Требования к модели

Такая модель должна удовлетворять следующим требованиям (рисунок 2.2):

• 1) Использоваться в качестве:
• 1.1. Руководства по созданию СЗИ
• 1.2. Методики формирования показателей и требований к СЗИ
• 1.3. Инструмента (методика) оценки СЗИ
• 1.4. Модели СЗИ для проведения исследований (матрица состояния)
• 2) Обладать свойствами:
• 2.1. Универсальность
• 2.2. Комплексность
• 2.3. Простота использования
• 2.4. Наглядность
• 2.5. Практическая направленность
• 2.6. Быть самообучаемой (возможность наращивания знаний)
• 2.7. Функционировать в условиях высокой неопределенности исходной информации
• 3) Позволять:
• 3.1. Установить взаимосвязь между показателями (требованиями)
• 3.2. Задавать различные уровни защиты
• 3.3. Получать количественные оценки
• 3.4. Контролировать состояние СЗИ
• 3.5. Применять различные методики оценок
• 3.6. Оперативно реагировать на изменения условий функционирования
• 3.7. Объединить усилия различных специалистов единым замыслом

Рисунок 2.2 — Требования к модели СЗИ.

Описание подхода к формированию модели информационной безопасности

Человек получает наиболее полное представление об интересующем его явлении, когда ему удается рассмотреть это нечто неизвестное со всех сторон, в трехмерном измерении.

Рассмотрим три «координаты измерений» — три группы составляющих модели СЗИ на рисунке 2.3.

• — Из чего состоит («основы»)
• — Для чего предназначена («направления»)
• — Как работает («этапы»)

Рисунок 2.3 — Три «координаты измерений» — три группы составляющих модели СЗИ Основами или составными частями практически любой сложной системы (в том числе и системы защиты информации) являются:

• 1) Законодательная, нормативно-правовая и научная база;
• 2) Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ;
• 3) Организационно-технические и режимные меры и методы (политика информационной безопасности);
• 4) Программно-технические способы и средства.

Рисунок 2.4 — Координата «основы».

Направления формируются исходя из конкретных особенностей ИС как объекта защиты.

В общем случае, учитывая типовую структуру ИС и исторически сложившиеся виды работ по защите информации, предлагается рассмотреть следующие направления:

• 1) Защита объектов информационных систем;
• 2) Защита процессов, процедур и программ обработки информации;
• 3) Защита каналов связи;
• 4) Подавление побочных электромагнитных излучений.
• 5) Управление системой защиты;

Рисунок 2.5 — Координата «направления».

Поскольку каждое из этих направлений базируется на перечисленных выше основах, то элементы основ и направлений, рассматриваются неразрывно друг с другом. Например, одну из основ под названием «Законодательная база» необходимо рассматривать по всем направлениям, а именно:

• 1) Законодательная база защиты объектов;
• 2) Законодательная база защиты процессов, процедур и программ;
• 3) Законодательная база защиты каналов связи;
• 4) Законодательная база подавления побочных электромагнитных излучений;
• 5) Законодательная база по управлению и контролю самой системы защиты.

Аналогично следует рассматривать остальные грани «основ» (структуру, меры, средства) по всем направлениям.

Для формирования самого общего представления о конкретной системе защиты необходимо ответить минимально на 20 (4*5=20) самых простых вопросов. Далее необходимо рассмотреть «этапы» (последовательность шагов) создания СЗИ, которые необходимо реализовать в равной степени для каждого в отдельности «направления» с учетом указанных выше «основ».

Проведенный анализ существующих методик и последовательностей работ по созданию СЗИ позволяет выделить следующие «этапы»:

• 1) Определение информационных и технических ресурсов, а также объектов ИС, подлежащих защите;
• 2) Выявление полного множества потенциально возможных угроз и каналов утечки информации;
• 3) Проведение оценки уязвимости и рисков информации (ресурсов ИС) при имеющемся множестве угроз и каналов утечки;
• 4) Определение требований к системе защиты информации;
• 5) Осуществление выбора средств защиты информации и их характеристик;
• 6) Внедрение и организация использования выбранных мер, способов и средств защиты.
• 7) Осуществление контроля целостности и управление системой защиты.

Рисунок 2.6. Этапы создания систем защиты информации Поскольку «этапов» семь, и по каждому надо осветить 20 уже известных вопросов то в общей сложности для формирования представления о конкретной системе защиты необходимо ответить на 140 вопросов. По каждому вопросу (элементу) возникнет несколько десятков уточнений. В общем случае количество элементов матрицы может быть определено из соотношения.

K = Oi*Hj*Mk, где:

• — К — количество элементов матрицы
• — Oi — количество составляющих блока «основы»
• — Hj — количество составляющих блока «направления»
• — Mk — количество составляющих блока «этапы»

В нашем случае общее количество элементов «матрицы» равно 140 K=4*5*7=140, поскольку Oi=4, Hj=5, Mk=7.

Далее для простоты понимания попробуем преобразовать трехмерную фигуру в двухмерную. Для этого развернем трехмерный куб на плоскости и получим трехмерную матрицу в виде двухмерной таблицы, которая поможет логически объединить составляющие блоков «основы», «направления» и «этапы» по принципу каждый с каждым.

Следует помнить, что матрица в виде двухмерной таблицы появляется не сама по себе, а формируется в каждом конкретном случае, исходя из конкретных задач по созданию конкретной СЗИ для конкретной ИС.