CC BY
179
УДК 004.056.5
В.А. Михеев
МЕТОДИКА ВЫБОРА РАЦИОНАЛЬНОГО КОМПЛЕКСА ПРОГРАММНОАППАРАТНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
МНОГОФУНКЦИОНАЛЬНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Рассмотрена проблема выбора рационального состава системы защиты информации многофункциональной информационной системы холдинга. Предложен метод контурирования системы по категориям обрабатываемой информации. Обоснована необходимость использования метода морфологического синте-
- . -зволяет реализовать многокритериальный и многоальтернативный выбор. Разработана методика синтеза рационального программно-аппаратного комплекса .
Информационная система; метод контурирования; система защиты ин-; .
V.A. Mikheev
METHODS TO SELECT EFFICIENT HARDWARE-SOFTWARE SYSTEM FOR INFORMATION PROTECTION OF MULTIFUNCTIONAL INFORMATION SYSTEM
The article describes the problem to select efficient structure for information protection of corporation multifunctional information system. There proposed a method to contour a system as per category of processed information. The necessity to use a morphological synthesis method of hardware-software system for information protection is justified. The method enables implementation of multicriteria and multialternative selection. The methods of efficient hardware-software system synthesis for information protection have been developed.
Information system; contouring method; information protection system; morphological synthesis method.
Многофункциональная территориально распределенная информационная система (МИС) - взаимосвязанная совокупность кампусных локальных вычислительных сетей (ЛВС) и корпоративной сети передачи данных (КСПД), предназначенная для создания единого защищенного интегрированного информационного пространства информационных ресурсов предприятий холдинга. В связи с необходимостью циркуляции в МИС как общедоступной информации, так и информации ограниченного доступа, возникают требования по разработке системы защиты информации (СЗИ), а также особых подходов к проектированию и построению МИС как к автоматизированной системе в защищенном исполнении, отвечающей требованиям безопасности информации [1].
Разработка такой СЗИ может производиться на основе подходов и системотехнических принципов, сформулированных в [2, 3].
Учитывая территориальную распределенность МИС и существующие требования по защите информации, обоснованным решением при проектировании и
построении МИС является применение метода контурирования по категориям обрабатываемой информации [4].
Применение в МИС метода контурирования позволяет разбить МИС на три защищенных контура обработки информации (контуры безопасности), представленных на рис. 1:
• публичный информационный контур (ПИК) - выделяется для обработ-
, -дународного информационного обмена (включая сеть «Интернет»);
• внутренний информационный контур (ВИК) - выделяется для обработки конфиденциальной информации, включающей коммерческую тайну, персональные данные и другие сведения, которые могут быть отнесены к конфиденциальным;
• защищенный информационный контур (ЗИК) - выделяется для обра-
, , -
.
Рис. 1. Контуры обработки информации (контуры безопасности)
Объединение кампусных ЛВС предприятий холдинга в единое информационное пространство посредством КСПД происходит путем объединения контуров .
Угрозы, возникающие при таком объединении, решаются разработкой и внедрением в каждом контуре «модуля безопасности» - программно-аппаратного
( ), -( ).
Публичный информационный контур обеспечивает доступ к публичным « ». -ментируются внутренними документами холдинга и обеспечиваются выполнением комплекса организационно-технических мероприятий. Подключение к сети « » , -
« », -ные ресурсы, такие как интернет-портал, почтовый сервер, БШ-сервер и др.
Внутренний информационный контур обеспечивает хранение, обработку и обмен конфиденциальной информацией. Требования по защите конфиденциальной информации для ВИК регламентируются руководящими документами ФСТЭК и ФСБ России и обеспечиваются комплексом организационно-технических мероприятий и проведением аттестации ВИК по требованиям защиты информации.
( ),
обеспечить требования по защите информации. Конкретный перечень СрЗИ определяется в соответствии с классификацией ВИК, проводимой на основании РД ФСТЭК России [5].
Защищённый информационный контур обеспечивает циркуляцию инфор-
, , . по защите информации, составляющей государственную тайну, регламентируются руководящими документами ФСТЭК и ФСБ России, обеспечиваются комплексом организационно-технических мероприятий и проведением аттестации ЗИК по требованиям защиты информации.
В модулях безопасности ВИК и ЗИК применяются сертифицированные по требованиям безопасности информации программно-аппаратные комплексы
( ).
, , -, .
Любое взаимодействие между контурами безопасности до криптографического преобразования информации в модулях безопасности ВИК и ЗИК исключается путем физического разделения контуров. Потоки информации от всех трех контуров консолидируются в модуле безопасности ПИК, куда данные из ВИК и ЗИК поступают в зашифрованном виде, тем самым, исключая их компрометацию.
,
обеспечению безопасности информации информационных систем [6,7]: фрагментарный и комплексный.
Фрагментарный подход направлен на противодействие строго определенным угрозам безопасности в заданных условиях функционирования МИС. Достоинством данного подхода является высокая избирательность к конкретной угрозе, а существенным недостатком - отсутствие единой защищенной среды обработки информации. Кроме того, даже небольшое видоизменение угрозы ведет к потере .
Комплексный подход ориентирован на создание защищенной среды обработки информации в контуре, объединяющей в единый комплекс разнородные средства защиты информации (СрЗИ), образующие комплексную СЗИ. Комплексность СЗИ достигается охватом всех возможных угроз и согласованием между собой разнородных методов и средств, обеспечивающих защиту всех элементов контура. Достоинством данного подхода является возможность обеспечить требуемый уро-.
свободу действий пользователей; сложность управления системой защиты; большая чувствительность к ошибкам установки и настройки элементов системы.
Однако за счет рационального построения СЗИ возможно свести недостатки данного подхода к минимуму.
,
, , выбора ПАКЗИ, с учетом совместимости всех СрЗИ, входящих в ПАКЗИ, для по-
строения комплексной СЗИ МИС, при наличии следующих ограничений: уровень защищенности, надежность, соответствие требованиям РД ФСТЭК России, наличие сертификата для класса АС, стоимость и т.д.
Совокупность ограничений вызывает необходимость использования многокритериального подхода для синтеза ПАКЗИ из множества альтернативных СрЗИ, удовлетворяющих этим ограничениям [8].
Решение задачи синтеза ПАКЗИ и, следовательно, построения комплексной СЗИ МИС усложняется рядом особенностей (необходимость учета большого числа показателей ПАКЗИ при оценке и выборе их рационального варианта, не только количественный, но и качественный (нечеткий) характер показателей и др.), которые делают практически невозможным применение традиционных математиче-, -ных задач синтеза. Перспективным направлением разработки методов принятия решений является морфологический метод синтеза ПАКЗИ [9]. Данный метод позволяет реализовать многокритериальный и многоальтернативный выбор, в слу-, -,
.
В общем случае методика синтеза рационального ПАКЗИ, разработанная на основе предложенного метода морфологического синтеза, включает в себя сле-:
1: -
тура в виде морфологической таблицы.
2:
, .
Этап 3: выбор оптимального варианта (наилучшей альтернативы) по задан-( ).
,
ПАКЗИ позволяет решить задачу построения комплексной СЗИ МИС как при наличии рассмотренных ограничений, так и других.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Мих еев В А. Методология разработки и аттестации автоматизированных систем в защищенном исполнении // Материалы IX Международной научно-практической конференции «Информационная безопасность». - Таганрог, 2007.
2. . . -нальной информационной системы // Известия ЮФУ. Технические науки. - 2008. - №8 (85).
- С. 165 - 167.
3. . ., . . // -
формации INSIDE. - СПб, 2008. - Вып. 2. - С. 42 - 46.
4. . . -
онной системы // Сб. трудов конференции “Перспектива - 2009”. - Таганрог, 2009.
- С. 170 - 173.
5. Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» [Электронный ресурс]. - Режим доступа:
http://www.fstec.ru/_docs/doc_3_3_004.htm. Дата обращения 01.09.2009.
6. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2-х кн. Кн. 1. - М.:Энергоатомиздат,1994. - 400 с.
7. . . -
лекоммуникационной сферах: Коллективная монография: В 3-х кн. Кн. 2. - М.: Радиотех-
, 2003. - 216 .
8. . . -
// : -
технический журнал. - Воронеж, 2006. - Вып. 2. - С. 107 - 110.
9. . ., . .
управлению защитой информации в критически важных сегментах информационных сис-// « ». - 2008. - 7. - 2 .
Михеев Вячеслав Алексеевич
Открытое акционерное общество «Концерн радиостроения “Вега”».
E-mail: Mikheev@vega.su.
121170, г. Москва, Кутузовский проспект, 34.
Тел.: 8 (499) 2490585. "
Заместитель директора.
Mikheev Viatcheslav Alekseevich
Joint-Stock Company «Radio Engineering Corporation “VEGA”».
E-mail: Mikheev@vega.su.
34, Kutuzov avenue, Moscow, 121170, Russia.
Phone: 8 (499) 2490585.
The deputy director.
УДК 004.942 - 004.В27
..
НЕЧЁТКИЕ КОГНИТИВНЫЕ КАРТЫ ПРИМЕНИТЕЛЬНО К УПРАВЛЕНИЮ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Предлагается подход для управления рисками информационной безопасности на основе нечётких когнитивных карт и искусственных нейронных сетей. В подходе предлагается разделить понятия риска на две составляющие: системозависимый и системонезависимый риски. Данный подход позволяет уменьшить долю субъективизма при оценке риска информационной безопасности (ИБ) организации, учесть все элементы, участвующие и не участвующие в обработке данных в АС, и автоматизировать процесс управления рисками.
Управление рисками ИБ; нечёткие когнитивные карты; актив; сканеры .
G.A. Evstafiev
FUZZY COGNITIVE MAPS IN RELATION TO RISK MANAGEMENT INFORMATION SECURITY
The paper proposes an approach to risk management of information security based on fuzzy cognitive maps and artificial neural networks. In the approach proposed to divide the notion of risk into two components: a system-dependent and system-independent risks. This approach allows to reduce the proportion of subjectivity in assessing the risk of information security organization, consider all the elements involved and not involved in the processing of data in the Automatic Systems and automate the process of risk management.
