подборе и подготовке персонала; 2) организацию:
∙охраны и надежного пропускного режима;
∙учета, хранения, использования и уничтожения документов
иносителей с информацией;
∙явного и скрытого контроля за работой персонала [9].
Организационные меры защиты
Мероприятия, осуществляемые при проектировании, строительстве, оборудовании объектов защиты
Мероприятия по разработке правил доступа персонала к защищаемым объектам (разработка ПИБ)
Мероприятия, осуществляемые при подборе и подготовке персонала
Организация охраны и надежного пропускного режима
Организация учета, хранения, использования
иуничтожения документов и носителей
синформацией
Организация явного и скрытого контроля за работой персонала
Рис. 13. Состав организационных мер защиты информации
37
Организационным мерам защиты присущи серьезные недостатки, такие как:
1)низкая надежность без соответствующей поддержки инженер- но-техническими, программно-аппаратными и криптографическими средствами;
2)дополнительные неудобства, связанные с большим объемом рутинной, формальной деятельности.
Организационные меры необходимы для обеспечения эффективного применения других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными физическими и техническими средствами.
Инженерно-техническая защита информации – это защита ин-
формации при её обработке техническими средствами, осуществляемая с использованием технических средств и способов защиты. К техническим средствам и способам защиты в общем случае относят технические, инженерные и аппаратные средства, а также способы их использования [2].
Данный компонент КСЗИ включает в себя (рис. 14):
−сооружения инженерной защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);
−средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования;
−средства защиты помещений от визуальных способов технической разведки;
−средства обеспечения охраны территории, здания и помещений;
−средства обнаружения приборов и устройств технической разведки.
Программно-аппаратная защита информации – это защита ин-
формации, предусматривающая использование аппаратных средств и специального программного обеспечения для защиты данных в АСОД.
Данный компонент КСЗИ содержит (рис. 15):
−автономные программы, обеспечивающие защиту информации
иконтроль степени ее защищенности;
38
− программы |
защиты |
информации, |
работающие |
в |
комплексе |
с программами обработки информации; |
|
|
|
||
− программы |
защиты |
информации, |
работающие |
в |
комплексе |
с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы ДОСтупа, стирающие данные при несанкционированном входе в базу данных и др.).
Инженерно-технические меры защиты
Сооружения инженерной защиты от проникновения посторонних лиц на территорию, в здание
и помещения
Средства защиты технических каналов утечки информации
Средства защиты помещений от визуальных способов технической разведки
Средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, охранной и пожарной сигнализации)
Средства обнаружения приборов и устройств технической разведки
Рис. 14. Состав инженерно-технических мер защиты
Программно-аппаратная защита информации
Автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности
Программы защиты информации, работающие в комплексе с программами обработки информации
Программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации
Рис. 15. Состав программно-аппаратной защиты информации
39
Такой компонент КСЗИ, как криптографическая защита информации, включает (рис. 16):
−регламентацию использования различных криптографических методов в ЭВМ и локальных сетях;
−определение условий и методов шифрования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи;
−регламентацию:
∙использования средств криптографирования переговоров по незащищенным каналам телефонной и радиосвязи;
∙доступа к базам данных, файлам, электронным документам
сиспользованием методов персональной идентификации;
∙доступа персонала в выделенные помещения с помощью средств персональной идентификации.
Криптографическая защита информации
Регламентация использования различных криптографических методов в ЭВМ и локальных сетях
Определение условий и методов шифрования текста документа при передаче его по незащищенным каналам связи
Регламентация использования средств криптографирования переговоров по незащищенным каналам телефонной и радиосвязи
Регламентация доступа к базам данных, файлам, электронным документам с использованием методов персональной идентификации
Регламентация доступа персонала в выделенные помещения с использованием средств идентификации
Рис. 16. Состав криптографических методов защиты информации
Инженерно-технические, программно-аппаратные, криптографические средства защиты призваны устранить недостатки организационных мер, поставить прочные барьеры на пути злоумышленников и в максимальной степени исключить возможность несанкционированного доступа и получения защищаемой информации.
40