— характер деятельности предприятия оказывает влияние на организационно-функциональную структуру КСЗИ, ее состав; состав и структуру кадров СЗИ, численность и квалификацию ее сотрудников; техническое обеспечение КСЗИ средствами защиты; количество и характер мер и мероприятий по ЗИ; цели и задачи КСЗИ;
— состав защищаемой информации, ее объем, способы представления и отображения, технологии обработки: состав и структуру СЗИ; организационные мероприятия по ЗИ; состав технических средств защиты, их объем; состав нормативно-правового обеспечения КСЗИ; методы и способы ЗИ; объем материальных затрат на ЗИ;
— численный состав и структура кадров предприятия: численный состав сотрудников СЗИ; организационную структуру СЗИ; объем затрат на ЗИ; техническую оснащенность КПП; объем организационных мероприятий по ЗИ;
— организационная структура предприятия: организационную структуру КСЗИ; количество и состав сотрудников СЗИ;
— техническая оснащенность предприятия: объем и состав технических средств ЗИ; количество и квалификацию технического персонала СЗИ; методы и способы ЗИ; размер материальных затрат на ЗИ;
— нормативно-правовое обеспечение деятельности предприятия влияет на формирование нормативно-правовой базы КСЗИ; регулирует деятельность СЗИ; влияет на создание дополнительных нормативно-методических и организационно-правовых документов СЗИ;
— экономическое состояние предприятия (кредиты, инвестиции, ресурсы, возможности) определяет объем материальных затрат на ЗИ; количество и состав сотрудников и квалифицированных специалистов СЗИ; уровень технической оснащенности СЗИ средствами защиты; методы и способы ЗИ;
— режим работы предприятия влияет на режим функциональности КСЗИ, всех ее составляющих; состав технических средств ЗИ; объем затрат на ЗИ; численность персонала СЗИ;
— местоположение и архитектурные особенности предприятия: состав и структуру СЗИ; состав технических средств ЗИ; объем материальных затрат на ЗИ; численный состав и квалификацию сотрудников СЗИ;
— тип производства: организационно-функциональную структуру СЗИ;
— объем производства: размеры материальных затрат на ЗИ; объем технических средств защиты; численность сотрудников СЗИ;
— форма собственности влияет на объем затрат на ЗИ (например, на некоторых государственных предприятиях затраты на защиту информации (СЗИ) могут превышать стоимость самой информации); методы и способы ЗИ.
Организация КСЗИ на каждом конкретном предприятии зависит от параметров рассмотренных характеристик данного предприятия. Эти характеристики определяют Цели и задачи КСЗИ, объем ее материального обеспечения, состав и структуру КСЗИ, состав технических средств защиты, численность и квалификацию сотрудников СЗИ и т. д. Однако степень воздействия различных характеристик предприятия на организацию КСЗИ различна. Из числа наиболее влиятельных можно выделить следующие:
— характер деятельности предприятия;
— состав защищаемой информации, ее объем, способы представления и отображения;
— численный состав и структура кадров предприятия;
— техническая оснащенность предприятия;
— экономическое состояние предприятия;
— организационная структура предприятия;
— нормативно-правовое обеспечение деятельности предприятия.
В меньшей степени на организацию КСЗИ на предприятии могут влиять:
— режим работы предприятия;
— технология производства и управления;
— тип и объем производства;
— местоположение и архитектурные особенности предприятия;
— форма собственности предприятия.
7.4. Модель системы автоматизированного проектирования защиты информации
Структурно-функциональная схема САПРа защиты информации может быть представлена в виде пяти основных модулей:
— типовая сетевая модель процесса создания СЗИ;
— типовой план проведения специального инженерного анализа защищаемой системы;
— модули расчета параметров подсистем СЗИ;
— модуль синтеза и оптимизации СЗИ;
— модуль выбора стандартных средств и типовых проектных решений.
Кроме этого, модель включает в себя проблемно-ориентированный банк данных и блок интерфейса и визуализации.
Модуль — типовая сетевая модель процесса создания СЗИ.
В качестве метода планирования комплекса работ по созданию системы защиты целесообразно принять метод сетевого планирования, т. к. создание СЗИ определяется большим числом и различным содержанием работ, требующих взаимной увязки по срокам исполнения. Необходимая цель создания СЗИ достигается коллективом специалистов. Помимо этого, необходимо обеспечивать заданные сроки создания СЗИ и т. д.
Типовая сетевая модель позволяет разработчику:
— формулировать общую программу работ и их последовательность;
— определять содержание работ по созданию СЗИ;
— определять исполнителей работ;
— определять исходные материалы, необходимые для выполнения каждой работы;
— определять выходные материалы и результаты выполнения каждой работы;
— определять усредненные сроки и трудоемкость работ;
— обеспечивать оптимизацию процесса создания СЗИ по срокам выполнения работ, затратам и ресурсам.
Типовая сетевая модель дает возможность представить все операции и работы процесса создания СЗИ, упорядочить эти работы в их надлежащей последовательности, выяснить содержание и значение каждой работы и определить, каким образом и с помощью каких средств она может быть выполнена.
Последовательность работ, определяющая наибольшую длительность разработки и создания СЗИ, является критическим путем L, а работы, входящие в критический путь, являются критическими работами. Критический путь L начинается с самого первого события сетевого графика и проходит через весь график, заканчиваясь последним событием. Анализ критических путей устанавливает приоритет работ. Критические работы должны быть завершены вовремя, иначе сроки создания СЗИ будут сорваны. При разработке конкретной СЗИ определение критического пути дает возможность ускорить выполнение комплекса работ за счет перераспределения средств и сил, выделяемых на выполнение работ.
Модуль типового плана проведения специального инженерного анализа защищаемой системы обеспечивает процесс исследования и формализации объекта защиты, построения его структурно-функциональной схемы для выявления возможных каналов компрометации информации в системе, определение состава и характеристик стратегий нападения на информацию.
Модуль реализует поддержку решения следующих задач:
1) анализ технологических процессов обработки информации, анализ информационных потоков, анализ дислокации элементов защищаемой системы, анализ технических и программных средств и особых условий, влияющих на безопасность информации в системе; итог — построение, структурно-функциональной схемы (СФС) системы;
2) деструктуризация СФС с целью выявления основных, в плане выполнения функций управления и в плане общности решений по защите информации, узлов системы с целью выявления возможных каналов компрометации информации;
3) определение состава системы нападения на информацию Y, оценку параметров элементов системы Y.
Модуль выбора стандартных средств и типовых проектных решений базируется на информации банка данных и ограничений проектировщика и заказчика системы.
Блок модели нарушителей содержит в себе описания категорий людей, которые могут предпринять попытку несанкционированного доступа к информации случайно или преднамеренно. Это могут быть операторы, инженерно-технический персонал, пользователи, разработчики, обслуживающий персонал и т. д. Нарушитель может быть осведомлен о структуре защищаемой системы, характере информации технического и программного обеспечения, наличии средств защиты, их устройстве и технических характеристиках. Неизвестными можно считать лишь те параметры и элементы средств защиты, которые подлежат периодической смене (ключи, пароли и т. п.).
Блок «Исходный набор У» предназначен для определения потенциальных стратегий нападения, которые выявляются посредством неформально-логического анализа выявленных в деструктурированных узлах системы возможных каналов компрометации информации и вероятных нарушений безопасности с использованием каталога основных потенциальных стратегий нападения на информацию.
Результатом работы данного модуля САПР является сформированный рабочий набор стратегий нападения Y в виде табличного файла:
Модуль комплекса моделей расчета параметров подсистем СЗИ включает в себя программно-математические средства проектирования системы криптозащиты, технических средств, системы разграничения доступа, системы постобработки регистрационной информации и т. д. В процессе функционирования САПР комплекс моделей должен пополняться и совершенствоваться.
