CC BY
37
УДК 681.3
ПОВЫШЕНИЕ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ КРИТИЧЕСКОГО ПРИМЕНЕНИЯ НА ЭТАПЕ ИХ ПРОЕКТИРОВАНИЯ
Р.А. Залогин
Проведена экспериментальная оценка угроз доступа к информации при проектировании автоматизированных систем критического применения (АСК)
Ключевые слова: информационная безопасность, программное обеспечение, автоматизированная система
С точки зрения системного анализа АСК представляет собой сложную организационно -техническую систему, характеризующуюся большим количеством параметров. Процесс проектирования таких АСК характеризуется большим количеством этапов, включает в себя целый ряд процедур, характерных как для процесса проектирования в целом, так и решающих специфические задачи исследования отдельных систем АСК с целью обеспечения максимально возможного уровня защиты информации, обрабатываемой данной АСК.
Структура разработанного на основе такого подхода алгоритма процесса проектирования АСК показана на рисунке 1. В соответствии с данным алгоритмом выделяются следующие этапы проектирования АСК:
1. При проектировании АСК производится предъявление требований к функциям проектируемой системы. Требования формируются заказчиком, к ним может относиться число терминалов, информационные задачи, возлагаемые на АСК, требуемый уровень конфиденциальности информации.
2. Анализ требований к АСК производится с целью формирования требований технического задания, где указываются требуемые информационные функции, временные параметры выполнения транзакций, что в свою очередь дает возможность сформировать требования к программному и аппаратному обеспечению, необходимому для функционирования АСК.
3. Анализ структуры системы подразумевает
проведение анализа функций, возложенных на информационную, телекоммуникационную
подсистему АСК, а также анализ применяемого программного обеспечения для функционирования АСК, программных интерфейсов. При анализе особое внимание стоит уделить применяемым протоколам передачи информации, службам, функционирующим в составе АСК, а также методам криптографической защиты данных, идентификации и аутентификации пользователей в системе.
Залогин Роман Александрович - ВГТУ, соискатель, тел. 8-960-116-01-30
4. Формирование перечня возможных угроз доступа к информации в АСК производится исходя из структуры системы, возложенных на нее задач.
5. Определение способов реализации угроз
напрямую зависят от внешних и внутренних
факторов, свойственных функционированию АСК. Механизм возникновения угрозы напрямую зависит от применяемых для функционирования АСК протоколов, служб, технологии передачи данных, методов идентификации и аутентификации пользователей в системе.
6. Расчет частных и комплексного показателя реализации угроз к информации в проектируемой АСК производится без учета последующего применения в ее составе СЗИ. Это необходимо для объективного последующего формирования требований к СЗИ АСК.
7. Формирование требований к функциям и составу СЗИ определяются в соответствии с результатами вычисления частных показателей угроз доступа к информации, поскольку существует возможность оценить наиболее опасные угрозы из общего многообразия.
8. Сформированные требования к СЗИ дают возможность производить оптимальный выбор СЗИ из существующих систем, либо производить проектирование собственных более адекватных существующим угрозам СЗИ, если это возможно.
9. Анализ защищенности АСК угрозам
доступа к информации должно производиться в комплексе с СЗИ. При этом должно выполняться неравенство Р; > Р. где Р- - комплексный показатель реализации угроз доступа к информации в АСК, Ре а - тот же показатель, но при наличии в составе СЗИ.
10. Проверка достаточности уровня
защищенности заключается в сравнении
полученного значение Р2 с некоторым
требуемым значением показателя р. Если выполняется условие Р. > Р_..... это значит, что система отвечает требованиям по защищенности, предъявляемым к ней.
11.Если условие, указанное в пункте 10 не выполняется, то существует необходимость произведения доработок АСК с целью доведения ее уровня защищенности до требуемого.
12. АСК соответствует требованиям по защищенности.
Требуемые ин характер
Анализ треб формирование
Формировс
потенциальны
Рис. 1. Алгоритм
защищенности
существующих
критического
С целью повышения проектируемых и
автоматизированных систем применения целесообразно произвести действия, указанные в алгоритме, представленном на рис. 1. При этом необходимо постоянно производить актуализацию статистических данных по попыткам и реализациям угроз с целью точного дальнейшего вычисления показателя реализации угроз доступа к информации в АСК. Алгоритм проведения актуализации статистической информации по
Определение СП( угроз доступа к
6
Расчет компле показателей информации пр
проектирования АСК
угрозам доступа к информации в АСК представлен на рис. 2. Необходимо отметить, что комплексный
и частные показатели реализации угро^И ^ЭПаЛвОВЭНИе проектирования АСК дают возмоЖность
производить подбор программно-аппаратный бОрВ О
средств защиты информации только от тех угроз, защита от которых действительно необходима, что дает возможность производ0ъ оптимизацию программно-аппаратных средств защиты
информации с точки зренияо ыбмрмслеи/к разраб
финансовых затрат.
технических с
Регистраі. реализации угр
Получение СТс
базы данных по применяемой
Классификаї факта в соотве классифі
Рис. 2. Алгоритм актуализации статистической информации по угрозам доступа к информации в АСК.
Литература
Таким образом, разработан алгоритм проектирования автоматизированных систем критического применения, позволяющий производить проектирование систем с требуемым уровнем защищенности с точки зрения информационной безопасности. Также разработан алгоритм актуализации статистической информации по угрозам доступа к информации в АСК с целью проведения наиболее точной комплексной оценки угроз доступа к информации.
1. Залогин Р.А. Алгоритм комплексной ^оценки угроз НСД к информации при проектировании автоматизированных систем критического применения / Залогин Р. А. // Вестник ВГТУ, №4, 2011.
2. Работкина О.Е. Разработка и применение автоматизированных средств комплексной оценки угроз НСД к информации при проектировании автоматизированных систем критического применения / Работкина О.Е., Залогин Р.А. // Вестник ВГТУ, №4, 2011.
клас
Воронежский государственный технический университет
Внесение изменений в систему классификации и кодирования
RISING INFORMATION SECURITY WHEN DESIGNING CRITICAL APPLICATION
AUTOMATED SYSTEMS
R.A. Zalogin
The column describes the ways of rising information security when designing critical application automated system: Key words: information security, designing automated systems
Внесе
инфорі\/
факте
