4.4.1.Разработка структуры и наполнение информационного обеспечения сапр ксзи

Информационное обеспечение является одним из важных элементов САПР КСЗИ. Основной формой реализации компонентов информационного обеспечения САПР КСЗИ в соответствии с ГОСТ 23501.101 87 являются базы данных (БД) в распределенной или централизованной форме, организация данных в которых обеспечивает их оптимальное применение[29].

Основу информационного обеспечения составляют данные, которые используются в процессе проектирования непосредственно для выработки конкретных решений защиты. Эти данные представлены в виде:

- нормативно-правовой базы в области защиты информации;

- справочной информации;

- базы оценок показателей защищенности;

- базы угроз и уязвимостей;

- базы типовых форм документации;

- базы организационных, технических, программных средств защиты информации;

- промежуточных проектных решений;

- окончательных проектных решений.

Структурно БД САПР КСЗИ включают термины и символы, классификаторы, условные обозначения и способы представления данных.

Данная совокупность является унифицированной и удовлетворяет принципу информационного единства, обеспечивает соблюдение единого вида представления данных, принятого в САПР систем защиты информации.

Одними из главных критериев при выборе СУБД была простота, надежность, отсутствие для работы СУБД дополнительного программного обеспечение, а также отсутствие установки серверных компонентов, необходимых для функционирования системы, так как для конечного пользователя важно использовать продукт, функциональность которого не будет зависеть от дополнительного ПО, установленного на автоматизированных рабочих местах.

Ввиду этого наиболее подходящей под заявленные критерии для разработки информационного обеспечения САПР КСЗИ является Microsoft Access, так как ее простота и надежность уже зарекомендовали себя на рынке систем управления базами данных. К тому же данная СУБД удобно компилируется с языками программирования и не будет терять свой функционал при осуществлении запросов, даже при отсутствии установленного на АРМ пакета Microsoft Access.

При проектировании комплексных систем защиты информации с помощью специализированной САПР используется большое число информационных массивов. В состав информационного обеспечения САПР КСЗИ (рис. 32) входит ряд БД, содержащих информацию, используемую на всех этапах работы САПР.

Рис. 32. Структура информационного обеспечения САПР КСЗИ

Рассмотрим для примера структуру и содержание БД блока аудита информационной безопасности. БД требований СТР – К/РД содержат информацию, необходимую для оценки соответствия систем защиты информации обследуемого объекта. Данная БД включает:

1.Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) - документ, устанавливающий порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации на территории Российской Федерации, являющийся основным руководящим документом в этой области для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан Российской Федерации, взявшим на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации [1].

Информация в данной БД представлена в виде анкет табличного вида. Анкеты, определяющие соответствие требования СТР-К обследуемого объекта в рассматриваемой БД, представлены по следующим направлениям:

• защита информации при проведении звукозаписи;

• защита информации, циркулирующей в системах звукоусиления и

звукового сопровождения кинофильмов;

• определение соответствия основным требованиям и рекомендациям

по защите информации, циркулирующей в защищаемых помещениях;

• защита речевой информации при её передаче по каналам связи,

основные требования и рекомендации по защите служебной тайны и персональных данных;

• основные рекомендации по защите информации, составляющей

коммерческую тайну и порядок обеспечения защиты конфиденциальной информации при эксплуатации АС и защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ;

• защита информации при использовании съемных накопителей

информации большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ;

• защита информации в локальных вычислительных сетях, при межсетевом взаимодействии.

Рис. 33. Фрагмент анкеты-опросника на соответствие требованиям СТР-К

2. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. На основе данного руководящего документа разработаны опросные анкеты табличного вида (рис.33), содержащиеся в БД, которые позволяют оценить соответствие автоматизированных систем установленным требованиям, предъявляемым к показателям защищенности 1-6 классов [1].

Рис. 34. Фрагмент анкеты – опросника, составленной на основе

руководящего документа в области защиты информации

3. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Данный документ устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов [1].

БД угроз и уязвимостей используется при формировании модели угроз и оценки уязвимостей. Информация в данной БД представлена в виде анкет табличного вида и отражает все этапы формирования модели угроз:

1.Описание информационной системы, в которой обрабатывается конфиденциальная информация (цели, способы, средства обработки информации).

2. Описание пользователей, работающих с конфиденциальной информацией.

4. Определение уровня исходной защищенности информации.

5. Определение вероятности реализации угроз.

БД типовых форм организационно - распорядительной документации (ОРД). Для обеспечения требуемого уровня защиты информации на объекте должен быть разработан и утвержден комплект организационно-распорядительной документации, регламентирующей защиту информации на объекте. В БД типовых форм ОРД представлены необходимые типовые формы организационно-распорядительной документации, регламентирующие защиту информации на объекте. ОРД в рассматриваемой БД делится на три группы (рис. 35):

1. Организационные документы.

2. Распорядительные документы.

3. Справочно-информационные документы (СИД).

Рис. 35. Структура БД типовых форм ОРД

БД блока проектирования КСЗИ включают три базы данных: БД технических средств защиты информации, БД программных средств защиты информации и БД аппаратных средств защиты информации.

БД технических средств защиты информации. В БД технических средств защиты информации представлены средства защиты информации от несанкционированного доступа (НСД) и защиты информации от утечки техническими каналами в структурированном виде:

1. Системы охранной и пожарной сигнализации.

2. Системы цифрового видеонаблюдения.

3. Системы контроля и управления доступом (СКУД).

4. Системы зашумления.

5. Системы экранирования помещений.

БД программных средств защиты информации. В БД программных средств защиты информации представлены средства защиты данных, функционирующие в составе программного обеспечения:

1. Cредства архивации данных.

2. Антивирусные программы.

3. Криптографические средства.

4. Средства идентификации и аутентификации пользователей.

5. Средства управления доступом.

6. Протоколирование и аудит.

7. Средства защиты баз данных.

8. Средства защиты информации при работе в компьютерных сетях.

БД аппаратных средств защиты информации. В БД аппаратных средств защиты информации представлены средства защиты информации и информационных систем, реализованных на аппаратном уровне. Обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации, обрабатываемой в автоматизированных системах:

1. Аппаратные межсетевые экраны.

2. Аппаратные средства контроля и управления доступом.

3. Аппаратные средства резервного хранения данных.

В состав блока оптимизации входит БД, содержащая критерии оптимизации, используемые при формировании целевой функции решения оптимизационной задачи. Информация в данной БД представлена в виде реляционной модели.