Методология построения систем защиты информации

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ

РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное автономное образовательное учреждение высшего образования

«Санкт-Петербургский политехнический университет Петра Великого»

Институт промышленного менеджмента, экономики и торговли

Высшая школа управления и бизнеса

КУРСОВОЙ ПРОЕКТ

МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ

по дисциплине «Информационная поддержка бизнес-процессов»

Выполнил студент гр.

_________________

Руководитель

_____________________

«___» __________ 201__ г.

Санкт-Петербург

2018

Содержание

Введение        2

Обеспечение отказоустойчивости по ас        10

Предотвращение неисправностей в по ас        13

Заключение        19

Список использованной литературы        20

Введение

Существующая нормативно-методическая база по вопросам безопасности информационных технологий (ИТ) имеет определенные недостатки. Основными из них являются: игнорирование системного подхода, как методологии построения системы защиты информации (СЗИ); отсутствие механизмов достоверного подтверждения качества и достаточности средств защиты, недостаточность проработки вопросов моделей системы защиты, системы показателей и критериев безопасности ИТ; статический подход к оценке уязвимостей.

Это обусловливает необходимость развития нормативно-методической базы, методик и моделей оценки защищенности на основе системного подхода.

1.        Системный подход к построению системы защиты

Методология обеспечения безопасности ИС основана на концепциях анализа и управления рисками. Основным недостатком существующих подходов к оценке рисков информационной безопасности (ИБ) является предположение об идеальной стойкости средств защиты.

Методологический подход к построению и оценке СЗИ с использованием системного анализа рисков основан на новых определениях остаточных уязвимостей, риска и ущерба. Он предполагает проведение анализа взаимодействия элементов безопасности, характеризующих внешнюю среду, объект оценки и последствия этого взаимодействия. Анализ проводится в следующей последовательности: «угроза (действие)→ уязвимость (фактор) → актив (объект защиты) → риск (возможность последствий) →  ущерб (последствия) →  контрмеры (противодействие) → остаточная уязвимость (остаточный  фактор) →   остаточный риск (остаточная возможность последствий) →  остаточный ущерб (остаточные последствия) →  достаточность защиты?» (рис.1)

[pic 1]

Рис. 1. Диаграмма формирования ущерба

Предполагается также, что средства защиты обладают конечной стойкостью и сами могут быть объектом реализации угроз безопасности.

В качестве показателя эффективности используется нечеткий средний ущерб от нарушения ИБ показателя эффективности используется нечеткий средний ущерб от нарушения ИБ  [pic 2] где [pic 3] - возможность принятия состояния нарушения информационной безопасности ikj при реализации угрозы [pic 4] на активы [pic 5] , используя уязвимость ИС , [pic 6] ; [pic 7] – вероятность появления угрозы  [pic 8]; [pic 9]-максимально возможный ущерб при состоянии ikj.

Использование данного подхода позволило авторам разработать базовую модель ИС и подход к формированию типовых объектов оценки, методику разработки функциональных требований безопасности, базовую модель системы защиты с учетом ее подверженности воздействию угроз безопасности и требований безопасности, подход к классификации систем защиты, определять необходимый состав СЗИ и предъявлять требования к их стойкости, разрабатывать и оценивать показатели защищенности на основе анализа рисков, проводить комплексную оценку и ранжирование элементов безопасности, предусмотреть управление рисками на протяжении всего жизненного цикла ИС.