- •Введение
- •Современная постановка задачи защиты информации
- •Угрозы информации
- •Классы каналов несанкционированного получения информации:
- •Причины нарушения целостности информации
- •Методы и модели оценки уязвимости информации
- •Эмпирический подход к оценке уязвимости информации.
- •Система с полным перекрытием
- •Рекомендации по использованию моделей оценки уязвимости информации
- •Методы определения требований к защите информации
- •Анализ существующих методик определения требований к защите информации
- •Стандарт сша "Критерии оценки гарантировано защищенных вычислительных систем в интересах министерства обороны сша"
- •Руководящий документ Гостехкомиссии России "Классификация автоматизированных систем и требований по защите информации"
- •Классы защищенности средств вычислительной техники от несанкционированного доступа
- •Факторы, влияющие на требуемый уровень защиты информации
- •Функции и задачи защиты информации
- •Общие положения
- •Методы формирования функций защиты.
- •Классы задач защиты информации
- •Функции защиты
- •Состояния и функции системы защиты информации.
- •Стратегии защиты информации
- •Способы и средства защиты информации
- •Архитектура систем защиты информации
- •Требования к архитектуре сзи
- •Построение сзи
- •Ядро средства защиты информации
- •Ресурсы средства защиты информации
- •Организационное построение
- •Индивидуальные задания
- •Первое задание
- •Второе задание
- •Наименование объекта защиты информации:
Ресурсы средства защиты информации
Ресурсы информационно-вычислительной системы, необходимые для создания и поддержания функционирования СЗИ, как и любой другой автоматизированной системы, объединяются в техническое, математическое, программное, информационное и лингвистическое обеспечение.
техническое обеспечение — совокупность технических средств, необходимых для технической поддержки решения всех тех задач защиты информации, решение которых может потребоваться в процессе функционирования СЗИ;
математическое обеспечение — совокупность математических методов, моделей и алгоритмов, необходимых для оценки уровня защищенности информации и решения других задач защиты;
программное обеспечение — совокупность программ, реализующих программные средства защиты, а также программ, необходимых для решения задач управления механизмами защиты. К ним должны быть отнесены также сервисные и вспомогательные программы СЗИ;
информационное обеспечение — совокупность систем классификации и кодирования данных о защите информации, массивы дынных СЗИ, в также входные и выходные документы СЗИ;
лингвистическое обеспечение — совокупность языковых средств, необходимых для обеспечения взаимодействия компонентов СЗИ между собой, с компонентами объекта обработки информации и с внешней средой.
Организационное построение
Организационное построение СЗИ в самом общем случае может быть представлено совокупностью следующих рубежей защиты:
территории, занимаемой объекта обработки информации;
зданий, расположенных на территории;
помещений внутри здания, в которых расположены ресурсы объекта обработки информации и защищаемая информация;
ресурсов, используемых для обработки и хранения информации и самой защищаемой информации:
линий связи, проходящих в пределах одного и того же здания;
линий (каналов) связи, проходящих между различными здания, расположенными на одной и той же охраняемой территории;
линий (каналов) связи, соединяющих с другими объектами вне охраняемой территории.
Рисунок 8
Таким образом, можно провести организационное построение системы защиты информации с помощью приведенной на рис. 8 семирубежной модели защиты информации. В наиболее общем случае необходимо в зависимости от выбранной стратегии защиты сформулировать требования к ядру средства защиты информации и ресурсам средства защиты информации, а также использовать критерии построения средства защиты информации, изложенные в данной главе.
Необходимо отметить, что построение средств защиты информации должно проводиться в соответствии нормативно-правовой документацией, принятой в Российской Федерации. Большинство видов деятельности в сфере защиты информации необходимы лицензии. Так, для работы с государственной тайной требуется лицензия Федеральной службы безопасности, для работы с криптографическими средствами — лицензии Федерального агентства правительственной связи и информации, технические средства должны быть аттестованы Государственной технической комиссией и др.
Индивидуальные задания
Индивидуальные задания состоят из двух частей, взаимосвязанных друг с другом по объекту защиты информации. Объект необходимо исследовать таким образом, чтобы можно было применить все основные элементы защиты информации, т.е. определяя местоположение, внешние и внутренние характеристики с учетом естественных событий. Однако уточнение характеристик не должно приводить к абсолютной конкретизации объекта, т.к. в этом случае будет затруднен анализ объекта.