Контроль и регулирование в сфере ИБ

· Представление отчетов о ходе выполнения работ проекта

· Управление изменениями

· Контроль предметной области, сроков выполнения, стоимости проекта.

· Контроль мероприятий по снижению рисков.

· Контроль качества.

· Контроль выполнения контрактов.

Сущность и содержание контроля функционирования КСЗИ

Контроль функционирования КСЗИ проводится регулярно в процессе работы системы. Предполагается проведение следующих работ:

– анализ функционирования системы защиты;

– проверка выполнения мер по защите информации;

– контроль эффективности защиты;

– подготовка и выдача исходных данных для управления СЗИ.

Периодичность контроля:

· периодический (плановый, т.е. через определенные периоды времени). Периодический контроль проводится в конце каждого этапа принятия решений;

· внеплановый контроль проводится при наступлении определенного события, как правило, чрезвычайного;

· внезапный.

Плановый контроль может быть текущим, глубоким, глобальным.

Текущий контроль используется для выяснения сиюминутной ситуации.

Глубокий контроль предназначен для среднесрочного планирования, проводится с целью выявления причинно-следственных связей текущего процесса управления.

Глобальный контроль является основой для стратегического планирования.

Контроль важен для начальника для оценки действий подчиненных. Контроль проводится с целью выявления ошибок в управлении и их устранения.

Аудит (контроль) защиты информации — специальная проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам.

Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. Закон РФ.

Проведение независимого аудита позволяет своевременно выявить существующие слабые места и объективно оценить соответствие параметров КСЗИ необходимому уровню. Для решения этих задач создаются специальные организации аудиторов в области информационной безопасности. Их целью является проведение экспертизы. Такие организации могут быть как государственными (например, подразделения государственной технической комиссии при Президенте РФ), так независимыми, т.е. негосударственными.

Грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности фирмы. Основными направлениями деятельности в области аудита безопасности информации являются:

1. Аттестация объектов информатизации по требованиям безопасности информации

a) аттестация автоматизированных систем, средств связи, обработки и передачи информации,

b) аттестация помещений, предназначенных для ведения конфиденциальных переговоров,

c) аттестация технических средств, установленных в выделенных помещениях.

2. Контроль защищенности информации ограниченного доступа

a) выявление технических каналов утечки информации и способов несанкционированного доступа к ней,

b) контроль эффективности применяемых средств защиты информации.

3. Специальные исследования технических средств на наличие побочных электромагнитных излучений и наводок (ПЭМИН)

a) персональные ЭВМ, средства связи и обработки информации;

b) локальные вычислительные системы;

c) оформления результатов исследований в соответствии с требованиями Гостехкомиссии России.

4. Проектирование объектов в защищенном исполнении.

a) разработка концепции информационной безопасности (первая глава учебника);

b) проектирование автоматизированных систем, средств связи, обработки и передачи информации в защищенном исполнении;

c) проектирование помещений, предназначенных для ведения конфиденциальных переговоров

Моделирование КСЗИ заключается в построении образа (модели) системы, с определенной точностью воспроизводящего процессы, происходящие в реальной системе. Реализация модели позволяет получать и исследовать характеристики реальной системы.

Процесс моделирования состоит из трех стадий - формализации (переход от реального объекта к модели), моделирования (исследование и преобразования модели), интерпретации (перевод результатов моделирования в область реальности).

Для оценки систем используются аналитические и имитационные модели. В аналитических моделях функционирование исследуемой системы записывается в виде математических или логических соотношений. Для этих целей используется мощный математический аппарат: алгебра, функциональный анализ, разностные уравнения, теория вероятностей, математическая статистика, теория множеств, теория массового обслуживания и т. д.

При имитационном моделировании моделируемая система представляется в виде некоторого аналога реальной системы. В процессе имитационного моделирования на ЭВМ реализуются алгоритмы изменения основных характеристик реальной системы в соответствии с эквивалентными реальным процессам математическими и логическими зависимостями.

Модели делятся также на детерминированные и стохастические. Модели, которые оперируют со случайными величинами, называются стохастическими. Так как на процессы защиты информации основное влияние оказывают случайные факторы, то модели систем защиты являются стохастическими.

Моделирование КСЗИ является сложной задачей, потому что такие системы относятся к классу сложных организационно-технических систем, которым присущи следующие особенности:

- сложность формального представления процессов функционирования таких систем, главным образом, из-за сложности формализации действий человека;

- многообразие архитектур сложной системы, которое обуславливается многообразием структур ее подсистем и множественностью путей объединения подсистем в единую систему;

- большое число взаимосвязанных между собой элементов и подсистем;

- сложность функций, выполняемых системой;

- функционирование систем в условиях неполной определенности и случайности процессов, оказывающих воздействие на систему;

- наличие множества критериев оценки эффективности функционирования сложной системы;

- существование интегрированных признаков, присущих системе в целом, но не свойственных каждому элементу в отдельности (например, система с резервированием является надежной, при ненадежных элементах);

- наличие управления, часто имеющего сложную иерархическую структуру;

- разветвленность и высокая интенсивность информационных потоков.

Для преодоления этих сложностей применяются:

1) специальные методы неформального моделирования;

2) декомпозиция общей задачи на ряд частных задач;

3) макромоделирование.