Концептуальная модель информационной безопасности кратко

Обновлено: 05.07.2024

Модель информационной безопасности является необходимым элементом построения системы защиты информации, целью реализации концепции безопасности, как на государственном уровне, так и на уровне отдельных организаций. Наличие модели позволяет применить системный подход, то есть более качественно решать задачи информационной безопасности. Модель должна отражать реальные ситуации и в то же время быть достаточно простой для практического использования.

На простейшем уровне модель представляется схемой (рис.1), в которой процесс защиты информации имеет определенные входные воздействия (условия внешней среды и команды управления) и выходные результаты.

Рис.1. Схема модели защиты информации.

Таким образом, главной исходной посылкой модели являются возможные угрозы, которым подвергается защищаемая информация (информационная среда). Для любой информации этими угрозами являются нарушение конфиденциальности информации, нарушение целостности (полноты) и доступности информации.

При этом следует рассмотреть и меры, способные предотвратить действие этих угроз. Полученная модель должна достаточно адекватно отражать реальные ситуации в то же время быть достаточно простой для практического использования. На простейшем описательном уровне представления компонентами концептуальной модели информационной безопасности можно назвать следующие:

- объекты угроз (сведения о составе, состоянии и деятельности объекта защиты)

- угрозы (нарушение целостности, конфиденциальности, доступности и полноты информации)

- источники угроз (военные противники, конкуренты, преступники, административные органы)

- цели угроз со стороны злоумышленников:

- ознакомление с охраняемыми сведениями (не приводящее к ее разрушению или изменению)

- искажение (частичная модификация) информации

- разрушение (уничтожение) информации для нанесения прямого материального ущерба

- источники информации (сотрудники, документы, публикации, информация на электронных носителях, в каналах связи, продукция и отходы производства)

- способы доступа к конфиденциальной информации (разглашение информации источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям)

- направления защиты информации (правовая, организационная и инженерно-техническая защита)

- способы защиты информации(различные мероприятия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу)

- средства защиты информации (физические средства, аппаратные средства, программные средства и криптографические методы, реализованные смешанными аппаратно-программными средствами)

Основные компоненты описательной модели информационной безопасности приведены также на мнемонической схеме (рис.2).

Рис.2. Модель информационной безопасности

Совокупность всех элементов модели, приведенных с вероятностными характеристиками, составляют основу для построения математической модели защиты информации, которая определяет показатель вероятности поддержания заданного уровня безопасности информационной среды.

На государственном уровне в РФ объектами информационной безопасности являются:

  1. информационные ресурсы, составляющие государственную тайну, другую конфиденциальную информацию, а также общедоступную информацию;
  2. система формирования, распределения и использования информационных ресурсов;
  3. информационная инфраструктура (центр обработки информации, ее хранение и её конечная защита);
  4. система формирования общественного сознания;
  5. права гражданских организаций и государства в области информационного обмена.

Оформленная в виде документа, концепция информационной безопасности является основным документом, определяющим защищенности. Концепция безопасности является основным правовым документом, определяющим уровень и требования защищенности информации организации (предприятия, общества, государства) от внутренних и внешних угроз

2.3 Угрозы конфиденциальной информации

Методы нарушения конфиденциальности, целостности и доступности информации.

Под угрозами конфиденциальной информации принято понимать потенциальные или реально существующие действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. К ним относятся:

1. ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;

2. модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;

3. разрушение (уничтожение) информации с целью нанесения прямого материального или морального ущерба.

Эти действия могут приводить к нарушению конфиденциальности (разглашение, утечка, НСД), полноты (искажения, ошибки, потери), достоверности (фальсификация, подлог), и доступности (нарушение связи, воспрещение получения). Все эти действия приводят к нарушению как режима управления, так и его качества в условиях неполной или ложной информации.

Каждая угроза влечет за собой определенный ущерб, а защита и противодействие угрозе должны минимизировать его. С учетом этого угрозы можно классифицировать следующим образом:

- по величине принесенного ущерба (предельный (организация перестает существовать), значительный, но не приводящий к краху организации, незначительный);

- по вероятности возникновения: (весьма вероятная, вероятная, маловероятная угроза);

- по причинам появления (стихийные бедствия, преднамеренные действия);

- по характеру ущерба (материальный, моральный);

- по характеру воздействия (активные, пассивные);

- по отношению к объекту (внешние, внутренние)

Источникам внешних угроз (около 17%) являются недобросовестные конкуренты, преступные группировки, вероятный военный противник, отдельные лица государственно-административного аппарата. Источникам внутренних угроз (около 82%) могут быть администрация организации, персонал, технические средства обеспечения производственной деятельности.

По отношению к обладателю конфиденциальной информации основными угрозами для нее являются разглашение, утечка и несанкционированный доступ (НСД). Если обладатель не принимает никаких мер по сохранению конфиденциальности, то злоумышленнику легко получит интересующие сведения, при ситуации соблюдения мер информационной безопасности ситуация обратная, когда злоумышленнику приходится принимать более активные действия. Бывает и промежуточная ситуация , при которой обладатель не имеет сведений о существующей утечке.

2.4 Виды получения информации злоумышленниками

Разглашение, утечка, несанкционированный доступ.

Законами определяются следующие виды получения информации злоумышленниками:

1.Разглашение – это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними недопущенных лиц. Это опубликование, передача, предоставление, утеря, обмен научной и деловой информацией. Разглашение реализуется по формальным или неформальным каналам. (Обмен производственным опытом – 13%, бесконтрольное использование коммуникаций и информационных систем – 10%, излишняя болтливость, публикации в СМИ – 32% ). Как правило, причиной разглашения является недостаточное знание сотрудниками правил защиты секретов или непонимание необходимости их соблюдения. При разглашении информация предоставляется часто в упорядоченном и осмысленном виде, документирована. Злоумышленник предпринимает минимальные усилия и этот вид потери конфиденциальности наиболее опасен.

2.Утечка – это бесконтрольный выход информации за пределы организации или круга лиц, которым она была поручена. Утечка производится по различным техническим каналам, с помощью различных физических принципов (световой, звуковой, электромагнитный, материальный). Для образования канала утечки необходимы определенные пространственные, временные и энергетические условия, наличие у злоумышленника специальных средств и аппаратуры. Отсутствие в организации надлежащего контроля и жестких условий информационной безопасности дает 14% потерь.

3.Несанкционированный доступ – это противоправное преднамеренное овладение конфиденциальной информации лицом, не имеющим права доступа к охраняемым секретам. НСД реализуется различными способами от активного сотрудничества (продажа секретов – 24%) до использования различных средств противоправного доступа, в том числе с проникновением на объект.

Исходя из комплексного подхода к обеспечению информационной безопасности следует защищать информацию от всех трех видов потерь, что предусматривает многоаспектность защитных мероприятий. Помимо физической защиты территории и информационной защиты каналов связи важное место следует уделять контролю над использованием информационных систем, поддержанию высокой трудовой дисциплины, психологически совместимому подбору кадров, сплочению коллектива.




Можно выделить три основных модели информационной безопасности, это концептуальная модель, математическая модель и функциональная модель информационной безопасности.

В чем же их отличие, на какие вопросы они отвечают и какие задачи позволяют решить основных модели информационной безопасности, мы рассмотрим ниже.

Концептуальная модель информационной безопасности

Концептуальная модель отвечает на общие вопросы и отражает схематично общую структуру модели информационной безопасности, на которой как на стержне строятся остальные модели и концепции информационной безопасности.

Для построения концептуальной модели информационной безопасности не зависимо от того насколько простая или сложная у Вас информационная система, необходимо как минимум ответить на три вопроса: что защищать, от кого защищать и как защищать? Это обязательный минимум, которого может быть достаточно для небольших информационных систем. Однако принимая во внимание возможные последствия, то лучше выполнить построение полной концептуальной модель информационной безопасности, в которой необходимо определить:

  1. Источники информации
  2. Приоритет или степень важности информации.
  3. Источники угроз
  4. Цели угроз
  5. Угрозы
  6. Способы доступа
  7. Направления защиты
  8. Средства защиты
  9. Методы защиты



Рисунок 1. Концептуальная модель информационной безопасности

Построение концептуальной модели информационной безопасности виртуального сервера принято разделять на несколько различных уровней. В большинстве случаев достаточно двух уровней — верхнего, организационно-управленческого, который охватывает всю организацию и корпоративную информационную систему, и нижнего или сервисного, который относится к отдельным подсистемам самой информационной системы и различным сервисам.

Концепцию или программу верхнего уровня возглавляет лицо напрямую отвечающее за информационную безопасность организации. В небольших организациях, это как правило сам руководитель организации, в более крупных эти обязанности выполняет или руководитель IT-подразделения или непосредственно руководитель отдела по обеспечению информационной безопасности, если таковой отдел выделен в отдельную структуру.

В рамках программы верхнего уровня принимаются стратегические решения по безопасности, данная программа должна содержать следующие главные цели:

  • Стратегическое планирование
  • Разработку и исполнение политики в области информационной безопасности
  • Оценка рисков и управление рисками
  • Координация деятельности в области информационной безопасности
  • Контроль деятельности в области ИБ

Обычно за программу нижнего уровня отвечают ответственные руководители подразделений по обеспечению информационной безопасности, системные администраторы и администраторы и руководители сервисов. Важнейшим действием на этом уровне является оценка критичности как самого сервиса, так и информации, которая с его помощью будет обрабатываться.

Для данного уровня необходимо сформулировать ответы на следующие вопросы:

  • Какие данные и информацию будет обслуживать данный сервис?
  • Каковы возможные последствия нарушения конфиденциальности, целостности и доступности этой информации?
  • Каковы угрозы, по отношению к которым данные, информация, сервис и пользователь будут наиболее уязвимы?
  • Существуют ли какие-либо особенности сервиса, требующие принятия специальных мер — например, территориальная распределённость или любые другие?
  • Каковы должны быть характеристики персонала, имеющие отношение к безопасности: компьютерная квалификация, дисциплинированность, благонадежность?
  • Каковы законодательные положения и корпоративные правила, которым должен удовлетворять сервис?

Математическая и функциональная модели информационной безопасности

Математическая и функциональные модель на прямую связаны друг с другом. Математическая модель представляет собой формализованное описание сценариев в виде логических алгоритмов представленных последовательностью действий нарушителей и ответных мер. Расчетные количественные значения параметров модели характеризуют функциональные зависимости, описывающие процессы взаимодействия нарушителей с системой защиты и возможные результаты действий. Именно такой вид модели чаще всего используется для количественных оценок уязвимости объекта, построения алгоритма защиты оценки рисков и эффективности принятых мер.

При построении данных моделей необходимо опираться на следующие важнейшие обстоятельства:

  • Выбор математически строгих критериев для оценки оптимальности системы защиты информации для данной архитектуры информационной системы;
  • Четкая математическая формулировка задачи построения модели средств защиты информации, учитывающая заданные требования к системе защиты и позволяющая построить средства защиты информации в соответствии с этими критериями.

Для примера рассмотрим математическую модель экономически оправданной системы минимизации рисков информационной безопасности.

На основе оценки экспертов вероятности реализации угрозы информационной безопасности, рассчитывается значимость каждой угрозы, а также оценивается уровень затрат в стоимостном выражении на восстановление работоспособности системы. Далее рассчитывается суммарный риск отказа работоспособности системы как сумма рисков по каждому из направлений.

Результатом решения описанной задачи будем считать распределение финансового ресурса по выделенным направлениям деятельности организации, минимизирующего риски отказа работоспособности системы по критерию информационной безопасности.

Пусть в технической или социально-экономической системе заданы (найдены) зависимости рисков Ri отказа работоспособности системы от затрат Xi на их избежание (исключение, уменьшение) в i-м направлении обеспечения информационной безопасности (отказ аппаратного, программного обеспечения, отказ работоспособности системы из-за недостаточной квалификации сотрудников, управленцев и т.п.)



i = 1…n, где n – количество указанных направлений.

Таким образом, при минимизации рисков информационной безопасности будем использовать такой показатель, как уровень затрат (в материальном или стоимостном выражении) на восстановление работоспособности системы в случае ее отказа по одному или нескольким направлениям.

Определим далее следующие величины:


1) Суммарный риск отказа системы

2) Z – максимальная сумма затрат на уменьшение (устранение) выделенных рисков

3) ZMAXi – максимальная сумма затрат на реализацию i-го направления

4) ZMINi – минимальная сумма затрат на реализацию i-го направления,

Далее можно сформулировать следующую задачу математического программирования, в которой каждый из рисков необходимо свести к минимуму, при этом общая сумма затрат на их избежание должна быть меньше или равна максимальной сумме затрат на уменьшение (устранение) выделенных рисков, где затраты на избежание угроз в каждом из направлений должны быть больше минимальной суммы заложенной для данного направления, но при этом не превышать максимальной суммы для этого же направления.


Построенная система является экономически оправданной в том случае если сумма всех затрат на избежание, уменьшение или устранение составленных рисков не превышает или равна общей максимальной сумме затрат выделенных на уменьшение (устранение) суммарных рисков.

Это только один из примеров использования математического моделирования при построении системы информационной безопасности вашего виртуального сервера. Математическое моделирование может так же применяться для построение математической модели потенциального нарушителя, в которой возможно определение коэффициента или вероятности реализовать угрозу атаки потенциальным нарушителем. Или может быть рассмотрена задача резервирования элементов системы, решаемая для защиты от нарушения конфиденциальности обрабатываемой в информационной системе информации.

В зависимости от целей и решаемой задачи, может быть построено и применено множество математических моделей части системы информационной безопасности, которые помогут еще на стадии проектирования системы информационной безопасности оценить ее эффективность.
Последним не маловажным вопросом при построении любых моделей или систем является жизненный цикл данной модели или системы.

К сожалению, не достаточно только построить систему информационной безопасности применяя различные модели, но так же необходимо соблюдать жизненный цикл данной системы. В которой вне зависимости от размеров организации и специфики ее информационной системы, работы по обеспечению информационной безопасности, в том или ином виде должны содержать следующие этапы или шаги, представленные на рисунке 2.



Рисунок 2. Жизненный цикл системы информационной безопасности

При этом важно не упустить каких-либо существенных аспектов. Это будет гарантировать некоторый минимальный (базовый) уровень информационной безопасности, обязательный для любой информационной системы.

Можно выделить три основных модели информационной безопасности (ИБ):

  • концептуальная;
  • математическая;
  • функциональная.

Рассмотрим их последовательно.

Концептуальная модель информационной безопасности

Для построения концептуальной модели необходимо ответить на вопросы:

  1. что защищать;
  2. от кого защищать;
  3. как защищать.

Следует также определить:

  1. источники информации;
  2. приоритеты их важности;
  3. источники и цели угроз;
  4. способы доступа к защищаемой системе;
  5. направления, средства, методы защиты.

Рисунок 1. Концептуальная модель информационной безопасности. Автор24 — интернет-биржа студенческих работ

В концептуальной модели принято выделять несколько уровней. В большинстве случаев достаточно организационно-управленческого, и сервисного.

Верхний уровень возглавляет ответственный за информационную безопасность организации. Здесь осуществляются:

  • стратегическое планирование;
  • разработка и исполнение политики в области информационной безопасности;
  • оценка рисков и управление рисками;
  • координация деятельности в области ИБ;
  • контроль этой деятельности.

Цель концепции нижнего уровня - обеспечить надежную и экономически оправданную защиту информационных сервисов: какие средства и методы защиты использовать, как осуществлять повседневное администрирование, мониторинг, проводить первичное обучение персонала и т.п. Для данного уровня необходимо ответить на вопросы:

  • какие данные будет обрабатывать данный сервис;
  • каковы потенциальные последствия нарушения конфиденциальности, целостности и доступности данных;
  • какие звенья информационной системы наиболее уязвимы;
  • каковы квалификация, дисциплинированность, благонадежность персонала на защищаемом участке;
  • каким юридическим нормам и корпоративным правилам должен удовлетворять сервис.

Готовые работы на аналогичную тему

Программа обеспечения безопасности не является набором технических средств. У нее должен быть управленческий аспект. Программа должна быть официально принята, поддерживаться руководством организации, для нее должны быть выделены штат и бюджет.

При формировании модели информационной безопасности нужно помнить, что построение такой системы должно достигаться экономически оправданными средствами.

Рисунок 2. Структура модели информационной безопасности. Автор24 — интернет-биржа студенческих работ

После выработки концептуальной модели ИБ можно приступить к построению математической и функциональной.

Математическая и функциональная модели информационной безопасности

Математическая и функциональные модели тесно взаимосвязаны. Первая предоставляет формализованное описание сценариев действий нарушителей и ответных мер. Количественные значения параметров модели отражают функциональные зависимости, отражающие взаимодействие нарушителей с системой защиты. При построении этих моделей нужно учитывать следующее:

  • выбор критериев оценки системы защиты для данной архитектуры информационной системы;
  • четкая формулировка задачи построения модели, выраженная математическим языком и учитывающая заданные требования.

На основе экспертной оценки вероятности угроз ИБ, рассчитывается значимость каждой из них, а также уровень экономических затрат на восстановление работоспособности системы в случаях атак. Затем рассчитывается суммарный риск отказа системы.

Построенная система является экономически оправданной, если суммарные затраты на устранение рисков меньше или равны максимальной сумме затрат, выделенных на уменьшение или устранение суммарных рисков.

В зависимости от целей и задач, можно множеством способов смоделировать части системы информационной безопасности, которые смогут на ранних этапах оценить ее эффективность.

Технические средства обеспечения информационной безопасности

Функциональная модель, формируемая на основе математической, предполагает практическое воплощение, внедрение определенных мер по защите информационной системы. В зависимости от бюджета компании и ценности информационной системы, данные меры могут быть организованы как на коммерческой основе (приобретение платных программных продуктов, найм экспертов по безопасности), так и выполнены силами локальных IT-специалистов.

Модель информационной безопасности на последних этапах проектирования предполагает, как правило, внедрение ряда стандартных технических средств:

Рисунок 3. Схема работы системы обнаружения вторжений Snort. Автор24 — интернет-биржа студенческих работ

В последние годы многие организации вместо собственного файлового хранилища арендуют облачные хранилища, доверяя свои данные крупным IT-корпорациям, таким, как Яндекс и Google.

Помимо установки и настройки защитного программного обеспечения, специалисты по информационной безопасности должны смоделировать и распределить между пользователями компьютеров полномочия по доступу к файловому пространству, базам данных, сетевым настройкам и т.п. Для того часто используют продукт Microsoft Active Directory.

Модель информационной безопасности

При создании систем кибербезопасности могут применяться различные виды моделей информационной безопасности. Принято выделять три главных модели информационной безопасности: концептуальную, математическую, функциональную.

Концептуальная модель информационной безопасности

Чтобы грамотно выстроить концептуальную модель, необходимо изначально определить объект защиты, киберугрозы, способны защиты информации. Также необходимо предварительно установить:

  • источники данных;
  • направления, методики, средства защиты;
  • технологии получения доступа к системе, защита которой обеспечивается;
  • источники и цели угроз;
  • приоритетные источники данных.

В процессе реализации концептуальной модели информационной безопасности должно быть создано несколько уровней. Для большинства организаций хватает двух уровней – сервисного и организационно-управленческого. В рамках реализации организационно-управленческого уровня выполняются следующие работы:

  • стратегическое планирование;
  • создание и реализация политики в сфере кибербезопасности организации;
  • оценка и управление рисками;
  • координирование работы и функций сотрудников компании в сфере кибербезопасности;
  • контроль выполнения этих функций.

В рамках сервисного уровня предполагается обеспечение эффективности и экономически целесообразной защиты информационных сервисов. Специалисты заранее должны определить по результатам проверенного исследования, анализа и оценки, какие средства и защитные методики должны применяться в конкретном случае, как будет выполняться повседневное администрирование и мониторинг, как будет выполняться первичное обучение сотрудников и т. д. Для этого уровня надо получить ответы на следующие вопросы:

  • типы данных, обрабатываемые сервисом;
  • вероятные последствия компрометации внутренней сети, доступности и целостности информации;
  • максимально уязвимые сегменты используемой и защищаемой информационной системы;
  • уровень квалификации, благонадежности, дисциплинированности сотрудников компании на каждых участках, находящихся под защитой;
  • корпоративные регламенты, юридические положения, которым должен соответствовать сервис.

Программа обеспечения кибербезопасности – это не комплекс технических средств. Она имеет строго управленческий аспект. Программу должны принять руководители компании, под нее требуется выделение штата, финансирования. После создания концептуальной модели кибербезопасности начинается этап выстраивания математической и функциональной моделей информбезопасности.

Математическая и функциональная модели информационной безопасности

Функциональная и математическая модели кибербезопасности имеют неразрывные связи. Математическая представлена в виде формализованного описания сценариев действия нарушителей, принимаемых ответных мер. Параметры реализуемой математической модели кибербезопасности зависят напрямую от особенностей взаимодействия нарушителей с системой безопасности. При выстраивании математической и функциональной моделей требуется учесть:

  • критерии оценки системы защиты для конкретной архитектуры инфосистемы;
  • строгость формулирования задач выстраивания модели, что должно быть выражено математическим языком с учетом заданных требований.

После получения экспертной оценки вероятности киберугроз выполняется расчет значимости каждой такой угрозы, расчет степени финансовых трат на восстановление нормального функционирования системы после проведения кибератак. Затем осуществляется расчет общего риска отказа системы.

Сформированную систему информационной безопасности можно считать финансово оправданной, если общие денежные траты на устранение рисков меньше или равны максимальному уровню затрат, которые выделяются на снижение или устранение суммарных рисков.

В функциональной модели информационной безопасности, которая создается на базе уже сформированной математической модели, воплощаются, внедряются конкретные меры по защиты используемой инфосистемы. Учитывая выделенное финансирование и ценность защищаемой информационной системы, защитные меры могут организовываться на коммерческой базе (покупка платного ПО, привлечение ИБ-специалистов), либо реализовываться собственными штатными ИТ-сотрудниками.

На завершающих этапах реализации модель информационной безопасности предполагает интеграцию нескольких общепринятых техсредств защиты:

  • централизованное файловое хранилище;
  • антивирусное ПО;
  • спам-фильтр;
  • межсетевой экран;
  • система выявления, мониторинга вторжений и т. д.

Кроме инсталляции и настройки защитного ПО, ИБ-специалисты также должны моделировать и распределять между пользователями ПК полномочия по доступу к файловому пространству, используемым в компании БД, сетевым настройкам и т. д.

Читайте также: