align="justify"> Рис. 3. Три координати вимірювань - Три групи складових моделі СЗІ
ОСНОВАМИ або складовими частинами практично будь-якої складної системи (у тому числі і системи захисту інформації) є:
· Законодавча, нормативно-правова та наукова база;
· Структура і завдання органів (підрозділів), що забезпечують безпеку ІТ;
· Організаційно-технічні і режимні заходи і методи (політика інформаційної безпеки);
· Програмно-технічні засоби і способи.
Рис. 4. Координата ОСНОВИ
НАПРЯМКИ формуються виходячи з конкретних особливостей ІС як об'єкта захисту. У загальному випадку, враховуючи типову структуру ІС й історично сформовані види робіт із захисту інформації, пропонується розглянути наступні напрямки:
· Захист об'єктів інформаційних систем;
· Захист процесів, процедур і програм обробки інформації;
· Захист каналів зв'язку;
· Придушення побічних електромагнітних випромінювань.
· Управління системою захисту;
Рис. 5. Координата НАПРЯМКИ
Але, оскільки кожне з цих НАПРЯМІВ базується на перерахованих вище ЗАСАДИ, то елементи ОСНОВ і НАПРЯМІВ, розглядаються нерозривно один з одним. Наприклад, одну з ОСНОВ під назвою Законодавча база: необхідно розглядати в усіх напрямках, а саме:
Законодавча база захисту об'єктів:
Законодавча база захисту процесів, процедур і програм:
Законодавча база захисту каналів зв'язку:
Законодавча база придушення побічних електромагнітних випромінювань:
Законодавча база з управління та контролю самої системи захисту:
Аналогічно слід розглядати інші грані ОСНОВ (структуру :, заходи :, кошти) по всіх напрямках.
Як бачите, для формування самого загального уявлення про конкретну систему захисту необхідно відповісти мінімально на 20 (4 * 5=20) найпростіших питань. Але й це ще не все ... Далі необхідно розглянути ЕТАПИ (послідовність кроків) створення СЗІ, які необхідно реалізувати в рівній мірі для кожного окремо НАПРЯМКИ з урахуванням зазначених вище ОСНОВ.
Проведений аналіз існуючих методик (послідовностей) робіт зі створення СЗІ дозволяє виділити наступні етапи:
· Визначення інформаційних і технічних ресурсів, а також об'єктів ІВ підлягають захисту;
· Виявлення повного безліч потенційно можливих загроз і каналів витоку інформації;
· Проведення оцінки вразливості і ризиків інформації (ресурсів ІС) при наявному безлічі загроз і каналів витоку;
· Визначення вимог до системи захисту інформації;
· Здійснення вибору засобів захисту інформації та їх характеристик;
· Впровадження та організація використання вибраних заходів, способів і засобів захисту.
· Здійснення контролю цілісності і керування системою захисту.
Рис. 6. Етапи створення систем захисту інформації.
Оскільки ЕТАПІВ сім, і по кожному треба освітити 20 вже відомих вам питань то в загальній складності для формування уявлення про конкретну систему захисту необхідно відповісти на 140 простих запитань. Цілком очевидно що з кожного питання (елементу) виникне кілька десятків уточнень.
У загальному випадку кількість елементів матриці може бути визначене зі співвідношення
=Oi * Hj * Mk
Де К - кількість елементів матріци- кількість складових блоку ОСНОВИ - кількість складових блоку НАПРЯМКИ - кількість складових блоку ЕТАПИ
У нашому випадку загальна кількість елементів матриці одно 140
=4 * 5 * 7=140.
оскільки Oi=4, Hj=5, Mk=7
Все це можна представити у вигляді своєрідного кубика Рубіка, на гранях якого утворилася мозаїка взаємопов'язаних складових елементів системи захисту.
А тепер для простоти розуміння спробуємо перетворити тривимірну фігуру в двомірну. Для цього розгорнемо тривимірний куб на площині (на аркуші паперу) і отримаємо тривимірну матрицю у вигляді двомірної таблиці, яка допоможе логічно об'єднати складові блоків ОСНОВИ raquo ;, НАПРЯМКИ і ЕТАПИ за принципом кожен з кожним.
Нагадаємо, що матриця у вигляді двомірної таблиці з'являється не сама по собі, а формується в кожному конкретному випадку, виходячи з конкретних...