Название: Комплексная защита информации в компьютерных системах - Завгородний В.И.

Жанр: Информатика

Рейтинг:

Просмотров: 784


4. Оценка эффективности СЗИ может осуществляться также методом Парето. Сущность метода заключается в следующем. При использовании n показателей эффективности системе соответствует точка в n-мерном пространстве. В n-мерном пространстве строится область парето-оптимальных решений. В этой области располагаются несравнимые решения, для которых улучшение какого-либо показателя невозможно без ухудшения других показателей эффективности. Выбор наилучшего решения из числа парето-оптимальных может осуществляться по различным правилам.

 

12.6. Математическая постановка задачи разработки комплексной системы защиты информации

 

После выбора показателей эффективности и критерия эффективности может быть осуществлена математическая постановка задачи разработки КСЗИ. На этом этапе уже известны:

• F={f1,f2.....fn} - функции, которые должна выполнять КСЗИ;

* М={m1, m2.....mk} - возможные механизмы защиты;

* U={u1, u2.....up} - способы управления КСЗИ.

* Y={y1, y2.....yw} - показатели эффективности КСЗИ;

Показатели эффективности зависят от выполняемых функций, механизмов защиты и способов управления КСЗИ: У=Ф(F,М,U).

Критерий эффективности получается с использованием показателей эффективности: К=Е(У).

Тогда математическая постановка задачи разработки КСЗИ в общем случае может быть представлена вследующем виде:

найти extrS(F,M*,U*), при М* ä М, U* ä U, которым соответствуют У* ä Yд, где Yд - множество допустимых значений показателей эффективности КСЗИ.

То есть, требуется создать или выбрать такие механизмы защиты информации и способы управления системой защиты, при которых обеспечивается выполнение всего множества требуемых функций и достигается максимум или минимум выбранного критерия, а также выполняются ограничения на некоторые показатели эффективности.

Такая постановка применима не только для решения общей, но и частных задач оценки эффективности комплексной системы защиты информации.

 

12.7. Подходы к оценке эффективности КСЗИ

 

Эффективность КСЗИ оценивается как на этапе разработки, так и в процессе эксплуатации. В оценке эффективности КСЗИ, в зависимости от используемых показателей и способов их получения, можно выделить три подхода:

* классический;

* официальный;

* экспериментальный.

 

12.7.1. Классический подход

 

Под классическим подходом к оценке эффективности понимается использование критериев эффективности, полученных с помощью показателей эффективности. Значения показателей эффективности получаются путем моделирования или вычисляются по характеристикам реальной КС. Такой подход используется при разработке и модернизации КСЗИ. Однако возможности классических методов комплексного оценивания эффективности применительно к КСЗИ ограничены в силу ряда причин. Высокая степень неопределенности исходных данных, сложность формализации процессов функционирования, отсутствие общепризнанных методик расчета показателей эффективности и выбора критериев оптимальности создают значительные трудности для применения классических методов оценки эффективности.

 

12.7.2. Официальный подход

 

Большую практическую значимость имеет подход к определению эффективности КСЗИ, который условно можно назвать официальным. Политика безопасности информационных технологий проводится государством и должна опираться на нормативные акты. В этих документах необходимо определить требования к защищенности информации различных категорий конфиденциальности и важности.

Требования могут задаваться перечнем механизмов защиты информации, которые необходимо иметь в КС, чтобы она соответствовала определенному классу защиты. Используя такие документы, можно оценить эффективность КСЗИ. В этом случае критерием эффективности КСЗИ является ее класс защищенности.

Несомненным достоинством таких классификаторов (стандартов) является простота использования. Основным недостатком официального подхода к определению эффективности систем защиты является то, что не определяется эффективность конкретного механизма защиты, а констатируется лишь факт его наличия или отсутствия. Этот недостаток в какой-то мере компенсируется заданием в некоторых документах достаточно подробных требований к этим механизмам защиты.

Во всех развитых странах разработаны свои стандарты защищенности компьютерных систем критического применения. Так, в министерстве обороны США используется стандарт TCSEC (Department of Defence Trusted Computer System Evaluation Criteria) [42], который известен как Оранжевая книга.

Согласно Оранжевой книге для оценки информационных систем рассматривается четыре группы безопасности: А, В, С, D. В некоторых случаях группы безопасности делятся дополнительно на классы безопасности.


Оцените книгу: 1 2 3 4 5