Информационная безопасность / Eremenko - Sistemy zashchity informatsii 2016
.pdfМИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«ОРЛОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИМЕНИ И.С. ТУРГЕНЕВА»
В.Т. Еременко, М.Ю. Рытов, О.М. Голембиовская, П.Н. Рязанцев
КОМПЛЕКСНЫЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ПРЕДПРИЯТИЯ
Орел 2016
УДК 004.056.5 (075) |
Печатается по решению редакционно-издательского сове- |
ББК 32.973.26 – 018.2 я7 |
та ФГБОУ ВО «Орловский государственный |
К63 |
университет имени И.С. Тургенева». |
|
Протокол № 10 от 27.05.2016 г. |
Рецензенты:
доктор технических наук, профессор кафедры «Информационные системы»
Федерального государственного бюджетного образовательного учреждения высшего образования «Орловский государственный университет имени И.С. Тургенева»
В.И. Раков,
кафедра «Системы информационной безопасности» Федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Брянский государственный технический университет»
К63 Комплексные системы защиты информации предприятия:
учебное пособие / В.Т. Еременко, М.Ю. Рытов, О.М. Голембиовская, П.Н. Рязанцев. – Орел: ФГБОУ ВО «Орловский государственный университет имени И.С. Тургенева», 2016. –
116 с.
В учебном пособии представлены следующие разделы: анализ и систематизация существующего информационного, методического и программного обеспечения автоматизации проектирования организационнотехнических систем; систематизация компонентов КСЗИ, разработка набора типовых вариантов КСЗИ применительно к объекту защиты; разработка методов математического описания и методик построения методов принятия решений при проектировании организационно-технических систем по защите информации; выработка концептуального подхода к автоматизации проектирования КСЗИ; возможности САПР для проектирования комплексной системы защиты информации на примере вуза.
Предназначено студентам очной формы обучения, обучающимся по направлению 090900 «Информационная безопасность», изучающим дисциплину «Комплексные системы защиты информации предприятия». Может быть использовано аспирантами и преподавателями технических вузов.
УДК 004.056.5 (075) ББК 32.973.26 – 018.2 я7
© ФГБОУ ВО «ОГУ имени И.С. Тургенева», 2016
2
СОДЕРЖАНИЕ |
|
Введение...................................................................................................... |
5 |
1. Анализ и систематизация существующего информационного, |
|
методического и программного обеспечения автоматизации |
|
проектирования организационно-технических систем.......................... |
7 |
1.1. Характеристика организационно-технических систем............... |
7 |
1.2. Характеристика видов обеспечения процесса |
|
автоматизированного проектирования организационных систем.. |
16 |
1.3. Исследование состава комплексных систем защиты |
|
информации как вида организационно-технических систем .......... |
18 |
1.4. Существующие подходы к автоматизации |
|
проектирования комплексных систем защиты информации........... |
25 |
2. Систематизация компонентов КСЗИ. Разработка набора |
|
типовых вариантов КСЗИ применительно к объекту защиты .......... |
33 |
2.1. Сущность комплексного подхода к разработке системы |
|
защиты информации............................................................................. |
33 |
2.2. Систематизация компонентов КСЗИ. Разработка набора |
|
типовых вариантов КСЗИ применительно к объекту защиты......... |
35 |
3. Разработка методов математического описания и методик |
|
построения методов принятия решений при проектировании |
|
организационно-технических систем по защите информации ........... |
42 |
3.1. Требования к математическому обеспечению |
|
САПР КСЗИ........................................................................................... |
42 |
3.2. Общий подход к математическому моделированию КСЗИ ..... |
43 |
3.3. Построение математической модели общей оценки угроз |
|
безопасности.......................................................................................... |
46 |
3.4. Построение математической модели оценки рисков |
|
реализации угроз безопасности........................................................... |
52 |
3.5. Варианты решения задачи выбора средств защиты |
|
информации в САПР КСЗИ................................................................. |
54 |
3.6. Анализ используемых методик выбора средств защиты |
|
информации в САПР КСЗИ................................................................. |
59 |
4. Выработка концептуального подхода к автоматизации |
|
проектирования КСЗИ............................................................................. |
67 |
4.1. Типовое вариантное проектирование КСЗИ .............................. |
67 |
4.2. Выбор способа представления инженерных знаний |
|
в системах параметрического проектирования................................. |
72 |
3
4.3. Формирование сетевой модели комплексной системы |
|
защиты информации на основе типизации её элементов................. |
78 |
4.4. Разработка структурно-функциональной модели |
|
САПР КСЗИ........................................................................................... |
83 |
5. Возможности САПР для проектирования комплексной |
|
системы защиты информации на примере вуза.................................... |
96 |
5.1. Анализ объекта защиты на примере высшего учебного |
|
заведения................................................................................................ |
96 |
5.2. Разработка проекта системы защиты конфиденциальной |
|
информации вуза ................................................................................ |
101 |
5.3. Анализ результатов работы САПР КСЗИ................................. |
111 |
Литература .............................................................................................. |
113 |
4
ВВЕДЕНИЕ
Сегодня одним из приоритетных направлений научно-техни- ческой политики является использование интеллектуальных систем, интегрированных CAD/CAM/CAE/PDM – систем в рамках применения CALS-технологий, относимых к критическим технологиям.
До последнего времени исследования в области автоматизации проектирования проводились преимущественно применительно к машиностроительным объектам и системам. Однако существует большое число организационно-технических систем, для которых также становится актуальной проблема автоматизации процесса их проектирования и принятия решений на различных этапах выполнения проектных работ.
Активное использование в современных процессах информатизации методов и средств обработки информации создало не только объективные предпосылки повышения эффективности всех видов деятельности личности, общества и государства, но и ряд проблем защиты информации, обеспечивающей требуемое ее качество. Сложность решения этой проблемы обусловлена необходимостью создания целостной системы комплексной защиты информации, базирующейся на её стройной организации и регулярном управлении.
На основании накопленного опыта в области автоматизированного проектирования в последние годы были выполнены работы по созданию САПР комплексных организационно-технических систем защиты информации.
Комплексная система защиты информации (КСЗИ) – это система, в которой действуют в совокупности правовые, организационные, технические, программно-аппаратные и другие подсистемы, методы, способы и средства, обеспечивающие защиту информации от всех потенциально возможных и выявленных угроз и каналов утечки. Составными элементами КСЗИ являются правовая, организационная, инженерно-техническая, программно-аппаратная и криптографическая защита информации. Элементы КСЗИ, в свою очередь, в общем виде состоят из средств, устройств и способов защиты информации,
атакже методов их использования.
Вучебном пособии рассмотрены вопросы, связанные с автоматизацией проектирования организационно-технических систем на примере комплексных систем защиты информации.
5
В первой главе выполнены анализ и систематизация существующего информационного, методического и программного обеспечения автоматизации проектирования организационно-технических систем. Во второй главе исследован необходимый состав комплексной системы защиты информации как вида организационно-технических систем. В третьей главе разработана концепция автоматизации проектирования организационно-технических систем на примере создания комплексных систем защиты информации. В четвёртой главе рассмотрены вопросы программной реализации САПР КСЗИ в виде законченного программного продукта. В пятой главе исследованы возможности САПР КСЗИ для проектирования комплексной системы защиты информации на примере вуза.
Выбор описанной структуры был сделан с целью максимальной ориентации преподавателей, аспирантов и студентов, а также специалистов по защите информации на практическое использование рассматриваемого материала при проектировании, а также при создании и модернизации комплексных систем защиты информации различных объектов.
6
1.АНАЛИЗ И СИСТЕМАТИЗАЦИЯ СУЩЕСТВУЮЩЕГО ИНФОРМАЦИОННОГО, МЕТОДИЧЕСКОГО
ИПРОГРАММНОГО ОБЕСПЕЧЕНИЯ АВТОМАТИЗАЦИИ ПРОЕКТИРОВАНИЯ ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКИХ СИСТЕМ
1.1. Характеристика организационно-технических систем
Понятие организационно-технических систем. Организацион-
но-техническими называют системы, образующиеся интеграцией технических, организационных, управленческих и методических систем друг с другом и с персоналом, использующим их. Персонал организован в подразделения, между которыми распределены функции и установлены отношения подчинения. Согласно выполняемым функциям, персонал делится на производственный (взаимодействует непосредственно с технологическим оборудованием), инженернотехнический (осуществляет подготовку основной технологической деятельности) и управленческий (принимает решения о наиболее рациональных путях осуществления основной технологической деятельности).
Решение сложных социально-экономических и технических проблем требует скоординированных усилий многих людей и значительных затрат ресурсов. Кроме того, нужны знания, без которых невозможно определить, какие средства и сколько необходимо выделить для решения проблемы. При наличии необходимых знаний и средств (ресурсов) разрабатывают комплекс мероприятий, реализация которых должна приводить к желаемому результату.
В условиях ограниченности знаний и средств на решение проблемы ее разбивают на части (если это возможно) и решают по частям или поэтапно, постепенно приближаясь к цели. Для реализации намеченных мероприятий могут быть подготовлены специальные постановления, приказы, договоры либо разрабатывается целевая комплексная программа. Если намеченный комплекс мероприятий невозможно реализовать с помощью указанных средств, для решения проблемы создается организационно-техническая система (ОТС).
Таким образом, организационно-технической системой называет-
ся такая система, структурными элементами которой являются люди и технические средства/устройства, осуществляющие преобразование
7
ресурсов этой системы. Как правило, организационно-технические системы – это сложные многоуровневые системы, состоящие из множества взаимодействующих элементов и подсистем. Характерной особенностью ОТС, отличающей ее от систем другого типа, например от технических систем, является то, что каждый элемент ОТС принимает решение по организации действий, т. е. является решающим элементом. Некоторые из них принимают решения по организации только своих действий. Это – исполнительные элементы. Элементы, принимающие решения по организации не только собственных, но и действий некоторых других элементов, объединенных или не объединенных в коллективы или организации, – это руководящие элементы системы [16].
Основным элементом любой ОТС являются люди, условно разбиваемые на организаторов и исполнителей. «Работа организаторов есть управление и контроль над исполнением; работа исполнителей – физическое воздействие на объекты труда» [1]. Множество испол-
нителей с их |
орудиями труда образуют объект управления (ОУ), |
а множество |
организаторов (управленцев) вместе с информацией, |
техникой, специалистами и обслуживающим персоналом – субъект управления (СУ).
Четкую границу между объектом и субъектом управления провести невозможно, поскольку исполнительская деятельность немыслима без управленческой, а последняя без исполнительской бессмысленна, однако для целей построения организационных систем (ОС) такое разделение полезно.
С понятием ОТС тесно связано понятие «деятельность», так как основная задача ОТС заключается в том, чтобы координировать и осуществлять деятельность людей, направленную на решение проблемы. В связи с этим деятельность можно определить как осознанное и направленное на решение проблемы поведение людей.
Каждая ОТС выполняет множество видов деятельности (основной или обеспечивающей). Для того чтобы скоординировать различные виды деятельности с целью удовлетворения некоторой общественной потребности (проблемы), как правило, требуется установить информационные и деловые связи с ОТС, осуществляющими эту деятельность [16].
Наряду с объектом и субъектом управления в ОТС могут включаться обеспечивающие подсистемы, выполняющие вспомогатель-
8
ную деятельность: снабжение, ремонт, информационное обслуживание, энергообеспечение и техническое обеспечение деятельности (рис. 1).
Техническое
обеспечение
Рис. 1. ОТС с обеспечивающими подсистемами
Каждая ОТС строится по иерархическому принципу. Наибольшее распространение получили линейная, функциональная, линейноштабная и программно-целевая (матричная) структуры [16].
Когда ОТС реализована по линейному принципу (рис. 2), каждый исполнитель (И) подчиняется только одному руководителю (Р) по всем вопросам своей деятельности.
Рис. 2. Линейная структура
Основной недостаток линейных структур – сильная зависимость результатов работы всей ОС от качества решений первого руководителя.
9
При функциональной структуре ОТС (рис. 3) каждый исполнитель подчиняется нескольким функциональным руководителям (ФР) одновременно, причем каждому – по строго определенным вопросам.
Рис. 3. Функциональная структура
При этой структуре руководящие указания более квалифицированны, но нарушается принцип единоначалия.
Система управления может быть построена таким образом, когда в каждом звене управления создается штаб (советы, отделы, лаборатории), в котором имеются специалисты по отдельным важным вопросам (рис. 4). Штабы (Ш) подготавливают квалифицированные решения, но утверждает и передает их на нижние уровни линейный руководитель.
Рис. 4. Линейно-штабная структура
Программно-целевая организация ОТС (рис. 5) объединяет в себе особенности всех рассмотренных выше.
10