Kniga-Online.club
» » » » Наталия Гришина - Организация комплексной системы защиты информации

Наталия Гришина - Организация комплексной системы защиты информации

Читать бесплатно Наталия Гришина - Организация комплексной системы защиты информации. Жанр: Прочая околокомпьютерная литература издательство -, год 2004. Так же читаем полные версии (весь текст) онлайн без регистрации и SMS на сайте kniga-online.club или прочесть краткое содержание, предисловие (аннотацию), описание и ознакомиться с отзывами (комментариями) о произведении.
Перейти на страницу:

Результатом работы данного модуля САПР является сформированный рабочий набор стратегий нападения Y в виде табличного файла:

Модуль комплекса моделей расчета параметров подсистем СЗИ включает в себя программно-математические средства проектирования системы криптозащиты, технических средств, системы разграничения доступа, системы постобработки регистрационной информации и т. д. В процессе функционирования САПР комплекс моделей должен пополняться и совершенствоваться.

Модуль синтеза и оптимизации СЗИ осуществляет разработку мер защиты. Этот этап следует непосредственно после проведения инженерного анализа СЗИ и определения состава и основных характеристик системы нападения на информацию. В результате выполнения этапа определяется оптимальный состав СЗИ и основные требования к качеству мер защиты информации, а также производится оценка затрат, требующихся для реализации СЗИ.

Синтез и оптимизация СЗИ выполняются в следующей последовательности:

— для каждой стратегии нападения на информацию, выявленной в результате анализа защищаемой системы, из каталога основных мер защиты выбираются такие меры, с помощью которых обеспечивается противодействие каждой вошедшей в набор Y стратегии нападения, т. е. такие меры защиты, для которых в матрице качества элементы qij для данной стратегии нападения отличны от нуля. При этом качество каждой j-й меры защиты по отношению к i-й стратегии нападения определяется величиной q — вероятностью блокировки i-й стратегии нападения с помощью j-й меры защиты информации;

— для каждой выбранной меры защиты в соответствии с методикой оценки качества мер защиты от конкретных стратегий нападения производится уточнение величин qy;

— в соответствии с методикой оптимизации плана СЗИ составляется и решается система уравнений задачи оптимизации. В дальнейшем при разработке конкретных мер зашиты, вошедших в оптимальный план СЗИ, необходимо обеспечить выполнение требований к качеству мер защиты информации;

— определяются оценочные затраты, необходимые для реализации СЗИ, равные сумме затрат на реализацию мер защиты, вошедших в оптимальный план СЗИ.

Блок оценки качества мер защиты содержит методику оценки качества мер защиты. Возможны следующие методы оценки параметров qij:

— расчетные;

— на основе статистических данных;

— метод экспертных оценок.

Все затраты на реализацию системы защиты информации по своей структуре состоят из суммы капитальных вложений и текущих расходов.

Капитальные вложения представляют затраты на разработку мер защиты СЗИ в целом, разработку и отладку аппаратуры, предназначенной для защиты информации, на конструктивную доработку комплекса технически средств в целях обеспечения их специальных свойств, на создание экранирующих сооружений, на создание систем заземления, на приобретение аппаратуры, монтаж и отладку охранной и противопожарной сигнализации.

Текущие расходы представляют затраты на заработную плату персонала, обслуживающего СЗИ, накладные расходы, затраты на энергоснабжение и т. д.

Критерием оптимизации плана СЗИ может быть минимизация затрат на реализацию СЗИ в АСОД при условии обеспечения заданных уровней защищенности информации от несанкционированных действий со стороны всех вероятных стратегий нападения, т. е.

где Ci — затраты на реализацию i-й стратегии,

dij = 1, если i-я мера зашиты входит в j-й набор мер;

dij = 0, если i-я мера защиты не входит в j-й набор мер.

U= log P — уровень защищенности информации в АСОД;

где qj — вероятность применения стратегии; S — число возможных подсистем стратегий нападения; mk — число возможных стратегий нападения в составе k-й подсистемы нападения; nk — число мер защиты, направленных на противодействие k-й подсистеме стратегий нападения.

В качестве системы защиты принимается такой набор мер защиты Ri для которого Сi = min{Cj}.

Визуализация оптимизированной матрицы может быть представлена в виде:

В качестве информационной базы структурно-функциональной схемы САПРа защиты информации используется проблемно-ориентированный банк данных, в который входят:

— файл исходных данных;

— файл стандартных средств защиты;

— файл штатных средств защиты;

— каталог стратегий нападения Y;

— каталог мер защиты X;

— нормы эффективности защиты.

Рис. 29. Модель системы автоматизированного проектирования защиты информации

Каталог потенциальных стратегий нападения, направленных на несанкционированные действия, является результатом специального инженерного анализа.

Каталог мер защиты — перечень мер, обеспечивающих защиту от стратегий нападения.

Каталог норм эффективности защиты. Нормой эффективности защиты информации в АСОД от утечки информации при воздействии конкретной стратегии нападения называется допустимая вероятность Р несанкционированного доступа к информации при реализации данной стратегии нападения в условиях противодействия со стороны защиты. Однако для целого ряда прикладных задач по защите информации нормы отсутствуют. В таких случаях в качестве ориентиров используются требования заказчика, согласованные с разработчиком системы.

В общем виде система автоматизированного проектирования представлена на рис. 29.

8. КАДРОВОЕ ОБЕСПЕЧЕНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

8.1. Подбор персонала

Большинство систем не может функционировать без участия человека, что является верным и для комплексных систем ЗИ. Группа обеспечения таких систем, с одной стороны, ее необходимый элемент, с другой — он же может быть причиной и движущей силой нарушения и преступления. Сотрудник предприятия является определяющей фигурой в обеспечении сохранности сведений. Он может выступать в качестве создателя интеллектуальной собственности предприятия (совершенствуя технологию, создавая какие-либо товары и др.). При этом значительная часть ценнейшей для предприятия информации не отражается в технической документации, а остается в голове. И в дальнейшем, накопив опыт, многие из них потенциально готовы в будущем реализовать свой идей на практике. Кроме того, если сотрудник привлекается к закрытым работам, руководитель предприятия вынужден предоставить ему наиболее ценную информацию, полученную другим работником.

Проведя анализ статистических данных по отечественным и зарубежным источникам, можно сделать вывод, что около 70 % (а по некоторым источникам эта цифра еще выше) всех нарушений, связанных с безопасностью информации, совершаются именно сотрудниками предприятия. Можно выделить 5 причин этого факта:

1) при нарушениях, вызванных безответственностью, сотрудник целенаправленно или случайно производит какие-либо действия по компрометации информации, связанные со злым умыслом;

2) бывает, что сотрудник предприятия ради самоутверждения (для себя или коллег) затевает своего рода игру «пользователь — против системы». И хотя намерения могут быть безвредными, будет нарушена сама практика безопасности. Такой вид нарушений называется зондированием системы;

3) нарушение может быть вызвано и корыстным интересом. В этом случае сотрудник будет пытаться целенаправленно преодолеть систему защиты для доступа к хранимой, перерабатываемой и обрабатываемой на предприятии информации;

4) за рубежом известна практика переманивания специалистов, так как это позволяет ослабить конкурента и дополнительно получить информацию о предприятии. Таким образом, не обеспечив закрепление лиц, осведомленных в секретах, талантливых специалистов, невозможно в полной мере сохранить секреты предприятия. Вопросам предупреждения текучести кадров в зарубежных фирмах уделяют большое внимание. Представители японской администрации рассматривают компанию как совокупность различных ресурсов. При этом люди стоят на первом месте, т. к. именно они воплощают технологию и в них в первую очередь заключается конкурентоспособная сила фирмы. То есть текучесть кадров четвертая причина;

5) специалист, работающий с конфиденциальной информацией, испытывает отрицательное психическое воздействие, обусловленное спецификой этой деятельности. Поскольку сохранение чего-либо в тайне противоречит потребности человека в общении путем обмена информацией, сотрудник постоянно боится возможной угрозы утраты документов, содержащих секреты. Выполняя требования режима секретности, сотрудник вынужден действовать в рамках ограничения своей свободы, что может привести его к стрессам, психологическим срывам, а как результат — нарушении безопасности информации.

Перейти на страницу:

Наталия Гришина читать все книги автора по порядку

Наталия Гришина - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки kniga-online.club.


Организация комплексной системы защиты информации отзывы

Отзывы читателей о книге Организация комплексной системы защиты информации, автор: Наталия Гришина. Читайте комментарии и мнения людей о произведении.


Уважаемые читатели и просто посетители нашей библиотеки! Просим Вас придерживаться определенных правил при комментировании литературных произведений.

  • 1. Просьба отказаться от дискриминационных высказываний. Мы защищаем право наших читателей свободно выражать свою точку зрения. Вместе с тем мы не терпим агрессии. На сайте запрещено оставлять комментарий, который содержит унизительные высказывания или призывы к насилию по отношению к отдельным лицам или группам людей на основании их расы, этнического происхождения, вероисповедания, недееспособности, пола, возраста, статуса ветерана, касты или сексуальной ориентации.
  • 2. Просьба отказаться от оскорблений, угроз и запугиваний.
  • 3. Просьба отказаться от нецензурной лексики.
  • 4. Просьба вести себя максимально корректно как по отношению к авторам, так и по отношению к другим читателям и их комментариям.

Надеемся на Ваше понимание и благоразумие. С уважением, администратор kniga-online.


Прокомментировать
Подтвердите что вы не робот:*
Подтвердите что вы не робот:*