Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Определение стратегии осуществляется на основе выбранной цели защиты.
Что же включает в себя определение стратегии защиты? Прежде всего, необходимо выделить основные признаки, по которым различают и формируют разные стратегии защиты. К основным из них относятся следующие. 1. Признак характера ожидаемого результата защиты. По этому признаку формируются стратегии защиты от преднамеренных угроз. При этом могут быть стратегии, направленные на обман нарушителя, на силовое его подавление, на маскировку защищаемого ресурса и др. 2. Признак превентивности защиты. По этому признаку могут быть сформированы стратегии, направленные на предупреждение возникновения и реализации той или иной угрозы безопасности информации, на игнорирование угроз с восстановлением целостности или доступности информации (для угроз целостности и доступности), на своевременное выявление и отслеживание факта реализации угрозы. 3. Признак активности защиты. По этому признаку стратегии разделят на те, которые предполагают применение активных средств и мер защиты, которые основаны на пассивных мерах и средствах (в том числе организационных мерах), и те, которые основаны на сочетании активных и пассивных мер и средств защиты. 4. Признак адаптивности. По этому признаку стратегии защиты разделяют на: - адаптивные, то есть позволяющие варьировать состав мер и средств защиты в зависимости от складывающейся обстановки, - неадаптивные, когда все возможные изменения условий функционирования должны быть предусмотрены заранее. 5. Признак охвата. По этому признаку различают стратегии тотальной защиты и стратегии выборочной защиты. Возможны комплексные стратегии защиты информации, когда по одной части информационных ресурсов действует одна стратегия, а для другой – другая. Стратегия защиты информации является основой замысла или в более широком и детальном изложении – концепции защиты, в которых, кроме стратегии, рассматривают возможные способы защиты, основные вопросы организации и обеспечения защиты информации в АСЗИ. В соответствии с энциклопедическим словарём концепция (от латинского conceptio - понимание, система) - это определённый способ понимания, трактовки каких-либо явлений, основная точка зрения, руководящая идея для их освещения; ведущий замысел, конструктивный принцип различных видов деятельности. Под концепцией защиты информации (концепцией построения СЗИ) в АСЗИ будем понимать систему взглядов на защиту информации в АСЗИ, определяющую состав и характеристики возможных угроз безопасности информации в АСЗИ, оценку состояния защищённости информации в АСЗИ, совокупность возможных стратегий защиты и условия их реализации, основные задачи и возможные (целесообразные) способы защиты информации, основные вопросы организации и обеспечения защиты информации. Любая концепция разрабатывается на определённый период времени, в течение которого её положения остаются состоятельными. Из определения видно, что концепция поглощает в себя замысел защиты, в который, как правило, включают лишь предлагаемые стратегии и способы защиты, а также основные вопросы организации и обеспечения защиты информации. Теперь остановимся ещё на одном понятии, которое широко применяется при решении вопросов проектирования систем защиты информации в АСЗИ, – политике безопасности. Вообще говоря, приемлемого определения этого понятия в отечественных документах нет. Вместе с тем, её называют иногда не совсем правильно и не очень вразумительно интегральной характеристикой защищаемой системы, качественным или качественно-количественным выражением свойств защищённости в терминах, представляющих систему и т.д. Будем называть политикой безопасности совокупность разрешённых или запрещённых с точки зрения безопасности информации действий с аппаратными, программными и программно-аппаратными элементами АСЗИ. Наиболее часто политики безопасности связываются с понятием доступа (к информации, к элементам АСЗИ). Из такого определения видно, что политики безопасности являются производными от принятой стратегии защиты, являются элементами замысла защиты и фактически определяют способы разграничения доступа к информации или к элементам АСЗИ. Политики безопасности формируются, по сути дела, как возможные пути реализации требований по защите информации. Итак, с учётом принятых стратегий защиты формируется замысел, концепция защиты информации в АСЗИ и выбираются целесообразные способы защиты информации, с помощью которых можно реализовать требования по защите информации. В настоящее время выбор стратегии защиты не выделяется в отдельную процедуру. Это объясняется не проработанностью общей методологии, скудностью применяемых мер и средств защиты, реализующих все другие стратегии, кроме стратегии запрета, например, стратегии, направленные на обман нарушителей. Однако знать о необходимости и возможности реализации разнообразных стратегий защиты нужно и важно для практики. Наконец, ещё одним важным и весьма перспективным аспектом анализа является управление защитой информации в АСЗИ. Под управлением защитой информации в АСЗИ понимается целенаправленная деятельность по изменению состава и характеристик мер и средств защиты, порядка их применения в соответствии со складывающейся обстановкой в интересах обеспечения требуемой эффективности защиты информации в АСЗИ. Целенаправленные действия включают в себя как обязательный компонент, без которого невозможно адекватное управление, оценку ситуации, то есть: - состояния АСЗИ; - состава и характеристик угроз безопасности информации и динамики их проявлений; - состояния системы защиты информации и вспомогательных систем обеспечения защиты информации (например, системы сигнализации); - состояния ресурса мер и средств защиты информации и др. По результатам оценки вырабатывается решение по управлению защитой информации в соответствии со складывающейся обстановкой. Важнейшая роль в таких системах сегодня отводится подсистеме контроля эффективности ЗИ и подсистеме обнаружения сетевых атак. Вместе с тем пока отсутствуют регламентирующие документы, определяющие требования к таким подсистемам. II ВАРИНТ: ПРОЕКТИРОВАНИЕ СЗИ ДЛЯ ФУНКЦИОНИРУЮЩЕЙ СИСТЕМЫ В ХОДЕ ЕЁ МОДЕРНИЗАЦИИ. Особенность проектирования СЗИ в этом варианте заключается в том, что максимально учитываются уже применяемые в АСЗИ мер и средства ЗИ, при этом разрабатывается ТЗ на создание СЗИ, в которое включаются требования по ЗИ только в части создаваемой СЗИ. ЗАКЛЮЧЕНИЕ Такова в кратком изложении технологическая схема проектирования систем защиты информации в АС или проектирования АС в защищённом исполнении. В ходе проектирования и на этапе ввода АСЗИ в действие отрабатываются дополнительно документы: - акты внедрения СЗИ по результатам их приёмо-сдаточных испытаний; - протоколы аттестационных испытаний и заключение по их результатам; - аттестат соответствия АС требованиям по безопасности информации. Из изложенного видно, что для проектирования систем защиты информации необходимо знать: - состав и характеристики основных элементов построения АСЗИ, от которых зависит безопасность информации в АСЗИ; - возможные уязвимые звенья АСЗИ и угрозы безопасности информации в них; - приемлемые меры и средства защиты информации и т.д. Лекция 17 (2 часа) «РАЗРАБОТКА ТЕХНИЧЕСКОГО ЗАДАНИЯ» Общие положения Техническое задание (ТЗ) на создание является основным документом, определяющим требования и порядок создания АС, в соответствии с которым проводятся разработка АС и её приёмка при вводе в действие. ТЗ на создание разрабатывается исходя из требований заказчика к АС и результатов проведения обследований на объекте (объектах) автоматизации. Требования к ТЗ на создание АС определены в ГОСТ 34.602-89 «Виды, комплектность и обозначения документов при создании автоматизированных систем». 2. Состав технического задания ТЗ на АС содержит следующие разделы, которые могут быть разделены на подразделы: 1) общие сведения; 2) назначение и цели создания (развития) системы; 3) характеристика объектов автоматизации; 4) требования к системе; 5) состав и содержание работ по созданию системы; 6) порядок контроля и приёмки системы; 7) требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие; 8) требования к документированию; 9) источники разработки. В состав ТЗ на АС при наличии утверждённых методик включают приложения, содержащие: 1) расчёт ожидаемой эффективности системы; 2) оценку научно-технического уровня системы. Приложения включают в состав ТЗ на АС по согласованию между разработчиком и заказчиком системы. 3. Содержание технического задания 1 ОБЩИЕ ПОЛОЖЕНИЯ 1.1 Полное наименование системы и ее условное обозначение 1.2 Номер договора (контракта) 1.3 Наименования организации-заказчика и организаций-участников работ 1.4 Перечень документов, на основании которых создается система 1.5 Плановые сроки начала и окончания работы по созданию системы 1.6 Источники и порядок финансирования работ 1.7 Порядок оформления и предъявления заказчику результатов работ по созданию системы 1.8 Перечень нормативно-технических документов, методических материалов, использованных при разработке ТЗ 1.9 Определения, обозначения и сокращения 2 НАЗНАЧЕНИЕ И ЦЕЛИ СОЗДАНИЯ СИСТЕМЫ 2.1 Назначение системы 2.2 Цели создания системы 3 ХАРАКТЕРИСТИКА ОБЪЕКТА АВТОМАТИЗАЦИИ 4 ТРЕБОВАНИЯ К СИСТЕМЕ 4.1 Требования к системе в целом 4.1.1 Требования к структуре и функционированию системы 4.1.1.1 Перечень подсистем, их назначение и основные характеристики 4.1.1.2 Требования к способам и средствам связи для информационного обмена между компонентами системы 4.1.2 Требования к численности и квалификации персонала системы 4.1.3 Показатели назначения 4.1.4 Требования к надежности 4.1.5 Требования к безопасности 4.1.6 Требования к эргономике и технической эстетике 4.1.7 Требования к транспортабельности для подвижных АС 4.1.8 Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов системы 4.1.9 Требования к защите информации от несанкционированного доступа 4.1.10 Требования по сохранности информации при авариях 4.1.11 Требования к защите от влияния внешних воздействий 4.1.12 Требования к патентной частоте 4.1.13 Требования по стандартизации и унификации 4.1.14 Дополнительные требования 4.2 Требования к функциям (задачам), выполняемым системой 4.3 Требования к видам обеспечения 4.3.1 Требования к математическому обеспечению системы 4.3.2 Требования информационному обеспечению системы 4.3.3 Требования к лингвистическому обеспечению системы 4.3.4 Требования к программному обеспечению системы 4.3.5 Требования к техническому обеспечению 4.3.6 Требования к метрологическому обеспечению 4.3.7 Требования к организационному обеспечению 4.3.8 Требования к методическому обеспечению 5 СОСТАВ И СОДЕРЖАНИЕ РАБОТ ПО СОЗДАНИЮ (РАЗВИТИЮ) СИСТЕМЫ 6 ПОРЯДОК КОНТРОЛЯ И ПРИЕМКИ СИСТЕМЫ 6.1 Виды, состав, объем и методы испытаний системы 6.2 Общие требования к приемке работ по стадиям 6.3 Статус приемочной комиссии 7 ТРЕБОВАНИЯ К СОСТАВУ И СОДЕРЖАНИЮ РАБОТ ПО ПОДГОТОВКЕ ОБЪЕКТА АВТОМАТИЗАЦИИ К ВВОДУ СИСТЕМЫ В ДЕЙСТВИЕ 8 ТРЕБОВАНИЯ К ДОКУМЕНТИРОВАНИЮ 9 ИСТОЧНИКИ РАЗРАБОТКИ Раздел «Общие положения» В разделе «Общие сведения» указывают: 1) полное наименование системы и её условное обозначение; 2) шифр темы или шифр (номер) договора; 3) наименование предприятий (объединений) разработчика и заказчика (пользователя) системы и их реквизиты; 4) перечень документов, на основании которых создаётся система, кем и когда утверждены эти документы; 5) плановые сроки начала и окончания работы по созданию системы; 6) сведения об источниках и порядке финансирования работ; 7) порядок оформления и предъявления заказчику результатов работ по созданию системы (её частей), по изготовлению и наладке отдельных средств (технических, программных, информационных) и программно-технических (программно-методических) комплексов системы. Популярное:
|
Последнее изменение этой страницы: 2016-07-14; Просмотров: 602; Нарушение авторского права страницы