CC BY
74
УДК 316.48:519.87
Е. А. Попова
Астраханский государственный технический университет
О ПРОЦЕДУРЕ ПРОВЕДЕНИЯ СИСТЕМНОГО АНАЛИЗА ЗАДАЧ В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Введение
В настоящее время имеется достаточно много методик системного анализа различных проблем. Однако в открытой литературе нет приложений этих методик к анализу задач информационной безопасности.
Системный подход к решению задач, связанных с информационной безопасностью, актуален, поскольку основным источником угроз в сфере информационной безопасности является злоумышленник, который, в конце концов, обычно находит точки уязвимости в системе защиты, если таковые имеются. Вследствие этого полноценная система безопасности должна быть комплексной, имеющей всесторонний характер, и закрывать все потенциально возможные каналы утечки информации. Комплексное решение проблемы возможно только на основе системного подхода.
Системный подход необходимо реализовать прежде всего в задачах формирования множества угроз, анализа возможных каналов утечки и уязвимости системы, формирования множества задач, решение которых обеспечивает требуемые уровни информационной безопасности.
По первым двум классам задач имеется достаточно много работ [1-3]. Нами рассматривается третья задача, последняя из перечисленных - проблема формирования относительно полного множества задач обеспечения информационной безопасности.
Процедура системного анализа
Процесс формирования относительно полного множества задач обеспечения информационной безопасности опирается на одну из известных процедур построения дерева целей - методику Сагатовского.
Основная методика построения дерева целей сводится к уточнению, проецированию цели последовательно по некоторой совокупности показателей до тех пор, пока не получится совокупность конкретных, привязанных к реальным условиям задач. Отметим, однако, что совокупность задач может быть очень большой.
Наиболее содержательной из подобных методик является методика Сагатовского (пирамида Сагатовского) [2, с. 253-256]. Она имеет семь уровней детализации. Полное её применение часто приводит к совокупности из нескольких десятков тысяч конкретных задач. Прямое её применение в задачах информационной безопасности не вполне приемлемо, поскольку некоторые уровни детализации очевидны (например, конечный продукт), и в то же время отсутствуют другие виды детализации, например территориально-временные. Примером реализации системного подхода к сфере защиты информации является методика, изложенная в [4]. На основе методики, описанной в [4], в [5] сформировано порядка трехсот оптимизационных задач по защите информации. В [5] предлагается методика формирования оптимизационных задач защиты информации путем детализации по пяти параметрам, которая, однако, не имеет явно выраженной древовидной структуры, как в методике Сагатовского.
Мы предлагаем древовидную структуру разбиения проблем защиты информации по совокупности отдельных задач, которые в значительной степени объединяют достоинства метода Сагатовского и методики, изложенной в [4]. Диаграмма методики системного анализа задач информационной безопасности представлена на рисунке.
В предлагаемой методике шесть уровней иерархии - шесть уровней детализации.
На первом уровне - глобальные цели применительно к задаче защиты информации. Это может быть классификация угроз на конкретном объекте, обеспечение информационной безопасности, классификация средств противодействия угрозам, совершенствование системы противодействия угрозам и т. д.
На втором уровне указанные глобальные цели детализируются по требованиям, предъявляемым к системам защиты. Основные требования обычно связаны с показателями конфиденциальности, целостности и доступности информации, хотя могут быть и требования, связанные с качественными показателями информации, например адекватность, полнота информации и др.
Диаграмма методики системного анализа задач информационной безопасности
Например, при решении задачи формирования списка угроз для конкретной организации в зависимости от требований «Целостность» или «Конфиденциальность» списки угроз будут разными. При этом множество всех требований разделим на две категории:
1) пользовательские требования;
2) нормативно-законодательные требования.
На третьем уровне глобальные цели детализируются по компонентам системы, т. е. по программно-аппаратным средствам, персоналу, структуре и содержанию защиты информации, инженерно-техническим сооружениям и коммуникациям, связанным с процессом обработки информации и их защиты.
Четвертый этап - это территориально-временные характеристики, в том числе:
1) этапы жизненного цикла объекта, являющегося предметом в формировании глобальной цели;
2) динамика изменения компонентов системы, а также используемых средств и ресурсов;
3) степень распределенности обработки данных.
Пятый этап - это средства и ресурсы, используемые для реализации цели, которая включает в себя в себя финансовые, программные и аппаратно-технические, организационные и технологические возможности.
Шестой уровень - адаптация к условиям функционирования, где необходимо уточнить задачу с учетом реально возможных внешних и внутренних угроз, возможных ограничений на процесс противодействия угрозам субъективного и объективного характера, динамики нагрузки систем обработки данных.
Заключение
Предлагаемая процедура системного анализа задачи защиты информации особенно актуальна при комплексном подходе к процессу обеспечения информационной безопасности, поскольку системность является необходимой составной частью комплексности. В настоящее время комплексный подход, несмотря на его сложность и дороговизну реализации, приобретает всё большую актуальность, поскольку масштабы потерь, связанных с информационной безопасностью, растут быстрыми темпами.
Вследствие этого необходимо уточнить предлагаемую методику при решении таких задач информационной безопасности, как:
1. Анализ угроз информационной безопасности.
2. Выбор средств противодействия угрозам.
3. Формирование технологий обеспечения информационной безопасности.
СПИСОК ЛИТЕРАТУРЫ
1. Волкова В. Н., Денисов А. А. Основы теории систем и системный анализ. - СПб.: СПбГТУ, 1997. - 510 с.
2. Герасименко В. А. Основы защиты информации в АС. - М.: Наука, 2001. - 178 с.
3. Шумской А. А., Шелупанов А. А. Системный анализ в защите информации - М.: Гелиос АРВ, 2005. - 224 с.
4. Попов Г. А. Методологические основы комплексной оптимизации и системы защиты информации: Дис. ... д-ра техн. наук, 1991. - 234 с.
5. Попов Г. А. Методика формирования относительно полного множества задач управления на примере систем защиты информации. - Деп. в ВИНИТИ, № 8932-В98 1998. - 12 с.
Статья поступила в редакцию 17.06.2006
ABOUT THE PROCEDURE OF SYSTEM ANALYSIS OF PROBLEMS IN INFORMATION SECURITY SPHERE
E. A. Popova
A method of tasks tree setting for different information security problems based on the system analysis is offered in the paper. This procedure can be used for threats analysis, and while choosing means of threats resistance and forming sets of information security problems.
