построить замкнутую, комплексную, эффективную систему защиты, проектирование которой начинается с проектирования самих автоматизированных систем и технологий.

Оборудования (технических средств);

Программ (программных средств);

Данных (информации);

Персонала.

С этой целью на предприятии строится система комплекс специальных мер правового и административного характера, организационных мероприятий, физических и технических средств защиты, а также специального персонала, предназначенных для обеспечения безопасности информации, информационных технологий и автоматизированной системы в целом.

Для построения эффективной системы защиты необходимо провести следующие работы:

Определить угрозы;

Выявить возможные каналы утечки и несанкционированного доступа к защищаемым данным;

Построить модель потенциального нарушителя;

Выбрать соответствующие меры, методы, механизмы и средства защиты;

построить замкнутую, комплексную, эффективную систему защиты, проектирование которой начинается с проектирования самих автоматизированных систем и технологий.

При проектировании существенное значение придается предпроектному обследованию предприятия.

На этой стадии:

- устанавливается наличие секретной информации в разрабатываемой системе, оценивается уровень ее конфиденциальности и объем;

- определяются режимы обработки информации (диалоговый, телеобработка и режим реального времени), состав комплекса технических средств и т.д.;

- анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;

- определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;

- определяются мероприятия по обеспечению режима секретности на стадии разработки.

Для создания эффективной системы защиты разработан ряд стандартов.

Главная задача стандартов информационной безопасности — создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий.

СИСТЕМНЫЙ ПОДХОД к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности предприятия.

Чтобы создать информационную систему управления безопасностью предприятия, необходимо разработать проект системы, который может состоять из нескольких моделей разного назначения.

Модель — это результат отображения одной структуры (изученной) на другую (малоизученную). Моделирование — это метод исследования объекта путем построения и исследования его модели, осуществляемое с определенной целью, и базируется на математической теории подобия, согласно которой абсолютное подобие может иметь место лишь при замене одного объекта другим, точно таким же.

Любая модель должна строиться так, чтобы она наиболее полно воспроизводила те качества объекта, которые необходимо изучить. Во всех отношениях модель должна быть проще объекта и удобнее его для изучения. Однако, если результаты моделирования подтверждаются и могут служить основой для прогнозирования процессов, протекающих в исследуемых объектах, то говорят, что модель адекватна объекту. При этом адекватность модели зависит от цели моделирования и принятых критериев (под адекватностью (от лат. adaequatus – приравненный) понимают степень соответствия результатов, полученных по разработанной модели, данным эксперимента или тестовой задачи).

Проверка адекватности модели необходима для того, чтобы убедиться в справедливости совокупности гипотез, сформулированных на первом этапе разработки модели, и точности полученных результатов; соответствует точности, требуемой техническим заданием. Для моделей, предназначенных для приблизительных расчетов, удовлетворительной считается точность 10-15 %, а для моделей, предназначенных для использования в управляющих и контролирующих системах, 1-2 %.

Характерен ряд следующих свойств:

- конечностью: модель отображает оригинал лишь в конечном числе его отношений;

- упрощенностью: модель отображает только существенные стороны объекта;

- приблизительностью: действительность отображается моделью грубо или приблизительно;

- адекватностью: модель успешно описывает моделируемую систему;

- информативностью: модель должна содержать достаточную информацию о системе в рамках гипотез, принятых при построении модели.

BPWin

МОДЕЛИРОВАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ — осуществляется средствами CASE-технологии, одним из которых является AllFusion Process Modeler (ранее BPWin). Это – ведущий инструмент визуального моделирования бизнес-процессов не требующий написания программного кода, который дает возможность наглядно представить любую деятельность или структуру в виде модели, что позволяет оптимизировать работу организации, проверить ее на соответствие стандартам (ISO 9000???), спроектировать оргструктуру, снизить издержки, исключить ненужные операции, повысить гибкость и эффективность.

AllFusion Process Modeler, разработанный компанией Computer Associates (США), ПРЕДПОЛОГАЕТСЯ ДЛЯ ИСПОЛЬЗОВАНИЯ: предприятиям, стремящимся к оптимальности и эффективности собственного бизнеса или бизнеса заказчиков; руководителям проектов, бизнес-аналитикам, системным аналитикам, тон-менеджменту предприятий, маркетологам, консультантам, менеджерам по качеству.

AllFusion Process Modeler имеет широкий набор средств документирования моделей, проектов и содержит собственный генератор отчётов. Также позволяет ведение библиотеки типовых бизнес-моделей. К основным НЕДОСТАТКАМ данного программного продукта можно отнести:

возможность разработки только статических моделей, никак не привязанных к временным параметрам реальных процессов.

AllFusion Process Modeler обладает интуитивно-понятным графическим интерфейсом, быстро и легко осваивается, что позволяет сосредоточиться на анализе самой предметной области, не отвлекаясь на изучение инструментальных средств; Поддерживает сразу три стандартные нотации IDEF0 (функциональное моделирование), DFD (моделирование потоков данных) и IDEF3 (моделирование потоков работ), которые позволяют комплексно описать предметную область.

Модели IDEF0 за счет своей универсальности, строгости и простоты в настоящее время получили широкое распространение и ИСПОЛЬЗУЮТСЯ:

1) при создании систем менеджмента качества (СМК?) на предприятии. Процесс разработки СМК включает в себя разработку документированных процедур, которые представляют собой статическое описание процессов в виде IDEF0-моделей;

2) при проведении обследования деятельности предприятия.

3) при РЕинжиниринге, включающем изменение технологий целевой и текущей деятельности предприятия, операций учета, планирования, управления и контроля; построение рациональных технологий работы предприятия с учетом существующих автоматизированных систем; создание перспективной оргштатной структуры предприятия, осуществляющей реализацию рациональных технологий работы; изменение информационных потоков и документооборота, обеспечивающих реализацию рациональных технологий работы; разработку проектов схем внутреннего и внешнего документооборота, проекта положения о документообороте, проекта альбома форм входных и выходных документов;

4) при выборе критериев для внедрения корпоративных информационных систем (КИС);

5) при разработке и внедрении новых информационных систем (ИС);

6) при выборе программного обеспечения, автоматизирующего полностью или частично деятельность предприятия (например, системы электронного документооборота);

7) при стратегическом и оперативном планировании деятельности предприятия.

Система управления информационной безопасностью предприятия предназначена для защиты АСУ предприятия от несанкционированного доступа. Модель системы начинается с контекстной диаграммы, созданной средствами IDEF0, изображенной на слайде.

Рис. 1. Контекстная диаграмма системы управления безопасностью на предприятии

На следующем слайде изображена диаграмма основного уровня декомпозиции системы, разработанная средствами DFD:

Рис. 2. Диаграмма основного уровня декомпозиции системы управления безопасностью на предприятии

Декомпозируем процесс “Проверка прав доступа к АСУ”. Диаграмма декомпозиции выглядит так:

Рис. 3. Диаграмма декомпозиции процесса «Проверка прав доступа к АСУ»

Декомпозируем процесс “Обеспечение соответствующего режима работы пользователя в АСУ”. Эта диаграмма выглядит так:

Рис. 4. Диаграмма декомпозиции процесса «Обеспечение соответствующего режима работы пользователя в АСУ»

Показанные диаграммы реализуют структурный подход при проектировании системы. Объектно-ориентированный подход проекта этой же системы представлен диаграммами следующего вида: 1. Диаграммой вариантов использования 2. Диаграммой классов.

Рис. 5. Диаграмма вариантов использования

Рис. 6. Диаграмма классов для системы

Выводы:

Таким образом, механизмы защиты должны быть интуитивно понятны и просты в использовании.

Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудовых затрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций.

Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности.