Требования к модели
Организационно-технические и режимные меры и методы (политика информационной безопасности); Определение информационных и технических ресурсов, а также объектов ИС, подлежащих защите; Рассмотрим три «координаты измерений» — три группы составляющих модели СЗИ на рисунке 2.3. В нашем случае общее количество элементов «матрицы» равно 140 K=4*5*7=140, поскольку Oi=4, Hj=5, Mk=7. Выявление полного… Читать ещё >
Требования к модели (реферат, курсовая, диплом, контрольная)
Такая модель должна удовлетворять следующим требованиям (рисунок 2.2):
- 1) Использоваться в качестве:
- 1.1. Руководства по созданию СЗИ
- 1.2. Методики формирования показателей и требований к СЗИ
- 1.3. Инструмента (методика) оценки СЗИ
- 1.4. Модели СЗИ для проведения исследований (матрица состояния)
- 2) Обладать свойствами:
- 2.1. Универсальность
- 2.2. Комплексность
- 2.3. Простота использования
- 2.4. Наглядность
- 2.5. Практическая направленность
- 2.6. Быть самообучаемой (возможность наращивания знаний)
- 2.7. Функционировать в условиях высокой неопределенности исходной информации
- 3) Позволять:
- 3.1. Установить взаимосвязь между показателями (требованиями)
- 3.2. Задавать различные уровни защиты
- 3.3. Получать количественные оценки
- 3.4. Контролировать состояние СЗИ
- 3.5. Применять различные методики оценок
- 3.6. Оперативно реагировать на изменения условий функционирования
- 3.7. Объединить усилия различных специалистов единым замыслом
Рисунок 2.2 — Требования к модели СЗИ.
Описание подхода к формированию модели информационной безопасности
Человек получает наиболее полное представление об интересующем его явлении, когда ему удается рассмотреть это нечто неизвестное со всех сторон, в трехмерном измерении.
Рассмотрим три «координаты измерений» — три группы составляющих модели СЗИ на рисунке 2.3.
- — Из чего состоит («основы»)
- — Для чего предназначена («направления»)
- — Как работает («этапы»)
Рисунок 2.3 — Три «координаты измерений» — три группы составляющих модели СЗИ Основами или составными частями практически любой сложной системы (в том числе и системы защиты информации) являются:
- 1) Законодательная, нормативно-правовая и научная база;
- 2) Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ;
- 3) Организационно-технические и режимные меры и методы (политика информационной безопасности);
- 4) Программно-технические способы и средства.
Рисунок 2.4 — Координата «основы».
Направления формируются исходя из конкретных особенностей ИС как объекта защиты.
В общем случае, учитывая типовую структуру ИС и исторически сложившиеся виды работ по защите информации, предлагается рассмотреть следующие направления:
- 1) Защита объектов информационных систем;
- 2) Защита процессов, процедур и программ обработки информации;
- 3) Защита каналов связи;
- 4) Подавление побочных электромагнитных излучений.
- 5) Управление системой защиты;
Рисунок 2.5 — Координата «направления».
Поскольку каждое из этих направлений базируется на перечисленных выше основах, то элементы основ и направлений, рассматриваются неразрывно друг с другом. Например, одну из основ под названием «Законодательная база» необходимо рассматривать по всем направлениям, а именно:
- 1) Законодательная база защиты объектов;
- 2) Законодательная база защиты процессов, процедур и программ;
- 3) Законодательная база защиты каналов связи;
- 4) Законодательная база подавления побочных электромагнитных излучений;
- 5) Законодательная база по управлению и контролю самой системы защиты.
Аналогично следует рассматривать остальные грани «основ» (структуру, меры, средства) по всем направлениям.
Для формирования самого общего представления о конкретной системе защиты необходимо ответить минимально на 20 (4*5=20) самых простых вопросов. Далее необходимо рассмотреть «этапы» (последовательность шагов) создания СЗИ, которые необходимо реализовать в равной степени для каждого в отдельности «направления» с учетом указанных выше «основ».
Проведенный анализ существующих методик и последовательностей работ по созданию СЗИ позволяет выделить следующие «этапы»:
- 1) Определение информационных и технических ресурсов, а также объектов ИС, подлежащих защите;
- 2) Выявление полного множества потенциально возможных угроз и каналов утечки информации;
- 3) Проведение оценки уязвимости и рисков информации (ресурсов ИС) при имеющемся множестве угроз и каналов утечки;
- 4) Определение требований к системе защиты информации;
- 5) Осуществление выбора средств защиты информации и их характеристик;
- 6) Внедрение и организация использования выбранных мер, способов и средств защиты.
- 7) Осуществление контроля целостности и управление системой защиты.
Рисунок 2.6. Этапы создания систем защиты информации Поскольку «этапов» семь, и по каждому надо осветить 20 уже известных вопросов то в общей сложности для формирования представления о конкретной системе защиты необходимо ответить на 140 вопросов. По каждому вопросу (элементу) возникнет несколько десятков уточнений. В общем случае количество элементов матрицы может быть определено из соотношения.
K = Oi*Hj*Mk, где:
- — К — количество элементов матрицы
- — Oi — количество составляющих блока «основы»
- — Hj — количество составляющих блока «направления»
- — Mk — количество составляющих блока «этапы»
В нашем случае общее количество элементов «матрицы» равно 140 K=4*5*7=140, поскольку Oi=4, Hj=5, Mk=7.
Далее для простоты понимания попробуем преобразовать трехмерную фигуру в двухмерную. Для этого развернем трехмерный куб на плоскости и получим трехмерную матрицу в виде двухмерной таблицы, которая поможет логически объединить составляющие блоков «основы», «направления» и «этапы» по принципу каждый с каждым.
Следует помнить, что матрица в виде двухмерной таблицы появляется не сама по себе, а формируется в каждом конкретном случае, исходя из конкретных задач по созданию конкретной СЗИ для конкретной ИС.