1.3 Матрица информационной безопасности
Матрица состояний – таблица, позволяющая логически объединить составляющие блоков "ОСНОВЫ", "НАПРАВЛЕНИЯ" и "ЭТАПЫ" по принципу каждый с каждым.
Напомним, что матрица появляется не сама по себе, а формируется в каждом конкретном случае, исходя из конкретных задач по созданию конкретной СЗИ для конкретной ИС.
Наглядно процесс формирования СЗИ с использованием матрицы знаний изображен на рис. 1.5.
Рисунок 1.5 – Структурная схема формирования СЗИ с помощью матрицы
Рассмотрим, как можно использовать предложенную матрицу. Элементы матрицы имеют соответствующую нумерацию (таб. 1.1) Следует обратить внимание на обозначения каждого из элементов матрицы, где:
первое знакоместо (Х00) соответствует номерам составляющих блока "ЭТАПЫ",
второе знакоместо (0Х0) соответствует номерам составляющих блока "НАПРАВЛЕНИЯ",
третье знакоместо (00Х) соответствует номерам составляющих блока "ОСНОВЫ".
В общем случае количество элементов матрицы может быть определено из соотношения
K = Oi · Hj · Mk , (1.1)
где K – количество элементов матрицы, Oi - количество составляющих блока "ОСНОВЫ", Hj – количество составляющих блока "НАПРАВЛЕНИЯ", Mk – количество составляющих блока "ЭТАПЫ".
В нашем случае общее количество элементов "матрицы" равно 140
К = 4·5·7 = 140,
поскольку Oi = 4 , Hj = 5 , Mk = 7.
Таблица 1.1 – Нумерация элементов матрицы состояний
Показатель уровня защиты СЗИ предлагается определять методом экспертных оценок, используя положения теории нечеткой логики и нечетких утверждений. Напомним, что структура модели оценки представлена на рис.1.5, а логическое дерево для расчета обобщенного и частных показателей уровня защиты СЗИ представлено на рис.1.6.
Величина обобщенного показателя уровня защиты определяется на основе частных показателей путем сравнения заданных профилей безопасности с достигнутыми. Заданный профиль, услуги и механизмы безопасности определяются заказчиком или выбираются в соответствии с принятыми "Критериями безопасности" (например Федеральные, Канадские, Общие Критерии, НД ТЗИ 2.5-004-99 или другие) в зависимости от требований, которые устанавливаются к создаваемой СЗИ. Уровень достигнутого профиля защиты определяется экспертным путем в соответствии с теми же критериями оценки защищенности.
Рисунок 1.6 – Логическое дерево для расчета обобщенных и частных показателей уровня защиты СЗИ
Рисунок 1.7 – Матрица логической связи
1.4 Оценка качества сзи на основе анализа профиля безопасности
Под профилем безопасности в дальнейшем будем понимать графическое представление степени выполнения требований предъявляемых к системе защиты в системе координат :
- по горизонтали - перечень требований, предъявляемых к СЗИ;
- по вертикали - степень выполнения каждого требования.
Наиболее удобный случай – это случай , когда степень выполнения требований задается в шкале
0 < Qj < 1, (1.2)
j = 1, m.
Целесообразно рассматривать два профиля безопасности: требуемый и реально достигнутый.
Для построения требуемого профиля безопасности используются предварительно заданные экспертами значения
,
(1.3)
j = 1, m.
Исходные данные для построения требуемого профиля безопасности представляются в виде матрицы состояний.
Качество СЗИ определяется степенью (полнотой) выполнения требований к СЗИ. Исходные данные, необходимо представить в виде табл. 1.2 для каждого направления СЗИ.
Поясним используемые обозначения:
номер этапа с 1 по 7;
перечень показателей т для соответствующих элементов матрицы (от 1 до 28);
коэффициенты важности а, которые определяются для показателей каждого из этапов;
показатели требуемого профиля безопасности Qmp;
показатели достигнутого профиля безопасности Qд;
показатели достигнутого профиля безопасности с учетом коэффициентов важности Qдaj;
сравнение профилей Sпр , которое производится следующим образом:
Sпр = 1 – если значение показателя достигнутого профиля безопасности равно или превышает значение показателя заданного;
Sпр = 0 – если значение показателя достигнутого профиля безопасности ниже значение показателя заданного.
степень выполнения групп требований Qгруп определяется с учетом коэффициентов важности;
качественная оценка Q определяется исходя из значений показателей Qгруп вычисленных для соответствующих этапов;
количественная оценка S определятся путем подсчета значений Sпр, а именно нулей и единиц полученных при сравнении профилей. Это более грубая оценка, определяющая количество выполненных (достигнутых) требований.
Таблица
1.2 – Исходные данные для каждого
направления 
По результатам заполненной таблицы необходимо построить графики:
1. Оценка достигнутого профиля защиты;
2. Сравнение профилей защиты;
3. Оценка этапов.
Аналогичным образом производится оценка и построение графиков для других направлений защиты.
Далее, объединив частные показатели (по направлениям табл. 1.3) в обобщенный показатель, получаем результирующий профиль безопасности и его графическое изображение.
Таблица 1.3 – Результирующий профиль безопасности
Далее строим три графика:
Графическое представление обобщенных количественных оценок степени выполнения требований;
Достигнутые профили защиты;
Количественные показатели степени выполнения требований по защите информации.
Обобщенные показатели уровня защищенности (качественный и количественный) необходимо представить в табл. 1.4.
Таблица 1.4 – Обобщённые показатели уровня защищённости
Далее строятся матрицы количественных и качественных оценок уровня защищенности, позволяющие наглядно оценить степень выполнения требований по защите информации. Это дает возможность определить сильные и слабые места в СЗИ.