 |
Науково-дослідна розробка КСЗІ
|
|
|
|
Метою цього етапу є розробка технічного завдання на проектування КСЗІ. Технічне завдання містить основні технічні вимоги до КСЗІ, що розробляється, а також погоджені взаємні зобов'язання замовника і виконавця розробки. Технічні вимоги визначають значення основних технічних характеристик, виконувані функції, режими роботи, взаємодія із зовнішніми системами і т. д. Апаратні засоби оцінюються наступними характеристиками: швидкодія, продуктивність, місткість пристроїв, що запам'ятовують, розрядність, вартість, характеристики надійності та ін. Програмні засоби характеризуються необхідним об'ємом оперативної і зовнішньої пам'яті, системою програмування, в якій розроблені ці засоби, сумісністю з ОС і іншими програмними засобами, часом виконання, вартістю і т. д. Набуття значень цих характеристик, а також складу виконуваних функцій і режимів роботи засобів захисту, порядку їх використання і взаємодії із зовнішніми системами складають основний зміст етапу науково-дослідною розробки. Для проведення досліджень на цьому етапі замовник може притягати виконавця або науково-дослідного установа, або організовує спільну їх роботу. Науково-дослідна розробка розпочинається з аналізу загроз безпеки інформації, аналізу КС, що захищається, і аналізу конфіденційності і важливості інформації в КС(мал. 27).
Рис. 27. Послідовність і зміст науково-дослідної розробки КСЗІ
Передусім робиться аналіз конфіденційності і важливості інформації, яка повинна оброблятися, зберігатися і передаватися в КС. На основі аналізу робиться висновок про доцільність створення КСЗІ. Якщо інформація не є конфіденційною і легко може бути відновлена, то створювати КСЗІ немає необхідності. Не має сенсу також створювати КСЗІ в КС, якщо втрата цілісності і конфіденційності інформації пов'язана з незначними втратами. У цих випадках досить використати штатні засоби КС і, можливо, страхування від втрати інформації. При аналізі інформації визначаються потоки конфіденційної інформації, елементи КС, в яких вона обробляється і зберігається. На цьому етапі розглядаються також питання розмежування доступу до інформації окремих користувачів і цілих сегментів КС. На основі аналізу інформації визначаються вимоги до її захищеності. Вимоги задаються шляхом привласнення певного грифа конфіденційності, встановлення правил розмежування доступу. Дуже важлива початкова інформація для побудови КСЗІ виходить в результаті аналізу КС., що захищається. Оскільки КСЗІ є підсистемою КС, та взаємодія системи захисту з КС можна визначити як внутрішнє, а взаємодія із зовнішнім середовищем - як зовнішнє (мал. 28). Зовнішнє середовище
|
|
|
Зовнішнє середовище
Мал. 28. Схема взаємодії КСЗІ
Внутрішні умови взаємодії визначаються архітектурою КС. При побудові КСЗІ враховуються:
• географічні положення КС;
• тип КС(розподілена або зосереджена);
• структури КС (технічна, програмна, інформаційна і т. д.);
• производительность і надійність елементів КС;
• типы використовуваних апаратних і програмних засобів і режими їх роботи;
• загрози безпеці інформації, які породжуються усередині КС(відмови апаратних і програмних засобів, алгоритмічні помилки і т. п.).
Враховуються наступні зовнішні умови:
• взаимодействие із зовнішніми системами;
случайные і умисні загрози.
Аналіз загроз безпеки є одним з обов'язкових умов побудови КСЗІ. За результатами проведеного аналізу будується модель загроз безпеки інформації в КС. Модель загроз безпеки інформації в КС містить систематизовані дані про випадкові і умисні загрози безпеки інформації в конкретній КС. Систематизація даних моделі припускає наявність відомостей про усі можливі загрози, їх небезпеку, часові рамки дії, вірогідності реалізації. Часто модель загроз розглядається як композиція моделі зловмисника і моделі випадкових загроз. Моделі представляються у вигляді таблиць, графів або на вербальному рівні. При побудові моделі зловмисника використовуються два підходи:
|
|
|
1) модель орієнтується тільки на висококваліфікованого зловмисника-професіонала, що оснащеного усім необхідним і має легальний доступ на усіх рубежах захисту;
2) модель враховує кваліфікацію зловмисника, його оснащеність(можливості) і офіційний статус в КС.
Перший підхід простіше реалізується і дозволяє визначити верхню межу умисних загроз безпеки інформації. Другий підхід відрізняється гнучкістю і дозволяє враховувати особливості КС повною мірою. Градація зловмисників по їх кваліфікації може бути різною. Наприклад, можливо виділений три класи зловмисників:
1) висококваліфікований зловмисник-професіонал;
2) кваліфікований зловмисник-непрофесіонал;
3) некваліфікований зловмисник-непрофесіонал.
Клас зловмисника, його оснащеність і статус на об'єкті КС визначають можливості зловмисника по несанкціонованому доступу до ресурсів КС. Загрози, пов'язані з неумисними діями, добре вивчені, і велика частина їх може бути формалізована. Сюди слід віднести загрози безпеки, які пов'язані з кінцевою надійністю технічних систем. Загрози, що породжуються стихією або людиною, формалізувати складніше. Але з іншого боку, по них накопичений великий об'єм статистичних даних. На основі цих даних можна прогнозувати прояв загроз цього класу. Модель зловмисника і модель випадкових загроз дозволяють отримати повний спектр загроз і їх характеристик. В сукупності з початковими даними, отриманими в результаті аналізу
інформації, особливостей архітектури проектованої КС, моделі загроз безпеки інформації дозволяють отримати початкові дані для побудови моделі КСЗІ.
Моделювання КСЗІ
Оцінка ефективності функціонування КСЗІ є складним науково-технічним завданням. Комплексна СЗІ оцінюється в процесі розробки КС, в період експлуатації і при створенні(модернізації) СЗІ для вже існуючих КС. При розробці складних систем поширеним методом проектування являється синтез з подальшим аналізом. Система синтезується шляхом погодженого об'єднання блоків, пристроїв, підсистем і аналізується (оцінюється) ефективність отриманого рішення. З безлічі синтезованих систем вибирається краща за результатами аналізу, який здійснюється за допомогою моделювання.
|
|
|
Моделювання КСЗІ полягає в побудові образу (моделі) системи, з певною точністю відтворюючого процеси, що відбуваються в реальній системі [30]. Реалізація моделі дозволяє отримувати і досліджувати характеристики реальної системі. Для оцінки систем використовуються аналітичні і імітаційні моделі. У аналітичних моделях функціонування досліджуваної системи записується у вигляді математичних або логічних співвідношень. Для цих цілей використовується потужний математичний апарат: алгебра, функціональний аналіз, різницеві рівняння, теорія вірогідності, математична статистика, теорія великих кількостей, теорія масового обслуговування і т. д. При імітаційному моделюванні модельована система представляється у вигляді деякого аналога реальної системи. У
процесі імітаційного моделювання на ЕОМ реалізуються алгоритми зміни основних характеристик реальної системи відповідно до еквівалентних реальним процесам математичними і логічними залежностями. Моделі діляться також на детерміновані і стохастичні. Моделі, які оперують з випадковими величинами, називаються стохастичними. Оскільки на процеси захисту інформації основний вплив роблять випадкові чинники, то моделі систем захисту являються моделі систем захисту є стохастичними. Моделювання КСЗИ є складним завданням, тому що такі системи відносяться до класу складних организационнотехнических систем, яким властиві наступні
особливості:
• складність формального представлення процесів функціонування таких систем, головним чином, внаслідок складності формалізації дій людини;
|
|
|
• розмаїття архітектури складної системи, яке обумовлюється різноманіттям структур її підсистем і множинністю шляхів об'єднання підсистем в єдину систему;
• велике число взаємозв'язаних між собою елементів і підсистем;
• складність функцій, що виконуються системою;
• функционування систем в умовах неповної визначеності і випадковості процесів, що чинять дію на систему;
• наявність безлічі критеріїв оцінки ефективності функціонування складної системи;
• існування інтегрованих ознак, властивих системі в цілому, але не властивих кожному елементу окремо (наприклад, система з елементу окремо(наприклад, система з резервуванням є надійною,
при ненадійних елементах);
елементу окремо(наприклад, система з резервуванням є надійною,
при ненадійних елементах);
• наявність управління, що часто має складну ієрархічну структуру;
• разветвленность і висока інтенсивність інформаційних потоків.
Для подолання цих складнощів застосовуються:
1) спеціальні методи неформального моделювання;
2) декомпозиція загального завдання на ряд приватних завдань;
3) макромоделювання.
Спеціальні методи неформального моделювання. Спеціальні методи неформального моделювання грунтовані на застосуванні неформальної теорії систем. Основними складовими частинами неформальної теорії систем є [8]:
• структурування архітектури і процесів функціонування складних систем;
• неформальні методи оцінювання;
• неформальні методи пошуку оптимальних рішень.
Структуризація є розвитком формального опису систем, поширеного на організаційно-технічні системи. Прикладом структурованого процесу є конвеєрне виробництво, осмнову якого складають два принципи:
• строга регламентація технологічного процесу виробництва;
• спеціалізація виконавців і устаткування.
Передбачається, що конструкція вироблюваної продукції відповідає наступним вимогам:
• виріб складається з конструктивних ієрархічних елементів (блоків, вузлів, схем, деталей і тому подібне);
• максимальна простота, уніфікована і стандартність конструктивних рішень і технологічних операцій.
Нині процес виробництва технічних засобів КС досить повно структурований. Структурне програмування також вписується в рамки структурованих процесів. На основі узагальнення принципо'в і методів структурного програмування можуть бути сформульовані умови структурованого опису систем, що вивчаються, і процесів їх функціонування [8]:
1) повнота відображення основних елементів і їх взаємозв'язків;
2) адекватність;
3) простота внутрішньої організації елементів опису і взаємозв'язків елементів між собою;
|
|
|
4) стандартність і уніфікована внутрішньої структури елементів і структури взаємозв'язків між ними;
5) модульність;
6) гнучкість, під якою розуміється можливість розширення і зміни структури одних компонентів моделі без істотних змін інших компонентів;
7) доступність вивчення і використання моделі будь-кому фахівцеві середньої кваліфікації відповідного профілю.
В процесі проектування систем необхідно отримати їх характеристики. Деякі характеристики можуть бути отримані шляхом виміру. Інші виходять з використанням аналітичних співвідношень, а також в процесі обробки статистичних даних. Проте існують характеристики складних систем, які не можуть бути отримані приведеними методами. До таким характеристикам СЗИ відноситься вірогідність реалізації деяких загроз, окремі характеристики ефективності систем захисту і інші. Вказані характеристики можуть бути отримані єдино доступними методами - методами неформального оцінювання. Суть методів полягає в залученні для отримання деяких характеристик фахівців-експертів у відповідних галузях знань. Найбільше поширення з неформальних методів оцінювання отримали методи експертних оцінок. Метод експертних оцінок є алгоритмом підбору спеціалістів-экспертов, завдання правил отримання незалежних оцінок кожним експертом і незалежних оцінок кожним експертом і подальшої статистичної обробки отриманих результатів. Методи експертних оцінок використовуються давно, добре відпрацьовані. В деяких випадках вони являються єдино можливими методами оцінювання характеристик систем. Неформальні методи пошуку оптимальних рішенні можуть бути розподілені по двох групах:
• методи неформального зведення складного завдання до формального опису і рішення задачі формальними методами;
• неформальний пошук оптимального рішення.
Для моделювання систем захисту інформації доцільно використати наступні теорії і методи, що дозволяють звести рішення задачі до формальних алгоритмів:
• теория нечітких великих кількостей;
• теория конфліктів;
• теория графів;
• формально-эвристические методи;
• эволюционное моделювання.
Методи теорії нечітких множин дозволяють отримувати аналітичні вирази для кількісних оцінок нечітких умов належності елементів до тієї або іншої множини. Теорія нечітких великих кількостей добре узгоджується з умовами моделювання систем захисту, оскільки багато початкових даних моделювання (наприклад, характеристики загроз і окремих механізмів захисту) не є строго визначеними. Теорія конфліктів є відносно новим напрямом дослідження складних людино-машинних систем. Конфлікт між зловмисником і системою захисту, що розгортається на тлі випадкових загроз, є класичним для застосування теорії конфлікту. Дві протиборчі сторони переслідують строго протилежні цілі. Конфлікт розвивається в умовах неоднозначності і слабкої передбачуваності процесів, здатності сторін оперативно змінювати цілі. Теорія конфліктів є розвитком теорії ігор. Теорія ігор дозволяє:
• структурувати завдання, представити її в осяжному виді,
знайти області кількісних оцінок, впорядкувань, переваг, виявити домінуючі стратегії, якщо вони існують;
• до кінця вирішити завдання, які описуються стохастичними моделями.
Теорія ігор дозволяє знайти рішення, оптимальне або раціональне в середньому. Вона виходить з принципу мінімізації середнього ризику. Такий підхід не цілком адекватно відбиває поведінку сторін в реальних конфліктах, кожен з яких являється унікальним. У теорії конфліктів зроблена спроба подолання цих недоліків теорії ігор. Теорія конфліктів дозволяє вирішувати ряд практичних завдань дослідження складних систем. Проте вона ще не отримала широкого поширення і відкрита для подальшого розвитку. З теорії графів для дослідження систем захисту інформації найбільшою мірою застосуємо апарат мереж Петрі. Управління умовами у вузлах мережі Петрі дозволяє моделювати процеси подолання захисту зловмисником. Апарат мереж Петрі дозволяє формалізувати процес дослідження ефективності СЗІ.
До формально-евристичних методів віднесені методи пошуку оптимальних рішень не на основі строгих математичних, логічних співвідношень, а грунтуючись на досвіді людини формування стосунків. Людина проводить уявний експеримент із структурованою моделлю і породжує обмежену ділянку лабіринту, в якому вже нескладно знайти рішення. Еволюційне моделювання є різновидом імітаційного моделювання. Особливість його полягає в тому, що в процесі моделювання удосконалюється алгоритм моделювання. Суть неформальних методів безпосереднього пошуку оптимальних рішень полягає в тому, що людина бере участь не тільки у побудові моделі, але і в процесі її реалізації. формування стосунків. Людина проводить уявний експеримент із структурованою моделлю і породжує обмежену ділянку лабіринту, в якому вже нескладно знайти рішення. Еволюційне моделювання є різновидом імітаційного моделювання. Особливість його полягає в тому, що в процесі моделювання удосконалюється алгоритм моделювання. Суть неформальних методів безпосереднього пошуку оптимальних рішень полягає в тому, що людина бере участь не
тільки у побудові моделі, але і в процесі її реалізації.
Створення організаційної структури КСЗІ. Однією з основних складових КСЗІ є організаційна структура, яка створюється для виконання організаційних заходів захисту, експлуатації технічних, програмних і криптографічних засобів захисту, а також для контролю за виконанням встановлених правил експлуатації КС обслуговуючим персоналом і користувачами. Такі структури входять до складу служби безпеки відомств, корпорацій, фірм, організацій. Вони можуть мати різний кількісний склад і внутрішню структуру. Це може бути відділ, група або окремий посадовець. Безпосередньою експлуатацією засобів захисту і виконанням організаційних заходів займаються органи захисту інформації, розміщувані на об'єктах КС. Їх називають об'єктовими органами захисту інформації чи органами забезпечення безпеки інформації(ОБІ). Якщо об'єкти КС розташовуються на одній території з іншими об'єктами відомства, корпорації, фірми, то частина функцій, таких як охорона, розвідувальна і контррозвідувальна і деякі інші виконуються відповідними відділами служби безпеці. Підрозділ (посадовець) ОБІ може входити організаційно і до складу обчислювальних центрів або відділів автоматизації. При цьому служби безпеки зберігають за собою функції контролю і методичного забезпечення функціонування КСЗІ. Кількісний склад і його структура органу ОБІ визначається після завершення розробки КСЗІ. При створенні органу ОБІ використовуються дані, отримані
в результаті розробки КСЗІ:
• офіційний статус КС і інформації, що обробляється в системі;
• перелік організаційних заходів захисту і їх характеристики;
• ступінь автоматизації КСЗИ;
• особливості технічної структури і режими функціонування КС.
Органи ОБІ створюються відповідно до законодавства, що регулює взаємовідносини громадян і юридичних облич у сфері інформаційних технологій. Залежно від власника, конфіденційності і важливості оброблюваній в КС інформації визначається юридичний статус самої КС і органу ОБІ. Відповідно до статусу органу ОБІ визначаються його юридичні права і обов'язки, визначається порядок взаємодії з державними органами, що здійснюють забезпечення безпеки інформації в державі. В результаті розробки КСЗІ визначається перелік організаційних заходів захисту інформації, які є діями, що виконуються співробітниками служб безпеки, органів ОБІ, обслуговуючим персоналом і користувачами, в інтересах забезпечення безпеки інформації. Всі організаційні заходи захисту можна розділити на два класи:
1) захисні заходи, безпосередньо спрямовані на забезпечення безпеки інформації;
2) експлуатаційні заходи, пов'язані з організацією експлуатації складних систем.
Переважна більшість захисних, організаційних заходів пов'язана з обслуговуванням технічних, програмних і криптографічних засобів захисту. Прикладами таких заходів є: використання паролів і матеріальних ідентифікаторів, контроль доступу до інформаційних ресурсів шляхом виконання певних дій при отриманні сигналу про порушення правил розмежування доступу і аналізу журналу контролю, дублювання і відновлення інформації та ін. Деякі функції системи захисту можуть бути реалізовані тільки за рахунок організаційних заходів, наприклад, доступ в приміщення з інформаційними ресурсами може здійснювати контролер. Захист від пожежі реалізується шляхом виклику пожежним команди, евакуації інформаційних ресурсів, використання засобів гасіння пожежі. Часто організаційні заходи доповнюють технічні, програмні і криптографічні засоби, утворюючи ще один рівень захисту. Так дзеркальне дублювання, яке виконується без втручання людини, може бути доповнене періодичним дублюванням інформації на знімні магнітні носії. Автоматизований контроль розкриття дверей, корпусів, кришок і інших елементів захисту внутрішнього монтажу пристроїв від несанкціонованої модифікації може бути доповнений опечатанням цих елементів(використанням спеціальних захисних знаків) і контролем цілісності друку(захисних знаків) посадовцями. Під експлуатаційними організаційними заходами розуміється комплекс заходів, пов'язаних з необхідністю технічної експлуатації системи захисту інформації, як підсистеми складної людино-машинної системи. Маючи повний перелік організаційних заходів захисту і знаючи їх характеристики, можна визначити в загальних рисах організаційно-штатну структуру підрозділу ОБІ. Організаційно-штатна структура підрозділу ОБІ уточнюється в процесі аналізу міри автоматизації системи захисту, а також режимів функціонування КС. При цьому вирішується питання а
розподілі обов'язків по експлуатації засобів СЗІ між обслуговуючим персоналом і посадовцями підрозділу ОБІ. Так робоча станція чергового оператора СЗІ може обслуговуватися фахівцями підрозділу технічного обслуговування, оскільки таке робоче місце по технічній структурі, як правило, не відрізняється від робочих місць інших користувачів. В той же час облаштування криптозахисту з урахуванням особливостей конструкції і підвищених вимог по обмеженню доступу до них, як правило, обслуговуються фахівцями підрозділу ОБІ. Особливості технічної структури КСЗІ і КС, а також режими їх функціонування впливають на кількість робочих місць операторів КСЗІ і режим роботи операторів. При високій мірі автоматизації виконання функцій захисту число операторів може бути мінімальним. При цілодобовому режимі роботи число операторів КСЗІ відповідно збільшується. У невеликих організаціях, що використовують захищені КС, функції забезпечення захисту інформації і технічної експлуатації можуть виконуватися одним посадовцем, наприклад, адміністратором ЛВС. В процесі створення підрозділів ОБИ виконуються наступний комплекс заходів:
1) визначаються організаційно-штатна структура, права і обов'язки посадовців;
2) посадовці навчаються практичній роботі з КСЗИ;
3) розробляється необхідна документація;
4) обладналися робочі місця посадовців;
5) визначається система управління КСЗИ.
Організаційно-штатна структура визначає перелік посад, підлеглість підрозділу і посадовців підрозділи. Кожному посадовцю визначаються його права і обов'язки відповідно до займаної посади.
Ефективність функціонування КСЗІ багато в чому визначається рівнем керівництва усім процесом ОБІ. Орган управління КСЗІ готує пропозиції керівництву організації при формуванні і коригуванні політики безпеки, визначає права і обов'язки посадовців, планує і забезпечує виконання технічного обслуговування, здійснює методичне керівництво підпорядкованими структурами, організовує контроль і аналіз ефективності КСЗІ, здійснює підбір, розставляння і навчання фахівців. При відборі фахівців для роботи в підрозділі ОБІ, окрім ділових якостей, необхідно враховувати і моральнопсихологические дані кандидатів. Кожен фахівець повинен придбати знання і навички в експлуатації механізмів захисту. Фахівці підрозділів обслуговування і користувачі мають бути навчені роботі в захищених КС. Перед отриманням допуску усі обов'язково проходять тестування. В процесі створення організаційної структури КСЗІ використовуються наступні документи: закони, постанови Уряду, та ін.. Гости, відомчі директиви, інструкції і і методичні матеріали. Крім того, використовується документація, отримана зі встановленими засобами захисту. В процесі експлуатації КСЗІ документи розробляються і ведуться силами підрозділів ОБІ. Робочі місця посадовців підрозділу ОБІ обладналися засобами, отриманими від розробників. Це пульти управління, монітори, засоби дистанційного контролю і т. п. Крім того, на робочих місцях мають бути засоби зв'язку, інструкції, експлуатаційна документація, а також засоби пожежогасінні.
12.5. Контрольні питання
1. Назвіть основні принципи побудови захищених КС.
2. Дайте коротку характеристику етапів створення КСЗІ.
3. У чому полягає суть спеціальних методів неформального моделювання?
4. Поясніть суть методів декомпозиції і макромоделювання.
5. Виконайте порівняльний аналіз підходів до оцінки ефективності КСЗІ.
|
|
|
