Информационная безопасность / Eremenko - Sistemy zashchity informatsii 2016
.pdf
Элементы следующего, 1-го уровня содержат законченные орга- низационно-правовые решения и отдельные технические средства защиты информации, например проект размещения технических средств охраны, VPN-систем и т.п.
План-проект КСЗИ
Направления |
Направления |
Направления |
|
защиты |
защиты |
||
защиты |
|||
|
|
1-го уровня |
1-го уровня |
1-го уровня |
2-го уровня |
2-го уровня |
2-го уровня |
Конечные |
Конечные |
Конечные |
элементы |
элементы |
элементы |
Рис. 29. Схема сетевой модели комплексной системы защиты информации
81
Элементы 2-го уровня состоят только из законченных решений, технических устройств и отдельных специализированных программ. Это правовые акты, всевозможные инструкции, технические устройства защиты информации, специализированные программы и т.п.
На самом нижнем уровне схемы представлены элементы и всевозможные стандартные изделия, которые входят в состав КСЗИ, такие как шлейфы, монтажная фурнитура и т.д.
Сетевая модель базовой конструкции комплексной системы защиты информации представляется в виде графа – дерева, в вершинах которого лежат конструктивные элементы системы – элементы уровней модели, а связывающие дуги являются отношениями между ними.
Процесс параметризации КСЗИ заключается в разработке параметрической модели объекта в виде
Плк = <КЭ, С1, С2, … , Сn, M>, |
(39) |
где КЭ – множество функциональных элементов (методов и средств защиты информации);
С1, С2, … , Сn – типы связей между функциональными элементами;
M – набор методов задания связей между конструктивными элементами.
Взаимосвязанные функциональные элементы сетевой модели отображают информацию об общей структуре КСЗИ, направлениях и средствах обеспечения информационной безопасности объекта защиты. При параметризации в соответствии с исходными данными, сформулированными в техническом задании, составляемом на основе результатов аудита информационной безопасности, происходит формирование проекта КСЗИ по набору задаваемых размерных параметров определенным параметрическим связям между отдельными её элементами.
Таким образом, построенная в соответствии с предложенным подходом сетевая комплексная система защиты информации необходима для выявления её структурных элементов и четкого определения отношений между ними. В дальнейшем данная модель используется в основе математического обеспечения создаваемой САПР КСЗИ.
82
4.4.Разработка структурно-функциональной модели САПР КСЗИ
Комплексная система защиты информации (КСЗИ) характеризуется большим числом взаимодействующих между собой средств и многофункциональным характером решаемых с ее помощью задач [3].
Проектирование, осуществляемое человеком при взаимодействии с ЭВМ в рамках САПР, называют автоматизированным [15]. САПР – это система, объединяющая технические средства, математическое и программное обеспечение, параметры и характеристики которых выбирают с максимальным учетом особенностей задач проектирования [15].
Структурными составляющими САПР являются подсистемы, обладающие всеми свойствами систем и создаваемые как самостоятельные системы.
По назначению подсистемы САПР могут быть проектирующими или обслуживающими. Первые из них непосредственно участвуют в выполнении проектных процедур, а вторые обеспечивают правильное функционирование первых [15].
Процесс проектирования реализуется в подсистемах в виде определенной последовательности проектных процедур и операций. Проектная процедура соответствует части проектной подсистемы, в результате выполнения которой принимается некоторое проектное решение. Она состоит из элементарных проектных операций, имеет твердо установленный порядок их выполнения и направлена на достижение локальной цели в процессе проектирования.
Структурное единство подсистем САПР обеспечивается строгой регламентацией связей между различными видами обеспечения, объединенных общей для данной подсистемы целевой функцией [29].
Различают семь видов обеспечения САПР (рис. 30) [33]. Необходимость проектирования КСЗИ для конкретного объекта
следует согласовать с должностными лицами, отвечающими за функционирование объекта, и получить соответствующие полномочия – разрешение доступа к ресурсам, форму допуска к конфиденциальной информации. С целью повышения эффективности построения и дальнейшего функционирования КСЗИ используют модель системы автоматизированного проектирования – САПР КСЗИ (рис. 31).
83
При проектировании КСЗИ на начальных этапах происходит получение модели объекта защиты – выполняется структурирование информации, циркулирующей на объекте защиты, и определяются характеристики процесса проектирования (с «нуля» или модифицировать существующую систему защиты), устанавливают категорию объекта защиты и виды обрабатываемой информации, возможные людские, материальные и финансовые ограничения КСЗИ. Далее выполняется моделирование возможных угроз информации и их ранжирование.
Виды обеспечения САПР
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Техническое |
|
Математическое |
|
|
Программное |
|
Информационное |
|
Лингвистическое |
|
|
Методическое |
|
Организационное |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 30. Виды обеспечения САПР
На следующем этапе осуществляется аудит информационной безопасности объекта защиты. В ходе проведения аудита анализируется используемая на защищаемом объекте информация, определяются её виды, степень конфиденциальности, ценность, актуальность и важность, выявляются все виды угроз, которым может быть подвергнут защищаемый объект, и все возможные каналы утечки информации [1].
В результате проведения аудита безопасности происходит оценка эффективности действующей системы защиты информации и принимается решение о направлениях её модернизации или разработке принципиально новой модели КСЗИ. Результат этого этапа – техническое задание (ТЗ) на проектирование КСЗИ для объекта защиты.
84
Ввод ин- |
|
Модуль описания объекта |
|
Техниче- |
|
|
|
ский пас- |
|||
формации |
|
информатизации |
|
||
|
|
порт |
|||
о системе |
|
|
|
||
|
|
|
|
||
Блок аудита ИБ – |
экспертная система |
|
|
||
Модуль определения вида |
Виды информации |
||||
защищаемой информации |
|||||
|
|
||||
БД требований |
Модуль анализа защищенности по требованиям |
||||
СТР-К/РД |
|
СТРК-К/РД и международным стандартам |
|||
БД угроз, |
|
Модуль формирования модели |
Модель |
||
|
угроз и оценки уязвимостей |
угроз |
|||
уязвимостей |
|
||||
85 |
|
|
|
|
|
|
Модуль выявления необходимой |
|
|||
БД типовых форм |
|
ОРД на объекте |
|
|
|
ОРД |
|
|
|
|
|
Выдача рекоменда- |
Нет |
Соответствует |
Да |
Система |
|
ций по устранению |
|
|
|||
|
|
|
защищена |
||
недостатков |
|
|
|
||
БД требований к КСЗИ |
|
Модуль формирования ТЗ |
|
||
|
|
на разработку проекта КСЗИ |
|
||
|
Блок проектирования КСЗИ |
|
|
|
Модуль проектирования |
|
|
|
технической защиты |
|
|
|
Модуль проектирования |
|
|
|
программной защиты |
БД типовых |
|
|
|
решений |
|
|
Модуль проектирования |
средств ЗИ |
|
|
|
|
|
|
организационной защиты |
|
|
Блок оптимизации КСЗИ |
|
|
|
|
Модуль выбора критериев |
БД |
|
|
|
|
|
|
Модуль формирования |
критериев |
|
|
|
|
|
|
целевой функции |
|
|
Да |
Проект удовлетворяет |
Нет |
|
|
|||
условиям заказчика? |
|
|
|
|
|
|
|
|
Утверждение |
|
|
|
проекта КСЗИ |
|
|
85
Рис. 31. Структурно-функциональная схема САПР КСЗИ
Далее в соответствии с ТЗ выбираются методы и средства, разрабатываются способы защиты информации и организационные соответствующие структуры, которые объединяются в единую совокупность – КСЗИ, обеспечивающую защиту информации от всех потенциально возможных и выявленных в ходе аудита угроз и каналов утечки. Затем разработанный план КСЗИ оптимизируется и в случае необходимости корректируется.
Таким образом, разработанная САПР КСЗИ обеспечивает:
1)возможность проведения аудита информационной безопасности объекта защиты;
2)получение комплекта проектной документации для развертывания комплексной системы защиты информации на защищаемом объекте;
3)технико-экономическую оценку спроектированного варианта комплексной системы защиты информации;
4)хранение ранее спроектированных вариантов проектов КСЗИ
ивозможность их редактирования;
Исходные данные на разработку автоматизированной системы проектирования включают:
∙характеристику объекта защиты;
∙вид защищаемой информации.
Результатом работы САПР КСЗИ является разработка политики безопасности, определяющей комплексное использование правовых, организационных, инженерно-технических, программно-аппаратных и криптографических методов, средств и способов защиты информации.
Разработка структуры и наполнение информационного обес-
печения САПР КСЗИ. Информационное обеспечение является одним из важных элементов САПР КСЗИ. Основной формой реализации компонентов информационного обеспечения САПР КСЗИ в соответствии с ГОСТ 23501.101 87 являются базы данных (БД) в распределенной или централизованной форме, организация данных в которых обеспечивает их оптимальное применение [29].
86
Основу информационного обеспечения составляют данные, которые используются в процессе проектирования непосредственно для выработки конкретных решений защиты. Эти данные представлены
ввиде:
-нормативно-правовой базы в области защиты информации;
-справочной информации;
-базы оценок показателей защищенности;
-базы угроз и уязвимостей;
-базы типовых форм документации;
-базы организационных, технических, программных средств защиты информации;
-промежуточных проектных решений;
-окончательных проектных решений.
Структурно БД САПР КСЗИ включают термины и символы, классификаторы, условные обозначения и способы представления данных. Описанная совокупность является унифицированной и удовлетворяет принципу информационного единства, обеспечивает соблюдение единого вида представления данных, принятого в САПР систем защиты информации.
Одними из главных критериев при выборе СУБД считаются простота, надежность, отсутствие для работы СУБД дополнительного программного обеспечения, а также отсутствие установки серверных компонентов, необходимых для функционирования системы. Ведь для конечного пользователя важно использовать продукт, функциональность которого не будет зависеть от дополнительного ПО, установленного на автоматизированных рабочих местах.
Ввиду этого наиболее подходящей под заявленные критерии для разработки информационного обеспечения САПР КСЗИ является Microsoft Access, так как ее простота и надежность уже зарекомендовали себя на рынке систем управления базами данных. К тому же данная СУБД удобно компилируется с языками программирования и не будет терять свой функционал при осуществлении запросов даже при отсутствии установленного на АРМ пакета Microsoft Access.
При проектировании комплексных систем защиты информации с помощью специализированной САПР используется большое число
87
информационных массивов. В состав информационного обеспечения САПР КСЗИ входит ряд БД, содержащих информацию, используемую на всех этапах работы САПР (рис. 32).
ИО САПР КСЗИ
БД блока оптимизации
КСЗИ
БД требований БД блока к КСЗИ аудита ИБ
|
|
|
|
|
|
|
|
|
|
|
|
БД блока |
|
|||
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
проектирования |
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
КСЗИ |
|
|
||
|
|
|
БД требований |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|||||||||||
|
|
|
|
СТР-К/РД |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
БД технических |
|
|
|
|
|
|||
|
БД угроз, |
|
|
|
|
|
БД программных |
|||||||||
|
|
|
средств защиты |
|
|
|
||||||||||
|
|
|
|
|
|
средств защиты |
||||||||||
|
уязвимостей |
|
|
информации |
|
|
|
|||||||||
|
|
|
|
|
|
информации |
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
БД типовых |
|
|
|
|
|
|
БД аппаратных |
|
|
|
|
|||||
|
|
|
средств защиты |
|
|
|
|
|||||||||
форм ОРД |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
информации |
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 32. Структура информационного обеспечения САПР КСЗИ
Рассмотрим для примера структуру и содержание БД блока аудита информационной безопасности. БД требований СТР-К/РД содержит информацию, необходимую для оценки соответствия систем защиты информации обследуемого объекта. Данная БД включает:
1. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) – документ, устанавливающий порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информа-
88
ции на территории Российской Федерации, являющийся основным руководящим документом в этой области для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций независимо от их организацион- но-правовой формы и формы собственности, должностных лиц и граждан Российской Федерации, взявших на себя обязательства либо обязанных по статусу исполнять требования правовых документов Российской Федерации по защите информации [1].
Информация в данной БД представлена в виде анкет табличного вида. Анкеты, определяющие соответствие требованиям СТР-К обследуемого объекта в рассматриваемой БД, составлены по следующим направлениям:
∙защита информации при проведении звукозаписи;
∙защита информации, циркулирующей в системах звукоусиления и звукового сопровождения кинофильмов;
∙определение соответствия основным требованиям и рекомендациям по защите информации, циркулирующей в защищаемых помещениях;
∙защита речевой информации при её передаче по каналам связи, основные требования и рекомендации по защите служебной тайны
иперсональных данных;
∙основные рекомендации по защите информации, составляющей коммерческую тайну и порядок обеспечения защиты конфиденциальной информации при эксплуатации АС и защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ;
∙защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ;
∙защита информации в локальных вычислительных сетях, при межсетевом взаимодействии.
2. Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». На основе данного документа разработаны опросные анкеты таблич-
89
ного вида (рис. 33), содержащиеся в БД, которые позволяют оце-
нить соответствие автоматизированных |
систем |
установлен- |
ным требованиям, предъявляемым к |
показателям |
защищен- |
ности 1 – 6- го классов [1]. |
|
|
Определение соответствия основным требованиям и рекомендациям по защите информации, циркулирующей в защищаемых помещениях
Рис. 33. Фрагмент анкеты-опросника на соответствие требованиям СТР-К
3. Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Данный документ устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов [1].
90