Лаба 9
.docxМИНИСТРЕСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Факультет Инфокоммуникационных сетей и систем
Кафедра Защищенных систем связи
10.03.01 Информационная безопасность
(код и наименование направления/специальности
Предмет Основы управления информационной безопасности
ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №9
«Исследование методов выбора рационального варианта системы защиты информации на основе экспертной информации»
(тема отчета)
Выполнил:
(Ф.И.О., № группы) (подпись)
Проверил:
_Бирих Э.В.____________
(уч. степень, уч. звание, Ф.И.О.) (подпись)
Цель работы:
Изучить метод экспертной оценки информации. Изучить методы выбора рационального варианта системы защиты на основе экспертной информации.
Индивидуальная тема:
№28 Администрация города
Ход выполнения практического задания:
К не регламентируемым нормативным документам относятся приказы или иные информационные извещения работников, носящих рекомендационный характер.
К таким видам документам можно отнести приказ «о рекомендациях ношения средств индивидуальной защиты», как было модно недавно. Сама форма приказа не обязательно и не основополагающая в процессе работы компании.
Для того, чтобы предложить один из вариантов системы защиты на основе использования метода экспертных оценок является, следует поднять само определение экспертного метода. Экспертный метод – это метод решения задач, основанный на использовании обобщенного опыта и интуиции экспертов. Сам метод используется в случаях, когда невозможно или значительно осложнено применение методов объективного определения качества СЗИ. Как результат – ранжирование версии СЗИ по качеству.
Для количественного сравнения системы защиты информации предполагается обращаться к алгоритмам экспертного ранжирования, который в свою очередь подразделяется на этапы:
Набор наиболее важных показателей качества, число которых не превосходит 7-10;
Индивидуальное, а затем и групповое ранжирование показателей качества по их важности;
Сама оценка системы защиты информации.
На всех вышеперечисленных этапах проводится оценка согласованности мнений экспертов и отбрасывание грубых ошибок. Таким образом формируется при неформальных испытаниях итоговое оценка качества средств защиты информации.
Пример показателей обеспечения безопасности ИСПДн если происходит:
обеспечение безопасности ПДн средствами идентификации и аутентификации субъектов и объектов доступа;
Обеспечение безопасности ПДн средствами управления доступом субъектов доступа к объектам доступа;
Обеспечение безопасности ПДн средствами ограничения программной среды
Обеспечение защиты машинных носителей ПДн;
Обеспечение регистрации событий безопасности
Обеспечение целостности, конфиденциальности и доступности ПДн
Обеспечение защиты технических средств
Примечание: показателей может быть больше, в зависимости от типа СЗИ и объекта информатизации.
Пример выбора варианта при равной важности требований
Рассмотрим пример выбора варианта построения СЗИ при равной важности требований.
Для определенности рассмотрим задачу выбора системы защиты применительно к защите процессов и программ.
Основными требованиями при выборе являются следующие требования:
к базе (полнота отражения в законодательных, нормативных и методических документах вопросов, определяющих выбор СЗИ в процессах и программах информационной системы);
к структуре (степень квалификации сотрудников, ответственных за разработку СЗИ);
к полноте и обоснованности мероприятий, обеспечивающих разработку СЗИ качественно и в заданные сроки;
к составу и характеристикам технических средств разработки СЗИ, имеющихся в распоряжении разработчика.
Пусть имеется 3 претендента – исполнителя проекта СЗИ в процессах и программах информационной системы. Претенденты оцениваются по 4 требованиям (критериям), описанным выше: С1 — база, С2 — структура, С3 — меры, С4 — средства.
В результате экспертной оценки получили следующие данные, характеризующие степень соответствия исполнителей заданным требованиям:
С1 = {0,9/а1; 0,7/а2; 0,8/а3};
С2 - {0,8/а1; 0,9/а; 0,6/а3,};
С3 = {0,7/а1; 0,8/а2; 0,9/а3};
С4 = {0,8/а1; 0,6/а2; 0,7/а3}.
а1 – Система от угроз несанкционированного доступа
а2 – Система межсетевого экранирования и защиты каналов связи
а3 – Система обнаружения вторжений
В соответствии с правилом выбора получаем:
D = {min (0,9; 0,8; 0,7; 0,8/а1); min (0,7; 0,9; 0,8; 0,6/а2); min (0,8; 0,6; 0,9; 0,7/а3)} = {0,7/а1; 0,6/а2; 0,6/а3}.
Из правила мультипликативного показателя следует, что наилучшим является первый исполнитель проекта а1 = {0,9; 0,8; 0,7; 0,8}.
Контрольные вопросы:
Что называется методом экспертных оценок?
Методы экспертных оценок – это методы организации работы со специалистами-экспертами и обработки мнений экспертов.
Опишите выбор варианта СЗИ лексикографическим методом.
Упорядочить требования к СЗИ по важности:
С согласия ЛПР для каждого требования назначается величина допустимой уступки
Для первого требования С1 формируется множество "практически равноценных"
В зависимости от кол-ва элементов можно считать множество наилучшим, или переходить к рассмотрению практически равноценных для C2.
Если все требования последовательно пересмотрены и в результате получаем — множество, содержащее более одной альтернативы, то возможно применить два подхода:
уменьшить величину допустимой уступки
представить ЛПР окончательный выбор лучшего варианта.
Дайте характеристику варианта СЗИ при равной важности требований.
При выборе данного подхода предъявляются следующие требования:
к базе (полнота отражения в законодательных, нормативных и методических документах вопросов, определяющих выбор СЗИ в процессах и программах информационной системы);
к структуре (степень квалификации сотрудников, ответственных за разработку СЗИ);
к полноте и обоснованности мероприятий, обеспечивающих разработку СЗИ качественно и в заданные сроки;
к составу и характеристикам технических средств разработки СЗИ, имеющихся в распоряжении разработчика.
Перечислите методы решения многокритериальных задач.
метод главного показателя. Основан на переводе всех показателей качества, кроме главного в разряд ограничений типа равенств и неравенств;
метод результирующего показателя. Основан на формировании обобщенного показателя путем интуитивных оценок влияния частных показателей качества на результирующее качество;
лексикографические методы или метод последовательных уступок.
Нарисуйте логическую схему получения экспертной информации с применением диалоговых средств.
.
Вывод:
По итогам выполнения лабораторной работы мы изучили теоретический материал по теме составления политики информационной безопасности для компании.
Санкт-Петербург
2022