ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2023
Просмотров: 198
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Кроме того, распределенная атака на ИС в некоторых случаях может быть зафиксирована и предотвращена только при получении данных из многих точек сети, как от средств защиты, так и от серверов, сетевого оборудования, прило- жений. Зафиксировать такую атаку можно, имея средства консолидации соби- раемых данных и корреляции регистрируемых событий.
17
. Определение условий функционирования КСЗИ
При определении условий функционирования КСЗИ необходимо распо- лагать следующей информацией [ 35 ]:
1) об организации процесса функционирования объекта защиты. В состав этих данных входят сведения, характеризующие:
– график работы объекта и его отдельных подразделений;
– правила и процедуры доступа на объект, в отдельные помещения и к оборудованию персонала и посетителей (регулярный, случайный, ограничен- ный доступ), а также правила его эксплуатации;
– численность и состав сотрудников и посетителей объекта (постоянный штат, персонал, работающий по контракту, клиенты);
– процедуру доступа на территорию транспортных средств.
Для получения этих данных можно применять следующие способы: анке- тирование или опрос сотрудников; личное наблюдение; изучение директивных и инструктивных документов. Следует иметь в виду, что ни один из этих спо- собов не дает объективной информации: каждый имеет свои достоинства и не- достатки. Поэтому их применяют вместе, в совокупности;
2) об организации транспортных и информационных потоков. В состав этих данных входят сведения, характеризующие:
– пути и организацию перевозки и хранения материальных ценностей на территории объекта; уровни конфиденциальности информации, пути и способы ее обработки и транспортировки (документы, телефонная и радиосвязь и т. п.);
3) об условиях функционирования объекта. В состав этих данных входят сведения, характеризующие:
– пространство, непосредственно прилегающее к территории объекта;
– ограждение периметра территории и проходы;
– инженерные коммуникации, подземные хранилища и сооружения на территории;
71
– размещение подразделений и сотрудников по отдельным помещениям
(с поэтажными планами);
– инженерные коммуникации в помещениях;
– состояние подвальных и чердачных помещений;
– размещение, конструкции и состояние входов, дверей, окон;
– существующую систему защиты;
– состав и настроение населения, экономические факторы и криминоген- ную обстановку на прилегающей территории.
На основе результатов анализа всех перечисленных сведений должны быть определены: назначение и основные функции системы защиты; основные виды возможных угроз и субъекты угроз; внешняя среда; условия функциони- рования системы защиты (наличие энергетических и других ресурсов, есте- ственные преграды и т. п.).
Эти данные рекомендуется систематизировать в виде пояснительной за- писки, структурных схем и планов.
Целесообразно иметь следующие планы:
1) план территории объекта с указанием расположения всех зданий и дру- гих наземных сооружений; подземных сооружений; всех коммуникаций и мест их выхода за территорию объекта; всех ограждений, в том числе по периметру территории объекта, с обозначением их технического состояния на момент об- следования; средств защиты (существующей системы, если она имеется);
2) поэтажные планы с указанием расположения всех помещений, с обо- значением дверных и оконных проемов, внутренних и наружных (пожарных) лестниц, толщины материала стен и существующих средств защиты; всех ком- муникаций с обозначением коммуникационных шкафов и других мест санкци- онированного доступа к каналам связи и жизнеобеспечения;
3) планы помещений с указанием:
– мест размещения оборудования и других технических средств (телефо- нов, персональных ЭВМ, принтеров и т. д.);
– расположения коммуникаций и мест размещения коммутационного оборудования (коробки, розетки и т. п.);
– функционального назначения и степени конфиденциальности получае- мой и обрабатываемой информации;
– особенностей технологического процесса (для производственных по- мещений), важных с точки зрения обеспечения безопасности.
На основе этих планов целесообразно подготовить структурные схемы:
72
– ограждения каждого помещения, указав на ней (схематично) все стены и другие инженерно-технические сооружения, окружающие помещение;
– документооборота (для документов с ограниченным доступом), указав источник и приемники документа; его связи с другими документами; место хранения; способ подготовки (ручной, машинный); способ транспортировки (с курьером, по телефону, по факсу, по компьютерной сети и т.п.).
18
. Разработка модели КСЗИ
Моделирование является одним из самых наглядных и эффективных ин- струментов исследования сложных систем, объектов или процессов. Значение моделирования особенно велико в системах, где натурные эксперименты не- возможны по целому ряду причин: сложность, большие материальные затраты, уникальность или длительность эксперимента.
Модель – это некий новый материальный или абстрактный объект, кото- рый отражает существенные особенности изучаемого объекта, процесса или явления.
Степень соответствия модели исходному объекту характеризует уровень ее адекватности. Процедура установления адекватности (истинности) модели исходному объекту называется верификацией модели. Процесс разделения мо- дели на подмодели называется декомпозицией.
Для одного и того же объекта можно создать разные модели. В то же вре- мя разные объекты могут описываться одной моделью.
В процессе моделирования КСЗИ решаются следующие задачи [ 9, 23]:
– определение основных параметров ЗИ;
– выбор показателей защищенности информации и критериев эффектив- ности КСЗИ;
– уточнение требований к организационным, инженерно-техническим и программным мерам ЗИ;
– анализ функционирования КСЗИ;
– синтез структуры КСЗИ и оптимальное распределение средств защиты;
– поиск оптимальных решений по управлению безопасностью;
– оценка эффективности использования различных подсистем и меропри- ятий по ЗИ и др.
Для КСЗИ могут быть созданы различные модели, предназначенные для:
– анализа исследуемых процессов систем и подсистем;
– синтеза (построения различных систем, подсистем и мероприятий);
73
– управления исследуемыми процессами (подсистемами) с целью поиска оптимальных управленческих решений.
При этом рассматриваются как общие модели (в масштабе всей КСЗИ или подсистемы), так и частные модели с целью определения отдельных парамет- ров функционирования КСЗИ (подсистемы).
Среди методов моделирования выделяют следующие классы:
–
аналитические (методы классической математики – интегральное, диф- ференциальное и вариационное исчисление, методы поиска экстремумов функ- ций, методы математического программирования, теории игр и т. п.);
–
статистические (включают теоретические разделы математики - тео- рию вероятностей, математическую статистику, и направления прикладной ма- тематики, использующие стохастические представления - теорию массового обслуживания, методы статистических испытаний, основанные на методе Мон- те-Карло, методы выдвижения и проверки статистических гипотез А. Вальда и другие методы статистического имитационного моделирования);
–
теоретико-множественные, логические, лингвистические, семиотиче-
ские представления (разделы дискретной математики, составляющие теорети- ческую основу разработки разного рода языков моделирования, автоматизации проектирования, информационно-поисковых языков);
–
графические (включают теорию графов и разного рода графические представления информации типа диаграмм, графиков, гистограмм и т.п.);
–
экспертные или эвристические (используют человека в качестве «изме- рительного прибора» – эксперта для получения количественных оценок про- цессов и суждений, которые из-за неполноты и недостоверности имеющейся информации не поддаются непосредственному измерению). Для оценки адек- ватности моделей (правильности решений) в рассматриваемых условиях необ- ходимо привлекать квалифицированных (опытных) экспертов по защите ин- формации.
Основными разновидностями процесса моделирования можно считать два его вида – имитационное (математическое) и натурное (физическое).
Имитационное моделирование — это метод исследования, при котором изучаемая система заменяется моделью с достаточной точностью описывающей реальную систему и с ней проводятся эксперименты с целью получения ин- формации об этой системе. Модели чаще всего реализуются в виде компью- терных программ, которые шаг за шагом воспроизводит события, происходя- щие в реальной системе.
74
Натурным моделированием называют проведение исследования на ре- альном объекте с последующей обработкой результатов эксперимента на осно- ве теории подобия.
В таблице приведены некоторые виды моделей, используемые при моде- лировании КСЗИ:
Характерис-
тики
Виды моделей
Аналитические
Имитационные
Экспертные
Решаемые задачи
ЗИ
- определение уязвимо- стей в системе ЗИ;
- вероятностное оцени- вание всех процессов, включая экономиче- скую оценку;
- обоснование мер ЗИ
- исследование объекта;
- оценка влияния раз- личных факторов;
- процессы обучения
- оценка уровней без- опасности;
- сравнение вариантов по
ЗИ;
- анализ последствий ре- ализации угроз
Достоинства - достаточный уровень формализации ЗИ;
- формульное представление моделей;
- количественная оценка
- естественный язык мо- делирования;
- моделирование сла- боформализуемых задач
Недостатки
- сложность учета большого количества факто- ров;
- нестационарный характер анализируемых про- цессов
- субъективный характер оценки;
- трудность получения количественных харак- теристик
При моделировании слабоформализуемых задач используются утвержде- ния, основанные на экспериментальных данных, интуиции. Цель их примене- ния – найти не точное математическое, а наиболее рациональное путем исклю- чения заранее непригодных решений.
На практике при моделировании, как правило, используется сочетание различных видов моделей. В результате создается обобщенная модель, пред- ставляющая собой совокупность частных моделей отдельных компонентов, входящих в КСЗИ, модель воздействия внешней среды и модель нарушителя.
Эта модель позволяет обосновывать стратегические решения (стратегии) по ЗИ на основе перспективных планов развития предприятия.
При построении модели нарушителя необходимо учитывать:
– мотивы и цели, преследуемые нарушителем;
– степень его воздействия на информационную среду;
– квалификацию нарушителя и возможные места проникновения в КСЗИ;
– информационные ресурсы, доступные нарушителю;
– характер последствий от действий нарушителя.
75
Во избежание поспешных и непродуманных решений необходимо пом- нить, что:
1) моделями должен пользоваться только квалифицированный специа- лист-профессионал по ЗИ;
2) исходные данные, имеющие высокую степень неопределенности, необходимо постоянно уточнять.
19
. Технологическое и организационное построение КСЗИ
Технологическое и организационное построение КСЗИ – это регламента- ция производственной деятельности и взаимоотношений исполнителей на нор- мативно-правовой основе, исключающей или существенно затрудняющей не- правомерное овладение конфиденциальной информацией и проявление внут- ренних и внешних угроз [ 35].
Организационное направление работ по созданию КСЗИ предусматри- вает организацию:
– режима и охраны. Их цель – исключение возможности тайного проник- новения на территорию и в помещения посторонних лиц;
– работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, изучение их деловых и мо- ральных качеств, обучение правилам работы с конфиденциальной информаци- ей, ознакомление с мерами ответственности за нарушение правил защиты ин- формации и др.;
– работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиден- циальной информации, их учет, исполнение, возврат, хранение и уничтожение;
– использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
– работы по анализу внутренних и внешних угроз конфиденциальной ин- формации и выработке мер по обеспечению ее защиты;
– работы по проведению систематического контроля за работой персона- ла с конфиденциальной информацией, порядком учета, хранения и уничтоже- ния документов и технических носителей.
В каждом конкретном случае организационные мероприятия носят спе- цифическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.
76
Специфической областью организационных мер является организация защиты ПЭВМ, информационных систем и сетей. Организационные средства защиты ПЭВМ и информационных сетей применяются:
– при проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы;
– при подборе и подготовке персонала. В этом случае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обучение правилам работы с за- крытой информацией, ознакомление с мерами ответственности за нарушение правил защиты и др.;
– при хранении и использовании документов и других носителей;
– при соблюдении надежного пропускного режима к техническим сред- ствам, к ПЭВМ и информационным системам при сменной работе;
– при внесении изменений в программное обеспечение;
– при подготовке и контроле работы пользователей.
Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в виде администратора без- опасности сети и администратора распределенных баз и банков данных, содер- жащих сведения конфиденциального характера.
Организационные мероприятия являются той основой, которая объединя- ет различные меры защиты в единую систему. Они включают:
– разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;
– мероприятия, проводимые при осуществлении или возникновении опреде- ленных изменений в защищаемой АС или внешней среде (по необходимости);
– периодически проводимые (через определенное время) мероприятия;
– постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.
1 ... 4 5 6 7 8 9 10 11 12
Технологическое направление работ по созданию КСЗИ.
В нашем случае под технологией следует понимать совокупность опера- ций и производственных процессов, объединенных в технологическую цепоч- ку, обеспечивающих работу по обеспечению ЗИ.
Технологическая схема процессов реализует связи между функциональ- ными и обеспечивающими подсистемами КСЗИ:
– определяет, каким образом, и в какой последовательности выполняются задачи по ЗИ в технологической среде ее обработки и передачи;
77
– обеспечивает:
• дифференцированный подход к защите различных АРМ и подсистем;
• унификацию различных вариантов средств ЗИ;
• реализацию разрешительной системы доступа к ресурсам АС;
• согласованность действий различных подразделений КСЗИ;
• учет динамики развития АС;
• минимизацию необходимого числа специалистов отдела ЗИ.
20.
Кадровое обеспечение функционирования КСЗИ
Количественный состав и структура службы ЗИ определяется после за- вершения разработки КСЗИ с учетом ее технической структуры и режимов функционирования.
Организационно-штатная структура определяет количество подразделе- ний, их подчиненность, перечень должностей. Каждому должностному лицу устанавливаются его права и обязанности в соответствии с занимаемой долж- ностью.
Обязанности персонала предприятия по ЗИ определяются в коллективном договоре, трудовых договорах и должностных инструкциях.
При отборе персонала используются следующие методы: тестирование; ознакомление с личными делами, рекомендациями, отзывами с предыдущих мест работы; проведение конкурсов на замещение вакансий; аттестация со- трудников; проверка наличия судимостей и других правонарушений; изучение кредитных историй; собеседование и психофизиологическое исследование на полиграфе (детекторе лжи).
Ответственность за нарушения в области ИБ (юридический аспект):
– в Уставе организации и в функциональных (технологических) обязан- ностях всех сотрудников, участвующих в процессах автоматизированной обра- ботки информации, необходимо отразить требования по обеспечению ИБ при работе в АС;
– при приеме на работу каждый сотрудник должен подписать Соглаше- ние-обязательство о соблюдении установленных требований по сохранению государственной, служебной и коммерческой тайны, а также об ответственно- сти за нарушение правил работы с защищаемой информацией в АС;
78