АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Этапы создания комплексной системы защиты информации

Читайте также:
  1. A) на этапе разработки концепций системы и защиты
  2. C) в тексте нет информации
  3. C.) При кодировании текстовой информации в кодах ASCII двоичный код каждого символа в памяти ПК занимает
  4. CMS, редактирование информации
  5. I.Дисперсные системы
  6. II. Порядок подготовки, защиты и оценки квалификационной работы
  7. II. Этапы кадастровых работ.
  8. IV. Порядок защиты выпускной квалификационной работы
  9. L.1.1. Однокомпонентные системы.
  10. L.1.2.Многокомпонентные системы (растворы).
  11. V1: Экосистемы. Экология сообществ.
  12. V2: Женская половая система. Особенности женской половой системы новорожденной. Промежность.

Система защиты информации должна создаваться совместно с создаваемой компьютерной системой. При построении системы защиты могут быть использованы существующие средства защиты, или же они разрабатываются специально для конкретной КС. В зависимости от особенностей компьютерной системы, условий ее эксплуатации и требований к защите информации, процесс созда­ния КСЗИ может не содержать отдельных этапов, или содержание их может несколько отличаться от общепринятых норм при раз­работке сложных аппаратно-программных систем. Но обычно разработка таких систем включает следующие этапы:

Ê разработка технического задания (ТЗ);

Ê эскизное проектирование (ЭЗ);

Ê техническое проектирование (ТП);

Ê рабочее проектирование (РП);

Ê производство опытного образца.

Одним из основных этапов разработки КСЗИ является этап разработки технического задания (ТЗ). Именно на этом этапе решают­ся практически все специфические задачи, характерные именно для разработки КСЗИ.

Процесс разработки систем, заканчивающийся выработкой технического задания, называют научно-исследовательской раз­работкой, а остальную часть работы по созданию сложной систе­мы называют опытно-конструкторской разработкой. Опытно-конструкторская разработка аппаратно-программных средств ве­дется с применением систем автоматизации проектирования, ал­горитмы проектирования хорошо изучены и отработаны. Поэтому особый интерес представляет рассмотрение процесса научно-­ исследовательского проектирования.

Техническое задание содержит основ­ные технические требования к разрабатываемой КСЗИ, а так же согласованные взаимные обязательства заказчика и исполнителя разработки.

Технические требования определяют значения основ­ных технических характеристик, выполняемые функции, режимы работы, взаимодействие с внешними системами и т. д.

Аппаратные средства оцениваются следующими характери­стиками: быстродействие, производительность, емкость запоми­нающих устройств, разрядность, стоимость, характеристики на­дежности и др.

Программные средства характеризуются требуе­мым объемом оперативной и внешней памяти, системой програм­мирования, в которой разработаны эти средства, совместимостью с ОС и другими программными средствами, временем выполне­ния, стоимостью и т.д.

Получение значений этих характеристик, а также состава вы­полняемых функций и режимов работы средств защиты, порядка их использования и взаимодействия с внешними системами со­ставляют основное содержание этапа научно-исследовательской разработки. Для проведения исследований на этом этапе заказчик может привлекать исполнителя или научно-исследовательское учреждение, либо организует совместную их работу.

Научно-исследовательская разработка начинается с анализа угроз безопасности информации, анализа защищаемой КС и ана­лиза конфиденциальности и важности информации в КС.

Первоначально производится анализ конфиденциальности и важности информации, которая должна обрабатываться, хранить­ся и передаваться в КС. На основе анализа делается вывод о целе­сообразности создания КС3И. Если информация не является кон­фиденциальной и легко может бытьвосстановлена, то создавать КСЗИ нет необходимости. Не имеет смысла также создавать КСЗИ в КС, если потеря целостности и конфиденциальности информации связана с незначительными потерями.

В этих случаях достаточно использовать штатные средства КС и, возможно, страхование от утраты информации.

При анализе информации определяются потоки конфиденци­альной информации, элементы КС,в которых она обрабатывается и хранится. На этом этапе рассматриваются также вопросы раз­граничения доступа к информации отдельных пользователей и целых сегментов КС. На основе анализа информации определяют­ся требования к ее защищенности. Требования задаются путем присвоения определенного грифа конфиденциальности, установ­ления правил разграничения доступа.

Очень важная исходная информация для построения КСЗИ получается в результате анализа защищаемой компьютерной системы. Так как КСЗИ является подсистемой КС, то взаимодействие системы защиты с КС можно определить как внутреннее, а взаимодействие с внеш­ней средой - как внешнее.

Внутренние условия взаимодействия определяются архитек­турой КС.

При построении КСЗИ учитываются:

ó географическое положение КС;

ó тип КС (распределенная или сосредоточенная);

ó структуры КС (техническая, программная, информацион­ная и т. д.);

ó производительность и надежность элементов КС;

ó типы используемых аппаратных и программных средств и режимы их работы;

ó угрозы безопасности информации, которые порождаются внутри КС

(отказы аппаратных и программных средств, алгорит­мические ошибки и т. п.).

Учитываются следующие внешние условия:

F взаимодействие с внешними системами;

F случайные и преднамеренные угрозы.

Анализ угроз безопасности является одним из обязательных условий построения КСЗИ. По результатам проведенного анализа строится модель угроз безопасности информации в КС.Модель угроз безопасности информации в КС содержит систематизиро­ванные данные о случайных и преднамеренных угрозах безопас­ности информации в конкретной КС. Систематизация данных мо­дели предполагает наличие сведений обо всех возможных угрозах, их опасности, временных рамках действия, вероятности реа­лизации. Часто модель угроз рассматривается как композиция мо­дели злоумышленника и модели случайных угроз. Модели пред­ставляются в виде таблиц, графов или на вербальном уровне. При построении модели злоумышленника используются два подхода:

1) модель ориентируется только на высококвалифицированно­го злоумышленника-профессионала, оснащенного всем необхо­димым и имеющего легальный доступ на всех рубежах защиты;

2) модель учитывает квалификацию злоумышленника, его ос­нащенность (возможности) и официальный статус в КС.

Первый подход проще реализуется и позволяет определить верхнюю границу преднамеренных угроз безопасности информа­ции.

Второй подход отличается гибкостью и позволяет учитывать особенности КС в полной мере.

Класс злоумышленника, его оснащенность и статус на объекте КС определяют возможности злоумышленника по несанкциони­рованному доступу к ресурсам КС.

Угрозы, связанные с непреднамеренными действиями хорошо изучены, и большая часть их может быть формализована. Сюда следует отнести угрозы безопасности, которые связаны с конеч­ной надежностью технических систем. Угрозы, порождаемые сти­хией или человеком, формализовать сложнее. Но с другой сторо­ны, по ним накоплен большой объем статистических данных. На основании этих данных можно прогнозировать проявление угроз этого класса.

Модель злоумышленника и модель случайных угроз позволя­ют получить полный спектр угроз и их характеристик. В совокуп­ности с исходными данными, полученными в результате анализа информации, особенностей архитектуры проектируемой КС, Мо­дели угроз безопасности информации позволяют получить исход­ные данные для построения модели КСЗИ.


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.)