Курс лекций Защита Информации/Оценка качества АСЗИ: различия между версиями

 
=== Предотвращенный ущерб за счет ликвидации ===
 
<math>W</math> — общий предотвращенный ущерб.
 
<math>W_i</math> — предотваращенный ущерб за счет ликвидации <math>i</math>-ой угрозы.
 
Предотвращенный ущерб за счет ликвидации <math>i</math>-ой угрозы:
<math> W </math> = <math> \Sum </math> <math>P</math><sub>i угр</sub> * <math> \Delta </math> <math>q</math><sub>i</sub> <sup>угр</sup> * <math>P</math><sub>i угр</sub> <sup>устр</sup>.
 
<math>P</math><sub>i угр</sub> <sup>устр</sup> - является статистической и равна частоте появления угрозы.
 
Ущерб <math> \Delta </math> <math>q</math><sub>i</sub> <sup>угр</sup> может определяться в любых единицах экономических потерь, временных затрат, объеме утраченной информации.
 
В месте с тем на разных этапах проектирования системы оценить абсолютный ущерб бывает затруднительно, поэтому вместо абсолютного ущерба используют относительный ущерб, который представляет собой степень опасности <math>i</math>-ой угрозы для информационной системы. Степень опасности может быть определена экспертным путем в предположении, что все угрозы для АС представляют полную группу событий. Вероятность устранения <math>i</math>-ой угрозы определяется тем, насколько были учтены количественный и качественные требования к СЗИ АСЗИ.
 
Вероятность устранения <math>i</math>-ой угрозы определяется тем, насколько были учтены количественный и качественные требования к СЗИ АСЗИ.
 
<math>P</math><sub>i угр</sub> <sup>устр</sup > = <math>f</math><sub>i</sub>(<math>X</math><sub>i,1</sub>...<math>X</math><sub>i,j</sub>...<math>X</math><sub>i,m</sub> )
 
<math>X</math><sub>i,j</sub> - степень выполнения <math>j</math>-го требования защиты информации, для устранения <math>i</math>-ой угрозы.
 
Пусть первые <math>k</math> требований - количественные, а <math>m-k</math> требований - качественные.
 
Степень выполнения <math>j</math>-го количества требований, определяется его требуемому (оптимальному) значению.
393

правки