ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4107
Скачиваний: 24
По целому ряду признаков, таких, как наличие большого чис
ла взаимосвязанных элементов, возможность разбиения на под
системы, сложность процесса функционирования, активное взаи
модействие с внешней средой, наличие систем управления (СУ),
КСЗИ можно отнести к сложным системам. Общепринятым под
ходом к разработке СП К этих систем является формулировка
множества локальных СПК, которое соответствует совокупности
свойств КСЗИ, влияющих на выполнение поставленных перед ней
задач. Глобальная СПК, характеризующая общую, единую задачу,
стоящую перед КСЗИ, получается путем соединения исходных
СПК.
Известен метод формирования СПК, отличный от традицион
ного, т.е. предлагается, основываясь на математических методах
теории декомпозиции (факторизации, функциональной и пара
метрической декомпозиции), вместо определения локальных СПК
(ЛСПК) низкого уровня иерархии и последующего их объедине
ния в глобальную СПК (ГСПК) рассматривать задачу функцио
нирования КСЗИ в целом. При таком подходе к оценке эффек
тивности КСЗИ возрастает размерность решаемой задачи, посколь
ку формулируется не одна ГСПК, а совокупность иерархически
связанных ЛСПК, но зато обеспечивается конструктивность ре
шения задачи и учитываются реальные текущие вероятностные
характеристики ЧПЭФ. Полнота и единственность такой СПК
основывается на том, что исходными данными для ее формули
ровки являются требования, предъявляемые пользователем к
КСЗИ, математически корректно декомпозированные в интере
сах их дальнейшего использования.
Здесь ЛСПК более низкого уровня иерархии детализируют внут
ренние свойства системы, а ГСПК описывает внешние (пользова
тельские) свойства КСЗИ. Это обусловлено реально существую
щим доминирующим значением одного процесса, протекающего
в КСЗИ — процесса зашиты информации, над другим процессом —
управлением безопасностью. Размерность ЛСПК значительно сни
жается с помощью метода редукции, основанного на оценке сте
пени линейной независимости ПК и их чувствительности к пере
менам состояния КСЗИ.
Основными внешними (пользовательскими) свойствами КСЗИ
являются виды и уровень информационных услуг, оказываемых
потребителям. Наряду с процессом обеспечения безопасности
информации в КСЗИ существует процесс управления средствами
защиты, структурой, алгоритмами работы и параметрами КСЗИ,
который, как и процесс обеспечения безопасности, характеризуется
набором свойств (качеств). Элементы КСЗИ — совокупность
средств защиты и система управления этими средствами — обла
дают характерным для них набором основных внутренних свойств
(качеств).
Общий алгоритм оценивания эффективности предполагает, что
для реализации аналитического метода оценивания эффективно
сти функционирования КСЗИ необходимым этапом является ап
проксимация известными аналитическими плотностями распре
деления вероятностей (ПРВ) реальных ПРВ значений ПК КСЗИ.
Высокий уровень априорной неопределенности относительно
статистических характеристик действующих в КСЗИ процессов и
воздействий на нее со стороны противоборствующей системы под
черкивает целесообразность использования для решения постав
ленной задачи метода выбора и обоснования приближенных моде
лей распределения. Это обусловлено тем, что получение точных
аналитических соотношений на основе строгого рассмотрения точ
ной аналитической модели наталкивается на ряд принципиальных
трудностей, связанных с необходимостью максимально полного
воспроизведения всей специфики стохастических процессов в КСЗИ
и отражающих объективную сложность КСЗИ как системы.
Сравнительная оценка эффективности функционирования
КСЗИ непосредственно по частным показателям эффективности
функционирования (ЧПЭФ) противоречива, поскольку по одним
показателям более эффективной может оказаться одна КСЗИ, а
по другим — другая. Необходимо также учитывать субъективизм
формулировки ЧПЭФ, вносящий неоднозначность в решение за
дач вероятностно-временного оценивания эффективности КСЗИ.
Выходом из этой ситуации является формирование и последу
ющая вероятностно-временная оценка обобщенного ПЭФ, кото
рый бы функционально связывал все многообразие ЧПЭФ и тре
бований к ним.
Анализ различных методов формирования обобщенного пока
зателя эффективности информационных систем показал, что наи
более полный учет особенностей решения задачи оценки эффек
тивности функционирования КСЗИ, а также естественное реше
ние проблем нормализации и свертки систем ПК достигается с
помощью
метода вероятностной скаляризации.
Суть метода за
ключается в использовании в качестве ОПЭФ совместной вероят
ности выполнения требований, предъявляемых пользователем к
КСЗИ по обеспечению конфиденциальности, достоверности и
целостности информации:
^ вы пФ =
где
Гф,ғфтр
— векторы ПК функционирования КСЗИ и требова
ний к ним.
Выбор этого метода обусловлен учетом в нем случайного ха
рактера изменения большинства ПК КСЗИ, а также реальной
возможностью автоматического решения основных проблем мно
гокритериальной оценки качества и эффективности КСЗИ (т.е.
нормализации компонент векторных ПК и их свертки) в рамках
выбранного вероятностного подхода.
Основными исходными данными, необходимыми для проведе
ния оценки эффективности, являются:
• требования, предъявляемые к ОПЭФ и отдельным системам
показателей качества;
• принятая структура КСЗИ (состав средств защиты, их рас
пределение по подразделениям и т.п.);
• возможные варианты воздействий на КСЗИ;
• принятая структура СУИБ КСЗИ (состав задач и органов уп
равления, ресурсы, планы распределения задач и ресурсов по струк
туре СУИБ);
• допустимый диапазон изменения управляемых параметров;
• алгоритмы управления и их характеристики.
19.2. Оценочный подход
На практике часто применяется подход к оценке эффективно
сти КСЗИ, связанный с проверкой соответствия системы защиты
тем или иным требованиям. Такой подход можно условно назвать
оценочным. Требования могут быть установлены государством или
иным собственником информационных ресурсов.
К сожалению, в настоящее время в РФ не существует единых
требований по защите конфиденциальной информации. Требова
ния, изложенные в разных нормативных правовых актах, отно
сятся лишь к какой-то части этой информации и зачастую проти
воречат друг другу. Можно выделить две группы требований по
характеру их детализации: общие и специальные. К
общим
отне
сем требования, изложенные в Федеральных законах «О персо
нальных данных», «О коммерческой тайне», «О банках и банков
ской деятельности» и др. К
специальным
отнесем требования по
криптографической защите информации: технической защите
информации от утечки по каналам ПЭМИН; технической защите
речевой информации; защите информации от НСД в АС.
Рассмотрим вначале общие требования, предъявляемые к от
дельным видам конфиденциальной информации.
Согласно ФЗ «О персональных данных» [47] операторами и
третьими лицами, получающими доступ к персональным данным,
должна обеспечиваться конфиденциальность таких данных, за
исключением случаев обезличивания персональных данных и об
щедоступных персональных данных.
Оператор при обработке персональных данных обязан прини
мать необходимые организационные и технические меры, в том
числе использовать шифровальные (криптографические) средства,
для защиты персональных данных от неправомерного или слу-
чайного доступа к ним, уничтожения, изменения, блокирования,
копирования, распространения персональных данных, а также от
иных неправомерных действий.
Правительство Российской Федерации устанавливает требова
ния к обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных и
требования к материальным носителям биометрических персональ
ных данных и технологиям хранения таких данных вне информа
ционных систем персональных данных.
Контроль и надзор за выполнением требований осуществля
ются федеральным органом исполнительной власти, уполномо
ченным в области обеспечения безопасности, и федеральным ор
ганом исполнительной власти, уполномоченным в области про
тиводействия техническим разведкам и технической защиты ин
формации, в пределах их полномочий и без права ознакомления с
персональными данными, обрабатываемыми в информационных
системах персональных данных.
Использование и хранение биометрических персональных дан
ных вне информационных систем персональных данных могут
осуществляться только на таких материальных носителях инфор
мации и с применением такой технологии ее хранения, которые
обеспечивают защиту этих данных от неправомерного или слу
чайного доступа к ним, уничтожения, изменения, блокирования,
копирования, распространения.
Согласно ФЗ «О коммерческой тайне» [46] правообладатель
имеет право установить режим коммерческой тайны, который
включает:
• определение перечня информации, составляющей коммер
ческую тайну;
• ограничение доступа к информации, составляющей коммер
ческую тайну, путем установления порядка обращения с этой
информацией и контроля за соблюдением такого порядка;
• учет лиц, получивших доступ к информации, составляющей
коммерческую тайну, и (или) лиц, которым такая информация
была предоставлена или передана;
• регулирование отношений по использованию информации,
составляющей коммерческую тайну, работниками на основании
трудовых договоров и контрагентами на основании гражданско-
правовых договоров;
• нанесение на материальные носители (документы), содержа
щие информацию, составляющую коммерческую тайну, грифа
«Коммерческая тайна» с указанием обладателя этой информации
(для юридических лиц — полное наименование и место нахожде
ния, для индивидуальных предпринимателей — фамилия, имя,
отчество гражданина, являющегося индивидуальным предприни
мателем, и место жительства).
Согласно ФЗ «О банках и банковской деятельности» за разгла
шение банковской тайны Банк России (организация, осуществ
ляющая функции по обязательному страхованию вкладов), кре
дитные, аудиторские и иные организации, уполномоченный орган,
осуществляющий меры по противодействию легализации (отмы
ванию) доходов, полученных преступным путем, а также их дол
жностные лица и работники несут ответственность, включая воз
мещение нанесенного ущерба, в порядке, установленном феде
ральным законом.
Организация, осуществляющая функции по обязательному стра
хованию вкладов, не вправе раскрывать третьим лицам информа
цию, полученную в соответствии с федеральным законом о стра
ховании вкладов физических лиц в банках Российской Федера
ции.
Специальные требования по криптографической защите ин
формации устанавливаются уполномоченным органом. В соответ
ствии с Указом Президента РФ «Вопросы Федеральной службы
безопасности Российской Федерации», таким органом в настоя
щее время является ФСБ РФ. Основополагающим документом, в
котором изложены требования по криптографической защите
информации, является «Положение о разработке, производстве,
реализации и эксплуатации шифровальных (криптографических)
средств защиты информации (ПКЗ-2005)».
Требования по технической защите информации от утечки по
каналам ПЭМИН и технической защите речевой информации
задаются в СТР-К и закрытых документах.
Требования по защите информации от НСД в АС могут зада
ваться перечнем механизмов защиты информации, которые необ
ходимо иметь в АС, чтобы она соответствовала определенному
классу защиты. Используя такие документы, можно оценить эф
фективность КСЗИ. В этом случае критерием эффективности
КСЗИ является полнота выполнения всех требований.
Несомненным достоинством таких классификаторов (стандар
тов) является простота использования. Основным недостатком
официального подхода к определению эффективности систем за
щиты является то, что эффективность конкретного механизма за
щиты не определяется, а констатируется лишь факт его наличия
или отсутствия. Этот недостаток в какой-то мере компенсируется
заданием в некоторых документах достаточно подробных требо
ваний к указанным механизмам защиты.
В Российской Федерации в настоящее время имеются две не
зависимые системы задания требований и оценки соответствия
информационных технологий требованиям безопасности инфор
мации. Наиболее распространена оценка соответствия АС требо
ваниям Руководящего документа РД АС, СВТ — требованиям РД
СВТ, межсетевых экранов — требованиям РД МСЭ, которые можно