Оценка эффективности систем защиты информации
Системный подход
Понятие системности основано не просто в реализации определенных методах защиты информации, а являет регулярный процесс, который реализован на всех этапах жизненного цикла ИС. При этом все методы, средства которые используются для защиты данных объединяются в один целостные механизм — систему защиты.
К сожалению, нужда в системном подходе к вопросам реализации безопасности информационных технологий пока еще не доходит до нужного уровня у пользователей сегодняшних ИС. На сегодня специалисты из разных областей вынуждены заниматься вопросами реализации информационной безопасности. Это можно объяснить тем, что в ближайшую сотню лет каждый будет жить в среде информационных технологий, куда перейдут все социальные проблемы людей, в том числе и безопасность. Каждый находит свои решения в сфере безопасности, они могут быть и правильными, но совокупность таких решений не даст правильного результата, а именно эффективная система безопасности. Даже если собрать всех таких специалистов в группу, и дать им задание создать систему информационной безопасности, скорее всего у них не получится. Так как у них не отработана взаимосвязь друг с другом. Пример: если взять 11 футболистов и составить команду, они не смогут быть командой пока не отработают взаимодейсвтие каждого с каждым. Как же создать такое взаимодействие ? В футболе вроде бы все очевидно, тренировки и игры которые показывают эффективность всех игроков.
Переходя на язык бизнеса, для решения вопросов безопасности, нужно перейти с технического уровня представления на логический уровень создание и настройки систем защиты. В строгой постановки задачи, разработчикам системы нужно предоставить пользователям инструмент (модель СЗИ), а задача пользователей реализовать эту СЗИ для себя.
Модель СЗИ
Практическая задача реализации информационной безопасности основана на создании модели представления системы ИБ, которая при научно-методическом аппарате разрешала бы решать задачи создания, использования и оценки эффективности СЗИ для ИС. Модель СЗИ видно на рис.1.
Рисунок — 1
Главной задачей модели является научная реализация процесса создания системы ИБ за счет адекватной оценки эффективности принимаемого выбора и решений рационального выбора технической реализации системы. Специфическими аспектами решения задачи создания систем защиты есть:
- неопределенность и неполнота исходных данных о составе ИС и угрозах
- наличие качественных и количественных характеристик. которые нужно учитывать при разработке и внедрении СЗИ
- многокритериальность задачи, которая связанна с необходимостью учета большого числа показателей (требований) СЗИ
- невозможность применения классических средств оптимизации
Требования к модели:
- Руководства по созданию СЗИ
- Методики создания требований и показателей к СЗИ
- Инструмента анализа СЗИ
- Модель СЗИ для реализации исследований (матрица состояний)
Модель должна иметь аспекты: универсальности, простоты реализации, комплексности, наглядности, практичность, возможность самообучения, работа в условиях высокого неопределенной исходной информации. Модель должна разрешать:
- Создавать взаимосвязь между параметрами
- Создавать разные уровни защиты
- Получать количественные оценки
- Применять разные методики оценок
- Контролировать состояние СЗИ
- Оперативно реагировать на изменение условий функционирования
- Объединить усилия различных специалистов одним замыслом
Подход к созданию модели ИБ
Основными частями любой сложной системы есть:
- законодательная, научная и нормативно-правовая база
- Задачи и структура органов, которые реализуют безопасность ИТ
- Программно-технические методы
Направления создаются на основе конкретных особенностей ИС как объекта защиты. В основном, можно перечислить следующие направления:
- защита объектов ИС
- Защита процессов и др для обработки данных
- защита линий передач
- Подавление побочных излучений
- управления системой защиты
Каждое из направлений базируется на перечисленных выше основах, элементы основ и направлений можно рассматривать как друг с другом. К примеру:
- Законодательная база защиты объектов
- Законодательная база защиты процессов..
- Законодательная база защиты линий
- …
Для создания самого простого представление о конкретной системы защиты, нужно ответить как минимум на 20 самых простых вопросов. Также нужно рассмотреть этапы создания СЗИ:
- Анализ технических и информационных ресурсов, а также объектов которые нужно защищать
- Анализ угроз и каналов утечки
- Проведение оценки уязвимостей и рисков информации
- Определения требований к системе защиты
- Анализ выбора методов защиты их параметров
- Внедрение этих методов
- Реализация контроля целостности и управления системой
Этапов семь, и по каждому надо ответить уже 20 вопросов, что составляет 140 вопросов. Все это можно представить в виде кубика рубика, на гранях которого реализовалась мозаика взаимосвязанных составляющих элементов системы защиты. А теперь развернем куб на плоскость, и будем иметь трехмерную матрицу в виде двухмерной таблицы, которая разрешит логически объединить составляющие блоков основы, направления и этапы по принципу каждый с каждым.
Представление элементов матрицы
Элементы матрицы имеют определенную нумерацию. Нужно отметить, что:
- первое знакоместо (х00) определяет блок — этапы
- второе знакоместо (0x0) определяет блок — направления
- третье знакоместо (00х) определяет блок — основы
На рис.2 показан пример элемента матрицы. Такая модель представления СЗИ разрешает жестко отслеживать взаимные связи между элементами защиты, а также выступает в роли руководства по реализации СЗИ.
Рисунок — 2
Смотрите также: