Скачать 1.93 Mb.
|
Практическая работа №34-37 Составление комплексной оценки системы инженерно-технической защиты информации Цель: разработка методики комплексной оценки информационной безопасности предприятия. Как показывает практика существующие методики комплексной оценки информационной безопасности и защиты информации предприятий являются либо универсальными средствами оценки, позволяющие достаточно усреднено провести аудит предприятия, либо узко направленными ведомственными, не позволяющими использовать их в других направлениях. Цель работы разработать методику, позволяющую достаточно быстро и эффективно настроить средства оценки информационной безопасности под специфику предприятия, с расстановкой аспектов важных для конкретного вида деятельности в зависимости от характерных угроз, уязвимостей и видов существующих информационных активов. Существующие на данный момент методики работы являются либо узконаправленными, например, методика ИББС предназначена для банковской сферы, либо не отвечают современным требованиям, метод Домарева, который не позволяет самостоятельно вносить изменения в направления оценки деятельности предприятия, что приводит к общему занижению оценки из-за несущественных для предприятия направлений. Кроме того, существенным значением для проведения оценки является расстановка весовых коэффициентов, позволяющих дифференцировать средства затрачиваемые на общую комплексную задачу построения системы защиты информации. Такие весовые коэффициенты присутствуют в методике ИББС, но недостатком является отсутствие разъяснений по методу их вычислений и отсутствие возможности внесения в них изменений. Этот недостаток будет решен внедрением расчета весовых коэффициентов по методике оценки иерархий Саати, что важно для подготовки грамотных квалифицированных специалистов. Системный подход В качестве модели представления системы информационной безопасности используем методику Домарева, которую расширим для более универсального использования. Практическая задача обеспечения информационной безопасности состоит в разработке модели представления системы (процессов) ИБ, которая на основе научно-методического аппарата, позволяла бы решать задачи создания, использования и оценки эффективности СЗИ для проектируемых и существующих уникальных ИС. В упрощенном виде модель ИБ представлена на рис. Рисунок - Модель информационной безопасности. Основной задачей модели является научное обеспечение процесса создания системы информационной безопасности за счет правильной оценки эффективности принимаемых решений и выбора рационального варианта технической реализации системы защиты информации. Специфическими особенностями решения задачи создания систем защиты являются: - неполнота и неопределенность исходной информации о составе ИС и характерных угрозах; - многокритериальность задачи, связанная с необходимостью учета большого числа частных показателей (требований) СЗИ; - наличие как количественных, так и качественных показателей, которые необходимо учитывать при решении задач разработки и внедрения СЗИ; - невозможность применения классических методов оптимизации. Создаваемая модель должна удовлетворять следующим требованиям: Использоваться в качестве: - руководства по созданию СЗИ; - методики формирования показателей и требований к СЗИ; - инструмента (методика) оценки СЗИ; - модели СЗИ для проведения исследований (матрица состояния). Обладать свойствами: - универсальность; - комплексность; - простота использования; - наглядность; - практическая направленность; - быть самообучаемой (возможность наращивания знаний); - функционировать в условиях высокой неопределенности исходной информации. Позволять: - установить взаимосвязь между показателями (требованиями); - задавать различные уровни защиты; - получать количественные оценки; - контролировать состояние СЗИ; - применять различные методики оценок; - оперативно реагировать на изменения условий функционирования; - объединить усилия различных специалистов единым замыслом. Рисунок - Свойства модели ИБ Описание подхода к формированию модели ИБ Рассмотрим три группы составляющих модели ИБ. 1. Основы 2. Направления 3. Этапы Основами или составными частями практически любой сложной системы являются: - законодательная, нормативно-правовая и научная база; - структура и задачи, должностные обязанности органов, подразделений или ответственных лиц, обеспечивающих безопасность ИТ; - организационно-технические и режимные меры и методы (политика информационной безопасности); - программно-технические способы и средства. Рисунок - Основы информационной безопасности Направления информационной безопасности Направления формируются исходя из конкретных особенностей ИС как объекта защиты. В общем случае, учитывая типовую структуру ИС и исторически сложившиеся виды работ по защите информации, предлагается рассмотреть следующие направления: 1 Защита информационных активов представленных виде тайн: - коммерческая тайна; - служебная тайна; - профессиональная тайна; - персональные данные. 2 Защита объектов: - территорию; - здание; - помещения; - документация. 3 Защита ТС: - защита ПЭВМ; - защита ИС; - защита среды Виртуализации; - контроль съемных носителей; - защита средств связи и передачи данных. 4 Защита процессов и программ: - антивирусная защита; - идентификация/аутентификация; - резервное копирование; - защита электронной почты; - шифрование; - DLP – система; - обнаружения вторжений. 5Защита от ПЭМИН: - защита от побочных излучений; - защита от излучений ТС; - защита от наводок на линии связи. 6 Защита от НДВ: - проверка кода ОС; - проверка кода прикладных программ. Этапы создания СЗИ , которые необходимо реализовать в равной степени для каждого в отдельности направления с учетом указанных выше основ. Проведенный анализ существующих методик работ по созданию СЗИ позволяет выделить следующие этапы : - определение информационных активов предприятия; - выявление множества потенциально возможных угроз и каналов утечки информации; - оценка уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки; - формирование требований к системе защиты информации; - выбор средств защиты информации и их характеристик, внедрение и эксплуатация выбранных мер, способов и средств защиты, - осуществление контроля за системой защиты и проведение аудита. Рисунок 10 - Этапы создания систем защиты информации Рисунок 11 - Этапы создания систем защиты информации Указанная последовательность действий осуществляется непрерывно по замкнутому циклу для каждого из НАПРАВЛЕНИЙ с учетом соответствующих ОСНОВ. Поскольку ЭТАПОВ семь, и по каждому надо осветить 20 уже известных вам вопросов то в общей сложности для формирования представления о конкретной системе защиты необходимо ответить на 140 простых вопросов. Совершенно очевидно что по каждому вопросу (элементу) возникнет несколько десятков уточнений. Все это можно представить в виде своеобразного кубика Рубика, на гранях которого образовалась мозаика взаимосвязанных составляющих элементов системы защиты. А теперь для простоты понимания преобразуем трехмерную фигуру в двухмерную. Для этого развернем трехмерный куб на плоскости (на листе бумаги) и получим трехмерную матрицу в виде двухмерной таблицы, которая поможет логически объединить составляющие блоков “ОСНОВЫ”, “НАПРАВЛЕНИЯ” и “ЭТАПЫ” по принципу каждый с каждым. Напомним, что матрица в виде двухмерной таблицы появляется не сама по себе, а формируется в каждом конкретном случае, исходя из конкретных задач по созданию конкретной СЗИ для конкретной ИС. Таким образом все указанные составляющие системы информационной безопасности представлены на рис. 11. Рисунок 12- Составляющие информационной безопасности Структурно процесс формирования СЗИ с использованием матрицы знаний изображен на рис. 13а и 13б. Рисунок 13а - Процесс формирования СЗИ с использованием матрицы знаний Рисунок 13б - Влияние СЗИ на структуру ИС Элементы матрицы имеют соответствующую нумерацию (см. рис. 14.) Следует обратить внимание на обозначения каждого из элементов матрицы, где: - первое знакоместо (Х00) соответствует номерам составляющих блока “ЭТАПЫ”, - второе знакоместо (0Х0) соответствует номерам составляющих блока “НАПРАВЛЕНИЯ”, - третье знакоместо (00Х) соответствует номерам составляющих блока “ОСНОВЫ”. Такая же нумерация используется в названиях разделов, глав и вопросов, рассматриваемых в книге. Рисуноц 14 - Нумерация элементов матрицы знаний В общем случае количество элементов матрицы может быть определено из соотношения K = Oi * Hj * Mk Где К – количество элементов матрицы Oi – количество составляющих блока “ОСНОВЫ” Hj – количество составляющих блока “НАПРАВЛЕНИЯ” Mk – количество составляющих блока “ЭТАПЫ” В нашем случае общее количество элементов “матрицы” равно 140 K = 4 * 5 * 7 = 140 поскольку Oi = 4, Hj = 5, Mk = 7 Представление элементов матрицы На рисунке 15 представлен пример, элемента матрицы 321, который формируется с учетом следующих составляющих: 300 – Проведение оценки уязвимости и рисков (составляющая № 3 блока “ЭТАПЫ”); 020 – Защита процессов и программ (составляющая № 2 блока “НАПРАВЛЕНИЯ”); 001 – Нормативная база (составляющая № 1 блока “ОСНОВЫ”). \ Рисунок 15 - Пример нумерации элемента матрицы №321 Содержание каждого из элементов МАТРИЦЫ описывает взаимосвязь составляющих создаваемой СЗИ. Перечень вопросов описывающих каждый из элементов матрицы, приведен в приложении А. Комплекс вопросов создания и оценки СЗИ рассматривается путем анализа различных групп элементов матрицы, в зависимости от решаемых задач. Например, отдельно можно оценить качество нормативной базы (рисунок 16) или защищенность каналов связи (рисунок 17, или качество мероприятий по выявлению каналов утечки информации (рисунок 18) и т.д. Рисунок 16 - Матрица Рисунок 17 - Матрица Рисунок 18 - Матрица В другом примере на рис. 18 приведено содержание для элементов № 321, 322, 323, 324, которые объединяют следующие составляющие: № 3 (300 проведение оценки уязвимости и рисков) блока “ЭТАПЫ” № 2 (020 защита процессов и программ) блока “НАПРАВЛЕНИЯ” № 1, 2, 3, 4 (001 нормативная база, 002 структура органов, 003 мероприятия, 004 используемые средства) блока “ОСНОВЫ”. Рис. 18 Опишем содержание информации в указанных элементах матрицы. Вот что получилось: Элемент № 321 содержит информацию о том насколько полно отражены в законодательных, нормативных и методических документах вопросы, определяющие порядок проведения оценки уязвимости и рисков для информации используемой в процессах и программах конкретной ИС? Элемент № 322 содержит информацию о том имеется ли структура органов (сотрудники), ответственная за проведение оценки уязвимости и рисков для процессов и программ ИС? Элемент № 323 содержит информацию о том определены ли режимные меры, обеспечивающие своевременное и качественное проведение оценки уязвимости и рисков для информации используемой в процессах и программах ИС. Элемент № 324 содержит информацию о том применяются ли технические, программные или другие средства, для обеспечения оперативности и качества проведения оценки уязвимости и рисков в процессах и программах ИС. Это содержание только четырех вопросов из ста сорока, но ответы на них уже позволяют сформировать некое представление о состоянии дел по защите информации в конкретной ИС. В общем случае рассматриваются все 140 вопросов (по числу элементов матрицы). Описание этих вопросов позволяют составить полное представление о СЗИ и оценить достигнутый уровень защиты. Полный перечень 140 вопросов изложен в приложении А. Предложенная модель представления СЗИ в виде трехмерной матрицы позволяет не только жестко отслеживать взаимные связи между элементами защиты, но может выступать в роли руководства по созданию СЗИ. Приступая к созданию системы защиты надо ответить на предлагаемые общие вопросы начиная с любого из них. Пройдясь по всем вопросам будет понятно что уже есть, а чего не хватает для достижения поставленной цели. При желании поставить задачу на создание СЗИ, то заполнив 140 элементов матрицы соответствующими требованиями, получим достаточно полное техническое задание. Причем сформулировать эти требования можно на основе любых стандартов – международных, европейских, американских., российских, украинских. Оценить эффективность создаваемой или уже функционирующей матрицы поможет подход на основе трехмерной матрицы. Только теперь по 140 показателям (элементам матрицы) надо выставить соответствующие оценки. Существует много методов оценок, выбирайте любой понятный и прозрачный для вас. Наиболее популярный на сегодняшний день метод “Три П” – пол, палец, потолок. Наглядно указанные свойства матрицы приведены на рис. 19. Рис. 19. Свойства матрицы информационной безопасности Контрольные вопросы Как правильно задавать вопроы по таблице при проведении аудита? Можно изменить количество направлений, этапов и основ? Что показывает итоговая оценка? |
Методические указания для студентов по выполнению практических работ... «Применение программно-аппаратных, инженерно-технических методов и средств обеспечения информационной безопасности телекоммуникационных... |
Методические указания для студентов по выполнению практических работ... «Применение программно-аппаратных, инженерно-технических методов и средств обеспечения информационной безопасности телекоммуникационных... |
||
Методические указания по выполнению практических работ адресованы... Методические указания для выполнения практических работ являются частью основной профессиональной образовательной программы огбоу... |
Методические указания по выполнению практических занятий адресованы обучающимся Методические указания для выполнения практических занятий являются частью основной профессиональной образовательной программы гбпоу... |
||
Методические указания для студентов по выполнению лабораторных работ... Лабораторная работа 4, 5 Исследование регистров, счетчиков и дешифраторов Лабораторная работа 6, 7 Исследование генератора псевдослучайной... |
Сборник методических указаний для студентов по выполнению лабораторных работ дисциплина «химия» Методические указания для выполнения лабораторных работ являются частью основной профессиональной образовательной программы Государственного... |
||
Методические указания doc Методические указания по выполнению лабораторно... Данные методические указания для студентов являются частью учебно-методического комплекта по пм 01. «Техническое обслуживание и ремонт... |
Методические указания для студентов по выполнению лабораторных и... Методические указания для студентов по выполнению лабораторных и практических работ |
||
Методические указания к практическим работам являются частью основной... Автономная некоммерческая профессиональная образовательная организация «уральский промышленно-экономический техникум» |
Методические рекомендации по выполнению практических работ по дисциплине... «Русский язык и культура речи» предназначены для студентов средних профессиональных учебных заведений, реализующих фгос среднего... |
||
Методические указания для выполнения практических работ по общепрофессиональной... Методические указания для выполнения практических работ по общепрофессиональной дисциплине являются частью программы подготовки специалистов... |
Методические указания по выполнению практических работ по учебной дисциплине Методические указания для выполнения практических работ разработаны на основе программы учебной дисциплины «Устранение и предупреждение... |
||
Методические указания по выполнению практических и лабораторных работ... Учебно-методическое пособие предназначенодля студентов 3 курса, обучающихся по профессии 23. 01. 03 Автомеханик. Пособие содержит... |
Область применения программы Программа факультатива является частью... Место дисциплины в структуре основной профессиональной образовательной программы |
||
Методические указания по выполнению практических работ по математике... Методические указания предназначены для студентов 1 курса специальностей: 100701 Коммерция (по отраслям), 140409 «Электроснабжение»... |
Методические указания по выполнению практических работ по дисциплине... Методические указания предназначены для студентов 1 и 2 курсов специальности 38. 02. 04 Коммерция по отраслям |
Поиск |