Введение
Цель данной лекции – изучить методы и методики оценки качества функционирования КСИБ.
В толковом словаре русского языка слова «метод» и «методика» имеют несколько значений.
Отметим, что под методом, мы будем понимать способ познания или исследования, а под методикой – совокупность методов.
В настоящее время не существует общепринятых методов и методик оценки качества КСИБ, как не существует и общепринятого набора показателей качества функционирования КСИБ. Всякая оценка качества защиты информации каждый раз является актом творчества и разными авторами решается по-разному. Однако можно определить ряд факторов, которые необходимо учитывать при оценке качества КСИБ.
1. Обеспечение информационной безопасности на практике происходит под воздействие большого числа случайных факторов, некоторые из которых систематизированы в ГОСТ Р 51275 99.
2. Существуют обстоятельства заранее неизвестные или казавшиеся несущественными при проектировании КСИБ, которые способны значительно снизить или даже полностью скомпрометировать предусмотренные проектом меры информационной безопасности.
|
|
3. Объективное подтверждение эффективности функционирования CЗИ является сложным, а иногда и вовсе невозможным.
4. В вопросах обеспечения информационной безопасности, как впрочем и во многих других областях, нормативная база отстает от потребностей практики. В частности непроработанными остаются такие аспекты как система показателей информационной безопасности; система критериев, обеспечивающих оптимальный уровень безопасности и учитывающих стохастическую природу явлений и событий, которые возникают в процессе защиты информации, а также их экономическое содержание.
5. Проектирование и применение СЗИ объективно связаны с неизвестными событиями в будущем и всегда содержат элементы неопределенности. По мере реализации проекта неопределенность снижается, но никогда эффективность СЗИ не может быть адекватно выражена и описана детерминированными показателями.
Исходя из вышеизложенных факторов, возможным способом определения уровней гарантий безопасности могут быть вероятностно-статистические методы, нашедшие широкое применение в практике обеспечения безопасности во многих прикладных областях.
Следует отметить, что в контексте оценивания СЗИ сам термин «вероятность» имеет несколько различных значений. Наиболее часто встречаются два толкования этого слова, которые обозначаются сочетаниями «объективная вероятность» и «субъективная вероятность». Понятие «объективная вероятность» (ее еще называют физической) вам должно быть хорошо знакомо – это отношение общего числа благоприятных исходов к общему количеству испытаний при количестве испытаний, стремящемуся к бесконечности. Иначе говоря, это относительная частота появления какого-либо события в общем объеме наблюдений. Объективная вероятность определяется при анализе большого числа наблюдений, имевших место в прошлом или как следствие из моделей, описывающих некоторые процессы.
|
|
Под субъективной вероятностью понимается мера уверенности некоторого человека или группы людей (экспертов) в том, что данное событие действительно будет иметь место.
Субъективная вероятность может быть формально представлена несколькими способами:
- вероятностным распределением на множестве событий;
- бинарным отношением на множестве событий;
- описана математическим аппаратом нечетких множеств;
- описана функцией полезности на множестве альтернатив (с учетом предпочтений лица, принимающего решение). Возможны и другие способы представления субъективной вероятности.
По статистическим данным Национального отделения ФБР США по компьютерным преступлениям, реальный уровень эффективности СЗИ недопустимо низок. Так вероятность предотвращения несанкционированного доступа в информационную систему в среднем составляет около 0,12, а вероятность обнаружения нападения на корпоративные сети оценивается величиной 0,03–0,15. В то же время нормы безопасности, изложенные в соответствующих документах, имеют порядок 0,9.