авторефераты диссертаций БЕСПЛАТНАЯ  БИБЛИОТЕКА

АВТОРЕФЕРАТЫ КАНДИДАТСКИХ, ДОКТОРСКИХ ДИССЕРТАЦИЙ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ

Об авторе

Домарев Валерий Валентинович

Получив высшее образование инженера по радиоэлектронике, длительное время за

нимался разработкой и эксплуатацией автоматизированных систем

управления военно

го назначения.

В структуре Министерства Обороны Украины, а затем в Государственном комитете

Украины по вопросам государственных секретов и технической защиты информации,

занимался вопросами внедрением современных информационных технологий, а так же

поиском путей обеспечения безопасности информации при создании и эксплуатации компьютерных систем.

В течение последних 10 лет работал над решением вопросов защиты информации в государственных информационно управляющих системах различного назначения. Осу ществлял руководство рядом научно исследовательских работ по проблемам обеспече ния безопасности современных информационных технологий.

Связаться с автором можно по E mail: domarev@protinfo.kiev.ua или через http:// www.domarev.kiev.ua Посвящение Посвящается моей семье, родным и близким, которые помогали мне морально и ма териально во время работы над очередной книгой. Надеюсь, что их терпение окупится, а потраченное мною время не пропадет зря.

Благодарности Выражаю свою искреннюю признательность и благодарность за помощь в создании книги:

Ананскому Евгению Викторовичу, заместителю директора ООО “КВИРИН”, за консуль тации и огромную помощь в написании раздела книги посвященного вопросам техни ческого шпионажа;

Герасимову Борису Михайловичу, доктору технических наук, профессору, заслуженно му деятелю науки и техники Украины, за то, что он посвятил меня в таинство математи ческих формул и зависимостей;

Ланде Дмитрию Владимировичу, кандидату технических наук, зам. директора ООО “ElVisti”, за информационную поддержку при создании книги;

Чарчиян Светлане Петровне, литературному редактору, за проявленные терпение, выдержку и тактичность в процессе исправления многочисленных ошибок и неточнос тей, допущенных мною в рукописи;

Потий Александру Владимировичу, кандидату технических наук, преподавателю Харь ковского Государственного университета радиоэлектроники;

Бурдыкину Станиславу Владиславовичу, директору фирмы “Бумекс”;

Чеховскому Сергею Анатольевичу, коммерческому директору ООО "ЕПОС" 20 Read me О книге В книге рассматриваются актуальные вопросы создания систем защиты информации в условиях полной открытости современных информационных технологий.

Возможно, читатель не откроет для себя ничего принципиально нового, полистав эту книгу, однако системный подход в изложении материала позволит по новому, с разных сторон взглянуть на проблемы обеспечения безопасности современных информацион ных технологий.

На страницах книги в популярной форме изложены причины нарушения безопасно сти компьютерных систем, приведено описание математических моделей систем защи ты информации, а также рассмотрены методы и средства внедрения механизмов защиты в существующие информационные системы с возможностью гибкого управления безо пасностью в зависимости от выдвигаемых требований, допустимого риска и оптималь ного расхода ресурсов.

Автор старается осветить ряд вопросов, связанных с обеспечением безопасности ин формационных технологий, а также стремится сформировать целостное представление о путях создания систем защиты информации.

Разумеется, данная публикация не претендует на окончательное разрешение всех про блем информационной безопасности, но, как надеется автор, преложенный материал прояснит ряд вопросов из этой области знаний и позволит решить многие практические задачи.

Задача, поставленная автором, состоит не в описании новых сведений о вопросах обеспечения безопасности информационных технологий, а в их систематизации. Необ ходимо что бы каждый кирпич приобретенных знаний укладывался в стройную архитек туру строящегося здания без лишних затрат и последующих переделок.

В данном случае не стоит вникать в тонкости функционирования тех или иных кон кретных механизмов защиты информации. Постарайтесь выяснить как они взаимодей ствуют друг с другом! Задумайтесь над тем какая роль отведена каждому из них в общей структуре СЗИ. И если при этом Вам пригодится подход к решению указанной пробле мы, изложенный в этой книге, то можно считать, что силы и время, потраченные авто ром, не пропали зря.

Вместо введения (Read me)… Хочется напомнить золотое правило: если после долгих попыток ничего не получает ся, ознакомьтесь, наконец, с инструкцией для пользователя! Прежде чем приступить к чтению этой книги, желательно разобраться с некоторыми особенностями похода к рас смотрению вопросов информационной безопасности, предложенного автором.

Системный подход Понятие системности заключается не просто в создании соответствующих механиз мов защиты, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла ИС. При этом все средства, методы и мероприятия, используемые для защиты информации объединяются в единый целостный механизм — систему защиты.

Read me К сожалению, необходимость системного подхода к вопросам обеспечения безопас ности информационных технологий пока еще не находит должного понимания у пользо вателей современных ИС.

Сегодня специалисты из самых разных областей знаний, так или иначе, вынуждены заниматься вопросами обеспечения информационной безопасности. Это обусловлено тем, что в ближайшие лет сто нам придется жить в обществе (среде) информационных технологий, куда перекочуют все социальные проблемы человечества, в том числе и воп росы безопасности… Каждый из указанных специалистов по своему решает задачу обеспечения информа ционной безопасности и применяет свои способы и методы для достижения заданных целей. Самое интересное, что при этом каждый из них в своем конкретном случае нахо дит свои совершенно правильные решения. Однако, как показывает практика, совокуп ность таких правильных решений не дает в сумме положительного результата – система безопасности в общем и целом работает не эффективно.



Если собрать всех специалистов вместе, то при наличии у каждого из них огромного опыта и знаний, создать СИСТЕМУ информационной безопасности зачастую так и не удается. Разговаривая об одних и тех же вещах, специалисты зачастую не понимают друг друга поскольку у каждого из них свой подход, своя модель представления системы за щиты информации. Такое положение дел обусловлено отсутствием системного подхода, который определил бы взаимные связи (отношения) между существующими понятиями, определениями, принципами, способами и механизмами защиты… Постановка задачи Одиннадцать отдельно взятых футболистов (даже очень хороших) не составляют ко манду до тех пор, пока на основе заданных целей не будет отработано взаимодействие каждого с каждым. Аналогично СЗИ лишь тогда станет СИСТЕМОЙ, когда будут уста новлены логические связи между всеми ее составляющими.

Как же организовать такое взаимодействие? В футболе команды проводят регулярные тренировки, определяя роль, место и задачи каждого игрока. Качество или эффективность команд оценивается по игре в матчах, результаты которых заносятся в турнирную таб лицу. Таким образом, после проведения всех встреч команд (каждой с каждой), можно сделать вывод об уровне состояния мастерства как команды в целом, так и отдельных ее игроков. Побеждает тот, у кого наиболее четко организовано взаимодействие… Выражаясь терминами современного бизнеса, для решения вопросов взаимодействия нужно перейти от “чисто” технического на “конкретно” логический уровень представ ления процессов создания и функционирования СИСТЕМ защиты информации. Хоте лось бы, чтобы все специалисты, считающие себя профессионалами в информационных технологиях, поднялись чуть выше “багов” и “кряков” и уже сейчас задумались над тем как их знания и опыт будут логически увязаны со знаниями и опытом других специали стов.

В “строгой научной постановке” задача автора состоит в предоставлении пользовате лям вспомогательного инструмента “елки” — (модели СЗИ), а задача читателя (пользо вателя) – украсить эту “елку” новогодними игрушками — (своими знаниями и решени 22 Read me ями). Даже если “игрушек” пока еще нет, наличие “елки” поможет выбрать и приобрес ти нужные “украшения”.

Конечный результат работы (степень красоты елки) зависит от ваших желаний, спо собностей и возможностей. У кого то получится хорошо, у кого то – не совсем… Но это естественный процесс развития, приобретения знаний и опыта.

Кстати, оценить красоту елки (эффективность системы защиты) весьма проблематич но, поскольку у каждого из нас свои требования и вкусы, о которых, как известно, не спорят, особенно с руководством.

Таким образом, многообразие вариантов построения информационных систем порож дает необходимость создания различных систем защиты, учитывающих индивидуальные особенности каждой из них. В то же время, большой объем имеющихся публикаций вряд ли может сформировать четкое представление о том как же приступить к созданию сис темы защиты информации для конкретной информационной системы, с учетом прису щих ей особенностей и условий функционирования. Как сказал классик юмора: “…мно гообразие ваших вопросов порождает многообразие наших ответов…” Возникает вопрос: можно ли сформировать такой подход к созданию систем защиты информации, который объединил бы в нечто единое целое усилия, знания и опыт раз личных специалистов? При этом желательно что бы указанный подход был универсаль ным, простым, понятным и позволял бы в одинаковой степени удовлетворить любые вкусы (требования) гурманов информационной безопасности?





Для тех, кто решил читать дальше… Как известно, для того, чтобы решить проблему надо быть выше нее и немного в сто роне. Итак, попробуем взглянуть на проблему сверху и охватить все ее аспекты.

Давайте немного помечтаем. Направим свой мысленный взор не в глубины знаний, а к их вершинам. Попробуем взглянуть на проблему не с низу, а сверху, и тогда станет по нятным многое из того что сегодня делается у основания пирамиды информационной бе зопасности… Наша задача состоит не в изучении новых сведений о вопросах обеспечения безопас ности информационных технологий, а в их систематизации. Необходимо что бы каждый кирпич приобретаемых знаний укладывался в стройную архитектуру строящегося здания (модели СЗИ) без лишних усилий и последующих переделок.

Но как сложить в стройную сис тему разрозненные знания и частные решения? Для этого на начальном этапе не стоит вникать в тонкости функционирования тех или иных конкретных механизмов защиты ин формации, гораздо важнее выяснить как они взаимодействуют друг с дру гом, какая роль отведена каждому из них в общей структуре СЗИ.

Надо быть выше и немного в стороне...

Read me Модель представления системы информационной безопасности Практическая задача обеспечения информационной безопасности состоит в разработ ке модели представления системы (процессов) ИБ, которая на основе научно методичес кого аппарата, позволяла бы решать задачи создания, использования и оценки эффек тивности СЗИ для проектируемых и существующих уникальных ИС. Что понимается под моделью ИБ? Насколько реально создать такую модель? В упрощенном виде модель ИБ представлена на рис. 1.

Рис. 1. Упрощенное представление модели ИБ Основной задачей модели является научное обеспечение процесса создания системы информационной безопасности за счет правильной оценки эффективности принимае мых решений и выбора рационального варианта технической реализации системы защиты информации.

Специфическими особенностями решения задачи создания систем защиты являются:

l неполнота и неопределенность исходной информации о составе ИС и характер ных угрозах;

многокритериальность задачи, связанная с необходимостью учета большого чис l ла частных показателей (требований) СЗИ;

наличие как количественных, так и качественных показателей, которые необхо l димо учитывать при решении задач разработки и внедрения СЗИ;

невозможность применения классических методов оптимизации.

l Требования к модели:

Такая модель должна удовлетворять следующим требованиям (рис. 2.):

Использоваться в качестве:

l Руководства по созданию СЗИ 24 Read me Методики формирования показателей и требований к СЗИ l Инструмента (методика) оценки СЗИ l Модели СЗИ для проведения исследований (матрица состояния) l Обладать свойствами:

Универсальность l Комплексность l Простота использования l Наглядность l Практическая направленность l Быть самообучаемой (возможность наращивания знаний) l Функционировать в условиях высокой неопределенности исходной информации l Позволять:

Установить взаимосвязь между показателями (требованиями) l Задавать различные уровни защиты l Получать количественные оценки l Контролировать состояние СЗИ l Применять различные методики оценок l Оперативно реагировать на изменения условий функционирования l Объединить усилия различных специалистов единым замыслом l : :

• ( ) • • • ( ) • • () ( ) • • ( • ) :

• () • • • • • • Рис. 2. Свойства модели ИБ Read me Описание подхода к формированию модели ИБ Как составить такое представление об информационной безопасности, что бы охва тить все аспекты проблемы? Человек получает наиболее полное представление об инте ресующем его явлении, когда ему удается рассмотреть это нечто неизвестное со всех сто рон, в трехмерном измерении.

Воспользуемся этим принципом.

Рассмотрим три “координаты измерений” — три группы составляющих модели ИБ.

1. Из чего состоит (ОСНОВЫ) 2. Для чего предназначена (НАПРАВЛЕНИЯ) 3. Как работает (ЭТАПЫ) 001 002 003 001 002 200 001 002 003 001 002 003 004 Рис. 3. Группы 100 составляющих 001 002200 004 003 модели ИБ 100 700 200 300 500 А теперь обратите внимание на развернутый лист бумаги (рис. 4), на нем условно изображены ОСНОВЫ, то из чего состоит система информационной безопасности.

Рис. 4.

Основы 26 Read me Согласитесь, что ОСНОВАМИ или составными частями практически любой сложной СИСТЕМЫ (в том числе и системы защиты информации) являются:

Законодательная, нормативно правовая и научная база;

l Структура и задачи органов l (подразделений), обеспечи вающих безопасность ИТ;

Организационно техничес l кие и режимные меры и ме тоды (политика информа ционной безопасности);

Программно технические l способы и средства.

А теперь свернем указанный воображаемый лист бумаги и представим перечисленные ОС НОВЫ в виде куба, внутри кото рого и находятся все вопросы (предметная область) информаци онной безопасности (рис. 5).

В несколько другом виде ОС НОВЫ представлены на рис. 6. Рис. 5. Основы информационной безопасности,, - (), (- ) Рис.6. Основы информационной безопасности Read me Далее, руководствуясь принципом “разделяй и властвуй”, выделим основные НА ПРАВЛЕНИЯ в общей проблеме обеспечения безопасности информационных техноло гий, они представлены на рис. 7.

Рис. 7.

Направления информационной безопасности Рис. 8. Направления информационной безопасности НАПРАВЛЕНИЯ формируются исходя из конкретных особенностей ИС как объекта защиты. В общем случае, учитывая типовую структуру ИС и исторически сложившиеся виды работ по защите информации, предлагается рассмотреть следующие направления:

Защита объектов информационных систем;

l Защита процессов, процедур и программ обработки информации;

l Защита каналов связи;

l Подавление побочных электромагнитных излучений.

l Управление системой защиты;

l 28 Read me Но, поскольку каждое из этих направлений базируется на перечисленных выше ОС НОВАХ, то грани куба логически объединяют элементы ОСНОВ и НАПРАВЛЕНИЙ, рассматривая их неразрывно друг с другом. Например, первую грань куба под названи ем “Законодательная база…” необходимо рассматривать по всем НАПРАВЛЕНИЯМ, а именно:

1. Законодательная база защиты объектов… 2. Законодательная база защиты про цессов, процедур и программ… 3. Законодательная база защиты кана лов связи… 4. Законодательная база подавления побочных электромагнитных излу чений… 5. Законодательная база по управле нию и контролю самой системы защиты… Аналогично следует рассматривать остальные грани ОСНОВ (структуру…, меры…, средства) по всем НАПРАВ ЛЕНИЯМ.

Как видите, для формирования са мого общего представления о конкрет ной системе защиты необходимо отве тить минимально на 20 самых простых вопросов. Но и это еще не все... Далее необходимо рассмотреть ЭТАПЫ (последовательность шагов) создания СЗИ (см. рис. 9), которые необходимо реализовать в равной степени для каж дого в отдельности НАПРАВЛЕНИЯ с учетом указанных выше ОСНОВ.

Проведенный анализ существую щих методик (последовательностей) работ по созданию СЗИ позволяет Рис. 9. Этапы создания систем защиты выделить следующие ЭТАПЫ (рис. 10): информации Определение информационных l и технических ресурсов, а также объектов ИС(!) подлежащих защите;

Выявление множества потенциально возможных угроз и каналов утечки инфор l мации;

Оценка уязвимости и рисков информации (ресурсов ИС) при имеющемся множе l стве угроз и каналов утечки;

Формирование требований к системе защиты информации;

l Выбор средств защиты информации и их характеристик;

l Read me 100 ( ), 200 300 ( ) 400 500 600, 700 Рис. 10. Этапы создания систем защиты информации Внедрение и организация использования выбранных мер, способов и средств за l щиты.

Осуществление контроля целостности и управление системой защиты.

l Указанная последовательность действий осуществляется непрерывно по замкнутому циклу для каждого из НАПРАВЛЕНИЙ с учетом соответствующих ОСНОВ.

Поскольку ЭТАПОВ семь, и по каждому надо осветить 20 уже известных вам вопро сов то в общей сложности для формирования представления о конкретной системе за щиты необходимо ответить на 140 простых вопросов. Совершенно очевидно что по каж дому вопросу (элементу) возникнет несколько десятков уточнений.

Все это можно представить в виде своеобразного кубика Рубика, на гранях которого образовалась мозаика взаимосвязанных составляющих элементов системы защиты.

А теперь для простоты понимания попробуем преобразовать трехмерную фигуру в двухмерную. Для этого развернем трехмерный куб на плоскости (на листе бумаги) и по лучим трехмерную матрицу в виде двухмерной таблицы, которая поможет логически объе динить составляющие блоков “ОСНОВЫ”, “НАПРАВЛЕНИЯ” и “ЭТАПЫ” по принципу каждый с каждым.

30 Read me Напомним, что матрица в виде двухмерной таблицы появляется не сама по себе, а формируется в каждом конкретном случае, исходя из конкретных задач по созданию конкретной СЗИ для конкретной ИС.

Таким образом все указанные составляющие системы информационной безопаснос ти представлены на рис. 11.

,, - (), (), ( ), Рис. 11. Составляющие информационной безопасности Read me Структурно процесс формирования СЗИ с использованием матрицы знаний изобра жен на рис. 12а и 12б.

() (,, ), Oi=4 Hj=5 Mk= K= Oi * Hj * Mk ( Oi=4, Hj=5, Mk=7) Рис. 12а. Процесс формирования СЗИ с использованием матрицы знаний () (,, ) () Рис. 12б. Влияние СЗИ на структуру ИС 32 Read me Элементы матрицы имеют соответствующую нумерацию (см. рис. 13.) Следует обра тить внимание на обозначения каждого из элементов матрицы, где:

первое знакоместо (Х00) соответствует номерам составляющих блока “ЭТАПЫ”, l второе знакоместо (0Х0) соответствует номерам составляющих блока “НАПРАВ l ЛЕНИЯ”, третье знакоместо (00Х) соответствует номерам составляющих блока “ОСНОВЫ”.

l Такая же нумерация используется в названиях разделов, глав и вопросов, рассматри ваемых в книге.

  ! " #   ! "   ! " ! ! !! !" " " "! "" # # #! #",    ! "   ! " ! ! !! !" " " "! "" # # #! #"    ! "  ! " ! ! !! !" " " "! "" # # #! #" ! ! ! !! !" ! ! !! !" !! !! !!! !!" !" !" !"! !"" !# !# !#! !#" " " " "! "" " " "! "" "! "! "!! "!" "" "" ""! """ "# "# "#! "#" # # # #! #" # # #! #" #! #! #!! #!" #" #" #"! #"" ## ## ##! ##" $ $ $ $! $" $ $ $! $" $! $! $!! $!" $" $" $"! $"" $# $# $#! $#" % % % %! %" % % %! %" %! %! %!! %!" %" %" %"! %"" %# %# %#! %#" Рис. 13. Нумерация элементов матрицы знаний В общем случае количество элементов матрицы может быть определено из соотноше ния K = Oi * Hj * Mk где К – количество элементов матрицы Oi – количество составляющих блока “ОСНОВЫ” Hj – количество составляющих блока “НАПРАВЛЕНИЯ” Mk – количество составляющих блока “ЭТАПЫ” В нашем случае общее количество элементов “матрицы” равно K = 4 * 5 * 7 = поскольку Oi = 4, Hj = 5, Mk = Представление элементов матрицы На рис. 14 представлен пример, элемента матрицы 321, который формируется с уче том следующих составляющих:

Read me 300 – Проведение оценки уязвимости и рисков (составляющая № 3 блока “ЭТАПЫ”);

020 – Защита процессов и программ (составляющая № 2 блока “НАПРАВЛЕНИЯ”);

001 – Нормативная база (составляющая № 1 блока “ОСНОВЫ”).

3 H2 O 3 2 300 – ( 3 );

020 – ( 2 );

001 – ( 1 ).

  ! " #   ! "   ! " ! ! !! !" " " "! "" # # #! #",   ! " # $ % Рис. 14. Пример нумерации элемента матрицы № Содержание каждого из элементов МАТРИЦЫ описывает взаимосвязь составляющих создаваемой СЗИ. Перечень вопросов описывающих каждый из элементов матрицы, приведен в приложении А.

Комплекс вопросов создания и оценки СЗИ рассматривается путем анализа различ ных групп элементов матрицы, в зависимости от решаемых задач.

Например, отдельно можно оценить качество нормативной базы (рис. 15) или защи щенность каналов связи (рис. 16, или качество мероприятий по выявлению каналов утеч ки информации (рис. 17) и т.д.

В общем случае основным содержанием элементов матрицы является ответ на воп рос “Какие из мероприятий по защите информации, кем и как выполняются?” 34 Read me   ! " #   ! "   ! " ! ! !! !" " " "! "" # # #! #",    ! "   ! " ! ! !! !" " " "! "" # # #! #"    ! "  ! " ! ! !! !" " " "! "" # # #! #" ! ! ! !! !" ! ! !! !" !! !! !!! !!" !" !" !"! !"" !# !# !#! !#" " " " "! "" " " "! "" "! "! "!! "!" "" "" ""! """ "# "# "#! "#" # # # #! #" # # #! #" #! #! #!! #!" #" #" #"! #"" ## ## ##! ##" $ $ $ $! $" $ $ $! $" $! $! $!! $!" $" $" $"! $"" $# $# $#! $#" % % % %! %" % % %! %" %! %! %!! %!" %" %" %"! %"" %# %# %#! %#" Рис.   ! " #   ! "   ! " ! ! !! !" " " "! "" # # #! #",    ! "   ! " ! ! !! !" " " "! "" # # #! #"    ! "  ! " ! ! !! !" " " "! "" # # #! #" ! ! ! !! !" ! ! !! !" !! !! !!! !!" !" !" !"! !"" !# !# !#! !#" " " " "! "" " " "! "" "! "! "!! "!" "" "" ""! """ "# "# "#! "#" # # # #! #" # # #! #" #! #! #!! #!" #" #" #"! #"" ## ## ##! ##" $ $ $ $! $" $ $ $! $" $! $! $!! $!" $" $" $"! $"" $# $# $#! $#" % % % %! %" % % %! %" %! %! %!! %!" %" %" %"! %"" %# %# %#! %#" Рис. Read me   ! " #   ! "   ! " ! ! !! !" " " "! "" # # #! #",    ! "   ! " ! ! !! !" " " "! "" # # #! #"    ! "  ! " ! ! !! !" " " "! "" # # #! #" ! ! ! !! !" ! ! !! !" !! !! !!! !!" !" !" !"! !"" !# !# !#! !#" " " " "! "" " " "! "" "! "! "!! "!" "" "" ""! """ "# "# "#! "#" # # # #! #" # # #! #" #! #! #!! #!" #" #" #"! #"" ## ## ##! ##" $ $ $ $! $" $ $ $! $" $! $! $!! $!" $" $" $"! $"" $# $# $#! $#" % % % %! %" % % %! %" %! %! %!! %!" %" %" %"! %"" %# %# %#! %#" Рис. В другом примере на рис. 18 приведено содержание для элементов № 321, 322, 323, 324, которые объединяют следующие составляющие:

№ 3 (300 проведение оценки уязвимости и рисков) блока “ЭТАПЫ” № 2 (020 защита процессов и программ) блока “НАПРАВЛЕНИЯ” № 1, 2, 3, 4 (001 нормативная база, 002 структура органов, 003 мероприятия, 004 ис пользуемые средства) блока “ОСНОВЫ”.

  ! " #   ! "   ! " ! ! !! !" " " "! "" # # #! #",    ! "   ! " ! ! !! !" " " "! "" # # #! #"    ! "  ! " ! ! !! !" " " "! "" # # #! #" ! ! ! !! !" ! ! !! !" !! !! !!! !!" !" !" !"! !"" !# !# !#! !#" " " " "! "" " " "! "" "! "! "!! "!" "" "" ""! """ "# "# "#! "#" # # # #! #" # # #! #" #! #! #!! #!" #" #" #"! #"" ## ## ##! ##" $ $ $ $! $" $ $ $! $" $! $! $!! $!" $" $" $"! $"" $# $# $#! $#" % % % %! %" % % %! %" %! %! %!! %!" %" %" %"! %"" %# %# %#! %#" Рис. 36 Read me Опишем содержание информации в указанных элементах матрицы. Вот что получи лось:

Элемент № 321 содержит информацию о том насколько полно отражены в законода тельных, нормативных и методических документах вопросы, определяющие порядок проведения оценки уязвимости и рисков для информации используемой в процессах и программах конкретной ИС?

Элемент № 322 содержит информацию о том имеется ли структура органов (сотруд ники), ответственная за проведение оценки уязвимости и рисков для процессов и про грамм ИС?

Элемент № 323 содержит информацию о том определены ли режимные меры, обеспе чивающие своевременное и качественное проведение оценки уязвимости и рисков для информации используемой в процессах и программах ИС?

Элемент № 324 содержит информацию о том применяются ли технические, программ ные или другие средства, для обеспечения оперативности и качества проведения оцен ки уязвимости и рисков в процессах и программах ИС?

Это содержание только четырех вопросов из ста сорока, но ответы на них уже позво ляют сформировать некое представление о состоянии дел по защите информации в кон кретной ИС.

В общем случае рассматриваются все 140 вопросов (по числу элементов матрицы).

Описание этих вопросов позволяют составить полное представление о СЗИ и оценить достигнутый уровень защиты.

Полный перечень 140 вопросов изложен в приложении А.

Сложно? Да! Зато такой подход дает возможность держать правильное направление в процессе создания сложных систем защиты. “…Верной дорогой идете, товарищи…”. А поскольку при этом постоянно учитываются взаимные логические связи между много численными элементами СЗИ, то есть шанс построить именно СИСТЕМУ, а не набор решений.

Свойства матрицы Предложенная модель представления СЗИ в виде трехмерной матрицы позволяет не только жестко отслеживать взаимные связи между элементами защиты, но может высту пать в роли руководства по созданию СЗИ. Если вы, приступая к созданию системы за щиты, не знаете с чего начать, попробуйте ответить на предлагаемые общие вопросы, начиная с любого из них. И когда вы пройдетесь по всем, то поймете что уже есть, а чего не хватает для достижения поставленной цели.

Если желаете поставить задачу на создание СЗИ, то заполнив 140 элементов матри цы соответствующими требованиями, получим достаточно полное техническое задание.

Причем сформулировать эти требования можно на основе любых стандартов – между народных, европейских, американских., российских, украинских… Ну а как оценить эффективность создаваемой или уже функционирующей СЗИ?

Снова поможет подход на основе трехмерной матрицы. Только теперь по 140 показа телям (элементам матрицы) надо выставить соответствующие оценки. Существует мно го методов оценок, выбирайте любой понятный и прозрачный для вас. Наиболее попу лярный на сегодняшний день метод “Три П” – пол, палец, потолок.

Read me Наглядно указанные свойства матрицы приведены на рис. 19.

010 020 Рис. 19.

Свойства матрицы информационной безопасности ( ( ) ) ( ) 010 020 030 010 020 030 010 020 100 100 200 200 Программный комплекс модели СЗИ Программный комплекс, как составляющий элемент модели СЗИ, представляет со бой набор программ, предназначенных для автоматизации процессов создания и оцен ки эффективности СЗИ.

Это могут быть любые программы (программные средства) которые позволяют облег чить участь неискушенного пользователя или руководителя в его попытках создания си стемы защиты или хотя бы создания приемлемого представления о ней.

Примером может послужить программа оценки эффективности СЗИ в основу кото рой положены модель представления, принципы и подходы, описанные в данной книге.

Инсталляцию этой программы можно найти на сайте “Безопасность информационных технологий” www.domarev.kiev.ua. Программа написана на Delphy, объем файла инстал ляции 4 мГБ.

Интерфейсы программы с некоторыми комментариями представлены на рис. 20–23.

При внимательном рассмотрении можно узнать уже знакомую нам “матрицу знаний СЗИ” в несколько другом представлении.

Другой вариант программы оценки эффективности СЗИ реализован в виде таблиц Excel. С ней так же можно познакомиться на указанном сайте.

212, 38 Read me 200 010 212, Рис. 20. Интерфейс в виде “матрицы знаний” для ввода количественных оценок достигнутого уровня защиты по направлению “Защита объектов ИС” 1 2 3 Рис. 21.

Графическое представление качественных и количественных оценок по направлению “Защита объектов ИС” Read me Рис. 22.

Графическое представление оценки эффективности защиты за систему в целом Рис. 23.

Интерфейс для ввода значений коэффициентов важности по ЭТАПАМ, НАПРАВЛЕНИЯМ и ОСНОВАМ Структура содержания книги А теперь, с учетом вышеизложенного системного подхода на основе трехмерной мат рицы, оглавление книги приобретает совсем другой вид. Обратите внимание на то, что содержание разделов и глав совпадает с содержанием ОСНОВ, НАПРАВЛЕНИЙ и ЭТА ПОВ.

40 Read me Часть 1. Позвольте Вас познакомить (000) В этой части книги читатель знакомится с общими проблемами обеспечения безопас ности информационных технологий.

Часть 2. Основы построения систем защиты информации (00Х) Теоретические основы построения систем защиты исключительно сложны и, несмотря на интенсивность исследований в этой предметной области, еще далеки от совершенства.

В этой части книги рассматриваются следующие ОСНОВЫ построения систем защиты информации:

001 Законодательная, нормативно методическая и научная база;

l 002 Структура и задачи органов (подразделений), осуществляющих комплексную l защиту информации;

003 Организационно технические и режимные меры (политика информационной l безопасности);

004 Программно технические методы и средства защиты информации.

l Целевая установка теоретических основ заключается в разработке и научном обосно вании принципов и методов оптимизации мероприятий по ЗИ. Достижение указанной цели заключается в решении следующих задач:

Создание предпосылок для реализации упреждающей стратегии ЗИ;

l Разработка регулярных методик оценки уязвимости информации и требуемого l уровня ее защиты;

синтеза оптимальных систем ЗИ;

Обоснование необходимой инфраструктуры ЗИ в общегосударственном масштабе.

l Часть 3. Направления создания систем защиты информации (0Х0) Большое число различных компонентов, операций, ресурсов и объектов ИС создает весьма привлекательную среду для различного рода вторжений и несанкционированных операций. В этой части книги ИС как объект защиты рассматривается по следующим направлениям:

010 Защита информационных и физических объектов информационных систем;

l 010 Техническая защита информации на объектах ИС;

l 020 Защита процессов, процедур и программ обработки информации;

l 030 Защита каналов связи;

l 040 Подавление побочных электромагнитных излучений;

l 050 Управление системой защиты.

l Часть 4. Этапы создания систем защиты информации (Х00) В этой части рассмотрены следующие ЭТАПЫ создания СЗИ:

100 Определение информационных и технических ресурсов, а также объектов ИС l подлежащих защите;

Read me 200 Выявление полного множество потенциально возможных угроз и каналов утеч l ки информации;

300 Проведение оценки уязвимости и рисков информации (ресурсов ИС) при l имеющемся множестве угроз и каналов утечки;

400 Определение требований к системе защиты информации;

l 500 Осуществление выбора средств защиты информации и их характеристик;

l 600 Внедрение и организация использования выбранных мер, способов и средств l защиты;

700 Осуществление контроля целостности и управление системой защиты.

l Часть 5. Конкретные решения и рекомендации… В этой части книги приводятся описания конкретных подходов, разработок и изде лий различных фирм и организаций, работающих в области проблем защиты информа ции.

Советы постороннего или рекомендации по применению книги… Как написать реферат Для написания реферата по тематике информационной безопасности достаточно взять любой материал из этой области знаний (например, в предлагаемой книге) и разложить его по полочкам (ЭТАПАМ, НАПРАВЛЕНИЯМ, ОСНОВАМ). Можно при этом от себя добавить что на некоторых полочках материалов не оказалось и что такое положение дел необходимо срочно исправить.

Как написать дипломную работу Для написания дипломной работы необходимо использовать методику написания вышеуказанного реферата применительно к конкретной информационной системе, пред приятию, устройству и др. Изложить катастрофическое положение дел, выявленное в результате анализа проведенного по ЭТАПАМ, НАПРАВЛЕНИЯМ и ОСНОВАМ, а за тем сформулировать конкретные решения и предложения по улучшению безнадежного состояния дел с точки зрения информационной безопасности.

Как написать диссертацию Для защиты диссертации необходимо написать дипломную работу, а затем подтвер дить математическими расчетами и результатами экспериментов или внедрений сформу лированные вами конкретные решения и предложения по повышению уровня инфор мационной безопасности.

Для написания дипломной работы и диссертации можно использовать подходы, ма тематические методы, модели и программные продукты, описанные в предлагаемой ва шему вниманию книге.

42 Read me Над материалами книги работали… Ананский Евгений Викторович, заместитель директора ООО “КВИРИН”, подготовил материалы главы “Техническая защита информации на объектах ИС”в которой описы ваются источники утечки информации по техническим каналам, а также методы выяв ления закладных устройств;

Герасимов Борис Михайлович, доктор технических наук, профессор, заслуженный де ятель науки и техники Украины, оказал неоценимую помощь в написании главы “Мате матические модели систем и процессов защиты информации” и главы “Модель комп лексной оценки СЗИ”;

Потий Александр Владимирович, кандидат технических наук, преподаватель Харьков ского Государственного университета радиоэлектроники, специалист в области криптог рафических средств защиты информации. Он подготовил интересный материал, описы вающий хеш функции, цифровые подписи и механизмы неотказуемости, изложенный в главе “Программно технические методы и средства защиты информации”;

Качко Елена Григорьевна, профессор кафедры программного обеспечения ЭВМ Харь ковского Государственного университета радиоэлектроники, специалист в области сис темного программирования и разработки программных систем защиты информации. Ею подготовлен материал по вопросам защиты электронной почты в главе “Защита каналов связи”;

Голуб Виктор Анатольевич, кандидат технических наук, сотрудник Центрального на учно исследовательского института вооружения и военной техники ВС Украины, при нимал непосредственное участие в подготовке материалов главы “Модель комплексной оцен ки СЗИ”. Он же автор программы оценки эффективности систем защиты информации;

Коженевский Сергей Романович, генеральный директор ООО "ЕПОС", подготовил познава тельные материалы по вопросам защиты информации от утечки по каналам ПЭМИН.

Источники информации… Основная работа над книгой заключалась в подборе и обобщении уже имеющихся публикаций по указанной тематике. В частности, в книге использованы материалы та ких признанных авторов, как: Безруков Н.Н., Гайкович В.Ю., Галатенко В.А., Герасимен ко В.А., Демченко Ю.В., Карпов А.Г., Лукацкий А.В., Першин А.Ю., Размахнин В.К., Самохин Ю., Сталенков С.Е., Шепелявый Д., Шураков В.В. и многие другие.

Кроме того, приводятся материалы, подготовленные специалистами таких известных фирм, как:

Информзащита (Россия), Лаборатория ППШ (Россия), АО “Инфосистемы Джет” (Россия), D.A.S. (Украина), Бумекс (Украина) и др.

Информационную поддержку в процессе подбора материалов для книги осуществлял один из ведущих провайдеров Internet в Украине ООО “ElVisti”.

В книге использованы рисунки Андрея Непомнящего, а также карикатуры Кособу кина Ю., Федько С. Чернявского Г. из сборника анекдотов и карикатур “Ну просто анек дот!” (Издатель “Рабочая газета” с участием фирмы “АВК пресс”).



 

Похожие работы:





 
2013 www.netess.ru - «Бесплатная библиотека авторефератов кандидатских и докторских диссертаций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.