Модели оценки эффективности:

Аналитические: 1. определение наиболее уязвимых мест в системе защиты. 2. вероятностное оценивание и экономический расчет ущерба от реализации угроз безопасности; 3. научное обоснование количественных показателей достижения целей защиты и т.п.

Имитационные: 1. исследование объекта защиты; 2. оценка влияния разного рода параметров систем обработки информации и внешней среды на безопасность; 3. изучение влияния на безопасность различных событий, которые наблюдаются в реальных условиях; 4. обучение персонала работе с системой защиты и т.п.

Экспертные: 1. доведение уровня безопасности ИВС до требуемого; 2. сравнение различных вариантов построения систем защиты для рассматриваемой архитектуры ИВС; 3. определение целесообразности затрат на создание средств защиты; 4. анализ последствий воздействия угроз на функционирование ИВС и т.п.

51. Системы показателей защищенности (эффективности) КСЗИ.

Выбор и обоснование показателей оценки эффективности КСЗИ

Данная задача по выбору и обоснованию потребных показателей эффективности КСЗИ является сложной исследовательской задачей по следующим причинам:

1. Необходимость контроля большого количества средств и объектов защиты (мероприятий, этапов и т.д.);

2. Случайность внешних и внутренних воздействий, оказывающих влияние на защиту информации (вероятностный учет);

3. Отсутствие аналитических показателей, учитывающих специфики функционирования защиты информации;

4. Необходимость получения количественной и качественной оценки эффективности (грубой и точной).

Схема определения показателей безопасности информации

Оптимальность построения КСЗИ

Проектирование КСЗИ предусматривает создание оптимальной совокупности механизмов по защите информации.

При этом должны учитываться два основных показателя оценки оптимальности:

1. Требуемый уровень защищенности информации;

2. Заданный уровень привлекаемых ресурсов для построения КСЗИ.

По другому данные задачи формулируются в следующем виде:

1. Достижение заданного уровня защищенности информации при минимальных затратах (ресурсах);

Достижение максимально возможного уровня защиты при заданном

В самом общем плане эффективность = качество защиты;

Данные защищаются человеком и только от человека. Значит данный параметр на 100% определяется опытом, знаниями и дисциплиной человека, который их защищает.

Защищенность – способность системы самостоятельно контролировать себя и осуществлять контроль окружающей среды в процессе своего функционирования на предмет выявления и предотвращения ситуаций из некоторого наперед заданного множества ситуаций;

Показатели защищенности ИС – характеристика средств (свойств) системы, влияющая на защищенность и описываемая определенной группой требований, варьируемых (по уровню и глубине) в зависимости от класса защищенности;

52. Метод оценки уровня безопасности и аналитические модели определения базовых и обобщенных показателей уязвимости в ксзи.

Концепция безопасности предприятия - документ, который отражает систему взглядов руководства предприятия на проблемы безопасности на различных этапах и уровнях и в разных сферах его хозяйственной деятельности, а также определяет основные пути их решения, принципы, направления и этапы реализации мер безопасности. При разработке КБП учитываются действующее законодательство, нормативные акты и регламенты в сфере безопасности, защиты, применения технических.

Д ля количественной оценке эффективности существует единичная шкала. Используется метод половинного деления единичной шкалы.

Принято, что шкала, как вероятность от 0 до 1 (вероятность защиты информации). Шкала для оборонительной стратегии >= 75

Для наступательной стратегии эффективность защиты >= 0,86

Для упреждающей стратегии эффективность защиты >= 0,92

Методологические подходы выявления значимости угроз, в частности, таблично -экспертная модель.

Типы угроз	Источники
	Люди	Технические средства	Модели	Процессы	Внешняя среда
Количественная недостаточность	+	+	+	+	-	4
Качественная недостаточность	+	+	+	+	-	4
Отказы	+	+	+	+	-	4
Сбои	+	+	+	+	-	4
Ошибки	+	+	+	+	-	4
Стихийные бедствия	+	+	+	+	+	5
Злоумышленные действия	+	-	-	-	+	2
Побочные явления	+	+	+	+	+	5
	8	7	7	7	3

Цифры обозначают количество «+» в каждой строке и столбце.

На этапе выявления угроз после определения наиболее опасных рассчитывается количественная оценка экономического риска по следующей методике (возможный вариант):

1. Определяется категория важности объекта;

2. Определяются угрозы (нарушитель и уязвимые места);

3. Определяется категория защиты и количество рубежей защиты;

4. Рассчитывается вероятность пропуска нарушителя на каждом рубеже защиты по формуле: Pпр_i = (1+m*Pобх_i – Робн_i (1-m)) Pпр_i – вероятность пропуска Pобх – вероятность обхода Робн – вероятность обнаружения m – количество рубежей.

5. Остаточный экономический риск угрозы R_i = Рпр_i * Ц_i R – риск Рпр – вероятность пропуска Ц – ценность.

Считать уровень защиты объекта достаточным, если выполняется следующее условие:

R_i<=R_{допустим} = 0,015 * Ц

Вероятность несанкционированного получения:

P_ijkl = P_ijl^(δ) * P_ijl^(k) * P_ijl^(H) * P_ijl^(u)

Базовым показателем уязвимости информации при этом является:

P_ijk^(δ) = 1 – П_i (1 – P_ijkl)

Данный методологический подход позволяет также:

1. Оценить эффективность действий всех рассматриваемых нарушителей;

2. Оценить вероятность реализации угроз;

3. Оценить защищенность (уязвимость) отдельных компонентов КСЗИ и всей КСЗИ в целом: Р_ксзи = 1 – П_i [1 – P_ijk^(δ)] П_j [1 – Р_ijk^(δ)]П_k[1 – P_ijk^(δ)]

Указанные математические подходы фиксируются конкретным временным показателем. Для различных временных показателей будут различные итоговые оценки.

53. Методы оценки эффективности КСЗИ: метод анализа рисков.

Оценка затратной части (метод оценки рисков)

Ц_и = К_ф * exp(1-К_в)

R_э = Ц_и ∑_i=1 4 P_i * ∑_l=1 12 P_l * ∑_m=1 3 V_m * P_m * P_кзи

Ц_и – стоимость защищаемой информации

К_ф – размер прибыли

К_в – категория важности информации (1 – угроза банкротства; 2 – угроза ликвидации одной из деятельности; 3 – угроза ликвидации одного подразделения; 4 – угроза ликвидации предприятия в целом)

R_э – экономический риск

P_i - вероятность появления i-го вида источника угроз: внутренний нарушитель, внешний нарушитель, техногенные и природные источники угроз (i=4)

P_l – вероятность l-ого источника угрозы: высококвалифицированный, квалифицированный, неквалифицированный, случайный нарушитель, сбой, отказ, авария, пожар, ураган, наводнение, молния (l=12)

V_m – доля ущерба от реализации m-ой источников угроз (m=3): утечка, модификация, утрата

P_m – вероятность проявления m-ой угрозы (утечка, модификация, утрата)

P_кзи – условная вероятность отсутствия защиты информационного объекта многорубежной системы защиты информации от всех способов реализации угроз:

Р_кзи = ∑_j=1 ²⁰ P_j (1-P_зj)

P_j – вероятность проявления j-го способа реализации угрозы (рассматривать способы от 1 до 20 рекомендуется)

P_зj – вероятность защиты информационного объекта от j-го способа реализации угрозы

Р_зj = ^s√((1- P_обх) * П_q=1 ^s P(q))

Р_обх – вероятность обхода нарушителем контролируемого канала НСД

S – количество контролируемых каналов НСД: подсистемы физической защиты, компьютерная безопасность, организационная защита и т.дю. если отдельная подсистема – это монитор, клавиатура и т.д.

P(q) – вероятность защиты объекта для каждого канала НСД

P_q = 1 - П_n (1-P_n)

P_n – вероятность защиты объекта на n-ом рубеже защиты

Пример расчета.

Исходные данные. Пусть Кф = 1 000 000 руб

Категория важности информации Кв = 2

Категория нарушителя «внутренний квалифицированный»

Угроза «утечка информации»

Способ реализации угрозы «ознакомление»

Доля ущерба (Vm) = 0,3

Pi = 0,8 ; Pl = 0,5; Pm = 0,9; Pj = 0,8; Pобх = 0,05; S = 5

Рубежей защиты – 2

Выполненные расчеты показали, что Рзj (вероятность защиты объекта) составляет 0,94

Rэ (экономический риск) оставит 5400 руб

Вывод: экономический риск составляет менее 0,5 % стоимости капитала, что приемлемо.

Замечание: в случае, если вероятность обхода канала НСД будет увеличена на порядок. Т.е. Робх = 0.5 (посягательства на объект высококвалифицированным нарушителем), тогда экономический риск будет составлять 14000 р, т.е. это будет недопустимым для предприятия. Следовательно потребуется увеличение количества рубежей защиты объекта (вероятность защиты объекта необходимо повысить)