Бездействие к добру и действие ко злу - равны. © Александр Дьяков 1086 - | 845 - или читать все...
Обратная связь Пожаловаться на материал

Постановказадачиианализсуществующихметодикопределениятребованийкзащитеинформации


⇐ ПредыдущаяСтр 4 из 12Следующая ⇒

Всамомобщемвидеиначистопрагматическомуровнетребо­ваниякзащитемогутбытьопределеныкакпредотвращениеугрозинформации,покрайнеймеретехизних,проявлениекоторыхмо­жетпривестиксущественнозначимымпоследствиям.Нопосколь­ку,какуженеоднократнонамиотмечалось,защитаинформацииестьслучайныйпроцесс(показателиуязвимостиносятвероятно­стныйхарактер),то итребованиякзащитедолжнывыражатьсятерминами ипонятиямитеории вероятностей.

Поаналогиистребованиямикнадежноститехническихсистем,обоснованнымивклассическойтеориисистем,требованиякзащи­темогут быть сформулированыввидеусловия:

(4.1)

где - оценкареальнойвероятностизащищенностиинформации,а -требуемыйуровеньзащищенности.

Стребованиями,выраженнымивтакомвиде,можноопериро­ватьсиспользованиемметодовклассическойтеориисистем.Од­наконапрактикерешениепроблемзащитыинформациисопряже­носисследованиямииразработкойтакихсистемипроцессов,вкоторыхиконкретныеметоды,иобщаяидеологияклассическойтеориисистеммогутбытьпримененылишьсбольшимиоговорка­ми.Дляповышениястепениадекватностиприменяемыхмоделейреальнымпроцессамнеобходимпереходотконцепциисозданияинструментальныхсредствполучениянеобходимыхрешенийнаинженернойосновекконцепциисозданияметодологическогоба­зисаиинструментальныхсредствдлядинамическогоопти­мальногоуправлениясоответствующимипроцессами(инымисловамисновавстаетпроблемапереходаотэкстенсивныхкин­тенсивнымспособам решенияпроблем защитыинформации).

Проблемаопределениятребованийкзащитеинформациииме­еткомплексныйхарактериможетрассматриватьсякакворганиза­ционном,такивтехническомаспектах.Причемвусловияхавтома­тизированнойобработкиинформациисуществуетбольшоеколиче­ствоканаловнесанкционированногоееполучения,которыенемо­гутбытьперекрытыбезпримененияспецифическихтехническихипрограммно-аппаратныхсредств.Этосерьезноповышаетудель­ныйвестехническихаспектовиприводиткнеобходимостиопре­делениятребованийксистемамзащиты,содержащимуказанныесредства.

Наиболееподходящимздесьоказываетсяподход,основанныйнавыделениинекоторогоколичестватиповыхсистемзащиты,ре­комендуемыхдляиспользованиявтехилииныхконкретныхусло­вияхисодержащихопределенныемеханизмызащиты,т.е.подход,базирующийсянасозданиисистемыстандартоввобластизащитыинформации.

Основутакойсистемы.,действующейвнастоящеевремявРос­сийскойФедерациисоставляютруководящиедокументы,разрабо­танныеГостехкомиссиейРоссиивначале90-хгодовидополненныевпоследствиирядомнормативныхактов.Этидокументыбылисозда­ныврезультатеисследованийипрактическойдеятельностив даннойобластиминистерствоборонныхотраслейпромышленностиимини­стерстваобороныСССР,исучетом«Критериевоценкидоверенныхкомпьютерныхсистем»министерстваобороныСША,которыедоста­точноширокоизвестныподназванием«Оранжеваякнига»,икоторыевместесЕвропейскимииКанадскимикритериямилегливпоследнеевремявоснову«Общихкритериев»(стандартаISO15408-99«Крите­рииоценкибезопасностиинформационныхтехнологий»).

Куказанным документамГостехкомиссииРоссииотносятся:

• руководящийдокумент«Концепциязащитысредстввычисли­тельнойтехникииавтоматизированныхсистемотнесанкциониро­ванногодоступак информации»,1992г.;

• руководящийдокумент«Временноеположениепоорганизацииразработки,изготовленияиэксплуатациипрограммныхитехниче­скихсредствзащитыинформацииотнесанкционированногодосту­пававтоматизированныхсистемахисредствахвычислительнойтехники»,1992г.;

• руководящийдокумент«Защитаотнесанкционированногодоступакинформации.Терминыиопределения»,1992г.;

• руководящийдокумент«Средствавычислительнойтехники.Защитаотнесанкционированногодоступакинформации.Показа-

 


телизащищенностиотнесанкционированногодоступакинформа­ции»,1992г.;

• руководящийдокумент«Автоматизированныесистемы.Защи­таотнесанкционированногодоступакинформации.Классифика­цияавтоматизированныхсистемитребованияпозащитеинфор­мации»,1992г.;

• руководящийдокумент«Средствавычислительнойтехники.Межсетевыеэкраны.Защитаотнесанкционированногодоступакинформации.Показателизащищенностиотнесанкционированногодоступак информации»,1997г.;

• руководящийдокумент«ЗащитаотНСД.Часть1.Программ­ноеобеспечениесредствзащитыинформации.Классификацияпоуровнюконтроляотсутствиянедекларированныхвозможностей»,1998г.;

• руководящийдокумент«Средствазащитыинформации.Защи­таинформациивконтрольно-кассовыхмашинахиавтоматизиро­ванныхкассовыхсистемах.Классификацияконтрольно-кассовыхмашин,автоматизированныхкассовыхсистемитребованияпозащитеинформации»,1998 г.

ОдновременноРоссияиспользуетрядмеждународныхстандар­тов,принятыхвкачествепрямогозаимствованияиориентированныхнаобеспечениеинформационнойбезопасностипривзаимодействииоткрытыхсистем.

Крометого,имеютсястандарты,касающиесязащитыинформа­цииотееутечкичерезпобочныеэлектромагнитныеизлученияинаводки (ПЭМИН).

ЕслинекасатьсявопросовкриптографииизащитыинформацииотееутечкичерезПЭМИН,которыерешаютсявовсехстранахнанациональномуровне,общиевопросыобеспечениябезопасностиинформационныхтехнологийразвиваютсявовсехстранахпарал­лельно,авпоследниегодысовместно.Основуобеспечениябезо­пасностиинформационныхтехнологийсоставляетрешениетрехзадач:обеспечениесекретности(конфиденциальности),обеспече­ниецелостностииобеспечениедоступности.Этаосновазаложенавстандартах,касающихсяобеспечениябезопасностиинформаци­онныхтехнологий,практическивсехстран.

ВовсехперечисленныхвышедокументахГостехкомиссииРос­сиииспользуетсяметодологическийподход,принятыйвсвоевре­мяприразработке«Оранжевойкниги».Впоследней,вчастности,предусмотреношестьфундаментальныхтребований,которымдолжныудовлетворятьвычислительныесистемы,использующиеся


дляобработкиконфиденциальнойинформации.Этитребованиякасаютсястратегиизащиты,подотчетности,атакжегарантийза­щиты.

Издругихразработок,основанныхнаэтомжеподходе,могутбытьтакженазваныпредложенияминистерстваторговлиинацио­нальногобюростандартовСША,министерствапромышленностиВеликобританиии некоторыедругие.

Аналогичныйподходреализовани в упоминавшихсявыше

«Общихкритериях».Анализэтогомеждународногостандарта,проведенныйроссийскимиспециалистами,свидетельствуетотом,чтоонполностьюсоответствуетпосутисложившейсявРоссииметодологиизащитыинформацииотНСД.Однакопоуровнюсис­тематизации,полнотеистепенидетализациитребований,универ­сальностиигибкости«Общиекритерии»несколькопревосходятРоссийскиестандарты.

 

4.2.Параметрызащищаемойинформациииоценкафакторов,влияющихна требуемыйуровеньзащиты

Наличиерассмотренныхвышеметодикопределениятребова­нийпозащитеинформацииизакреплениеихвофициальныхдо­кументахсоздаютдостаточнонадежнуюбазудлярешенияпракти­ческихпроблемзащиты.Однаконетрудновидеть,чтосточкизре­ниясовременнойпостановкизадачизащитыинформациивсеониявляютсянедостаточнымипо рядупричин, а именно:

1) методикиориентированыназащитуинформациитольковсредствахвычислительнойтехникиипрактическинезатрагиваютобъектовый,атемболеерегиональныйуровеньобеспеченияин­формационнойбезопасности;

2) виспользуемыхподходахучитываютсядалеконевсефакторы,оказывающиесущественное влияниенауязвимостьинформации;

3) внаучномпланеметодикиобоснованынедостаточно(заис­ключениемтребованийкзащитеинформацииотутечкипотехни­ческим каналам).

Возможныеподходыкпреодолениюуказанныхнедостатковбы­липредложенывмонографииВ.А.Герасименко[3] иразвитывдальнейшемавторскимколлективомучебника«Основызащитыинформации»[31].Учитываяихпринципиальноезначениедлясо­вершенствованиястандартовиметодическихдокументоввусло­вияхсовременнойпостановкизадачизащитыинформации,пред­ставляетсяцелесообразнымрассмотретьэтиподходыболеепод-

 


робноинастраницахданногоучебногопособия,темболеечтозапрошедшеевремяонибылиуточненыиприближеныкпотребно­стямпрактики.

Рассмотримпредварительноподходыкоценкепараметровза­щищаемойинформации,что,позволитнамвдальнейшемобосно­ванноподойтикклассификациивозможныхситуацийзащиты.

Информациювобщемслучаеможнорассматриватьвдвухас­пектах-какресурс,обеспечивающийтуилиинуюдеятельностьобществаикакобъекттруда,надкоторымпроизводятсяопреде­ленныедействия вцеляхинформационногообеспечениярешае­мыхзадач.

Показатели,оценивающиеинформациюкакресурс,определяютсяеезначимостьюдлярешенияконкретнойзадачи,атакжеполнотойиадекватностьюимеющихсясведений.Крометого,важноезначениеимеетрелевантностьинформации,инымисловамиеезасоренностьненужнымиданными,итолерантность,т.е.формапредставленияинформациисточкизренияудобствавосприятияииспользованияеевпроцессерешения задач.

Такимобразом,дляоценкиинформациикакобеспечивающегоресурсаможноиспользоватьследующиепоказатели:важность;полнота,адекватность,релевантность,толерантность.

Какобъекттрудаинформациявыступает,во-первых,каксырье,добываемоеипоступающеенаобработку,во-вторых,какполу­фабрикат,образуемыйвпроцессеобработки,и,в-третьих,какпродуктобработки,выдаваемыйдляиспользования.Дляобработ­киинформациииспользуютсяразличныесредства,основнымиизкоторыхявляютсясредствафиксации,передачиипереработки.Сточкизренияиспользованияэтихсредствосновнымихарактери­стикамидолжныбытьформа(способ)представленияиобъемыинформациибезотносительнокее смысловомусодержанию.

Заметимеще,чтовусловияхпотенциальнойвозможностипро­явлениябольшогоколичестваинформационныхугроз,которыемогутоказатьнегативноевоздействиенаинформацию,естествен­ноприходитсяприниматьмерыпротиводействиядестабилизи­рующимфакторам.Приэтомважностьинформациидолжнарас­сматриватьсяуженетольковсмыслезначимостиеедлярешае­мыхзадач,ноивсмыслеорганизациипроцессаееобработки.Та­кимобразом,важностьинформацииимеетзначениекакприоцен­кееевкачествеобеспечивающегоресурса,такивкачествеобъ­ектатруда.


Рассмотримвозможныеподходыкопределениюзначенийпе­речисленныхпоказателей.

Важностьинформации.Всоответствиисизложеннымвыше,важностьинформациидолжнаоцениватьсяподвумгруппамкри­териев- поназначениюинформацииипоусловиямее обработки.

Впервойгруппе,очевидно,следуетвыделитьдвесоставляю­щие-важностьзадачдляобеспечиваемойдеятельностиисте­пеньважностиинформациидляэффективногорешениясоответст­вующихзадач.

Вовторойгруппетакжевыделимдвесоставляющих-уровеньпотерьвслучаереализацииугрозбезопасностиинформациииуровень затратнавосстановлениеизмененнойинформации.

Обозначим:

КВИ- коэффициентважностиинформации;.

КВЗ-коэффициентважностизадач,дляобеспечениярешениякоторыхиспользуетсяинформация;

КИЗ-коэффициентважностиинформациидляэффективногоре­шениязадач;

КПИ-коэффициентважностиинформациисточкизренияпо­терь присниженииеекачества;

КСВ-коэффициентважностиинформациисточкизрениястои­мостивосстановления еекачества.

Тогда,очевидно:

КВИ      =    f    (КВЗ,   КИЗ,   КПИ,   КСВ).   (4.2)

Инымисловами,дляоценкиважностиинформациинеобходимоуметьопределятьзначенияперечисленныхвышекоэффициентовизнатьвидфункциональнойзависимости(4.2).Однако,какидлябольшинствазадач,связанныхспроблемойзащитыинформации,здесьтакженеудаетсяпредложитькаких-либоформальныхприе­моврешения.Поэтомумывынужденысноваосновыватьсянарас­сматривавшихсявышенеформально-эвристическихметодах.

Вданномслучаезначениявходящихвформулу(4.2)критериевбудемвыражатьлингвистическимипеременнымитак,какэтопока­занонарис.4.1.

Затемсформируемвозможныекомбинациикритериеввпреде­лахкаждойгруппы(табл.4.1).Еслитеперьсвестивоединополу­ченныерезультаты,томожносформироватьитоговуюклассифи­кациюинформацииповажности(табл.4.2).Приэтомнамисдела­нопредположение,чтодиагональныеэлементыклассификацион­ной структурыявляютсяодинакововажными.

 


 


 

 

CT04Klll3peHlllR Ha3Ha4eHlllRlllHcj:)OpMal..lllllll

 

 

 

Kp111Tep111111Ol..leHKl'IBa>KHOCTl'I

lllHcpOpMal..llllill

 
 

 

 

 

CT04Klll3peHlll>l06pa60TK11

"1Hcj:)OpMal..ll>11>1

 
-

>--


 

 

-8
Ba>t<HOCTbJaAa4,                           06biKHOBeHHble              AilR peweHlllR

KOTOpblX                                      Ba>t<Hb1e

lllCnOilb3YeTCR

lllHcj:)OpMal..l!llR                  I 04eHb sa>t<Hble

Ba"om     r-EJ


I
-
111HcpopMal..l111111AilH  I

3cpcpeKTlllBHOfO

peweHlllRJaAa4


HeJHa4111TeilbHaR

 

 

CpeAHHH


 

YposeHbnoTepb


50JlbWa>!

r1He3Ha411TeilbHb1'1       


 

;i

Ill

(!)

Ill


Ka4eCTBa

I
lllHcj:)OpMal..lllllil

60JlbWOi1

 

rlHeJHa411TeilbHa>1 I


.._...


CTOl'IMOCTb

BOCCTaHoeneHl'l>l                 I


CpeAH>1>1 I


Ka4eCTBa                     I

lllHcj:)OpMal..lllllll                  I 50JlbWa>! I

P111c.4.1.&iPY.m'"'-..il··-·-·....."'"'"'·-..··---...-......--·····--···...·=r..,,.,....,...,.,.."'.


Таблица4.1а

Первичнаяклассификацияинформацииповажностиотносительноназначения

 

 

Важностьзадачи

Важностьинформациидлязадачи
Незначительная Средняя Большая
Обыкновенная Зн
Важная
Оченьважная

Таблица4.16

Первичнаяклассификацияинформацииповажностиотносительнообработки

 

 

Уровеньпотерь

Стоимостьвосстановления
Незначительная Средняя Большая
Незначительный Зо
Средний
Большой

 

Такимобразом,всяинформацияможетбытьразделенанасемна­дцатьклассовважности.Однакономерклассасампосебенехарак­теризуетважностьинформациинасодержательномуровне,даиопе­рироватьсемнадцатьюразличнымиклассамизатруднительно.Улуч­шитьположениеможнообъединиввсеэлементыклассификационнойструктурытак,какпоказановтабл.4.2пунктирнымилиниями.Витогесемнадцатьклассовбудутпреобразованывсемькатегорийважности:малой(А),обыкновенной(Б),полусредней(В),средней(Г),повышен­ной(Д),большой (Е)ичрезвычайнойважности (Ж).

Далеедляпроведенияаналитическихрасчетовнеобходимопо­лучитьколичественныевыражениявведенныхпоказателейважно­сти.Приэтоместественнопредположить,чтоважностьинформа­циикатегорииАубываетоткласса3кклассу1,приближаяськ0,акатегорииЖвозрастаетоткласса15кклассу17,приближаяськ1.Естественнотакжепредположить,чтовозрастаниеважностиин­формацииоткласса1кклассу17происходитнеравномерно,при­чемнаиболееадекватной,видимо,будетзависимостьввиделоги­стическойкривой(рис.4.2).

 


Таблица4.2.

Дата добавления: 2018-02-15; просмотров: 454; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая12345678910Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.112)