|
|
|
Матрица
знаний информационной безопасности
|
 |
Одиннадцать отдельно взятых футболистов (даже очень хороших) не составляют команду до тех пор, пока на основе заданных целей не будет отработано взаимодействие каждого с каждым. Аналогично СЗИ лишь тогда станет системой, когда будут установлены логические связи между всеми ее составляющими. Как же организовать такое взаимодействие? В футболе для этого составляют турнирную таблицу, куда заносятся результаты футбольных игр. При этом после проведения всех встреч команд каждой с каждой, можно сделать вывод об уровне состояния мастерства как команд в целом, так и отдельных игроков.
МАТРИЦА – своего рода турнирная таблица, позволяющая логически объединить составляющие блоков “ОСНОВЫ”, “НАПРАВЛЕНИЯ” и “ЭТАПЫ” по принципу каждый с каждым. Напомним, что матрица появляется не сама по себе, а формируется в каждом конкретном случае, исходя из конкретных задач по созданию конкретной СЗИ для конкретной ИС.
Элементы матрицы
имеют соответствующую нумерацию.
Следует обратить внимание на обозначения каждого из элементов матрицы, где:
первое знакоместо (Х00) соответствует номерам составляющих блока “ЭТАПЫ”,
второе знакоместо (0Х0) соответствует номерам составляющих блока “НАПРАВЛЕНИЯ”,
третье знакоместо (00Х) соответствует номерам составляющих блока “ОСНОВЫ”.
Представление
элементов матрицы
Элемент матрицы 321 формируется с учетом следующих составляющих:
300 – Проведение оценки уязвимости и рисков (составляющая № 3 блока “ЭТАПЫ”);
020 – Защита процессов и программ (составляющая № 2 блока “НАПРАВЛЕНИЯ”)
001 – Нормативная база (составляющая № 1 блока “ОСНОВЫ”)
Содержание каждого из элементов МАТРИЦЫ описывает взаимосвязь составляющих создаваемой
СЗИ.
Перечень
вопросов описывающих каждый из элементов матрицы, приведен в виде следующей
интересной таблички...
Комплекс вопросов создания и оценки СЗИ рассматривается путем анализа различных групп элементов матрицы, в зависимости от решаемых задач
В общем случае основным
содержанием элементов матрицы является ответ на вопрос “Какие из мероприятий
по защите информации, кем и как выполняются?”
Рассмотрим содержание для элементов № 321, 322, 323, 324, которые объединяют
следующие составляющие:
№ 3 (300 проведение оценки уязвимости и рисков) блока “ЭТАПЫ”
№ 2 (020 защита процессов и программ) блока “НАПРАВЛЕНИЯ”
№ 1, 2, 3, 4 (001 нормативная база, 002 структура органов, 003 мероприятия,
004 используемые средства) блока “ОСНОВЫ”.
Опишем содержание информации в указанных элементах матрицы.
Вот что получилось:
Элемент № 321 содержит информацию о том насколько полно отражены в законодательных,
нормативных и методических документах вопросы, определяющие порядок проведения
оценки уязвимости и рисков для информации используемой в процессах
и программах конкретной ИС?
Это содержание только четырех вопросов из ста сорока, но ответы на них уже позволяют сформировать некое представление о состоянии дел по защите информации в конкретной ИС.
В общем случае рассматриваются все 140 вопросов (по числу элементов матрицы). Описание этих вопросов позволяют составить полное представление о СЗИ и оценить достигнутый уровень защиты.Полный перечень 140 вопросов изложен в Приложение.
А теперь посмотрим МАТРИЦУ в полном объеме...
Еще один вариант наглядного представления МАТРИЦЫ
|
