Курс лекций Защита Информации/Оценка качества АСЗИ

Одним из наиболее важных вопросов является оценка качества СЗИ АСЗИ

Основные тезисы

править

Перед началом изучения материалов об оценки качества СЗИ АСЗИ необходимо сформулировать следующие тезисы:

  1. Злоумышленник с помощью источника генерирует совокупность угроз автоматизированной системе, которая является конечной и счетной.
  2. Каждая угроза характеризуется вероятностью появления и ущербом, приносимым информационной системе.
  3. Система защиты информации выполняет функцию парирования угроз в АС.
  4. Основной характеристикой СЗИ является вероятность   устранения каждой  -ой угрозы.
  5. За счет функционирования СЗИ обеспечивается минимизация ущерба, наносимому АС.

Реализация

править

После введения обозначений, решим задачу синтеза СЗИ для АС . Необходимо выбрать варианты реализации СЗИ обеспечивающего максимальный предотвращенный ущерб при дополнительных затратах.

  =    .

<     .

  ( 0)    

  — вектор, характеризующий варианты технической реализации СЗИ.

 0 и  + — оптимальный и допустимый значения вектора  

  — допустимые затраты на СЗИ.

Показатель качества функции  

править

Сформулируем показатель качества функции

  =   ,  ,  , где  .

Предотвращенный ущерб за счет ликвидации

править

  — общий предотвращенный ущерб.

  — предотваращенный ущерб за счет ликвидации  -ой угрозы.

Предотвращенный ущерб за счет ликвидации  -ой угрозы:

    , где  .

Вводятся допущения:

  • независимость угроз
  • аддитивность их последствий

Ущерб    i угр может определяться в любых единицах экономических потерь, временных затрат, объеме утраченной информации.

В месте с тем на разных этапах проектирования системы оценить абсолютный ущерб бывает затруднительно, поэтому вместо абсолютного ущерба используют относительный ущерб, который представляет собой степень опасности  -ой угрозы для информационной системы.

Степень опасности

править

Степень опасности может быть определена экспертным путем в предположении, что все угрозы для АС представляют полную группу событий. Вероятность устранения  -ой угрозы определяется тем, насколько были учтены количественный и качественные требования к СЗИ АСЗИ .

 =  .

  — степень выполнения  -го требования защиты информации, для устранения  -ой угрозы.

Пусть первые   требований — количественные, а   требований — качественные.

Степень выполнения  -го количества требований, определяется его требуемому (оптимальному) значению.

Для оценки лучше всего использовать нормированное значение.