Методы экспертно-лингвистических оценок

Основное содержание методов сводиться к тому, что значения величин оцениваются в лингвистических переменных. В этом случае лингвистические оценки экспертов преобразуются в интервальные оценки с помощью шкалы Харрингтона.

Неформальные методы поиска оптимальных решений

основаны на:

· теории нечетких множеств,

· теории конфликтов,

· теории графов,

· формально-эвристических методах,

· эволюционном моделировании,

что позволяет свести задачу оценки к формальным алгоритмам.

Декомпозиция общей задачи на ряд частных

Метод предлагает декомпозицию (разбиение) общей задачи оценки эффективности на ряд частных задач:

· задача оценки эффективности СЗИ от сбоев и отказов аппаратных и программных СрЗИ,

· задача оценки эффективности СЗИ от НСД к информации,

· задача оценки эффективности СЗИ от ПЭМИН и т.д.

В свою очередь частные задачи могут быть разбиты на подзадачи.

Главная сложность этого метода заключается в учете взаимосвязи и взаимного влияния частных задач и оптимизации.

Макромоделирование

Такое моделирование осуществляется в основном с целью получения предварительных общих оценок системы. Задача при этом упрощается за счет использования при построении модели только основных характеристик.

Одним из этапов Оценки качества КСОИБ является оценка рисков в АС.

Анализ и оценка рисков в АС

Под риском следует понимать – следствие действия либо бездействия, в результате которого существует реальная возможность получения неопределенных результатов различного характера, как положительно, так и отрицательно влияющих на деятельность рассматриваемого объекта.

При выполнении полного анализа рисков необходимо провести ряд мероприятий:

1) определить ценность ресурсов – для этого выбирается подходящая система критериев, которые должны описать потенциальный ущерб, связанный с нарушением конфиденциальности, целостности, доступности информации:

· стоимость ресурсов,

· ущерб репутации организации,

· неприятности, связанные с нарушением действующего законодательства,

· ущерб для здоровья персонала,

· ущерб, связанный с разглашением персональных данных отдельных лиц,

· финансовые потери от разглашения информации,

· финансовые потери, связанные с восстановлением ресурсов,

· потери, связанные с невозможностью выполнения обязательств,

· ущерб от дезорганизации деятельности и др.;

2) составить полный список угроз БИ и оценить их параметры – необходимо проанализировать ресурсы с точки зрения воздействия возможных угроз БИ и идентифицировать уязвимости СЗИ. Угрозы ранжируются по привлекательности ресурса и вероятности реализации угроз;

3) оценить уязвимость ресурсов – для каждого уровня угрозы оценивается уровень уязвимости информации (легкость, с которой реализованная угроза способна привести к негативному воздействию). Например, уровень угроз и уровень уязвимостей можно оценить по шкале «высокий-средний-низкий»;

4) оценить риски – метод основан на использовании таблиц и учитывает ценность ресурса, уровни угрозы и уязвимости. Каждому значению уровня риска должно быть поставлено в соответствие описание, позволяющее однозначно его трактовать разным людям и понимать, где проходит граница между значениями. Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска: 1: риск практически отсутствует,

2: риск очень мал,

3: …

8: риск очень велик.

Другой метод оценки рисков состоит в разделении их на приемлемые и неприемлемые. Вопрос о том, как провести границу между приемлемыми и не приемлемыми рисками, остается на усмотрении пользователя;

5) выбрать контрмеры – оценить существующие средств обеспечения информационной безопасности и оценить их эффективность.

Требования к эксплуатационной документации КСИБ

Ключевые понятия:

типовой документ, назначение;

система типовых документов по ЗИ;

справочно-информационные документы, словарь по ЗИ, концепция ЗИ в АС, справочники;

стандарты;

РММ;

инструкции;

эксплуатационная документация на АС, ведомость, формуляр, руководство…

Рис. 15. Требования к ЭД КСИБ.

В целях соблюдения принципов системно-концептуального подхода к решению проблемы ЗИ необходимо рассмотреть все возможные типы и виды документов по ЗИ. Это связано с тем, что чем лучше будет документационное обеспечение, тем эффективнее будут решаться все проблемы ЗИ.

Под типовымдокументом понимается такой документ, который отработан корректно, прошел апробацию и утвержден полномочными органами в качестве типового (или, по крайней мере, получивший всеобщее признание в кругу профессиональных специалистов).

Основное назначение документов по ЗИ:

1) обеспечение научно-методологического и концептуального единства при решении всех вопросов ЗИ,

2) создание условий для однозначного понимания и практической реализации основных положений концепции ЗИ,

3) обеспечение необходимыми данными всех органов и лиц, участвующих в ЗИ,

4) обеспечение нормативно-правового регулирования процессов ЗИ.

В соответствии с этим документы должны образовывать единую упорядоченную систему документов, которую называют системой типовых документов по ЗИ. Структурно СТДЗИ представляет собой упорядоченный перечень групп и индексацию (идентификацию) документов, разрабатываемых по вопросам, относящихся к ЗИ в АС.

СТДЗИ на основе системно-концептуального подхода может быть представлена в виде совокупности 4-х групп документов:

· справочно-информационные,

· стандарты,

· РММ,

· инструкции.