Наталия Гришина - Организация комплексной системы защиты информации

Рейтинг:

• 80
• 1
• 2
• 3
• 4
• 5

Название:

Организация комплексной системы защиты информации

Автор:

Наталия Гришина

Издательство:

Гелиос АРВ

Жанр:

Прочая околокомпьтерная литература

Год:

2007

ISBN:

978-5-85438-171-0

Скачать:

99Пожалуйста дождитесь своей очереди, идёт подготовка вашей ссылки для скачивания...

Скачивание начинается... Если скачивание не началось автоматически, пожалуйста нажмите на эту ссылку.

Вы автор?
Жалоба

Все книги на сайте размещаются его пользователями. Приносим свои глубочайшие извинения, если Ваша книга была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.

Как получить книгу?

Оплатили, но не знаете что делать дальше? Инструкция.

Описание книги "Организация комплексной системы защиты информации"

Описание и краткое содержание "Организация комплексной системы защиты информации" читать бесплатно онлайн.

Результатом работы данного модуля САПР является сформированный рабочий набор стратегий нападения Y в виде табличного файла:

Модуль комплекса моделей расчета параметров подсистем СЗИ включает в себя программно-математические средства проектирования системы криптозащиты, технических средств, системы разграничения доступа, системы постобработки регистрационной информации и т. д. В процессе функционирования САПР комплекс моделей должен пополняться и совершенствоваться.

Модуль синтеза и оптимизации СЗИ осуществляет разработку мер защиты. Этот этап следует непосредственно после проведения инженерного анализа СЗИ и определения состава и основных характеристик системы нападения на информацию. В результате выполнения этапа определяется оптимальный состав СЗИ и основные требования к качеству мер защиты информации, а также производится оценка затрат, требующихся для реализации СЗИ.

Синтез и оптимизация СЗИ выполняются в следующей последовательности:

— для каждой стратегии нападения на информацию, выявленной в результате анализа защищаемой системы, из каталога основных мер защиты выбираются такие меры, с помощью которых обеспечивается противодействие каждой вошедшей в набор Y стратегии нападения, т. е. такие меры защиты, для которых в матрице качества элементы qij для данной стратегии нападения отличны от нуля. При этом качество каждой j-й меры защиты по отношению к i-й стратегии нападения определяется величиной q — вероятностью блокировки i-й стратегии нападения с помощью j-й меры защиты информации;

— для каждой выбранной меры защиты в соответствии с методикой оценки качества мер защиты от конкретных стратегий нападения производится уточнение величин qy;

— в соответствии с методикой оптимизации плана СЗИ составляется и решается система уравнений задачи оптимизации. В дальнейшем при разработке конкретных мер зашиты, вошедших в оптимальный план СЗИ, необходимо обеспечить выполнение требований к качеству мер защиты информации;

— определяются оценочные затраты, необходимые для реализации СЗИ, равные сумме затрат на реализацию мер защиты, вошедших в оптимальный план СЗИ.

Блок оценки качества мер защиты содержит методику оценки качества мер защиты. Возможны следующие методы оценки параметров qij:

— расчетные;

— на основе статистических данных;

— метод экспертных оценок.

Все затраты на реализацию системы защиты информации по своей структуре состоят из суммы капитальных вложений и текущих расходов.

Капитальные вложения представляют затраты на разработку мер защиты СЗИ в целом, разработку и отладку аппаратуры, предназначенной для защиты информации, на конструктивную доработку комплекса технически средств в целях обеспечения их специальных свойств, на создание экранирующих сооружений, на создание систем заземления, на приобретение аппаратуры, монтаж и отладку охранной и противопожарной сигнализации.

Текущие расходы представляют затраты на заработную плату персонала, обслуживающего СЗИ, накладные расходы, затраты на энергоснабжение и т. д.

Критерием оптимизации плана СЗИ может быть минимизация затрат на реализацию СЗИ в АСОД при условии обеспечения заданных уровней защищенности информации от несанкционированных действий со стороны всех вероятных стратегий нападения, т. е.

где Ci — затраты на реализацию i-й стратегии,

dij = 1, если i-я мера зашиты входит в j-й набор мер;

dij = 0, если i-я мера защиты не входит в j-й набор мер.

U= log P — уровень защищенности информации в АСОД;

где qj — вероятность применения стратегии; S — число возможных подсистем стратегий нападения; mk — число возможных стратегий нападения в составе k-й подсистемы нападения; nk — число мер защиты, направленных на противодействие k-й подсистеме стратегий нападения.

В качестве системы защиты принимается такой набор мер защиты Ri для которого Сi = min{Cj}.

Визуализация оптимизированной матрицы может быть представлена в виде:

В качестве информационной базы структурно-функциональной схемы САПРа защиты информации используется проблемно-ориентированный банк данных, в который входят:

— файл исходных данных;

— файл стандартных средств защиты;

— файл штатных средств защиты;

— каталог стратегий нападения Y;

— каталог мер защиты X;

— нормы эффективности защиты.

Рис. 29. Модель системы автоматизированного проектирования защиты информации

Каталог потенциальных стратегий нападения, направленных на несанкционированные действия, является результатом специального инженерного анализа.

Каталог мер защиты — перечень мер, обеспечивающих защиту от стратегий нападения.

Каталог норм эффективности защиты. Нормой эффективности защиты информации в АСОД от утечки информации при воздействии конкретной стратегии нападения называется допустимая вероятность Р несанкционированного доступа к информации при реализации данной стратегии нападения в условиях противодействия со стороны защиты. Однако для целого ряда прикладных задач по защите информации нормы отсутствуют. В таких случаях в качестве ориентиров используются требования заказчика, согласованные с разработчиком системы.

В общем виде система автоматизированного проектирования представлена на рис. 29.

Большинство систем не может функционировать без участия человека, что является верным и для комплексных систем ЗИ. Группа обеспечения таких систем, с одной стороны, ее необходимый элемент, с другой — он же может быть причиной и движущей силой нарушения и преступления. Сотрудник предприятия является определяющей фигурой в обеспечении сохранности сведений. Он может выступать в качестве создателя интеллектуальной собственности предприятия (совершенствуя технологию, создавая какие-либо товары и др.). При этом значительная часть ценнейшей для предприятия информации не отражается в технической документации, а остается в голове. И в дальнейшем, накопив опыт, многие из них потенциально готовы в будущем реализовать свой идей на практике. Кроме того, если сотрудник привлекается к закрытым работам, руководитель предприятия вынужден предоставить ему наиболее ценную информацию, полученную другим работником.

Проведя анализ статистических данных по отечественным и зарубежным источникам, можно сделать вывод, что около 70 % (а по некоторым источникам эта цифра еще выше) всех нарушений, связанных с безопасностью информации, совершаются именно сотрудниками предприятия. Можно выделить 5 причин этого факта:

1) при нарушениях, вызванных безответственностью, сотрудник целенаправленно или случайно производит какие-либо действия по компрометации информации, связанные со злым умыслом;

2) бывает, что сотрудник предприятия ради самоутверждения (для себя или коллег) затевает своего рода игру «пользователь — против системы». И хотя намерения могут быть безвредными, будет нарушена сама практика безопасности. Такой вид нарушений называется зондированием системы;

3) нарушение может быть вызвано и корыстным интересом. В этом случае сотрудник будет пытаться целенаправленно преодолеть систему защиты для доступа к хранимой, перерабатываемой и обрабатываемой на предприятии информации;

4) за рубежом известна практика переманивания специалистов, так как это позволяет ослабить конкурента и дополнительно получить информацию о предприятии. Таким образом, не обеспечив закрепление лиц, осведомленных в секретах, талантливых специалистов, невозможно в полной мере сохранить секреты предприятия. Вопросам предупреждения текучести кадров в зарубежных фирмах уделяют большое внимание. Представители японской администрации рассматривают компанию как совокупность различных ресурсов. При этом люди стоят на первом месте, т. к. именно они воплощают технологию и в них в первую очередь заключается конкурентоспособная сила фирмы. То есть текучесть кадров четвертая причина;

5) специалист, работающий с конфиденциальной информацией, испытывает отрицательное психическое воздействие, обусловленное спецификой этой деятельности. Поскольку сохранение чего-либо в тайне противоречит потребности человека в общении путем обмена информацией, сотрудник постоянно боится возможной угрозы утраты документов, содержащих секреты. Выполняя требования режима секретности, сотрудник вынужден действовать в рамках ограничения своей свободы, что может привести его к стрессам, психологическим срывам, а как результат — нарушении безопасности информации.