Скачиваний:
48
Добавлен:
10.04.2023
Размер:
93.22 Кб
Скачать

МИНИСТРЕСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ

УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

Факультет Инфокоммуникационных сетей и систем

Кафедра Защищенных систем связи

10.03.01 Информационная безопасность

(код и наименование направления/специальности

Предмет Основы управления информационной безопасности

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №9

«Исследование методов выбора рационального варианта системы защиты информации на основе экспертной информации»

(тема отчета)

Выполнил:

(Ф.И.О., № группы) (подпись)

Проверил:

_Бирих Э.В.____________

(уч. степень, уч. звание, Ф.И.О.) (подпись)

Цель работы:

Изучить метод экспертной оценки информации. Изучить методы выбора рационального варианта системы защиты на основе экспертной информации.

Индивидуальная тема:

№28 Администрация города

Ход выполнения практического задания:

К не регламентируемым нормативным документам относятся приказы или иные информационные извещения работников, носящих рекомендационный характер.

К таким видам документам можно отнести приказ «о рекомендациях ношения средств индивидуальной защиты», как было модно недавно. Сама форма приказа не обязательно и не основополагающая в процессе работы компании.

Для того, чтобы предложить один из вариантов системы защиты на основе использования метода экспертных оценок является, следует поднять само определение экспертного метода. Экспертный метод – это метод решения задач, основанный на использовании обобщенного опыта и интуиции экспертов. Сам метод используется в случаях, когда невозможно или значительно осложнено применение методов объективного определения качества СЗИ. Как результат – ранжирование версии СЗИ по качеству.

Для количественного сравнения системы защиты информации предполагается обращаться к алгоритмам экспертного ранжирования, который в свою очередь подразделяется на этапы:

  1. Набор наиболее важных показателей качества, число которых не превосходит 7-10;

  2. Индивидуальное, а затем и групповое ранжирование показателей качества по их важности;

  3. Сама оценка системы защиты информации.

На всех вышеперечисленных этапах проводится оценка согласованности мнений экспертов и отбрасывание грубых ошибок. Таким образом формируется при неформальных испытаниях итоговое оценка качества средств защиты информации.

Пример показателей обеспечения безопасности ИСПДн если происходит:

  • обеспечение безопасности ПДн средствами идентификации и аутентификации субъектов и объектов доступа;

  • Обеспечение безопасности ПДн средствами управления доступом субъектов доступа к объектам доступа;

  • Обеспечение безопасности ПДн средствами ограничения программной среды

  • Обеспечение защиты машинных носителей ПДн;

  • Обеспечение регистрации событий безопасности

  • Обеспечение целостности, конфиденциальности и доступности ПДн

  • Обеспечение защиты технических средств

Примечание: показателей может быть больше, в зависимости от типа СЗИ и объекта информатизации.

Пример выбора варианта при равной важности требований

Рассмотрим пример выбора варианта построения СЗИ при равной важности требований.

Для определенности рассмотрим задачу выбора системы защиты применительно к защите процессов и программ.

Основными требованиями при выборе являются следующие требования:

  • к базе (полнота отражения в законодательных, нормативных и методических документах вопросов, определяющих выбор СЗИ в процессах и программах информационной системы); 

  • к структуре (степень квалификации сотрудников, ответственных за разработку СЗИ); 

  • к полноте и обоснованности мероприятий, обеспечивающих разработку СЗИ качественно и в заданные сроки; 

  • к составу и характеристикам технических средств разработки СЗИ, имеющихся в распоряжении разработчика. 

Пусть имеется 3 претендента – исполнителя проекта СЗИ в процессах и программах информационной системы. Претенденты оцениваются по 4 требованиям (критериям), описанным выше: С1 — база, С2 — структура, С3 — меры, С4 — средства.

В результате экспертной оценки получили следующие данные, характеризующие степень соответствия исполнителей заданным требованиям:

С1 = {0,9/а1; 0,7/а2; 0,8/а3};

С2 - {0,8/а1; 0,9/а; 0,6/а3,};

С3 = {0,7/а1; 0,8/а2; 0,9/а3};

С4 = {0,8/а1; 0,6/а2; 0,7/а3}.

а1 – Система от угроз несанкционированного доступа

а2 – Система межсетевого экранирования и защиты каналов связи

а3 – Система обнаружения вторжений

В соответствии с правилом выбора получаем:

D = {min (0,9; 0,8; 0,7; 0,8/а1); min (0,7; 0,9; 0,8; 0,6/а2); min (0,8; 0,6; 0,9; 0,7/а3)} = {0,7/а1; 0,6/а2; 0,6/а3}.

Из правила мультипликативного показателя следует, что наилучшим является первый исполнитель проекта а1 = {0,9; 0,8; 0,7; 0,8}.

Контрольные вопросы:

  1. Что называется методом экспертных оценок?

Методы экспертных оценок – это методы организации работы со специалистами-экспертами и обработки мнений экспертов.

  1. Опишите выбор варианта СЗИ лексикографическим методом.

Упорядочить требования к СЗИ по важности:

  1. С согласия ЛПР для каждого требования назначается величина допустимой уступки

  2. Для первого требования С1 формируется множество "практически равноценных"

  3. В зависимости от кол-ва элементов можно считать множество наилучшим, или переходить к рассмотрению практически равноценных для C2.

  4. Если все требования последовательно пересмотрены и в результате получаем — множество, содержащее более одной альтернативы, то возможно применить два подхода:

  5. уменьшить величину допустимой уступки

  6. представить ЛПР окончательный выбор лучшего варианта.

  1. Дайте характеристику варианта СЗИ при равной важности требований.

При выборе данного подхода предъявляются следующие требования:

  1. к базе (полнота отражения в законодательных, нормативных и методических документах вопросов, определяющих выбор СЗИ в процессах и программах информационной системы);

  2. к структуре (степень квалификации сотрудников, ответственных за разработку СЗИ);

  3. к полноте и обоснованности мероприятий, обеспечивающих разработку СЗИ качественно и в заданные сроки;

  4. к составу и характеристикам технических средств разработки СЗИ, имеющихся в распоряжении разработчика.

  1. Перечислите методы решения многокритериальных задач.

  1. метод главного показателя. Основан на переводе всех показателей качества, кроме главного в разряд ограничений типа равенств и неравенств;

  2. метод результирующего показателя. Основан на формировании обобщенного показателя путем интуитивных оценок влияния частных показателей качества на результирующее качество;

  3. лексикографические методы или метод последовательных уступок.

  1. Нарисуйте логическую схему получения экспертной информации с применением диалоговых средств.

.

Вывод:

По итогам выполнения лабораторной работы мы изучили теоретический материал по теме составления политики информационной безопасности для компании.

Санкт-Петербург

2022

Соседние файлы в предмете Основы Управления Информационной Безопасностью