Ринципы проектирования систем защиты информации

еоритическая часть

роектирование системы комплексной защиты информации

Проектирование СЗИ заключается в создании для данной автоматизированной системы (АС) (или ее проекта) оптимальных механизмов обеспечения защиты информации (ЗИ) и механизмов управления ими.

Этапы проектирования комплексной системы защиты информации:

1) Разработка технико-экономического обоснования создания комплексной системы обеспечения информационной безопасности автоматизированных систем. На данном этапе обосновывается необходимость и актуальность задачи обеспечения защиты информации в автоматизированных системах (АС), приводятся цели построения системы, производится ориентировочная оценка затрат, этапы и сроки проведения работ.

2) Формирование требований по обеспечению безопасности информации. Для формирования требований используются руководящие документы Гостехкомиссии при президенте Российской Федерации, в том числе "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (ГОСТ Р ИСО/МЭК 15408-2002, "Common Critera") реализующего более современный подход к обеспечению информационной безопасности.

3) Разработка технического проекта. Разработка проектных решений по созданию комплексной системы по обеспечению информационной безопасности АС включает в себя:

- обоснование и выбор решений по защите информации в АС;

- выбор состава средств защиты информации;

- определение мест размещения средств защиты;

- определение режимов функционирования и настроек средств ЗИ;

- определение необходимости доработки существующих средств защиты, либо разработки дополнительных;

- разработку порядка и этапов внедрения системы информационной безопасности;

- сметную стоимость работ.

4) Реализация вариантов проектирования, разработка и адаптация организационно-распорядительных документов по вопросам обеспечения информационной безопасности. Разработку организационно-распорядительных документов по вопросам обеспечения информационной безопасности АС предполагается производить путем адаптации разработанных типовых организационно-распорядительных документов, регламентирующих защиту АС в соответствии с разработанной технологией управления безопасностью.

В соответствие общей процедуре проектирования можно поставить этапы индивидуального проектирования системы защиты информации (СЗИ). Так, этапу формирования требований по обеспечению безопасности информации соответствуют четыре этапа индивидуального проектирования:

- определение функций ЗИ;

- определение перечня потенциально возможных каналов несанкционированного получения информации;

- обоснование задач ЗИ;

- выбор средств решения задач ЗИ;

так как для определения и обоснования требований к ЗИ необходимо определить функции и задачи, возлагаемые на СЗИ.

В данной расчетно-графической работе подробно рассматривается этап обоснования задач защиты информации. На этом этапе необходимо:

- определить перечень задач ЗИ, перекрывающих все потенциально возможные каналы несанкционированного получения информации в АС;

- провести классификацию задач ЗИ;

- определить эффективность решения задач ЗИ с точки зрения перекрытия всех потенциально возможных каналов несанкционированного получения информации в АС;

- выбрать подлежащие решению задачи ЗИ.

ринципы проектирования систем защиты информации

1. Принципконечной целиозначает, что любая попытки изменения состава или совершенствования процедур применения программных и аппаратных компонент защиты должна оцениваться с точки зрения влияния на конечную цель, то есть помогает это или мешает достижению конечной цели. При этом цель функционирования системы защиты информации задается, как правило, обеспечиваемой информационно-управляющей системой, в которой проектируемая система является составной частью (подсистемой).

2. Принцип измерения предполагает необходимость количественной оценки характеристик СЗИ, раскрывающих, прежде всего, ее целевые свойства. Этот принцип будет нами более подробно рассматриваться позже.

3. Принцип эквифинальности (завершенности) предполагает обеспечение защиты информации, средств информатизации, интересов участников информационных отношений и невозможность несанкционированного доступа к защищаемой информации при любых состояниях внешней среды.

4. Принцип единства означает, что при разработке элементов и подсистем необходимо ориентироваться на достижение интегративного (системного) эффекта, то есть, что бы их качественные и функциональные характеристики повышали эффективность системы в целом.

5. Принцип связностиозначает, что для проектирования и эффективного управления СЗИ в рамках организации (независимо от вида деятельности и формы собственности) необходимо рассматривать СЗИ как подсистему ее информационно-управляющей системы. Множество функций СЗИ при этом будет находиться в зависимости от связей организации с внешней средой, то есть с вышестоящими и нижестоящими системами, а также внутренними связями между структурными подсистемами.

6. Принцип модульного построения позволяет в значительной мере абстрагироваться от избыточных деталей, рассматривая подсистемы СЗИ в виде «черных ящиков», то есть, акцентируя внимание на их входах и выходах. При этом использование типовых алгоритмических и программных решений, средств автоматизации и связи, прочих технических элементов позволяет снизить стоимость и повысить эффективность СЗИ.

7. Принцип иерархии предполагает поэтапные разработку и ввод различных уровней СЗИ (организационно-управленческие, технические и т.д.). Это представляется особенно полезным при разработке сложных СЗИ.

8. Принцип функциональностиозначает, что если существующая техническая, технологическая, управленческая, кадровая и т.д. структура системы не позволяет обеспечить требуемые функциональные возможности, то такая структура должна быть изменена (перепроектирована).

9. Принцип развития обеспечивает возможности наращивания, модернизации и расширения функциональных возможностей СЗИ. При этом следование международным, российским и отраслевым стандартам облегчает сопряжение и встраивание в другие системы, заложенные перспективные конструкторские решения обеспечат долговременную адекватность СЗИ поставленным задачам.

10. Принцип разумного сочетания централизации и децентрализации требует рационального сочетания элементов централизованного и децентрализованного управления СЗИ. Так, сточки зрения управления персоналом обычно вводится принцип единоначалия, однако в случае с крупной организацией целесообразно делегировать часть полномочий для повышения оперативности реагирования на события, требующие принятия управленческих решений. Для управления техническими системами централизация повышает управляемость, но снижает надежность.

11. Принцип неопределенности, зачастую связан с «человеческим фактором». Предугадать поведение человека в различных ситуациях невозможно, однако необходимо свести к минимуму возможный ущерб от неправильных действий персонала, и делать это следует еще на стадии проектирования.

Системное проектирование СЗИ предполагает подготовку комплекса взаимосвязанных мер, направленных на достижение требуемого уровня безопасности конкретной информационно-управляющей системы. Для обеспечения высокой эффективности функционирования автоматизированных информационно-управляющих систем, комплекс средств защиты информации целесообразно базировать на следующих общих принципах:

- стоимость создания и эксплуатации систем защиты информации должна быть меньше чем размеры наиболее вероятного или возможного допустимого ущерба от любых потенциальных угроз;

- программные средства защиты функциональных программ и данных должна быть комплексной и многоуровневой, ориентированной на все виды угроз с учетом их опасности;

- СЗИ должна иметь индивидуальные целевые компоненты, предназначенные для обеспечения безопасности функционирования каждого отдельного объекта и отдельной функциональной задачи с учетом их уязвимости и степени влияния на безопасность информационно-управляющей системы в целом;

- СЗИ не должна приводить к ощутимым трудностям, помехам и снижению эффективности решения основных функциональных задач информационно-управляющей системы в целом.

Наши рекомендации