"Человек - самое уязвимое место в системе безопасности.."
Главная » Защита информации » Оценка эффективности систем защиты информации

Оценка эффективности систем защиты информации

Системный подход

Понятие системности основано не просто в реализации определенных методах защиты информации, а являет регулярный процесс, который реализован на всех этапах жизненного цикла ИС. При этом все методы, средства которые используются для защиты данных объединяются в один целостные механизм — систему защиты.

К сожалению, нужда в системном подходе к вопросам реализации безопасности информационных технологий пока еще не доходит до нужного уровня у пользователей сегодняшних ИС. На сегодня специалисты из разных областей вынуждены заниматься вопросами реализации информационной безопасности. Это можно объяснить тем, что в ближайшую сотню лет каждый будет жить в среде информационных технологий, куда перейдут все социальные проблемы людей, в том числе и безопасность. Каждый находит свои решения в сфере безопасности, они могут быть и правильными, но совокупность таких решений не даст правильного результата, а именно эффективная система безопасности. Даже если собрать всех таких специалистов в группу, и дать им задание создать систему информационной безопасности, скорее всего у них не получится. Так как у них не отработана взаимосвязь друг с другом. Пример: если взять 11 футболистов и составить команду, они не смогут быть командой пока не отработают взаимодейсвтие каждого с каждым. Как же создать такое взаимодействие ? В футболе вроде бы все очевидно, тренировки и игры которые показывают эффективность всех игроков.

Переходя на язык бизнеса, для решения вопросов безопасности, нужно перейти с технического уровня представления на логический уровень создание и настройки систем защиты. В строгой постановки задачи, разработчикам системы нужно предоставить пользователям инструмент (модель СЗИ), а задача пользователей реализовать эту СЗИ для себя.

Модель СЗИ

Практическая задача реализации информационной безопасности основана на создании модели представления системы ИБ, которая при научно-методическом аппарате разрешала бы решать задачи создания, использования и оценки эффективности СЗИ для ИС. Модель СЗИ видно на рис.1.

модель СЗИ

Рисунок — 1

Главной задачей модели является научная реализация процесса создания системы ИБ за счет адекватной оценки эффективности принимаемого выбора и решений рационального выбора технической реализации системы. Специфическими аспектами решения задачи создания систем защиты есть:

  • неопределенность и неполнота исходных данных о составе ИС и угрозах
  • наличие качественных и количественных характеристик. которые нужно учитывать при разработке и внедрении СЗИ
  • многокритериальность задачи, которая связанна с необходимостью учета большого числа показателей (требований) СЗИ
  • невозможность применения классических средств оптимизации

Требования к модели:

  • Руководства по созданию СЗИ
  • Методики создания требований и показателей к СЗИ
  • Инструмента анализа СЗИ
  • Модель СЗИ для реализации исследований (матрица состояний)

Модель должна иметь аспекты: универсальности, простоты реализации, комплексности, наглядности, практичность, возможность самообучения, работа в условиях высокого неопределенной исходной информации. Модель должна разрешать:

  • Создавать взаимосвязь между параметрами
  • Создавать разные уровни защиты
  • Получать количественные оценки
  • Применять разные методики оценок
  • Контролировать состояние СЗИ
  • Оперативно реагировать на изменение условий функционирования
  • Объединить усилия различных специалистов одним замыслом

Подход к созданию модели ИБ

Основными частями любой сложной системы есть:

  • законодательная, научная и нормативно-правовая база
  • Задачи и структура органов, которые реализуют безопасность ИТ
  • Программно-технические методы

Направления создаются на основе конкретных особенностей ИС как объекта защиты. В основном, можно перечислить следующие направления:

  • защита объектов ИС
  • Защита процессов и др для обработки данных
  • защита линий передач
  • Подавление побочных излучений
  • управления системой защиты

Каждое из направлений базируется на перечисленных выше основах, элементы основ и направлений можно рассматривать как друг с другом. К примеру:

  • Законодательная база защиты объектов
  • Законодательная база защиты процессов..
  • Законодательная база защиты линий

Для создания самого простого представление о конкретной системы защиты, нужно ответить как минимум на 20 самых простых вопросов. Также нужно рассмотреть этапы создания СЗИ:

  • Анализ технических и информационных ресурсов, а также объектов которые нужно защищать
  • Анализ угроз и каналов утечки
  • Проведение оценки уязвимостей и рисков информации
  • Определения требований к системе защиты
  • Анализ выбора методов защиты их параметров
  • Внедрение этих методов
  • Реализация контроля целостности и управления системой

Этапов семь, и по каждому надо ответить уже 20 вопросов, что составляет 140 вопросов. Все это можно представить в виде кубика рубика, на гранях которого реализовалась мозаика взаимосвязанных составляющих элементов системы защиты. А теперь развернем куб на плоскость, и будем иметь трехмерную матрицу в виде двухмерной таблицы, которая разрешит логически объединить составляющие блоков основы, направления и этапы по принципу каждый с каждым.

Представление элементов матрицы

Элементы матрицы имеют определенную нумерацию. Нужно отметить, что:

  • первое знакоместо (х00) определяет блок — этапы
  • второе знакоместо (0x0) определяет блок — направления
  • третье знакоместо (00х) определяет блок — основы

На рис.2 показан пример элемента матрицы. Такая модель представления СЗИ разрешает жестко отслеживать взаимные связи между элементами защиты, а также выступает в роли руководства по реализации СЗИ.

Пример нумерации элемента матрицы

Рисунок — 2

Смотрите также: