Организация комплексной системы защиты информации - [43]
— определяются оценочные затраты, необходимые для реализации СЗИ, равные сумме затрат на реализацию мер защиты, вошедших в оптимальный план СЗИ.
Блок оценки качества мер защиты содержит методику оценки качества мер защиты. Возможны следующие методы оценки параметров q>ij:
— расчетные;
— на основе статистических данных;
— метод экспертных оценок.
Все затраты на реализацию системы защиты информации по своей структуре состоят из суммы капитальных вложений и текущих расходов.
Капитальные вложения представляют затраты на разработку мер защиты СЗИ в целом, разработку и отладку аппаратуры, предназначенной для защиты информации, на конструктивную доработку комплекса технически средств в целях обеспечения их специальных свойств, на создание экранирующих сооружений, на создание систем заземления, на приобретение аппаратуры, монтаж и отладку охранной и противопожарной сигнализации.
Текущие расходы представляют затраты на заработную плату персонала, обслуживающего СЗИ, накладные расходы, затраты на энергоснабжение и т. д.
Критерием оптимизации плана СЗИ может быть минимизация затрат на реализацию СЗИ в АСОД при условии обеспечения заданных уровней защищенности информации от несанкционированных действий со стороны всех вероятных стратегий нападения, т. е.
где C>i — затраты на реализацию i-й стратегии,
d>ij = 1, если i-я мера зашиты входит в j-й набор мер;
d>ij = 0, если i-я мера защиты не входит в j-й набор мер.
U= log P — уровень защищенности информации в АСОД;
где q>j — вероятность применения стратегии; S — число возможных подсистем стратегий нападения; m>k — число возможных стратегий нападения в составе k-й подсистемы нападения; n>k — число мер защиты, направленных на противодействие k-й подсистеме стратегий нападения.
В качестве системы защиты принимается такой набор мер защиты R>i для которого С>i = min{C>j}.
Визуализация оптимизированной матрицы может быть представлена в виде:
В качестве информационной базы структурно-функциональной схемы САПРа защиты информации используется проблемно-ориентированный банк данных, в который входят:
— файл исходных данных;
— файл стандартных средств защиты;
— файл штатных средств защиты;
— каталог стратегий нападения Y;
— каталог мер защиты X;
— нормы эффективности защиты.
Рис. 29. Модель системы автоматизированного проектирования защиты информации
Каталог потенциальных стратегий нападения, направленных на несанкционированные действия, является результатом специального инженерного анализа.
Каталог мер защиты — перечень мер, обеспечивающих защиту от стратегий нападения.
Каталог норм эффективности защиты. Нормой эффективности защиты информации в АСОД от утечки информации при воздействии конкретной стратегии нападения называется допустимая вероятность Р несанкционированного доступа к информации при реализации данной стратегии нападения в условиях противодействия со стороны защиты. Однако для целого ряда прикладных задач по защите информации нормы отсутствуют. В таких случаях в качестве ориентиров используются требования заказчика, согласованные с разработчиком системы.
В общем виде система автоматизированного проектирования представлена на рис. 29.
8. КАДРОВОЕ ОБЕСПЕЧЕНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
Большинство систем не может функционировать без участия человека, что является верным и для комплексных систем ЗИ. Группа обеспечения таких систем, с одной стороны, ее необходимый элемент, с другой — он же может быть причиной и движущей силой нарушения и преступления. Сотрудник предприятия является определяющей фигурой в обеспечении сохранности сведений. Он может выступать в качестве создателя интеллектуальной собственности предприятия (совершенствуя технологию, создавая какие-либо товары и др.). При этом значительная часть ценнейшей для предприятия информации не отражается в технической документации, а остается в голове. И в дальнейшем, накопив опыт, многие из них потенциально готовы в будущем реализовать свой идей на практике. Кроме того, если сотрудник привлекается к закрытым работам, руководитель предприятия вынужден предоставить ему наиболее ценную информацию, полученную другим работником.
Проведя анализ статистических данных по отечественным и зарубежным источникам, можно сделать вывод, что около 70 % (а по некоторым источникам эта цифра еще выше) всех нарушений, связанных с безопасностью информации, совершаются именно сотрудниками предприятия. Можно выделить 5 причин этого факта:
1) при нарушениях, вызванных безответственностью, сотрудник целенаправленно или случайно производит какие-либо действия по компрометации информации, связанные со злым умыслом;
2) бывает, что сотрудник предприятия ради самоутверждения (для себя или коллег) затевает своего рода игру «пользователь — против системы». И хотя намерения могут быть безвредными, будет нарушена сама практика безопасности. Такой вид нарушений называется зондированием системы;
3) нарушение может быть вызвано и корыстным интересом. В этом случае сотрудник будет пытаться целенаправленно преодолеть систему защиты для доступа к хранимой, перерабатываемой и обрабатываемой на предприятии информации;