Смекни!
smekni.com

Разработка эффективных систем защиты информации в автоматизированных системах (стр. 17 из 21)

,

где

- подмножество свойств ресурса А, которые не нуждаются в защите;

- подмножество свойств ресурса А, которые подлежат защите;

-вероятность появления i-й угрозы (в соответствии с таблицей) в рассматриваемом интервале времени t, где i=1…п.

- стоимостной эквивалент потери свойства j ресурсом А

вследствие воздействия угрозы i (воздействие угроз, потеря одного и того же свойства у одного и того же объекта может быть по разному, например: полная, частичная и т.д.). В дальнейших исследованиях, различные степени потери одного и того же свойства (ресурса) АИС будем рассматривать как разные;

,

где

-потенциальные потери актива А АИС вследствие воздействия угрозы i;

,

где

- потенциальные потери АИС вследствие реализации i-й угрозы.

Тогда стоимостной эквивалент вероятных потенциальных потерь АИС вследствие реализации потенциальных угроз (S) равен:

Иначе


С учетом вероятности появления i-й угрозы данное выражение можно записать следующим образом:

Z - совокупность средств, методов и механизмов защиты АИС, которая определяется как:

;

- вероятность распознавания и противостояния z-м механизмом защиты АИС угрозы i;

,

где

- стоимостной эквивалент вероятных потерь АИС вследствие реализации всех потенциальных угроз при условии использования множества средств, методов и механизмов защиты Z.

- общий показатель уменьшения потерь при использовании СИБ и эффективного противостояния СИБ угрозам;

Величина вероятных затрат (

) на восстановление АИС:


где

- затраты, необходимые для восстановления первоначального j-го свойства состояния нормальной работы АИС в течении планируемого жизненного цикла (T).

Показатель "эффективность-стоимость" инвестиций в СИБ АИС (R) тогда можно записать следующим образом:

Предложенный метод является статичным. Актуализацию величин риска и затрат на создание, внедрение и эксплуатацию СИБ можно провести с использованием известными методами актуализации из теории экономического анализа [41].

Рассмотрим взаимосвязь между величиной риска и затратами на обеспечение информационной безопасности.

На рис. 7.1 представлена зависимость между затратами на обеспечение информационной безопасности и величиной риска АИС.

Для количественного анализа зависимости между затратами на обеспечение информационной безопасности и риска используем понятие эластичности.

Эластичность риска по затратам на обеспечение безопасности данных измеряет чувствительность риска к изменению величины затрат на обеспечение безопасности информации (насколько изменятся уровень риска при изменении затрат на обеспечение информационной безопасности на 1%). Она определяется как отношение процентного изменения величины риска к процентному изменению затрат.

- изменение затрат на обеспечение безопасности информации;

- изменение риска при изменении затрат на обеспечение безопасности информации.

где ЕR (С) - эластичность риска по затратам;

%

- процентное изменение затрат па обеспечение безопасности данных;

%

- процентное изменение риска при изменение затрат;

Эластичность риска по затратам может быть больше или равна нулю. Когда она равна нулю, то можно утверждать, что даже незначительные затраты на обеспечение безопасности информации приведут к значительному уменьшению риска.

В соответствии с общей теорией экономики [41] оптимальным уровнем риска для коммерческих АИС можно считать тогда, когда эластичность функции риск - затраты равна 1.

ВЫВОДЫ И РЕКОМЕНДАЦИИ

Проанализирован перечень основных нормативно-правовых документов регламентирующих проектирование АИС в защищенном исполнении. В качестве основных документов рассматривались источники [1-8,10-14].

Проанализированы особенности каждого класса АС. Наиболее требовательными к защите являются 1-й и 2-й классы. Рассмотрение 3-го класса АС было опущено. Однако проектирование системы защиты в такой АС не значительно отличается от рассмотренных подходов.

Проанализирован порядок создания КСЗИ. Установлено, что такая разработка обычно состоит из четырех этапов. Наиболее ответственным является третий этап, так как именно на данном этапе реализуются все защитные мероприятия по требованиям и техническому решению, принятым на предыдущих этапах.

Были установлены основные требования к защите как конфиденциальной, так и секретной информации от несанкционированного доступа. Требования были сформированы в результате условно разделенных подсистем АС, в состав которых входит:

- подсистема управления доступом;

- подсистема регистрации и учета;

- подсистема обеспечения целостности.

Проанализированы основные принципы защитных мероприятий от несанкционированного доступа в АС, на основании которых установлено, что реализация таких принципов осуществляется с помощью так называемого "монитора обращений".

Для повышения эффективности используемых защитных мероприятий был проведен их математический анализ. На основании такого анализа установлено, что реализация защитных мероприятий для каждого предприятия (объекта) различна, соответственно и эффективность таких мероприятий от НСД для одних объектов будет выше (объекты большого бизнеса), а для других ниже (объекты малого бизнеса).

Проанализированы основные методы оценки эффективности защитных мероприятий в АС. К числу таковых относятся:

- классический;

- официальный;

- экспериментальный.

Разработан подход к оценке эффективности защитных мероприятий АС от НСД, для определения которой достаточно только иметь данные о необходимых требованиях защищённости и данные о полноте выполнения этих требований.

Предложены возможные пути оптимизации защитных мероприятий в АС путем выбора контролируемых параметров по различных показателям эффективности.

Разработаны инструкции и правила для пользователей и обслуживающего персонала, которые являются основой в проведении организационных мероприятий по защите информации.

Предложен простой способ скрытного устранения несанкционированного использования диктофона.

Предложено и рассмотрено несколько эффективных устройств и методов для постановки помех с целью устранения несанкционированного доступа к информации.

СПИСОК ИСТОЧНИКОВ

1. Закон України «Про інформацію» від 2.10.1992 р.

2. Закон України "Про захист інформації в автоматизованих системах"

3. НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.

4. НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.

5. НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі.

6. http://www.rts.ua/ – ДСТУ (Государственные стандарты Украины) имеющие отношение к АСУ ТП

7. ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения"

8. НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу.