Методология формирования задач

Ключевые понятия:

методологические основы ЗИ;

особенности проблемы ЗИ;

функции ЗИ, множество функций ЗИ, его состав, требование к множеству функций ЗИ;

задачи ЗИ, множество задач ЗИ, его состав, требование к множеству задач ЗИ.

Рис. 3. Методология формирования задач ЗИ.

Особенности проблемы ЗИ, многолетний опыт решения частных проблем ЗИ, отсутствие системных наработок в данной области привели к необходимости разработки методологического базиса, как самой проблемы, так и ее решения. Как было указано ранее, для этого приняты принципы системного концептуального подхода к проблеме комплексной ЗИ. Все это и привело к формированию методологических основ ЗИ.

Системообразующим компонентом, предназначенным для создания концепции в рамках системно-концептуального подхода, является определение и формирование множества функций защиты. Функции защиты – это совокупность мероприятий, регулируемых и определяемых в АС различными средствами и методами для создания, поддержания и обеспечения условий, необходимых для надежной ЗИ. Множество функций ЗИ должно состоять из двух подмножеств:

1) функции непосредственной ЗИ,

2) функции управления механизмами защиты.

Для того чтобы множество функций соответствовало своему назначению, оно должно удовлетворять требованию полноты. Это требование является абсолютным (при его нарушении принципы системно-концептуального подхода к ЗИ вообще не могут быть реализованы).

Множество перечисленных функций управления является универсальным и полным в том смысле, что создает объективные предпосылки для эффективного управления любыми системами в любых условиях их функционирования.

Обеспечение регулярного осуществления функций ЗИ достигается тем, что в АС регулярно решаются специальные задачи ЗИ. Задачи ЗИ – это организованные возможности средств, методов и мероприятий, осуществляемых в АС с целью полного или частичного осуществления одной или нескольких функций ЗИ в одной или нескольких зонах защиты. Основное концептуальное требование к задачам ЗИ – это надежное обеспечение заданного уровня осуществления каждой из полного множества функций ЗИ. Практическая реализация этой возможности может быть обеспечена лишь в том случае, если множество задач ЗИ будет репрезентативным.

Аналогично двум видам функций должны быть предусмотрены и два вида задач ЗИ:

1) создания и реализации механизмов защиты,

2) управления механизмами защиты.

По оценкам, множество задач ЗИ должно включать огромное количество (порядка 10 тыс.) групп задач. Размерность этого множества можно существенно уменьшить, проведя системную классификацию задач. Анализ показывает, что репрезентативное множество задач может состоять из некоторого количества классов задач. На основе системного и предметного анализа рациональных путей осуществления функций ЗИ сформировано 10 классов задач первого вида (решаемых с целью создания механизмов ЗИ) и 4 класса задач второго вида (решаемых с целью управления механизмами защиты):

Класс 1.1. — введение избыточности элементов системы.

Класс 1.2 — резервирование элементов системы.

Класс 1.3. — регулирование доступа к элементам системы.

Класс 1.4. — регулирование использования элементов.

Класс 1.5 — маскировка информации.

Класс 1.6 — контроль элементов системы.

Класс 1.7 — регистрация сведений.

Класс 1.8 — уничтожение информации.

Класс 1.9 — сигнализация.

Класс 1.10 — реагирование.

Класс 2.1 — планирование ЗИ.

Класс 2.2 — оперативно-диспетчерское управление ЗИ.

Класс 2.3 — календарно-плановое руководство ЗИ.

Класс 2.4 — обеспечение повседневной деятельности всех подразделений и отдельных должностных лиц, имеющих непосредственное отношение к ЗИ.

2. ИНТЕГРАЦИЯ СРЕДСТВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В ТЕХНОЛОГИЧЕСКУЮ СРЕДУ.

Ключевые понятия:

способы воздействия на ДФ;

СрЗИ: формальные, неформальные, технические, программные, организационные.

Рис. 4. Интеграция средств информационной безопасности в технологическую среду.

Для решения любой задачи в АС должны быть предусмотрены средства. Множество и разнообразие возможных СрЗИ определяется возможными способами воздействия на ДФ или на причины, их порождающие. Им в свою очередь соответствуют способы обеспечения БИ, которые реализуются в АС применением различных средств, причем различают формальные и неформальные средства (Рис. 4).

Остановимся на технических, программных и организационных средствах, которые являются основным инструментом органов ЗИ.

ТехническиеСрЗИ – это средства, в которых основная защитная функция реализуется некоторым техническим устройством (комплексом, системой):

· по сопряженности с основными средствами АС: автономные, сопряженные и встроенные;

· по выполняемой функции ЗИ: ТС внешней защиты, ТС опознавания и ТС внутренней защиты;

· по степени сложности устройства: простые устройства, сложные устройства и системы;

В приведенной классификационной структуре определяющей является классификация по критерию выполняемой функции.

Программные СрЗИ – это специальные программы, включенные в состав ПО АС для решения в них (самостоятельно или в комплексе с другими средствами) задач ЗИ:

· по расположению в АС:

— АРМ службы защиты;

— специальные пункты;

— пункт пользователя;

— система управления базами данных;

— операционная система;

· по уровню инициирования:

— физические;

— логические;

· по обеспечиваемому классу задач ЗИ:

— введение избыточности;

— резервирование;

— регулирование доступа;

— регулирование использования;

— маскировка;

— контроль;

— регистрация;

— уничтожение;

— сигнализация;

— реагирование.

В классификационной структуре программных средств определяющей является классификация по функциональному признаку, т.е. по классу задач ЗИ, для решения которых предназначаются программы.

Организационные СрЗИ – это организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе проектирования, создания и эксплуатации АС с целью ЗИ. Важнейшей отличительной особенностью рассматриваемых средств является, их неформальность, т.е. способность учитывать случайные факторы.

Системная классификация организационных СрЗИ приведена на основе следующих критериев:

· этапы жизненного цикла СЗИ:

— проектирование;

— внедрение;

— эксплуатация;

· функции организационных средств:

— непосредственная ЗИ;

— поддержка других средств;

— объединение всех средств в систему.

· сфера действия организационных средств:

— на людей;

— на технологию функционирования;

— на структуру АС;

— общего назначения.

Для формирования возможно более полного набора возможных СрЗИ необходим системный анализ возможностей решения различных задач ЗИ средствами различных классов.

ЭТАПЫ И ОСОБЕННОСТИ ПРОЕКТИРОВАНИЯ КСИБ
НА СОВРЕМЕННОМ УРОВНЕ И ТРЕБОВАНИЯ К НИМ

Ключевые понятия:

комплексная СЗИ, требования к ней;

принципы построения комплексной СЗИ;

проектирование СЗИ;

варианты СЗИ, ТПР;

подходы к проектированию СЗИ.

Рис. 5. Этапы и особенности проектирования КСИБ.