Выбор механизмов и средств защиты информации

При принятии решения о выборе наилучшего варианта системы защиты информации в соответствии с некоторым критерием возникает задача определения требований, предъявляемых к параметрам СЗИ. Эти параметры обуславливают качество СЗИ.

Для оптимального проектирования системы защиты информации воспользуемся основными понятиями квалиметрии.

Качество - это свойство или совокупность свойств объекта, обусловливающих его пригодность для использования по назна­чению.

Каждое из свойств объекта может быть описано с помощью некоторой переменной, значение которой характеризует меру (интенсивность) его качества относительно этого свойства. Эту меру называют показателем свойства или единичным, частным показателем качества (ЧПК) объекта.

Например, СЗИ каждого вида может характеризоваться такими ЧПК, как M_ij = {C_ij, P_ij, T_ij, V_ij,,…}, где C_ij – стоимость средства защиты, P_ij – уровень защищенности, T_ij – время на осуществление элементарной операции, V_ij – необходимый объем оперативной памяти. При необходимости, проектировщики могут добавлять новые ЧПК для оценки механизмов защиты.

Уровень качества объекта характеризуется значениями сово­купности показателей его существенных - атрибутивных свойств (АС), т.е. свойств, необходимых для соответствия объекта его назначению. Эта совокупность называется показателем качества.

Показатель качества объекта - это вектор, компоненты ко­торого суть показатели его отдельных свойств, представляющие собой частные, единичные показатели качества объекта.

Критерий оценивания качества - это руководящее правило (условие или совокупность условии), вытекающее из принятых принципов оценивания, реализуемое при принятии того или иного решения (проектного, организационного, управленческого и т.п.) о ка­честве исследуемого объекта.

Для того, чтобы использовать показатели качества в дальнейших математических расчетах, они должны быть выражены некоторыми количественными значениями. Показатели качества подсистемы защиты складываются из показателей качества ее элементов, то есть СЗИ.

Показатели качества системы защиты складываются из совокупности характеристик подсистем, таким образом, можно учесть ограничения, накладываемые на систему в целом и найти оптимальный состав механизмов защиты для достижения требуемых показателей эффективности системы защиты информации. Значения характеристик системы можно варьировать путем перебора различных вариантов состава подсистем защиты.

Таким образом, при выборе СЗИ при проектировании системы защиты необходимо:

1) определить необходимый состав механизмов защиты;

2) определить ЧПК средств защиты, реализующих эти механизмы;

3) определить важность каждого ЧПК для решения общей задачи защиты информации и сформировать показатели качества СЗИ;

4) составить список имеющихся или проектируемых СЗИ и рассчитать для них показатели качества;

5) выполнить оптимальное проектирование системы защиты.

По отношению к выбору необходимого состава механизмов защиты в настоящее время известны различные подходы. Один из подходов описан в РД Гостехкомиссии России «АС. Защита от НСД. Классификация АС и требования по защите информации» и заключается в жестком перечислении необходимых механизмов безопасности в зависимости от класса защищенности АС. Этот подход обладает определенными недостатками, в частности:

· статичность требований к АС, сложность их технической реализации;

· инвариантность к результатам оценки рисков и среде эксплуатации АС;

· низкая эффективность защиты;

· несогласованность с новой нормативной базой безопасности изделий ИТ (ГОСТ Р ИСО/МЭК 15408-2002).

Альтернативный подход описан в проекте специального технического регламента №45, согласно которому все АС разбиваются на классы, в зависимости от возможного ущерба, к которому может привести нарушение безопасности информации. Ущерб выражен в денежном выражении, а также связан с жизнью и здоровьем людей. Недостатком такого подхода является сложность определения ущерба в каждом конкретном случае, а также отсутствие методик такого расчета для информации ограниченного распространения.

Наиболее рациональный подход к методологии задания требований безопасности информации и оценке их выполнения для АС приведен в стандарте ISO/IEC 19791, который пока еще не переведен на русский язык. Этот стандарт расширяет концепцию ГОСТ 15408 для АС, позволяет предъявлять требования как к ИТ-составляющим АС, так и не к ИТ-составляющим. Вместе с тем, вне области действия ISO/IEC 19791 находятся такие аспекты, как:

· категорирование информации;

· категорирование АС;

· определение необходимого уровня безопасности АС, с учетом которого должны задаваться минимально необходимые требования безопасности АС;

· вопросы анализа рисков.

Получить значения ЧПК средств защиты информации обычно не составляет труда. Например, может быть известно, что программный межсетевой экран стоит 1500 руб, его применение потребует 32 Мбайт системной памяти и займет ресурс центрального процессора примерно 5%. Защищенность СЗИ может быть оценена косвенно, на основе имеющихся данных о классе защищенности.

Для формирования показателя качества СЗИ можно присвоить каждому ЧПК некоторый вес, то есть ввести понятие веса, определяющего его важность.

Для этого могут быть использованы формальные и неформальные методы экспертной оценки. Не всегда представляется возможным определить веса непосредственно или вычислить по известным аналитическим зависимостям. В случае, когда значения весов невозможно получить изложенными выше способами, необходимо использовать неформальные экспертные оценки. Подобные методы состоят из двух этапов: сбор экспертных оценок важности ЧПК и статистическая обработка полученных результатов.

Дата добавления: 2014-01-04; Просмотров: 765; Нарушение авторских прав?; Мы поможем в написании вашей работы!