- •В.И. Аверченков, м.Ю. Рытов,
- •Предисловие
- •1. Анализ и систематизация существующего информационного, методического и программного обеспечения автоматизации проектирования организационно - технических систем
- •1.1.1.Понятие организационно-технических систем
- •1.1.2.Анализ подходов к проектированию организационно-технических систем
- •1.2. Характеристика видов обеспечения процесса
- •1.3. Исследование состава комплексных систем защиты
- •1.3.1.Система защиты информации и общеметодологические принципы ее построения
- •1.3.2. Исследование архитектурного построения систем защиты
- •1.4. Существующие подходы к автоматизации проектирования комплексных систем защиты информации
- •1.4.1. Программные продукты аудита информационной безопасности
- •1.4.2. Сетевые сканеры
- •1.4.3. Сапр систем физической защиты
- •1.4.4.Существующие подходы к созданию сапр ксзи
- •2.Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к
- •2.1.Сущность комплексного подхода к разработке системы защиты информации
- •2.2. Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к объекту защиты
- •3. Разработка методов математического описания и методик построения методов
- •3.1. Требования к математическому обеспечению сапр ксзи
- •3.2.Общий подход к математическому моделированию ксзи
- •3.3.Построение математической модели общей оценки угроз
- •3.4. Построение математической модели оценки рисков
- •3.5. Варианты решения задачи выбора средств защиты
- •3.5.1. Математическое обеспечение выбора средств защиты информации на основе четких множеств с четкими соответствиями
- •3.5.2.Математическое обеспечение выбора средств защиты информации на основе нечетких соответствий четких множеств
- •3.5.3. Математическое обеспечение выбора средств защиты информации на основе нечетких множеств
- •3.6. Анализ используемых методик выбора средств защиты информации в сапр ксзи
- •4. Выработка концептуального подхода
- •4.1.Типовое вариантное проектирование ксзи
- •4.2.Выбор способа представления инженерных знаний в системах параметрического проектирования
- •Имя слота 1 (значение слота 1); Имя слота 2 (значение слота 2);
- •Имя слота к (значение слота к)).
- •4.3.Формирование сетевой модели комплексной системы защиты информации на основе типизации её элементов
- •4.4.Разработка структурно-функциональной модели сапр ксзи
- •4.4.1.Разработка структуры и наполнение информационного обеспечения сапр ксзи
- •4.4.2.Разработка лингвистического обеспечения сапр ксзи
- •5. Возможности сапр для проектирования комплексной системы защиты информации на примере вуза
- •5.1.Анализ объекта защиты на примере высшего учебного заведения
- •Информация
- •5.2.Разработка проекта системы защиты конфиденциальной информации вуза
- •5.2.1. Разработка проекта программно-аппаратной защиты
- •5.2.2.Разработка проекта инженерно-технической защиты
- •5.2.2.1.Разработка проекта схемы размещения пожарных извещателей
- •5.2.2.2. Разработка проекта размещения оборудования помещений объекта техническими средствами охранной сигнализации
- •5.2.3. Разработка проекта организационно-распорядительной
- •1.Правового характера:
- •2.Организационного характера:
- •3.Организационно-технического характера:
- •4. Режимного характера:
- •5.3. Анализ результатов работы сапр ксзи
- •Заключение
- •Список литературы
- •Аверченков Владимир Иванович
3.6. Анализ используемых методик выбора средств защиты информации в сапр ксзи
Использование метода экспертного оценивания в совокупности с правилом композиции соответствий множеств позволяет определить состав комплекса средств защиты информации. Создание математической модели возможно с различными вариантами применения теории как обычных множеств, так и нечетких множеств.
Сравнительный анализ методик выбора средств защиты информации показал, что их отличие объясняется тем, что в разных моделях использовались разные исходные данные об элементах множеств.
В модели выбора средств защиты информации на основе четких множеств с четкими соответствиями для каждой угрозы определяется экспертная оценка значимости, т.е. элементы множества угроз отображаются на элементы множества оценок. Каждая угроза характеризуется несколькими коэффициентами нечеткого соответствия – со всеми имеющимися уровнями обстановок.
В модели выбора средств защиты информации на основе четких множеств с четкими соответствиями состав множества угроз не изменялся, а полученные для каждой угрозы оценки значимости использовались для вычисления общих оценок угроз.
Использование представленных методик выбора средств защиты информации позволяет определить количественный и качественный состав комплекса средств защиты объекта в зависимости от предполагаемой угрозы на основе экспертно-аналитического метода количественных приближенных оценок.
Оценка эффективности разработки КСЗИ
При внедрении КСЗИ ставится задача минимизации суммарных затрат путем изменений капитальных и эксплуатационных затрат, которая в общем случае сводится к оптимизации показателя общей эффективности мероприятий по обеспечению безопасности [20]:
(13)
где Y1k – возможный ущерб k-го вида до внедрения КСЗИ; Y2k – возможный ущерб k-го вида после внедрения КСЗИ; – суммарные затраты на внедрение средства безопасностиb-го вида за счет изменений ∆Кз – капитальных и ∆Эз – эксплуатационных затрат.
Риск от реализации угрозы рассчитывается по формуле:
(24)
где Y – возможный ущерб от реализации угрозы; P – вероятность реализации угрозы нарушителем.
Можно выделить три варианта повышения эффективности мероприятий по обеспечению комплексной безопасности объекта защиты:
1
(25)
2
(26)
3
(27)
Вероятный ущерб от реализации угрозы определяется следующим образом:
(28)
где Y1 – прямые потери; Y2 – затраты на ликвидацию и расследование; Y3 – социально-экономические потери; Y4 – косвенный ущерб;Y5 – экологический ущерб;Y6 – потери от выбытия трудовых ресурсов; Y7 – ущерб от потери информационных ресурсов.
Все потенциальные угрозы безопасности объекта защиты так или иначе влияют на его экономическое состояние и на соотношение «затраты – ущерб» при управлении безопасностью. В этой связи целесообразно таким образом формировать программу управления, чтобы затраты на обеспечение безопасности были адекватны потенциальным угрозам. Подобная ситуация предопределяет необходимость оценки вероятности реализации угрозы.
Оценка вероятности реализации угроз и связанная с этим оценка возможных потерь – наиболее сложная и ответственная часть всего процесса обеспечения безопасности. От того, насколько, с одной стороны, достаточно полно выявлены реальные и прогнозируемые (потенциальные) угрозы, зависит в конечном итоге степень защищенности объекта. С другой стороны, сознательное превышение достаточности при учете тех угроз, влияние которых непосредственно на функционирование объекта маловероятно или локализация которых невозможна, или малоэффективна, приведет к существенному завышению затрат на безопасность и может существенно сказаться на реально достигаемой экономической эффективности защиты.
Отсюда возникает задача оптимизации уровня защищенности объекта от угроз, позволяющая достичь максимальной эффективности выбранного варианта комплекса защитных мер. При этом необходимо учитывать весьма важное ограничение: несмотря на кажущееся наличие прямой зависимости между размерами выделяемых на защиту средств и эффективностью защиты, существует предельно-допустимая величина затрат, определяемая рентабельностью проектируемой системы защиты – нормой прибыли на инвестируемые в нее средства.
Повышение рентабельности защиты возможно как за счет обоснованной экономии издержек на ее организацию и эксплуатацию, так и за счет их оптимального распределения по пространству угроз.
Другое направление сокращения издержек заключается в зонировании системы безопасности. Решающее значение для формирования эффективной системы безопасности в целом имеет взаимное расположение зон защиты, образующих в совокупности ее структуру. Отдельные специалисты выделяют три основных вида структур систем безопасности:
система независимых или непересекающихся зон;
система с частичным пересечением зон;
система из полностью зависимых, или «вложенных» друг в друга зон защиты.
Самой простой в организационном отношении является структура независимых зон защиты [19]. В такой структуре каждая из зон автономна при противодействии внешним и внутренним угрозам. Это позволяет достаточно оперативно и полно использовать для реализации задач защиты собственные материально-технические ресурсы, однако делает невозможным использование ресурсов других зон, высвобождающихся при отсутствии угроз. Качество противодействия угрозам в системах с независимыми зонами оценивается частными и общими показателями эффективности (рентабельности) защиты. В частности, при статистически независимых угрозах общая эффективность защиты (Е) оказывается линейно связанной с частными показателями эффективности защиты Ej(j =1,..., М) каждой из М зон:
(14)
где δj – относительная значимость j-й зоны защиты:
(15)
где M – число зон защиты в проектируемой структуре системы безопасности объекта;
Nj – общее число угроз, проявляющихся в j-й зоне защиты;
Рij– вероятность проявления угроз i-го вида в j-й зоне защиты;
dij – абсолютная значимость j-й зоны защиты в отношении i-го вида угроз.
Из (15) следует, в частности, сравнительно простая оценка предельного «снизу» качества (надежности) защиты каждой из зон:
(31)
где Q0– уровень качества (надежности) системы защиты в целом.
Исходя из зонного принципа организации защиты, можно сформулировать ряд важных предпосылок по структуризации системы защиты в целом [20]:
чем выше значимость зоны dj, тем более эффективной должна быть ее защита и, следовательно, тем больше средств необходимо выделять для ее организации;
в системах с высоким уровнем эффективности общей защиты большая
часть издержек должна быть связана с обеспечением безопасности особо важных зон или зон с максимальной относительной значимостью.
Так, при общей эффективности защиты Е = 95% и значимости особо важной зоны djj=0,9 частная эффективность защиты Ej более 89%, что практически совпадает с общей величиной Е.
Однако эти предпосылки справедливы только по отношению к структуре системы из независимых зон и требуют уточнений для других более сложных структур. Анализ показывает, что при некоторых других допущениях (равнозначность угроз, линейный характер основных зависимостей и др.) относительная величина q выигрыша по затратам на ресурсы будет определяться из неравенства:
.
Величина эффекта, как экономия затрат на безопасность, определяется, помимо факторов затратного характера, и разбросом относительной значимости зон. Так если система безопасности состоит из четырех зон с относительной значимостью: d1 = 0,8; d2 = 0,1; d3 = 0,07; d4 = 0,03 (что соответствует некоторым коммерческим структурам с охраняемой внешней территорией), то в соответствии с формулой (25) получим значение q > 2,62, то есть оптимизация распределения ресурсов позволит в данном случае обеспечить равную общую эффективность защиты при в 2,62 раза меньших расходах (по сравнению с затратной схемой использования ресурсов).
Оптимизация распределения ресурсов по зонам защиты позволит экономически обосновать выбор для каждой из них и объекта защиты в целом состав комплекса специальных технических средств. Критерием оптимальности этой композиции может быть выбрана сумма средних потерь от реализации угроз и затрат на систему защиты.
О
(33)
.
О
(34)
.
С
(35)
.
Математическое ожидание ущерба от неприменения всех способов (методов) защиты k-го элемента от j-й угрозы составит:
(36)
Тогда максимально допустимые затраты на систему обеспечения безопасности предприятия (в смысле непревышения затрат на ее содержание над полным математическим ожиданием ущерба от реализации всех угроз в отношении всех защищаемых элементов при применении всех методов защиты) будут равны полному математическому ожиданию ущерба от их реализации:
(37)
Оптимальность затрат на организацию защиты определяется на периоде, в течение которого функционирует объект защиты и на тот период, на который разрабатывается стратегия. Этот период должен (по крайней мере) равняться периоду Т, на котором определялась вероятность реализации угроз.
Если же для различных видов угроз периоды определения вероятности их реализации отличаются, то здесь будет возникать некоторая неопределенность. Так, если в качестве расчетного периода принять период минимальной длительности, то, с одной стороны, это увеличивает затраты на защиту от тех угроз, вероятность реализации которых определялась на более продолжительном периоде. С другой стороны, в течение короткого периода не все виды угроз могут реализоваться, а значит, они могут быть и не учтены в принятии мер защиты от них. Тогда при реализации проектируемой системы возникает опасность проявления неучтенных угроз, обусловливающих дополнительный ущерб и превышение связанных с их локализацией затрат. При этом система защиты может оказаться нерентабельной, не обеспечивающей к тому же решение задач обеспечения безопасности. Неопределенность в проявлении различного вида угроз в краткосрочных периодах может быть разрешена с организацией статистики этих проявлений и актуализацией по накопленным статистическим данным структуры, функций и затрат на систему безопасности.
Рассмотрим теперь ситуацию, когда расчетный период, на котором определялась вероятность реализации угроз, принимался достаточно продолжительным. В этом случае в целом по периоду затраты на систему безопасности будут минимальными, но в отдельные промежутки времени (когда может реализоваться угроза с вероятностью, определенной на более коротких периодах) ущерб от реализации угроз может превысить затраты на систему безопасности. И тогда она может оказаться нерентабельной (с точки зрения рентабельности предприятия в целом) и не выполнит на этом коротком периоде свою задачу.
Возможный выход из такого противоречия – применение минимаксного подхода теории игр[17]. Он предполагает достижение минимума затрат на такую систему безопасности, которая обеспечивает максимальную результативность, то есть обеспечивает защиту от максимально допустимого ущерба как результата реализации угрозы, вероятность проявления которой определялась на коротком периоде, и размер ущерба от которой может на этом периоде необратимо дестабилизировать деятельность предприятия. Естественно, минимаксный подход будет целесообразен при более двух различающихся по продолжительности периодах, на которых определялись вероятности реализации угроз.