Назад в библиотеку
Автор - Домарев В.В.
"Системный подход к созданию СЗИ"
Домарев В.В. "Системный подход к
созданию СЗИ"
Опубликовано: domarev
, On: Nov-03-2004
Безопасность информационных
технологий. Системный подход.
Главы из книги Домарева
В.В. "Безопасность информационных технологий.
Системный подход" - К.:ООО ТИД «Диасофт», 2004.-992
с.
Об авторе
Домарев Валерий Валентинович
Получив
высшее образование инженера по радиоэлектронике, длительное
время занимался разработкой и эксплуатацией автоматизированных
систем управления военного назначения.
В структуре
Министерства Обороны Украины, а затем в Государственном
комитете Украины по вопросам государственных секретов и
технической защиты информации, занимался вопросами внедрением
современных информационных технологий, а так же поиском путей
обеспечения безопасности информации при создании и
эксплуатации компьютерных систем.
В течение последних 10
лет работал над решением вопросов защиты информации в
государственных информационно-управляющих системах различного
назначения. Осуществлял руководство рядом
научно-исследовательских работ по проблемам обеспечения
безопасности современных информационных
технологий.
Связаться с автором можно
по E-mail: domarev@protinfo.kiev.ua
через http://www.security.ukrnet.net/
или http://www.domarev.kiev.ua/
О
книге
В книге рассматриваются актуальные вопросы
создания систем защиты информации в условиях полной открытости
современных информационных технологий.
Возможно, читатель
не откроет для себя ничего принципиально нового, полистав эту
книгу, однако системный подход в изложении материала позволит
по-новому, с разных сторон взглянуть на проблемы обеспечения
безопасности современных информационных технологий.
На
страницах книги в популярной форме изложены причины нарушения
безопасности компьютерных систем, приведено описание
математических моделей систем защиты информации, а также
рассмотрены методы и средства внедрения механизмов защиты в
существующие информационные системы с возможностью гибкого
управления безопасностью в зависимости от выдвигаемых
требований, допустимого риска и оптимального расхода
ресурсов.
Автор старается осветить ряд вопросов, связанных
с обеспечением безопасности информационных технологий, а также
стремится сформировать целостное представление о путях
создания систем защиты информации.
Разумеется, данная
публикация не претендует на окончательное разрешение всех
проблем информационной безопасности, но, как надеется автор,
преложенный материал прояснит ряд вопросов из этой области
знаний и позволит решить многие практические
задачи.
Задача, поставленная автором, состоит не в описании
новых сведений о вопросах обеспечения безопасности
информационных технологий, а в их систематизации. Необходимо
что бы каждый кирпич приобретенных знаний укладывался в
стройную архитектуру строящегося здания без лишних затрат и
последующих переделок.
В данном случае не стоит вникать в
тонкости функционирования тех или иных конкретных механизмов
защиты информации. Постарайтесь выяснить как они
взаимодействуют друг с другом! Задумайтесь над тем какая роль
отведена каждому из них в общей структуре СЗИ. И если при этом
Вам пригодится подход к решению указанной проблемы, изложенный
в этой книге, то можно считать, что силы и время, потраченные
автором, не пропали зря.
Вместо введения (Read
me)…
Хочется напомнить золотое правило: если после
долгих попыток ничего не получается, ознакомьтесь, наконец, с
инструкцией для пользователя! Прежде чем приступить к чтению
этой книги, желательно разобраться с некоторыми особенностями
похода к рассмотрению вопросов информационной безопасности,
предложенного автором.
Системный подход
Понятие
системности заключается не просто в создании соответствующих
механизмов защиты, а представляет собой регулярный процесс,
осуществляемый на всех этапах жизненного цикла ИС. При этом
все средства, методы и мероприятия, используемые для защиты
информации объединяются в единый целостный механизм - систему
защиты.
К сожалению, необходимость системного подхода к
вопросам обеспечения безопасности информационных технологий
пока еще не находит должного понимания у пользователей
современных ИС.
Сегодня специалисты из самых разных
областей знаний, так или иначе, вынуждены заниматься вопросами
обеспечения информационной безопасности. Это обусловлено тем,
что в ближайшие лет сто нам придется жить в обществе (среде)
информационных технологий, куда перекочуют все социальные
проблемы человечества, в том числе и вопросы
безопасности…
Каждый из указанных специалистов по-своему
решает задачу обеспечения информационной безопасности и
применяет свои способы и методы для достижения заданных целей.
Самое интересное, что при этом каждый из них в своем
конкретном случае находит свои совершенно правильные решения.
Однако, как показывает практика, совокупность таких правильных
решений не дает в сумме положительного результата – система
безопасности в общем и целом работает не эффективно.
Если
собрать всех специалистов вместе, то при наличии у каждого из
них огромного опыта и знаний, создать СИСТЕМУ информационной
безопасности зачастую так и не удается. Разговаривая об одних
и тех же вещах, специалисты зачастую не понимают друг друга
поскольку у каждого из них свой подход, своя модель
представления системы защиты информации. Такое положение дел
обусловлено отсутствием системного подхода, который определил
бы взаимные связи (отношения) между существующими понятиями,
определениями, принципами, способами и механизмами
защиты…
Постановка задачи.
Одиннадцать отдельно
взятых футболистов (даже очень хороших) не составляют команду
до тех пор, пока на основе заданных целей не будет отработано
взаимодействие каждого с каждым. Аналогично СЗИ лишь тогда
станет СИСТЕМОЙ, когда будут установлены логические связи
между всеми ее составляющими.
Как же организовать такое
взаимодействие? В футболе команды проводят регулярные
тренировки, определяя роль, место и задачи каждого игрока.
Качество или эффективность команд оценивается по игре в
матчах, результаты которых заносятся в турнирную таблицу.
Таким образом, после проведения всех встреч команд (каждой с
каждой), можно сделать вывод об уровне состояния мастерства
как команды в целом, так и отдельных ее игроков. Побеждает
тот, у кого наиболее четко организовано
взаимодействие…
Выражаясь терминами современного бизнеса,
для решения вопросов взаимодействия нужно перейти от «чисто»
технического на «конкретно» логический уровень представления
процессов создания и функционирования СИСТЕМ защиты
информации. Хотелось бы, чтобы все специалисты, считающие себя
профессионалами в информационных технологиях, поднялись чуть
выше “багов” и “кряков” и уже сейчас задумались над тем как их
знания и опыт будут логически увязаны со знаниями и опытом
других специалистов.
В «строгой научной постановке» задача
автора состоит в предоставлении пользователям вспомогательного
инструмента «елки» - (модели СЗИ), а задача читателя
(пользователя) – украсить эту «елку» новогодними игрушками -
(своими знаниями и решениями). Даже если «игрушек» пока еще
нет, наличие «елки» поможет выбрать и приобрести нужные
«украшения».
Конечный результат работы (степень красоты
елки) зависит от ваших желаний, способностей и возможностей. У
кого-то получится хорошо, у кого-то – не совсем… Но это
естественный процесс развития, приобретения знаний и
опыта.
Кстати, оценить красоту елки (эффективность системы
защиты) весьма проблематично, поскольку у каждого из нас свои
требования и вкусы, о которых, как известно, не спорят,
особенно с руководством.
Таким образом, многообразие
вариантов построения информационных систем порождает
необходимость создания различных систем защиты, учитывающих
индивидуальные особенности каждой из них. В то же время,
большой объем имеющихся публикаций вряд ли может сформировать
четкое представление о том как же приступить к созданию
системы защиты информации для конкретной информационной
системы, с учетом присущих ей особенностей и условий
функционирования. Как сказал классик юмора: «…многообразие
ваших вопросов порождает многообразие наших
ответов…»
Возникает вопрос: можно ли сформировать такой
подход к созданию систем защиты информации, который объединил
бы в нечто единое целое усилия, знания и опыт различных
специалистов? При этом желательно что бы указанный подход был
универсальным, простым, понятным и позволял бы в одинаковой
степени удовлетворить любые вкусы (требования) гурманов
информационной безопасности?
Для тех, кто решил читать
дальше…
Как известно, для того, чтобы решить проблему
надо быть выше нее и немного в стороне. Итак, попробуем
взглянуть на проблему сверху и охватить все ее аспекты.
Давайте немного помечтаем. Направим свой мысленный
взор не в глубины знаний, а к их вершинам. Попробуем взглянуть
на проблему не с низу, а сверху, и тогда станет понятным
многое из того что сегодня делается у основания пирамиды
информационной безопасности…
Наша задача состоит не в
изучении новых сведений о вопросах обеспечения безопасности
информационных технологий, а в их систематизации. Необходимо
что бы каждый кирпич приобретаемых знаний укладывался в
стройную архитектуру строящегося здания (модели СЗИ) без
лишних усилий и последующих переделок.
Но как сложить в
стройную систему разрозненные знания и частные решения? Для
этого на начальном этапе не стоит вникать в тонкости
функционирования тех или иных конкретных механизмов защиты
информации, гораздо важнее выяснить как они взаимодействуют
друг с другом, какая роль отведена каждому из них в общей
структуре СЗИ.
Модель представления системы
информационной безопасности.
Практическая задача
обеспечения информационной безопасности состоит в разработке
модели представления системы (процессов) ИБ, которая на основе
научно-методического аппарата, позволяла бы решать задачи
создания, использования и оценки эффективности СЗИ для
проектируемых и существующих уникальных ИС. Что понимается под
моделью ИБ? Насколько реально создать такую модель?
В
упрощенном виде модель СЗИ представлена на Рис.1.
Основной задачей модели является научное
обеспечение процесса создания системы информационной
безопасности за счет правильной оценки эффективности
принимаемых решений и выбора рационального варианта
технической реализации системы защиты
информации.
Специфическими особенностями решения задачи
создания систем защиты являются:
· неполнота и
неопределенность исходной информации о составе ИС и
характерных угрозах;
· многокритериальность задачи,
связанная с необходимостью учета большого числа частных
показателей (требований) СЗИ;
· наличие как количественных,
так и качественных показателей, которые необходимо учитывать
при решении задач разработки и внедрения СЗИ;
·
невозможность применения классических методов
оптимизации.
Требования к модели:
Такая модель
должна удовлетворять следующим требованиям:
Использоваться
в качестве:
· Руководства по созданию СЗИ
· Методики
формирования показателей и требований к СЗИ
· Инструмента
(методика) оценки СЗИ
· Модели СЗИ для проведения
исследований (матрица состояния)
Обладать свойствами:
·
Универсальность
· Комплексность
· Простота
использования
· Наглядность
· Практическая
направленность
· Быть самообучаемой (возможность
наращивания знаний)·
· Функционировать в условиях высокой
неопределенности исходной информации
Позволять:
·
Установить взаимосвязь между показателями (требованиями)
·
Задавать различные уровни защиты
· Получать количественные
оценки
· Контролировать состояние СЗИ
· Применять
различные методики оценок
· Оперативно реагировать на
изменения условий функционирования
· Объединить усилия
различных специалистов единым замыслом
Описание подхода
к формированию модели ИБ.
Как составить такое
представление об информационной безопасности, что бы охватить
все аспекты проблемы? Человек получает наиболее полное
представление об интересующем его явлении, когда ему удается
рассмотреть это нечто неизвестное со всех сторон, в трехмерном
измерении.
Воспользуемся этим принципом.
Рассмотрим три
«координаты измерений» - три группы составляющих модели
ИБ.
1. Из чего состоит (ОСНОВЫ)
2. Для чего
предназначена (НАПРАВЛЕНИЯ)
3. Как работает
(ЭТАПЫ)
ОСНОВАМИ или составными частями практически любой
сложной СИСТЕМЫ (в том числе и системы защиты информации)
являются:
· Законодательная, нормативно-правовая и научная
база;
· Структура и задачи органов (подразделений),
обеспечивающих безопасность ИТ;
·
Организационно-технические и режимные меры и методы (политика
информационной безопасности);
· Программно-технические способы и средства.
НАПРАВЛЕНИЯ формируются исходя из
конкретных особенностей ИС как объекта защиты. В общем случае,
учитывая типовую структуру ИС и исторически сложившиеся виды
работ по защите информации, предлагается рассмотреть следующие
направления:
· Защита объектов информационных систем;
·
Защита процессов, процедур и программ обработки
информации;
· Защита каналов связи;
· Подавление
побочных электромагнитных излучений.
· Управление системой защиты;
Но, поскольку каждое из этих
НАПРАВЛЕНИЙ базируется на перечисленных выше ОСНОВАХ, то
элементы ОСНОВ и НАПРАВЛЕНИЙ, рассматриваются неразрывно друг
с другом. Например, одну из ОСНОВ под названием
"Законодательная база…" необходимо рассматривать по всем
НАПРАВЛЕНИЯМ, а именно:
Законодательная база защиты
объектов…
Законодательная база защиты процессов, процедур и
программ…
Законодательная база защиты каналов
связи…
Законодательная база подавления побочных
электромагнитных излучений…
Законодательная база по
управлению и контролю самой системы защиты…
Аналогично
следует рассматривать остальные грани ОСНОВ (структуру…,
меры…, средства) по всем НАПРАВЛЕНИЯМ.
Как видите, для
формирования самого общего представления о конкретной системе
защиты необходимо ответить минимально на 20 (4*5=20) самых
простых вопросов. Но и это еще не все... Далее необходимо
рассмотреть ЭТАПЫ (последовательность шагов) создания СЗИ,
которые необходимо реализовать в равной степени для каждого в
отдельности НАПРАВЛЕНИЯ с учетом указанных выше ОСНОВ.
Проведенный анализ существующих методик
(последовательностей) работ по созданию СЗИ позволяет выделить
следующие ЭТАПЫ:
· Определение информационных и технических
ресурсов, а также объектов ИС(!) подлежащих защите;
·
Выявление полного множество потенциально возможных угроз и
каналов утечки информации;
· Проведение оценки уязвимости и
рисков информации (ресурсов ИС) при имеющемся множестве угроз
и каналов утечки;
· Определение требований к системе защиты
информации;
· Осуществление выбора средств защиты
информации и их характеристик;
· Внедрение и организация
использования выбранных мер, способов и средств защиты.
·
Осуществление контроля целостности и управление системой
защиты.
Поскольку
ЭТАПОВ семь, и по каждому надо осветить 20 уже известных вам
вопросов то в общей сложности для формирования представления о
конкретной системе защиты необходимо ответить на 140 простых
вопросов.
Полное содержание 140 элементов матрицы можно
посмотреть здесь.
Совершенно очевидно что по
каждому вопросу (элементу) возникнет несколько десятков
уточнений.
В общем случае количество элементов матрицы
может быть определено из соотношения
K = Oi*Hj*Mk
Где
К - количество элементов матрицы
Oi - количество
составляющих блока "ОСНОВЫ"
Hj - количество составляющих
блока "НАПРАВЛЕНИЯ"
Mk - количество составляющих блока
"ЭТАПЫ"
В нашем случае общее количество элементов
"матрицы" равно 140
K=4*5*7=140.
поскольку Oi=4, Hj=5,
Mk=7
Все это можно представить в виде своеобразного
кубика Рубика, на гранях которого образовалась мозаика
взаимосвязанных составляющих элементов системы
защиты.
А теперь для простоты понимания попробуем
преобразовать трехмерную фигуру в двухмерную. Для этого
развернем трехмерный куб на плоскости (на листе бумаги) и
получим трехмерную матрицу в виде двухмерной таблицы, которая
поможет логически объединить составляющие блоков "ОСНОВЫ",
"НАПРАВЛЕНИЯ" и "ЭТАПЫ" по принципу каждый с
каждым.
Напомним, что матрица в виде двухмерной таблицы
появляется не сама по себе, а формируется в каждом конкретном
случае, исходя из конкретных задач по созданию конкретной СЗИ
для конкретной ИС.
Представление элементов матрицы
Элементы матрицы имеют соответствующую нумерацию.
Следует обратить внимание на обозначения каждого из элементов
матрицы, где:
первое знакоместо (Х00) соответствует номерам
составляющих блока "ЭТАПЫ",
второе знакоместо (0Х0)
соответствует номерам составляющих блока
"НАПРАВЛЕНИЯ",
третье знакоместо (00Х) соответствует
номерам составляющих блока "ОСНОВЫ".
На Рис.7
представлен пример, элемента матрицы 321, который формируется
с учетом следующих составляющих:
300 - Проведение оценки
уязвимости и рисков (составляющая № 3 блока "ЭТАПЫ");
020 -
Защита процессов и программ (составляющая № 2 блока
"НАПРАВЛЕНИЯ")
001 - Нормативная база (составляющая № 1
блока "ОСНОВЫ")
Приведем
пример содержания информации для элементов матрицы № 321, 322,
323, 324, которые объединяют следующие составляющие:
№ 3
(300 проведение оценки уязвимости и рисков) блока
"ЭТАПЫ",
№ 2 (020 защита процессов и программ) блока
"НАПРАВЛЕНИЯ"
№ 1, 2, 3, 4 (001 нормативная база, 002
структура органов, 003 мероприятия, 004 используемые средства)
блока "ОСНОВЫ".
Вот что получилось:
Элемент № 321
содержит информацию о том насколько полно отражены в
законодательных, нормативных и методических документах
вопросы, определяющие порядок проведения оценки уязвимости и
рисков для информации используемой в процессах и программах
конкретной ИС?
Элемент № 322 содержит информацию о том
имеется ли структура органов (сотрудники), ответственная за
проведение оценки уязвимости и рисков для процессов и программ
ИС?
Элемент № 323 содержит информацию о том определены ли
режимные меры, обеспечивающие своевременное и качественное
проведение оценки уязвимости и рисков для информации
используемой в процессах и программах ИС?
Элемент № 324
содержит информацию о том применяются ли технические,
программные или другие средства, для обеспечения оперативности
и качества проведения оценки уязвимости и рисков в процессах и
программах ИС?
Это содержание только четырех вопросов
из ста сорока, но ответы на них уже позволяют сформировать
некое представление о состоянии дел по защите информации в
конкретной ИС.
В общем случае рассматриваются все 140
вопросов (по числу элементов матрицы).
Полное содержание 140 элементов матрицы можно
посмотреть здесь.
Описание этих вопросов позволяют
составить полное представление о СЗИ и оценить достигнутый
уровень защиты.
Сложно? Да! Однако именно такой подход
дает возможность держать правильное направление в процессе
создания сложных систем защиты. "…Верной дорогой идете,
товарищи…". А поскольку при этом постоянно учитываются
взаимные логические связи между многочисленными элементами
СЗИ, то есть шанс построить именно СИСТЕМУ, а не набор
решений. Напомним, что матрица не сществует сама по себе, а
формируется исходя из описания конкретной ИС и конкретных
задач по защите информации в этой системе, см.
рисунок:
Свойства
матрицы
Предложенная модель представления СЗИ в виде
трехмерной матрицы позволяет не только жестко отслеживать
взаимные связи между элементами защиты, но может выступать в
роли руководства по созданию СЗИ.
Если вы, приступая к
созданию системы защиты, не знаете с чего начать, попробуйте
ответить на предлагаемые общие вопросы, начиная с любого из
них. И когда вы пройдетесь по всем, то поймете что уже есть, а
чего не хватает для достижения поставленной цели.
Если
желаете поставить задачу на создание СЗИ, то заполнив 140
элементов матрицы соответствующими требованиями, получим
достаточно полное техническое задание.
Полное содержание 140 элементов матрицы можно
посмотреть здесь.
Причем сформулировать эти требования
можно на основе любых стандартов - международных, европейских,
американских., российских, украинских…
Ну а как оценить
эффективность создаваемой или уже функционирующей
СЗИ?
Снова поможет подход на основе трехмерной матрицы.
Только теперь по 140 показателям (элементам матрицы) надо
выставить соответствующие оценки.
Существует много
методов оценок, выбирайте любой понятный и прозрачный для вас.
Наиболее популярный на сегодняшний день метод "Три П" - пол,
палец, потолок.
Наглядно указанные свойства матрицы
приведены на Рис.8.
Программа оценки эффективности систем защиты
информации "Оценка СЗИ"
Программа "Оценка СЗИ"
иллюстрирует работу модели СЗИ представленной в виде
трехмерной матрицы, описание которой приведено выше, она
разработана с целью демонстрации преимуществ системного
подхода к созданию и оценке эффективности систем защиты
информации.
С помощью указанной программы
осуществляется расчет условных показателей эффективности СЗИ,
а также графическое представление состояния достигнутого
уровня безопасности по отношению к заданному.
Программа
"Оценка СЗИ" реализована на языке программирования Delphi и
предназначена для оценки эффективности мероприятий, проводимых
при создании и функционировании систем защиты
информации.
Предложенная модель СЗИ в виде трехмерной
матрицы позволяет не только жестко отслеживать взаимные связи
между элементами защиты, но может выступать в роли руководства
по созданию СЗИ. Если вы, приступая к созданию системы защиты,
не знаете с чего начать, попробуйте ответить на предлагаемые в
матрице вопросы, начиная с любого из них. И когда вы
пройдетесь по всем вопросам, то поймете что уже сделано, а
чего не хватает для достижения поставленной
цели.
Интерфейсы программы с некоторыми комментариями
представлены на рисунках 9, 10, 11, 12.
При внимательном
рассмотрении можно узнать уже знакомую нам "матрицу знаний
СЗИ" в несколько другом представлении.
На Рис. 9. показан интерфейс ввода данных. Заказчик определяет необходимые требования
к системе защиты и устанавливает заданный уровень безопасности в соответствующие
элементы матрицы. Экесперты в процессе проведения оценки качества созданной
системы защиты определяют реализован ли заданный уровень безопасности и свои
оценки выставляют в тех же элементах матрицы, только в режиме "достигнутый"
Далее с помощью интерфейса на. имеется возможность получить представление о
ситеме защиты в целом. Ее эффектиность наглядно отражена графически, а также
расчитана в виде обобщенных показателей уровня безопаности (количественного
и качественного)
Не стоит забывать, что требования к СЗИ имеют разную степень важности, которую
необходимо учитывать при расчетах, используя соответствующие коэффициенты важности.
Интерфес для ввода коэффициентов важности представлен на
Вместо
заключения (Read me)…
Хочется напомнить золотое
правило: если после долгих попыток ничего не получается,
ознакомьтесь, наконец, с инструкцией для пользователя! Прежде
чем приступить к использованию программы "Оценка СЗИ",
желательно разобраться с особенностями похода к рассмотрению
вопросов информационной безопасности, предложенного
автором.
Здесь можно скачать EXE-файл указанной
программы оценки эффективности систем защиты информации.
http://www.security.ukrnet.net/d-prog/protect.zip
(680 793 байт)
Программа предназначена для свободного
использования...
Структура содержания книги
А
теперь, с учетом вышеизложенного системного подхода на основе
трехмерной матрицы, оглавление книги приобретает совсем другой
вид. Обратите внимание на то, что содержание разделов и глав
совпадает с содержанием ОСНОВ, НАПРАВЛЕНИЙ и ЭТАПОВ.
Часть 1. Позвольте Вас познакомить (000)
В этой
части книги читатель знакомится с общими проблемами
обеспечения безопасности информационных
технологий.
Часть 2. Основы построения систем защиты
информации (00Х)
Теоретические основы построения систем
защиты исключительно сложны и, несмотря на интенсивность
исследований в этой предметной области, еще далеки от
совершенства. В этой части книги рассматриваются следующие
ОСНОВЫ построения систем защиты информации:
· 001
Законодательная, нормативно-методическая и научная база;
·
002 Структура и задачи органов (подразделений), осуществляющих
комплексную защиту информации;
· 003
Организационно-технические и режимные меры (политика
информационной безопасности);
· 004 Программно-технические
методы и средства защиты информации.
Целевая установка
теоретических основ заключается в разработке и научном
обосновании принципов и методов оптимизации мероприятий по ЗИ.
Достижение указанной цели заключается в решении следующих
задач:
Создание предпосылок для реализации упреждающей
стратегии ЗИ;
Разработка регулярных методик оценки
уязвимости информации и требуемого уровня ее защиты; синтеза
оптимальных систем ЗИ;
Обоснование необходимой
инфраструктуры ЗИ в общегосударственном масштабе.
Часть
3. Направления создания систем защиты информации
(0Х0)
Большое число различных компонентов, операций,
ресурсов и объектов ИС создает весьма привлекательную среду
для различного рода вторжений и несанкционированных операций.
В этой части книги ИС как объект защиты рассматривается по
следующим направлениям:
· 010 Защита информационных и
физических объектов информационных систем;
· 010
Техническая защита информации на объектах ИС;
· 020 Защита
процессов, процедур и программ обработки информации;
· 030
Защита каналов связи;
· 040 Подавление побочных
электромагнитных излучений;
· 050 Управление системой
защиты.
Часть 4. Этапы создания систем защиты
информации (Х00)
В этой части рассмотрены следующие ЭТАПЫ
создания СЗИ:
· 100 Определение информационных и
технических ресурсов, а также объектов ИС подлежащих
защите;
· 200 Выявление полного множество потенциально
возможных угроз и каналов утечки информации;
· 300
Проведение оценки уязвимости и рисков информации (ресурсов ИС)
при имеющемся множестве угроз и каналов утечки;
· 400
Определение требований к системе защиты информации;
· 500
Осуществление выбора средств защиты информации и их
характеристик;
· 600 Внедрение и организация использования
выбранных мер, способов и средств защиты;
· 700
Осуществление контроля целостности и управление системой
защиты.
Часть 5. Конкретные решения и
рекомендации…
В этой части книги приводятся описания
конкретных подходов, разработок и изделий различных фирм и
организаций, работающих в области проблем защиты информации.
Советы постороннего или рекомендации по применению
книги…
Как написать реферат
Для написания
реферата по тематике информационной безопасности достаточно
взять любой материал из этой области знаний (например, в
предлагаемой книге) и разложить его по полочкам (ЭТАПАМ,
НАПРАВЛЕНИЯМ,ОСНОВАМ). Можно при этом от себя добавить на
каких полочках материалов не оказалось и что такое положение
дел необходимо срочно исправить.
Как написать
дипломную работу
Для написания дипломной работы
необходимо использовать методику написания вышеуказанного
реферата применительно к конкретной информационной системе,
предприятию, устройству и др. Изложить катастрофическое
положение дел, выявленное в результате анализа проведенного по
ЭТАПАМ, НАПРАВЛЕНИЯМ и ОСНОВАМ, а затем сформулировать
конкретные решения и предложения по улучшению безнадежного
состояния дел с точки зрения информационной
безопасности.
Как написать диссертацию
Для
защиты диссертации необходимо написать дипломную работу, а
затем подтвердить математическими расчетами и результатами
экспериментов или внедрений сформулированные вами конкретные
решения и предложения по повышению уровня информационной
безопасности.
Для написания дипломной работы и
диссертации можно использовать подходы, математические методы,
модели и программные продукты, описанные в предлагаемой вашему
вниманию книге.
Над материалами книги
работали…
Ананский Евгений Викторович, заместитель
директора ООО «КВИРИН», подготовил материалы главы
«Техническая защита информации на объектах ИС»в которой
описываются источники утечки информации по техническим
каналам, а также методы выявления закладных
устройств;
Герасимов Борис Михайлович, доктор
технических наук, профессор, заслуженный деятель науки и
техники Украины, оказал неоценимую помощь в написании главы
«Математические модели систем и процессов защиты информации» и
главы «Модель комплексной оценки СЗИ»;
Потий Александр
Владимирович, кандидат технических наук, преподаватель
Харьковского Государственного университета радиоэлектроники,
специалист в области криптографических средств защиты
информации. Он подготовил интересный материал, описывающий
хеш-функции, цифровые подписи и механизмы неотказуемости,
изложенный в главе «Программно-технические методы и средства
защиты информации»;
Качко Елена Григорьевна, профессор
кафедры программного обеспечения ЭВМ Харьковского
Государственного университета радиоэлектроники, специалист в
области системного программирования и разработки программных
систем защиты информации. Ею подготовлен материал по вопросам
защиты электронной почты в главе «Защита каналов
связи»;
Голуб Виктор Анатольевич, кандидат технических
наук, сотрудник Центрального научно-исследовательского
института вооружения и военной техники ВС Украины, принимал
непосредственное участие в подготовке материалов главы «Модель
комплексной оценки СЗИ». Он же автор программы оценки
эффективности систем защиты информации.
Источники
информации…
Основная работа над книгой заключалась в
подборе и обобщении уже имеющихся публикаций по указанной
тематике. В частности, в книге использованы материалы таких
признанных авторов, как: Безруков Н.Н., Гайкович В.Ю.,
Галатенко В.А., Герасименко В.А., Демченко Ю.В., Карпов А.Г.,
Лукацкий А.В., Першин А.Ю., Размахнин В.К., Самохин Ю.,
Сталенков С.Е., Шепелявый Д., Шураков В.В. и многие
другие.
Кроме того, приводятся материалы,
подготовленные специалистами таких известных фирм,
как:
Информзащита (Россия),
Лаборатория ППШ
(Россия),
АО "Инфосистемы Джет" (Россия),
D.A.S.
(Украина),
Бумекс (Украина)
и др.
Информационную
поддержку в процессе подбора материалов для книги осуществлял
один из ведущих провайдеров Internet в Украине ООО «ElVisti».
В книге использованы рисунки Андрея Непомнящего, а
также карикатуры Кособукина Ю., Федько С. Чернявского Г. из
сборника анекдотов и карикатур «Ну просто анекдот!» (Издатель
«Рабочая газета» с участием фирмы «АВК-пресс»).