WWW.DISS.SELUK.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА
(Авторефераты, диссертации, методички, учебные программы, монографии)

 

Методика разработки защищенных информационных технологий на основе сервисов безопасности

На правах рукописи

Фролов Геннадий Викторович

МЕТОДИКА РАЗРАБОТКИ ЗАЩИЩЕННЫХ ИНФОРМАЦИОННЫХ

ТЕХНОЛОГИЙ НА ОСНОВЕ СЕРВИСОВ БЕЗОПАСНОСТИ

Специальность 05.13.19 - «Методы и системы защиты информации,

информационная безопасность»

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Москва-2010 Диссертационная работа выполнена в отделе «Разработки и внедрения средств защиты информации в корпоративных информационных системах и технологиях» ФГУП «Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации».

Научный руководитель доктор технических наук Конявский Валерий Аркадьевич

Официальные оппоненты доктор технических наук Тарасов Александр Алексеевич кандидат технических наук Скиба Владимир Юрьевич

Ведущая организация Московский государственный технический университет им. Н.Э. Баумана

Защита диссертации состоится «29» октября 2010 г. в 10 час. 00 мин. на заседании диссертационного совета Д 219.007.02 во ФГУП «Всероссийском научно-исследовательском институте проблем вычислительной техники и информатизации» (ВНИИПВТИ) по адресу: 115114, г. Москва, 2-ой Кожевнический пер., д.8, ауд. 213.

С диссертацией можно ознакомиться в библиотеке ВНИИПВТИ (115114, г. Москва, 2-ой Кожевнический пер., д.8).

Автореферат разослан « » сентября 2010 г.

Ученый секретарь диссертационного совета Д 219.007. кандидат экономических наук П.П. Гвритишвили

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность работы. В настоящее время информационные технологии (ИТ) стали неотъемлемой частью повседневной жизни. На их основе удовлетворяются базовые потребности государства, бизнеса и гражданского общества по формированию, распространению, накоплению и потреблению информации.

Информационные технологии (ИТ) эффективны тогда, когда они соответствуют потребностям текущего времени. Быстро изменяющиеся методы работы, появление на рынке новых продуктов ИТ обуславливает потребность в создании новых и постоянной модификации и адаптации эксплуатирующихся информационных систем.





Для реализации новых общественных потребностей созданы высокоэффективные средства создания и развития ИТ. В частности, все большее развитие получает практика использования типовых решений, которые облегчают процесс разработки ИТ и снижают временные затраты.

В динамично развивающихся внешних условиях существенными становятся корпоративные знания и опыт, накопленный разработчиками информационных систем. Одной из основ систематизации является выделение типовых ситуаций и проектных решений, оптимальных (или рациональных) в этих ситуациях. Так как число возможных ситуаций огромно, то «запоминание» всех ситуаций невозможно, да и нецелесообразно. Обычно выделяется множество «похожих» ситуаций и используются одинаковые решения для ситуаций из одного и того же множества. Такие решения получили название «типовые».

Одновременно с развитием информационных технологий проводятся работы по исследованию теории и практики безопасности ИТ. Крупный вклад в развитие этого направления работ внесли академики Н. А. Кузнецов, К.В. Фролов, член-корреспондент РАН Теряев Е.Д., а также такие известные ученые, как В. А. Герасименко, А. А. Грушо, А. А. Стрельцов, А. Ю. Щербаков, В. А. Конявский, И. Б. Шубинский, В. Ю. Скиба и другие.

Усилиями этих ученых была сформирована база для дальнейшего обобщения теоретических и практических результатов и развития методологии проектирования систем информационной безопасности.

В то же время практические подходы к разработке подсистем безопасности принципиально не изменились за последние десятилетия. Не изменило ситуации и введение с 1 января 2004 г российского варианта «Общих критериев» ГОСТ Р ИСО/МЭК 15408-2002 г. Анализ практических подходов к обеспечению безопасности ИТ в соответствии с введенным стандартом показывает, что построение СЗИ является сложным и трудоемким процессом и не позволяет оперативно реагировать на изменение условий функционирования ИТ и/или ее модернизацию. Отсутствие конкретных требований и критериев для различных типов систем информационных технологий вынуждает разработчиков проектировать системы безопасности «с нуля». При этом в отсутствие развитого методического обеспечения, каждый разработчик реализует свой, неформализованный метод решения поставленной задачи. Как результат, в большинстве случаев системы безопасности создаются под «ключ», исключая их дальнейшее развитие без участия разработчиков.

Устаревшие механизмы проектирования систем безопасности стали сдерживающим фактором развития ИТ. Как результат, в ряде случаев собственник автоматизированной системы (АС) вынужден отказываться от использования систем безопасности, в тех же случаях, когда применение СЗИ является обязательным, сроки создания АС увеличиваются.

Возникает противоречие между потребностью общества в быстром развитии защищенных ИТ и практикой проектирования подсистем безопасности «с нуля», связанной с большими временными затратами.

Данное противоречие может быть снято при создании методики разработки подсистем безопасности ИТ на основе типовых решений. Типовые решения в области защиты информации могут основываться на технологии «полного перекрытия угроз». Каждой типовой угрозе из множества угроз может быть поставлено в соответствие типовое множество мер противодействия, которые в этом случае можно назвать типовым множеством сервисов безопасности.





Таким образом, создание методики разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности является актуальной задачей.

Целью работы является создание методики разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности.

Объектом исследования являются различные информационные технологии.

Предметом исследования – модели и методики разработки защищенных ИТ.

Решаемые задачи. Для достижения указанной цели необходимо решить следующие задачи:

выделить объекты защиты в современных ИТ и описать для них типовые множества угроз безопасности;

для каждой угрозы из типового множества угроз выделить и обеспечивающие полное перекрытие путей осуществления данной угрозы безопасности;

для каждого сервиса безопасности из типового множества сервисов безопасности выделить и описать типовые множества взаимоувязанных требований безопасности;

разработать и обосновать механизмы создания базы типовых решений по практической реализации требований безопасности на основе сервисов безопасности;

создать методику разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности.

Методология исследования. Теоретической и методологической основой диссертационной работы послужили исследования по важнейшим направлениям информационной безопасности, в том числе по основным аспектам защиты информационных технологий, а также аппарат теории принятия решений.

При решении задач диссертационного исследования использовался аппарат теории принятия решения системного анализа и математического программирования.

Источниковедческую базу исследования составили материалы научной периодики, конференций и семинаров, а также проектные разработки в области информационной безопасности.

Диссертационная работа по своему содержанию соответствует пунктам 10, 15 и 18 Паспорта специальности 05.13.19.

Научная новизна проведенных исследований и полученных в работе результатов заключается в следующем:

Предложен и обоснован новый (объектный) подход к идентификации угроз безопасности ИТ на основе анализа типовых совокупностей угроз, обеспечивающий решение этой задачи в среде функционирования ИТ различных масштабов, архитектуры Обоснована необходимость применения типизации прикладных решений подсистем безопасности ИТ на основе перечня сервисов безопасности. Показано, что использование сервисов безопасности обеспечивает рациональный выбор типовых прикладных решений.

Сформированы типовые множества сервисов безопасности, перекрывающие пути осуществления угроз безопасности к защищаемым объектам.

Сформированы типовые множества требований безопасности, взаимоувязанные с типовыми сервисами безопасности и типовыми угрозами, что позволяет обеспечить достаточный уровень защищенности ИТ при формировании требований собственником Разработана новая методика создания защищенных ИТ на базе сервисов безопасности. Отличительной особенностью методики является применение типовых решений по нейтрализации угроз безопасности защищаемых объектов.

Практическая ценность работы заключается в том, что основные положения, выводы и рекомендации диссертации ориентированы на разработку методики создания эффективных систем информационной безопасности на базе сервисов безопасности. Использование этих средств позволяет значительно повысить качество защиты информационных технологий, а также упростить процесс разработки систем безопасности ИТ и снизить временные затраты.

Результаты исследований доведены до конкретных методик, алгоритмов и рекомендаций по их использованию.

К основным результатам исследования, имеющим практическое значение, относится методика создания защищенных ИТ на базе сервисов безопасности и автоматизированная система поддержки принятия решений.

Проведенные в диссертационной работе исследования и полученные в ней результаты являются усовершенствованием существующих подходов к созданию систем защиты информационных технологий.

На защиту выносятся следующие основные результаты работы:

Типовые множества угроз безопасности для объектов защиты в Типовые сервисы безопасности для каждой угрозы из типового множества угроз, обеспечивающие полное перекрытие путей осуществления угрозы безопасности.

Типовые множества взаимоувязанных требований безопасности для каждого сервиса безопасности типового множества сервисов Методика создания базы типовых решений по практической реализации требований безопасности на основе сервисов Методика разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности.

Апробация и внедрение результатов исследования. Проведенные в диссертации исследования непосредственно связаны с реализацией Федеральной целевой программы «Электронная Россия», а также планами научно-исследовательских работ ВНИИПВТИ по разработке систем защиты информационных технологий.

Материалы диссертационного исследования использовались в НИР по теме «Проверка обоснованности технико-экономических показателей разработки и ввода в действие ЕИТКС ОВД» (выполняемой в соответствии с государственным контрактом №129-2006/84 от 15 июля 2006 г.). Был проведен анализ проектных решений по созданию компонент «Единая система информационной безопасности» (ЕСИБ) основной компоненты единой информационной телекоммуникационной системы органов внутренних дел (ЕИТКС ОВД).

Предложенная в диссертации методика также была использована при реализации НИР по теме «Разработка механизмов интеграции ПСКЗИ ШИПКА с системами вычисления и проверки кодов аутентификации (КА), функционирующими в Банке России». Её применение позволило существенно повысить эффективность систем защиты и ожидаемого уровня потерь из-за несанкционированного доступа к ней, а также существенно снизить уровень ожидаемых потерь.

Материалы диссертационной работы, касающиеся каталогов «Угрозы»

и «Меры противодействия», были практически использованы ОИПИ НАН Беларуси при разработке профилей защиты автоматизированного рабочего места и локальной вычислительной сети в рамках НИР «Эталон», а также при оценке качества задания по безопасности объектов информационных технологий.

Теоретические и практические результаты диссертации были использованы при чтении учебного курса «Теория систем безопасности» для специальностей Т.23.03.00 - «Технические средства обеспечения безопасности» и Т.13.01 - «Метрология, стандартизация и сертификация» в Белорусском национальном техническом университете.

Основные положения диссертации докладывались и получили одобрение на 10 – 15 Международных НТК «Комплексная защита информации»

(Суздаль, 2006; Минск, 2007; Москва, 2008; Минск, 2009; Иркутск, 2010), а также на семинарах по проблемам сертификации защищенных информационных технологий, проводимых в объединенном институте проблем информатики НАН РБ.

Публикации. Основные результаты диссертации опубликованы в 8-и печатных работах, общим авторским объёмом 5,5 п.л. Из них 1 монография, раздел коллективной монографии, 6 печатных работ, в том числе 1 работа в журнале, рекомендованном ВАК.

Структура и объем работы. Диссертация состоит из введения, трех глав и заключения, списка литературы из 122 позиций. Объем - 128 страниц, 4 таблицы, 29 рисунков.

СОДЕРЖАНИЕ РАБОТЫ

В первой главе анализируется существующая практика разработки защищенных ИТ и исследуются пути достижения цели данной работы.

В настоящее время можно выделить два основных практических подхода к обеспечению безопасности ИТ. В основе первого лежит нормативно-методологическая база образованная Руководящими документами Гостехкомиссии России, второго - ГОСТ Р ИСО/МЭК 15408г., являющийся Российским вариантом «Общих критериев» (ОК).

Первый подход содержит элементы типизации проектных и прикладных решений в области защиты информации, в основе которых лежит понятие «класс защищенности». Данный подход обладает несомненными преимуществами, такими как простота практического применения, высокая скорость разработки, применение опробованных проектных и прикладных решений. Однако имеется и существенный недостаток – он учитывает в основном задачи обеспечения конфиденциальности информации, оставляя без должного внимания вопросы обеспечения ее целостности и доступности. Поэтому его применение для разработки систем безопасности ИТ не соответствует современным требованиям.

С принятием в 2004 г. ГОСТ Р ИСО/МЭК 15408-2002 г появился новый стандартизированный подход к разработке защищенных ИТ. Однако он до сих пор не получил широкого практического применения. Отсутствие в ОК конкретных типовых требований и критериев для различных типов систем информационных технологий вынуждает разработчиков проектировать системы безопасности «с нуля». При этом в отсутствии развитого методического обеспечения, каждый разработчик реализует свой, неформализованный метод решения поставленной задачи. Как результат, в большинстве сопровождение и модернизация систем безопасности без участия разработчиков невозможна. При этом процесс разработки является сложным и трудоемким. Описанный в ОК подход позволяет получать качественные оценки уровня защищенности ИТ, которые уступают в объективности количественным оценкам1.

В работе предлагается основывать типовые решения в области защиты информации на технологии «перекрытия угроз».

В технологии «перекрытия угроз» рассматривается взаимодействие "области угроз", "защищаемой области" (ресурсов АС) и "системы защиты" (механизмов безопасности ИТ). Использование данной технологии при разработке системы защиты ИТ требует создания соответствующих моделей.

На практике построение таких моделей затруднено, т. к. эти понятия недостаточно формализованы и систематизированы. В отсутствие универсального подхода к определению угроз и объектов защиты информационных технологий каждый разработчик реализует свой неформализованный метод их определения для каждой конкретной ИТ. При этом отсутствуют гарантии качества полученного результата и возможности его использования в других разработках.

В связи с этим первым этапом решения поставленной задачи было выделение объектов защиты в современных ИТ, классификация и описание множества угроз безопасности ИТ.

В настоящее время при решении практических задач защиты информации в качестве объектов защиты выступают технические и программные средства обработки информации, каналы связи и данные. В работах, посвященных вопросам защиты информационных технологий электронного документооборота обосновано выделение нового объекта защиты в системах электронного документооборота – информационной (компьютерной) технологии как упорядоченной последовательности Уткин Л.В., Шубинский И.Б. Нетрадиционные методы оценки надежности информационных систем //Под ред. И. Б. Шубинского – СПб.: Любавич, 2000, 173 с.

операций обработки данных2. Так как в литературе по защите информации термин «информационная технология» используется в более широком смысле, представляется целесообразным для обозначения нового объекта защиты использовать термин «технологический процесс».

Таким образом, в данной работе в качестве объектов защиты ИТ выделены:

технические средства ИТ (ТС);

программные средства ИТ (ПС);

технологический процесс (ТП).

В основу определения угроз безопасности ИТ положена идея взаимоувязывания угроз с объектами защиты ИТ, что предполагает наличие пяти классов угроз, соответствующих выделенным объектам защиты ИТ.

Описание угроз безопасности должно обеспечить возможность идентификации угроз безопасности в среде функционирования ИТ различных масштабов, архитектуры и области применения, т.е. описанные угрозы должны быть типовыми. Для этого предлагается описывать угрозы на уровне детализации, соответствующем пяти выделенным структурным компонентам ИТ.

Помимо построения моделей угроз и защищаемой области разработчик защищенной ИТ описывает множество мер противодействия, которые должны перекрыть пути осуществления угроз безопасности к защищаемым объектам. Как правило, угроза может быть реализована несколькими способами, поэтому следует говорить о множестве путей осуществления, связанных с угрозой безопасности ИТ. Отсюда следует, что каждой угрозе должны быть сопоставлены соответствующие множества мер противодействия. Так как в нашем случае описываются типовые угрозы ИТ, то им можно сопоставить типовые меры противодействия.

Вторая глава посвящена созданию методики разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности.

Наиболее важным моментом при использовании технологий, основанных на использовании типовых решений, является базовое определение типового элемента.

Для решения данной задачи систему защиты ИТ предлагается трактовать как совокупность сервисов (услуг) безопасности, предоставляемых прикладной подсистеме ИТ. В этом случае сервис рассматривается, как способность системы безопасности ИТ реализовать определенную типовую меру противодействия угрозе. Следовательно, для Конявский В. А., Гадасин В. А. Основы понимания феномена электронного обмена информацией. Мн., 2004. Конявский В. А. Методы и аппаратные средства защиты информационных технологий электронного документооборота: автореферат на соискание ученой степени доктора технических наук. Москва, 2005.

противодействия угрозе должно быть реализовано множество типовых сервисов безопасности, соответствующее множеству типовых мер противодействия.

Таким образом, система защиты ИТ представляет собой совокупность сервисов безопасности, которые могут быть реализованы в среде функционирования ИТ, в самой ИТ (путем использования защищенных средств ИТ) или средствами защиты информации.

Множество угроз Рис. 1. Модель системы защиты, содержащей три подмножества сервисов безопасности Модель системы описывается тройкой:

T – множество угроз, T =(Ti);

О – множество объектов защищаемой системы О =(Оj);

C – множество сервисов безопасности C =( C k).

Множество O разбито на взаимно непересекающиеся подмножества О1 - технические средства обработки информации;

О2 - программные средства обработки информации;

О3 - каналы связи;

О5 - технологический процесс.

Множество угроз T разбито на взаимно непересекающиеся подмножества:

T1 – конечное дискретное множество угроз техническим средствам обработки информации;

T2 – конечное дискретное множество угроз программным средствам обработки информации;

T3 – конечное дискретное множество угроз каналам связи;

T4 – конечное дискретное множество угроз данным;

T5 – конечное дискретное множество угроз технологическому процессу.

Каждую угрозу Tij из множества угроз перекрывает соответствующее множество сервисов безопасности:

где n – количество сервисов безопасности, противодействующих угрозе Tij.

Это условие означает, что каждой угрозе Tij из множества угроз T соответствует подмножество сервисов безопасности 1 множества сервисов C.

Предлагаемый подход обеспечивает полное перекрытие угроз, т. к.

каждому классу объектов соответствует весь перечень возможных угроз, как для всего класса объектов, так и для каждого объекта в классе.

Так как каждой угрозе поставлен в соответствие перечень сервисов безопасности, обеспечивающих полное перекрытие конкретной угрозы, то все множество сервисов безопасности обеспечивает полное перекрытие множества всех угроз.

Каждому типовому сервису безопасности сопоставлены множества требований безопасности. Эти множества разработаны на основе каталога требований безопасности, содержащегося в ОК.

Из подхода к моделированию системы безопасности ИТ как совокупности типовых сервисов безопасности следует, что сервисный подход целесообразно применить и к описанию прикладных решений в области защиты информации. Средство ИТ или средство защиты, реализующее типовой сервис безопасности в данном случае можно рассматривать как типовое. Для оценки способности средств ИТ или средств защиты информации реализовывать сервисы безопасности, каждому сервису безопасности сопоставлены множества требований безопасности, разработанные на основании каталога функциональных требований безопасности ОК.

Во втором разделе данной главы рассматривается метод формирования требований к системе безопасности ИТ как совокупности типовых сервисов, обеспечивающих необходимый уровень защищенности ИТ.

Процесс разработки защищенных ИТ с применением типовых решений предлагается проводить в соответствии с методикой, разработанной на основе методологии ОК. Методика предполагает выполнение трех основных этапов: разработка профиля защиты (ПЗ) ИТ, разработка задания по безопасности (ЗБ) ИТ и оценка защищенности ИТ.

Основной идеей предлагаемой методики является выделение в качестве типового элемента проектного и прикладного решения в области защиты информации сервиса безопасности. В связи с этим цели разработки профиля защиты ИТ, задания по безопасности ИТ и оценки защищенности ИТ можно сформулировать следующим образом. Цель разработки ПЗ ИТ – определение множества сервисов безопасности, которые должны быть реализованы в ИТ и среде ее функционирования, для того чтобы была обеспечена защищенность ИТ. Цель разработки задания по безопасности ИТ – выбор средств ИТ и средств защиты информации, которые в совокупности реализуют сервисы безопасности ИТ, заданные в ПЗ. Цель проведения оценки защищенности ИТ – подтверждение того, что в ИТ фактически реализованы все необходимые сервисы безопасности и их реализация соответствует заданному оценочному уровню доверия. В процессе разработки используются базы данных угроз, сервисов безопасности, требований безопасности, средств ИТ и средств защиты информации, оцененных по сервисам безопасности.

Алгоритм разработки ПЗ ИТ согласно предлагаемой методике будет следующим. На первом этапе разработчик определяет объекты ИТ, соответствующие каждому из пяти определенных ранее обобщенных объектов ИТ, подлежащих защите. В случае если идентифицируется хотя бы один объект соответствующего типа, необходимо описать для него угрозы безопасности на основании перечня типовых угроз для объектов данного класса. Далее на основании множества типовых сервисов безопасности описываются сервисы безопасности, которые должны быть реализованы, чтобы обеспечить защищенность ИТ. Сервисы безопасности могут быть реализованы как самой ИТ, так и средой ее функционирования. Для разграничения «ответственности» за их реализацию разработчик формулирует предположения безопасности, каждое из которых представляет собой утверждение, что определенный сервис безопасности реализуется средой функционирования ИТ. По окончании этого этапа на основании множества предположений безопасности формируется раздел ПЗ «Цели безопасности для среды ИТ». Сервисы безопасности, не попавшие в этот раздел формируют раздел ПЗ «Цели безопасности для ИТ».

Согласно ОК ПЗ включает разделы, содержащие требования безопасности. В рамках предлагаемой методики при разработке ПЗ необходимо разработать требования по реализации сервисов безопасности в ИТ. Сервисы безопасности должны быть сформированы в соответствии с дополнительными условиями, определяемыми правилами политики безопасности. Правилами политики безопасности задаются реализуемые криптографические алгоритмы, модели управления доступом, роли безопасности пользователей и т.д.

Помимо функциональных требований безопасности сервис безопасности должен соответствовать и требованиям доверия, представленным в виде оценочного уровня доверия (ОУД).

В третьем разделе данной главы разрабатывается метод практической реализации системы безопасности ИТ с использованием базы типовых решений на основе сервисов безопасности.

При разработке задания по безопасности ИТ разработчик использует базу данных средств ИТ и средств защиты информации, оцененных по сервисам безопасности. В базе данных содержится информация по двум категориям: реализуемые объектом оценки сервисы безопасности и параметры сервиса безопасности, обеспечиваемые объектом. В процессе разработки ЗБ ИТ разработчик должен выбрать средства ИТ и средства защиты, которые реализует определенные в ПЗ сервисы безопасности и способны обеспечить заданные параметры сервисов безопасности в соответствии с заданным уровнем доверия.

В процессе разработки ЗБ может возникнуть ситуация, когда невозможно выбрать средства ИТ или средства защиты информации, реализующие все необходимые сервисы безопасности, либо средства ИТ или средства защиты информации не обеспечивают необходимый уровень доверия, либо выбранные средства реализуют избыточные сервисы безопасности. Первая и вторая ситуации требуют разработки средств защиты информации, реализующих недостающие сервисы безопасности или обеспечивающих необходимый уровень доверия, либо переноса недостающих сервисов безопасности в среду функционирования ИТ. Вторая с точки зрения защищенности ИТ не критична, однако по каким-либо другим соображениям разработчик может «облегчить» требования к среде функционирования ИТ.

В четвертом разделе данной главы предлагается метод оценки защищенности ИТ на основе типовых сервисов безопасности.

В рамках рассматриваемой методики используется метод качественной оценки защищенности путем сравнения заданного в ПЗ ИТ множества сервисов безопасности с перечнем фактически реализованных сервисов безопасности, указанных в ЗБ ИТ. Помимо этого оценщик проводит анализ того, обеспечивают ли реализованные сервисы безопасности параметры, определенные правилами политики безопасности организации. Оценка наиболее актуальна, в случае использования средств ИТ или средств защиты информации не включенных в базу данных средств, оцененных по сервисам безопасности.

Оценка защищенности ИТ не ограничивается определением множества фактически реализованных системой безопасности ИТ сервисов безопасности. Оценщик кроме этого должен подтвердить правильность выполнения правил политики безопасности организации и обеспечения заданного оценочного уровня доверия сервисами безопасности.

автоматизированной системы поддержки принятия решений. (АСППР) реализующей методику разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности.

В процессе разработки защищенных ИТ разработчик вынужден манипулировать значительными объемами информации. Как показывает практика, автоматизация данного процесса позволит более оперативно генерировать различные варианты защиты, сравнивать их между собой с точки зрения эффективности и в результате выбирать оптимальный вариант построения или модификации защиты информационной системы.

АСППР включает в себя три модуля: модуль разработки профиля защиты, модуль разработки задания по безопасности и модуль оценки защищенности ИТ.

Помимо этого АСППР включает справочные базы данных: типовых угроз безопасности ИТ, типовых правил политики безопасности, типовых предположений безопасности, типовых сервисов безопасности, множеств требований безопасности и типовых решений на основе сервисов безопасности.

БД типовых угроз БД типовых преположений безопасности БД типовых правил политики БД типовых сервисов БД типовых множеств Рис. 2. Модульная структура автоматизированной системы поддержки принятия решений Модуль разработки профиля защиты ИТ позволяет пользователю АСППР выполнить следующие задачи:

идентифицировать объекты защиты рассматриваемой ИТ;

идентифицированных объектов защиты ИТ;

для каждой угрозы описать типовые множества сервисов безопасности, обеспечивающих полное перекрытие путей осуществления данной угрозы безопасности;

описать предположения безопасности, касающиеся среды функционирования рассматриваемой ИТ;

описать сервисы безопасности, которые должны быть реализованы в среде функционирования ИТ;

описать сервисы безопасности, которые должны быть описать множества требований безопасности для каждого сервиса безопасности;

описать требуемые характеристики сервисов безопасности путем формулировки правил политики безопасности организации;

сформировать профиль защиты ИТ.

Модуль разработки задания по безопасности позволяет:

для каждого множества требований безопасности выбрать типовые решения по их практической реализации;

сформировать задание по безопасности ИТ.

Модуль оценки защищенности ИТ позволяет:

сопоставить множество сервисов безопасности, определенных в профиле защиты ИТ с множеством фактически реализованных сервисов безопасности задания по безопасности;

определить соответствие реализации сервисов безопасности правилам политики безопасности и оценочному уровню доверия;

сформировать заключение оценки.

Автоматизировать данный процесс позволяет следующая структура справочной базы данных.

Объекты защиты Рис. 3. Структура базы данных автоматизированной системы поддержки принятия решений Таблицы базы данных взаимосвязаны друг с другом. Эти связи характеризуются либо соотношением «один к одному» (обозначено на схеме '1 – 1'), когда записи в одной таблице соответствует единственная запись в другой таблице, либо соотношением «один ко многим» (обозначено на схеме '1 – '), когда записи в одной таблице соответствует несколько записей в другой таблице.

Автоматизированная система реализована как Windows - приложение с графическим пользовательским интерфейсом.

В заключении обобщаются результаты проделанной работы, а также определяются направления дальнейших исследований.

Основные результаты исследования:

Сформулированы типовые множества угроз безопасности для объектов защиты в современных ИТ.

Сформулированы типовые сервисы безопасности для каждой угрозы из типового множества угроз, обеспечивающие полное перекрытие путей осуществления угрозы безопасности.

Разработаны типовые множества взаимоувязанных требований безопасности для каждого сервиса безопасности из типового множества сервисов безопасности.

Разработана методика создания базы типовых решений по практической реализации требований безопасности на основе сервисов безопасности.

Разработана методика создания защищенных ИТ с применением типовых решений на основе сервисов безопасности.

Основные положения диссертации опубликованы в работах:

Монографии и разделы коллективных монографий:

автоматизированных банковских и офисных систем. Мн., 1996. – Компьютерная преступность и информационная безопасность. – Мн.: АРИЛ, 2000. – Глава 11: Гарантированная защита автоматизированных системах / Конявский В. А., Фролов Г. В. – Статьи в журналах, рекомендованных ВАК для публикации основных результатов диссертационных работ:

Фролов Г. В. Типизация проектных и прикладных решений в области защиты информации при разработке защищенных информационных технологий // Безопасность информационных технологий. М., 2009. № 3. С. 148-154 (0,8 п.л.).

Материалы конференций:

Фролов Г. В., Насекайло О. А. О разработке профиля защиты автоматизированных информационных систем // Комплексная защита информации. Материалы Х Международной конференции 4-7 апреля 2006 года, Суздаль (Россия). Мн.: Амалфея, 2006. – С.146-150 (0,2 п.л.).

Фролов Г. В., Насекайло О. А. Классификация и идентификация угроз безопасности информации // Комплексная защита информации. Материалы ХI Международной конференции 20- марта 2007 года, Новополоцк (Республика Беларусь). Мн.:

Амалфея, 2007. – С.224-225(0,1 п.л.).

Фролов Г. В. О содержании профиля защиты автоматизированной системы обработки данных // Информация и глобализация социально-экономических процессов. Материалы II Международно-практической конференции (Москва, 21 ноября 2007 г.). ВНИИПВТИ, 2007 – С.249-250 (0,1 п.л.).

Фролов Г. В., Насекайло О. А. Актуальные вопросы защиты информации при разработке объекта информатизации. Материалы ХII Международной конференции 4-7 апреля 2006 года, Ярославль (Россия). М.: РФК-Имидж Лаб, 2008. – С.184-185 (0,1 п.л.).

информационных технологий методом «сервисов безопасности».

Материалы XIV Международной конференции 19-22 мая года, Могилев (Республика Беларусь). Мн.: Амалфея, 2009. – С.234-236 (0,2 п.л.).

МЕТОДИКА РАЗРАБОТКИ ЗАЩИЩЕННЫХ ИНФОРМАЦИОННЫХ

ТЕХНОЛОГИЙ С ПРИМЕНЕНИЕМ ТИПОВЫХ РЕШЕНИЙ НА

ОСНОВЕ СЕРВИСОВ БЕЗОПАСНОСТИ

Подписано в печать 17.11.09. Формат 60х84 1/16. Бумага офсетная.

Отпечатано с оригинал-макета в типографии «Вишневый пирог»

115114, г. Москва, 2-й Кожевнический пер.,

Похожие работы:

«Маликова Елена Егоровна РАЗРАБОТКА МЕТОДА СТОХАСТИЧЕСКОГО ГРУППОВОГО ПОЛЛИНГА В БЕСПРОВОДНЫХ СЕТЯХ МОНИТОРИНГА И ТЕЛЕМЕТРИИ Специальность 05.12.13 Системы, сети и устройства телекоммуникаций АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук Москва 2011 Работа выполнена на базовой кафедре Информационных сетей и систем при ИРЭ РАН в Государственном образовательном учреждении высшего профессионального образования Московский технический университет...»

«ЮРЧЕНКО Андрей Васильевич ЧИСЛЕННОЕ РЕШЕНИЕ КРАЕВЫХ ЗАДАЧ УПРУГОГО ДЕФОРМИРОВАНИЯ КОМПОЗИТНЫХ ОБОЛОЧЕК ВРАЩЕНИЯ 05.13.18 математическое моделирование, численные методы и комплексы программ АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата физико–математических наук НОВОСИБИРСК 2005 Работа выполнена в Институте вычислительных технологий Сибирского отделения Российской академии наук (г. Новосибирск) Научный руководитель : кандидат физико–математических наук, доцент...»

«УДК 514.763.85+517.95 КУШНЕР Алексей Гурьевич КЛАССИФИКАЦИЯ УРАВНЕНИЙ МОНЖА-АМПЕРА 01.01.04 геометрия и топология, 01.01.02 дифференциальные уравнения АВТОРЕФЕРАТ диссертации на соискание ученой степени доктора физико-математических наук Казань 2010 Работа выполнена на кафедре Прикладная математика и информатика ГОУ ВПО Астраханский государственный университет Научный консультант : доктор физико-математических наук, профессор Лычагин Валентин Васильевич Официальные оппоненты...»

«АГИБАЛОВ Сергей Александрович ИНТЕГРАЛЬНЫЕ И ДИСКРЕТНЫЕ МОДЕЛИ ПРОЦЕССОВ ФАЗОВОЙ СИНХРОНИЗАЦИИ АВТОКОЛЕБАТЕЛЬНЫХ СИСТЕМ Специальность 01.04.03 – Радиофизика Автореферат диссертации на соискание ученой степени кандидата физико-математических наук Самара - 2011 Работа выполнена на кафедре радиофизики и компьютерного моделирования радиосистем ГОУ ВПО Самарский государственный университет Научный руководитель : кандидат физико-математических наук, профессор В.В. Зайцев...»

«Седов Алексей Владимирович Математические модели, методы и алгоритмы построения размеченных корпусов текстов 05.13.18 — математическое моделирование, численные методы и комплексы программ АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук Петрозаводск — 2013 г. Работа выполнена на кафедре теории вероятностей и анализа данных ФГБОУ ВПО Петрозаводский государственный университет Научный руководитель : Рогов Александр Александрович доктор технических...»

«Нгуен Ань Туан ИССЛЕДОВАНИЕ ОСОБЕННОСТЕЙ РАБОТЫ ЭХОПОДАВЛЯЮЩИХ УСТРОЙСТВ НА СЕТИ МОБИЛЬНОЙ СВЯЗИ ВЬЕТНАМА. Специальность 05.12.13 - Системы, сети и устройства телекоммуникаций АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук Москва – 2012 Работа выполнена на кафедре многоканальной электросвязи Федерального государственного образовательного бюджетного учреждения высшего профессионального образования Московский технический университет связи и...»

«Приходько Инна Павловна АЛЛЕОТЕТЫ: КОГНИТИВНОЕ СОДЕРЖАНИЕ И ЛИНГВОПРАГМАТИЧЕСКИЕ ХАРАКТЕРИСТИКИ (на материале русского и английского языков) Специальность 10.02.19 – теория языка Автореферат диссертации на соискание ученой степени кандидата филологических наук Ростов-на-Дону - 2007 2 Работа выполнена на кафедре перевода и информатики Педагогического института ФГОУ ВПО Южный федеральный университет Научный руководитель : доктор филологических наук, профессор Ласкова Марина...»

«Корябкина Ирина Валентиновна Эффективные способы и средства описания изображений в задачах распознавания Специальность 05.13.17 - Теоретические основы информатики Автореферат диссертации на соискание ученой степени кандидата технических наук Москва 2006 Работа выполнена в Вычислительном центре им. А.А. Дородницына Российской академии наук Научный руководитель : кандидат физико-математических наук И.Б. Гуревич Официальные оппоненты : доктор технических наук, профессор В.С....»

«КОТЬКИН СТАНИСЛАВ ВЯЧЕСЛАВОВИЧ СИСТЕМА АВТОМАТИЗАЦИИ МОДЕЛИРОВАНИЯ СТРЕЛОВЫХ ГРУЗОПОДЪЕМНЫХ КРАНОВ Специальность 05.13.12 – Системы автоматизации проектирования (промышленность) АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук Омск – 2012 Работа выполнена в ФГБОУ ВПО  Сибирская государственная автомобильно-дорожная академия (СибАДИ). Научный руководитель : доктор технических наук, профессор Щербаков Виталий Сергеевич, декан факультета...»

«Платонова Оксана Юрьевна РЕШЕНИЕ НЕКОТОРЫХ АЛГОРИТМИЧЕСКИХ ПРОБЛЕМ В ГРУППАХ АРТИНА С ДРЕВЕСНОЙ СТРУКТУРОЙ 01.01.06 — математическая логика, алгебра и теория чисел АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата физико-математических наук Ярославль - 2013 Работа выполнена в Федеральном государственном бюджетном образовательном учреждении высшего профессионального образования Тульский государственный педагогический университет им. Л.Н. Толстого на кафедре...»

«Медведев Андрей Александрович Методы и устройства компенсации искажений спектров сигналов изображения цифрового вещательного телевидения Специальность 05.12.04 – Радиотехника, в том числе системы и устройства телевидения АВТОРЕФЕРАТ диссертации на соискание учёной степени кандидата технических наук Москва-2010 Работа выполнена на кафедре телевидения Государственного образовательного учреждения Московский технический университет связи и информатики (МТУСИ) Научный руководитель...»

«Арланова Екатерина Юрьевна Нелокальные краевые задачи для уравнений гиперболического и смешанного типов 01.01.02 – дифференциальные уравнения Автореферат диссертации на соискание ученой степени кандидата физико-математических наук Белгород – 2009 Работа выполнена на кафедре прикладной математики и информатики Самарского государственного технического университета. Научный руководитель : доктор физико-математических наук, профессор, Репин Олег Александрович Официальные...»

«СЫЧЕВ АРТЕМ МИХАЙЛОВИЧ ОБОСНОВАНИЕ ТРЕБОВАНИЙ К МЕЖСЕТЕВЫМ ЭКРАНАМ И СИСТЕМАМ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ В РАСПРЕДЕЛЕНННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ Специальность 05.13.19 – Методы и системы защиты информации, информационная безопасность Автореферат диссертации на соискание ученой степени кандидата технических наук Санкт - Петербург, 2002 г. 2 Работа выполнена на кафедре Информационная безопасность компьютерных систем Санкт – Петербургского Государственного Технического...»

«Коннова Лариса Петровна Преемственность между предпрофильной и профильной школой в элективном обучении математическому моделированию с помощью графов 13.00.02 - теория и методика обучения и воспитания (математика) АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата педагогических наук Москва-2009 2 Работа выполнена на кафедре высшей математики и информатики Самарского филиала Московского городского педагогического университета кандидат физико-математических наук,...»

«Зелютков Евгений Александрович ВЛИЯНИЕ ХРОМАТИЧЕСКОЙ ДИСПЕРСИИ ПРИ ВЫБОРЕ ОПТИМАЛЬНОЙ ДЛИНЫ РЕГЕНЕРАЦИОННОГО УЧАСТКА НА ВОЛОКОННО-ОПТИЧЕСКОЙ ЛИНИИ СВЯЗИ Специальность 05.12.13 - Системы, сети и устройства телекоммуникаций АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук Москва-2009 Работа выполнена на кафедре линии связи Государственного образовательного учреждения высшего профессионального образования Московский технический университет связи и...»

«ПЛУТНИЦКИЙ Андрей Николаевич СРАВНИТЕЛЬНАЯ ОЦЕНКА ЭФФЕКТИВНОСТИ ТЕХНОЛОГИЙ ОКАЗАНИЯ МЕДИЦИНСКОЙ ПОМОЩИ 14.00.33 – Общественное здоровье и здравоохранение АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата медицинских наук Москва – 2007 Работа выполнена в ГУ Национальном научно-исследовательском институте общественного здоровья РАМН. Научный руководитель : доктор медицинских наук, профессор Линденбратен Александр Леонидович Официальные оппоненты : доктор медицинских...»

«Шалабаев Павел Сергеевич ОБЕСПЕЧЕНИЕ УСТОЙЧИВОГО ЭКОНОМИЧЕСКОГО РАЗВИТИЯ ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙ НА ОСНОВЕ РЕАЛИЗАЦИИ КОНЦЕПЦИИ МОДЕРНИЗАЦИИ Специальность 08.00.05 – Экономика и управление народным хозяйством (экономика, организация и управление предприятиями, отраслями, комплексами - промышленность) АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата экономических наук Нижний Новгород – 2014 Диссертационная работа выполнена в ФГБОУ ВПО Нижегородский...»

«Дубовой Егор Сергеевич ДИФРАКЦИЯ ПЛОСКИХ ЭЛЕКТРОМАГНИТНЫХ ВОЛН НА СЛОИСТЫХ КИРАЛЬНЫХ СТРУКТУРАХ Специальность 01.04.03 – Радиофизика Автореферат диссертации на соискание ученой степени кандидата физико-математических наук Волгоград – 2006 Работа выполнена на кафедре прикладной физики Волгоградского государственного университета Научный руководитель : доктор технических наук, профессор В.В. Яцышен Официальные оппоненты : доктор...»

«ПАРФЁНОВ ДЕНИС ИГОРЕВИЧ ИССЛЕДОВАНИЕ РАСПРЕДЕЛЕНИЯ РЕСУРСОВ В ИНТЕРАКТИВНЫХ СЕРВИСАХ ИНФОКОММУНИКАЦИОННЫХ СЕТЕЙ 05.12.13 – Системы, сети и устройства телекоммуникаций АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук Самара – 2014 Работа выполнена в федеральном государственном бюджетном образовательном учреждении высшего профессионального образования Оренбургский государственный университет (ОГУ). Научный руководитель доктор технических наук,...»

«ТИХОМИРОВ Алексей Владимирович КОНЦЕПЦИЯ СОЦИАЛЬНО-ОРИЕНТИРОВАННОЙ МОДЕРНИЗАЦИИ ЗДРАВООХРАНЕНИЯ 14.00.33 – Общественное здоровье и здравоохранение АВТОРЕФЕРАТ диссертации на соискание ученой степени доктора медицинских наук Ростов-на-Дону - 2008 -2 Работа выполнена в Ростовском научно-исследовательском онкологическом институте Министерства здравоохранения и социального развития Российской Федерации (344037, г. Ростов-на-Дону, ул. 14 линия, 63). член-корреспондент РАМН, доктор...»






 
© 2013 www.diss.seluk.ru - «Бесплатная электронная библиотека - Авторефераты, Диссертации, Монографии, Методички, учебные программы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.