Анализ состояния защиты данных в информационных системах

Скачать 1.18 Mb. Название Анализ состояния защиты данных в информационных системах страница 7/8 Тип Анализ rykovodstvo.ru > Руководство эксплуатация > Анализ

4.3 Анализ степени перекрытия каналов утечки информации Результаты инвентаризации методов защиты следует проанализировать с точки зрения перекрытия каналов утечки информации: просматривая последовательно каналы утечки, выделяются перекрывающие средства защиты. В таблице 8 представлена часть матрицы S, характеризующей эффективность работы средств защиты. Размерность матрицы K * J, где K – количество учитываемых каналов утечки (в рассматриваемом примере их 40), J – количество средств защиты, обнаруженных в результате инвентаризации (в таблице 7 их 17). Эти значения могут быть индивидуальны в каждой ситуации. Элемент матрицы Skj характеризует эффективность действия j-го средства защиты по перекрытию k-го канала утечки. Значение определяется экспертным путем: рассматривается работоспособность средств защиты, способность нейтрализации или обхода защитных функций. При этом прогнозируется ситуация с наиболее негативном проявлении вредоносного воздействия. В качестве значений оценки рекомендуется использовать данные из таблицы 8. Таблица 8 – Возможные значения оценки качества работы средств защиты по отношению к конкретному вредоносному воздействию Код Характеристика действия 0 Утечка не контролируется данным средством защиты 1 Утечка слабо перекрыта, обнаружение результатов вредоносного воздействия маловероятно 2 Утечка слабо перекрыта, обнаружение результатов вредоносного воздействия уверенно обнаруживается 3 Незначительная интенсивность утечки возможна, обнаружение результатов вредоносного воздействия уверенно обнаруживается 4 Незначительная интенсивность утечки возможна, обнаружение результатов вредоносного воздействия уверенно обнаруживается и в дальнейшем не повторяется 5 Незначительная интенсивность утечки возможна, опасность вредоносного воздействия уверенно обнаруживается, обнаружение результатов вредоносного воздействия уверенно обнаруживается и в дальнейшем не повторяется 6 Большая часть утечки перекрыта, обнаружение результатов вредоносного воздействия уверенно обнаруживается и в дальнейшем не повторяется 7 Большая часть утечки перекрыта, опасность вредоносного воздействия уверенно обнаруживается, обнаружение результатов вредоносного воздействия уверенно обнаруживается и оно в дальнейшем не повторяется 8 Полное перекрытие вредоносного воздействия, но существуют особые условия, ранее не наблюдавшиеся 9 Полное перекрытие Таблица 9 – Матрица s. Анализ перекрытия каналов утечки Вредоносные воздействия (ЭлНос – электронный носитель, КоммП – коммута-ционный пункт, РМ – рабочее место) Аутен тифика ция при вкл Аутентификация при вход Контроль полномочий Антивирусное ПО … Инструк-ции ДолжИнстр сис-адм Блок Б/П пит Резерв-ное копир Журнал регитр. Степень перекрытия   СрЗ 1 СрЗ 2 СрЗ 3 СрЗ 4 … СрЗ 13 СрЗ 14 СрЗ 15 СрЗ 16 Ср 17  СУММА ЭлНос несанкционированный просмотр (КУ1); 5 5 6 1 … 3 1 0 3 4 24 ЭлНос н/с просмотр на э/н с копированием(КУ2); 5 5 6 1 … 3 1 0 3 4 24 ЭлНос хищение носителей информации(КУ3); 1 1 1 1 … 1 2 0 4 3 11 ЭлНос Ост. Инф. В ОП и внешних ЗУ(КУ4); 5 5 5 4 … 3 4 1 2 1 29 ЭлНос Физ.разр. средств ввода-вывода (КУ5); 0 0 0 2 … 1 2 6 0 0 11 … … … … … … … … … … … … ЭкрФКл несанкционированный просмотр (КУ13) 3 4 1 1 … 1 3 3 0 2 27 … … … … … … … … … … … … РМ неучтенные программы (КУ35); 3 3 2 0 … 2 3 0 0 2 13 РМ н/с использование программ, без лицензионных (КУ36) 3 4 4 1 … 3 4 0 4 2 23 РМ установка видео и звукозаписывающей аппаратуры (КУ37) 3 3 2 0 … 4 3 0 3 2 18 РМ нек.использование, отключение средств защиты (КУ38) 4 3 3 0 … 4 5 0 5 2 24 РМ пересылка данных по ошибочному адресу (КУ39) 3 3 3 0 … 3 4 0 5 2 21 РМ обман средств защиты или захвата секретных параметров (КУ40) 4 4 3 2 … 3 4 0 2 2 22 СУММА по столбцам: эффективность (востреб) средств защиты 36 36 35 13 … 30 33 10 31 73   В качестве анализа качества перекрытия возможно решение задач: Выявление не перекрытых и недостаточно перекрытых каналов утечки: сумма элементов по строке равна нулю или не превышает контрольного значения; Выявление невостребованных средств защиты: сумма по столбцу равна нулю. АНАЛИЗ ЗАЩИЩЕННОСТИ ДАННЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ На основании результатов обследования, содержащихся в материалах инвентаризации данных (таблицы 1, 2), результатов классификации по уровню ДОСТУПНОСТИ, ЦЕЛОСТНОСТИ, КОНФИДЕНЦИАЛЬНОСТИ (таблица 3) следует обработать данные матриц V и S (таблицы 6 и 9). Обработка заключается в формировании итоговой матрицы Z, отражающей степень защищенности каждого информационного элемента. Матрица имеет размерность I * J , где I – количество информационных элементов, подлежащих защите (см. таблицу 4), J – количество имеющихся средств защиты (см. таблицу 7). Каждый элемент матрицы рассчитывается по формуле: Z i j = ∑ Vi k * S k j , где (3) i – номер информационного элемента; j – номер средства защиты; k – номер канала утечки. В таблице 10 представлена часть матрицы Z – состояние защищенности каждого информационного элемента в привязке к средствам защиты. Таблица10 – Матрица Z. Состояние защищенности информационных элементов Аутен тифика ция при вкл Аутентификация при вход Контроль полномочий Антивирусное ПО Дверь с замком Сигнализация на двери в офис Датчики контроля передв. ….. Пропускная система Резервное копир Эффективность защиты ИЭ СрЗ 1 СрЗ 2 СрЗ 3 СрЗ 4 СрЗ 5 СрЗ 6 СрЗ 7 ….. СрЗ 10 СрЗ 16 СУММА ИЭ1 (э.) Чертеж 3,2 3,48 3,16 1,52 0,88 1 1,6 ….. 1,04 2,16 30,24 ИЭ2 (б.) Чертеж 0 0 0 0 1,55555 2 2,555556 ….. 3 2,88888 26,1111 ИЭ3(б) Вид изделия, … 0 0 0 0 1,44444 1,777778 2,444444 ….. 2,777778 2,22222 24,3333 ИЭ4 (э) Калькуляция 3,08695 3,304348 2,956522 1,73913 0,93478 1,130435 1,630435 ….. 1,108696 2 29,8478 ИЭ5 (б) Калькуляция 0 0 0 0 1,46153 1,769231 2,461538 ….. 2,769231 2,15384 24,3076 ИЭ6 Эскиз и калькуляция 2,363636 2,590909 2,113636 1,204545 0,59090 0,613636 1,204545 ….. 0,863636 1,545455 23,5681 ИЭ7 Стоимость материалов 2,27272 2,30303 2,272727 1,454545 1,21212 1,272727 2,333333 ….. 1,606061 2,09090 30,3636 ИЭ8 Нормы. по затратам 2,77419 2,870968 2,903226 1,451613 1,41935 1,516129 2,741935 ….. 1,774194 2,35483 34,2258 ИЭ9 Номенклатура мат., , изделий и работ 2,625 2,770833 2,270833 2,104167 1,125 1,3125 1,75 ….. 1,541667 1,97916 31,4166 ИЭ10 БД Access 2,16666 2,314815 1,944444 1,925926 0,90740 1,037037 1,462963 ….. 1,314815 1,87037 27,5185 ИЭ11 Констр.спец-ия 2,58620 2,775862 2,37931 1,810345 0,94827 1,086207 1,586207 ….. 1,258621 1,82758 28,9310 ИЭ12 Рисунок – Ф..xls 2,195122 2,292683 2,170732 1,682927 1,146341 1,268293 1,95122 …... 1,463415 1,82926 28,5122 ИЭ13 Архив zip/rar 3 3,206897 3,103448 1,517241 1,137931 1,275862 1,965517 …... 1,482759 2,65517 32,8275 ИЭ14 Матрица полномочий 1,814815 2,018519 1,648148 1,555556 0,925926 0,962963 1,555556 …... 1,092593 1,5 23,6296 СУММА по столбцу 28,0853 29,92886 26,92303 17,966 15,6895 18,0228 27,24325 …... 23,09346 29,0777 Сумма по строке характеризует степень защищенности информационного элемента. Экспертным путем было определено нормативное значение этой оценки, оно равно 25.0 (для рассматриваемого примера). Информационные элементы, имеющие более низкое значения, можно считать претендентами для усиления степени безопасности (список элементов для улучшения – УИЭ = {ИЭ3, ИЭ5, ИЭ6, ИЭ14}). Действия по модификации системы информационной безопасности: Формирование списка каналов утечки (КУ), воздействующих на элементы списка УИЭ. Используется матрица U (ненулевые значения); По каждому элементу ИЭ определяется наиболее «страдающий» аспект безопасности (доступность, целостность, конфиденциальность); По результатам выполнения п.2, для более эффективного перекрытия КУ, подбираются варианты возможных средств защиты, которые пополнят матрицы S и Z столбцами. Подбор рекомендуемых средств защиты производится по их характеристикам, и финансовым возможностям предприятия. Среди характеристик в первую очередь рассматривается защищаемый аспект безопасности; Заполняются значения расширенных матриц S и Z, оцениваются значения полученной эффективности защиты. Рассмотрим ИЭ6 («Эскиз и калькуляция») – комплект текстовых и графических файлов, выводимых на печать при использовании сетевого принтера, оценка эффективности защиты - 23.568, которую требуется повысить. Список каналов со значениями вредоносной активности на ИЭ6: КУ1 (активность 1), КУ2 (4), КУ2 (4), КУ13 (6), КУ14-18 (2), КУ19-21 (1), КУ24-26 (1), КУ27 (3), КУ2 (4), КУ28-29 (1), КУ30 (2), КУ31 (4), КУ32-33 (1), КУ39 (3). Выбираем наиболее существенные - КУ13 (несанкционированный просмотр) и КУ31 (ошибки ввода данных); Аспекты безопасности для защиты. По КУ13 воздействию подвергается конфиденциальность (разглашение разработок проектных решений, разглашение коммерческих данных ). По КУ31 воздействию подвергается целостность (ввод недостоверных данных по стоимостным и/или количественным параметрам); Дополнительные средства защиты. Усиление ответственности за разглашение – «Заключение соглашений о неразглашении» (NDA) – СрЗ 18. Повышение достоверности ввода данных (бланков договоров и чертежей) – «Контроль ввода данных: верификация» - СрЗ 19; По матрице S: Добавлены столбцы 18 и 19. Значение степени перекрытий 13-го канала 18-м средством защиты S 13 18 = 6 (Большая часть утечки перекрыта, обнаружение результатов вредоносного воздействия уверенно обнаруживается и в дальнейшем не повторяется), S 31 19 = 8 (высокая контролирующая способность верификации). По матрице Z: Добавлены столбцы 18 и 19. Z 6 18 = 0.818, Z 6 19 = 0.727, оценка эффективности защиты равна 25.103 . Усиление защиты достигнуто.

---

Похожие:

	Инструкция по организации антивирусной защиты информационных систем... «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных...		Методические рекомендации по обеспечению информационной безопасности... По обеспечению информационной безопасности в государственных информационных системах и защиты персональных данных в государственных...
	Овсянниковского сельского поселения распоряжени е Российской федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных...		Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных...
	Об организации и проведении работ по обеспечению безопасности персональных... Х обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской...		Инструкция пользователей и технология обработки персональных данных... Настоящая Инструкция определяет требования, права, обязанности, а так же порядок реализации задач и функций пользователей информационных...
	Методические рекомендации исполнительным органам государственной... Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных...		Приказ 30 декабря 2010 года №217 Об утверждении Инструкции по работе... В целях защиты персональных данных, используемых в министерстве финансов и налоговой политики Новосибирской области и реализации...
	Инструкция по организации антивирусной защиты в информационных системах... ПО, и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих информационные системы...		Руководство пользователя по обеспечению безопасности информационной... Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке...
	Инструкция по защите персональных данных, содержащихся в автоматизированных... Настоящая инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних...		Приказ о назначении должностного лица, ответственного за организацию... О назначении должностного лица, ответственного за организацию обработки персональных данных в информационных системах
	Мероприятия и документы по защите персональных данных Фз «О персональных данных» и Постановления Правительства Российской Федерации от 17. 11. 2007 №781 «Об утверждении Положения об обеспечении...		Администрация Егорлыкского района Ростовской области постановление Фз «О персональных данных», постановлением Правительства РФ от 01. 11. 2012 №119 «Об утверждении требований к защите персональных...
	Обработке в информационных системах персональных данных В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет		Муниципальное бюджетное общеобразовательное учреждение В целях соблюдения требований безопасности при обработке персональных данных в информационных системах персональных данных лицея

Руководство, инструкция по применению Инструкция, руководство по применению

---