Файловый архив студентов. Файловый архив студентов.
1263 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Учебное пособие 700376.doc
Скачиваний:
5
Добавлен:
01.05.2022
Размер:
4.13 Mб
Скачать
►Содержание►

С.А. Змеев, д.В. Волков, а.А. Змеев, в.П. Кутовой

ОПРЕДЕЛЕНИЕ ПОКАЗАТЕЛЕЙ ДЛЯ КОМПЛЕКСНОЙ ОЦЕНКИ ЭФФЕКТИВНОСТИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

Предлагается система показателей эффективности программных систем защиты информации в автоматизированных системах

Одной из основных задач функционирования автоматизированных систем (АС) в настоящее время является обеспечение защиты информации (ЗИ), циркулирующей в АС. Защита информации в АС осуществляется в основном с помощью программных систем защиты информации (ПСЗИ). В соответствии с требованиями современных нормативных документов в области информационной безопасности (ИБ) ПСЗИ должна быть управляемой. Управление функционированием ПСЗИ необходимо осуществлять на основе комплексной оценки эффективности ПСЗИ с помощью системы показателей эффективности. Система показателей эффективности ПСЗИ АС на основе применения программных средств защиты информации (ПСрЗИ) – это совокупность показателей, в полной мере количественно выражающая пригодность ПСЗИ при заданных параметрах ее функционирования в данной АС удовлетворять предъявляемым к ней требованиям в заданной ситуации.

Система показателей эффективности ПСЗИ АС, приведенная на рис.1, имеет иерархическую структуру, в соответствии с которой все показатели делятся на интегральный (нулевой) показатель и частные показатели (показатели 1-3). Показатели 1 – 3 определяют количественные значения для соответствующих характеристик эффективности ПСЗИ.

Предлагается ввести следующие характеристики эффективности ПСЗИ: функциональность, неконфликтность и удобство использования. Основной характеристикой эффективности ПСЗИ является функциональность, выражающая степень способности ПСЗИ при заданных параметрах ее функционирования обеспечивать в заданной ситуации информационную безопасность (ИБ) в данной АС. За достижение эффективного функционирования ПСЗИ приходится платить снижением эффективности АС по прямому назначению (характеристика неконфликтности), а также преодолением различных возможных трудностей реализации эффективного функционирования ПСЗИ (характеристика удобства использования).

Функциональность ПСЗИ выражается наличием и конкретными особенностями набора защитных функций ПСЗИ, способных удовлетворять заданные или подразумеваемые потребности. Функциональность ПСЗИ базируется как на функциональности ПСрЗИ как программных средств (характеристика качества программного средства по ГОСТ 28.806-90 [2]), так и на функциональности набора соответствующих организационных мероприятий. Набор функциональных требований к ПСЗИ предлагают российский стандарт ИБ [3] и Руководящие документы Гостехкомиссии РФ [4], на основе которых можно оценивать показатель функциональности ПСЗИ.

Неконфликтность ПСЗИ характеризует пригодность ПСЗИ в заданной ситуации сохранять необходимый уровень эффективности АС по прямому назначению. Введение характеристики неконфликтности ПСЗИ обусловлено недостатками применения в АС ПСрЗИ. В [5] отмечается, что имеется ряд таких недостатков, в частности следующие: необходимость использования времени работы процессора, что ведет к увеличению времени отклика АС на запросы и, как следствие, к уменьшению эффективности ее работы; уменьшение объемов оперативной памяти и памяти на внешних запоминающих устройствах, доступной для использования функциональными задачами. В тоже время, доступные для ПСЗИ вычислительные ресурсы являются одним из важнейших факторов, определяющих достижимую защищенность АС [6]. В общем случае неконфликтность ПСЗИ подразумевает временную, ресурсную и функциональную неконфликтность ПСЗИ в АС. Для обеспечения ресурсной неконфликтности ПСЗИ в АС должна быть предусмотрена программная и информационная избыточность в виде ресурсов внешней и внутренней памяти ЭВМ [7]. Для обеспечения функциональной неконфликтности – ПСрЗИ не должны вступать в конфликт с существующими приложениями и сложившимися технологиями обработки информации, а, напротив, должны стать неотъемлемой частью этих средств и технологий. Кроме того, для функционирования ПСрЗИ необходима временная избыточность – дополнительная производительность ЭВМ. Ресурсная и функциональная неконфликтность ПСЗИ в АС обеспечиваются на этапе проектирования и создания АС и не изменяются в процессе эксплуатации. Поэтому, показатель – неконфликтность ПСЗИ, как объекта управления, сводится к временной неконфликтности ПСЗИ в АС.

В основе неконфликтности ПСЗИ лежит время реализации ПСЗИ защитных функций. В общем случае это время является случайной величиной. Так как АС должна проектироваться с учетом временной избыточности для обеспечения функционирования ПСЗИ, то особое значение имеет не само по себе наличие времени реализации ПСЗИ защитных функций, а возможность превышения этим временем некоторого максимально допустимого времени реализации ПСЗИ защитных функций, определяемого временной избыточностью АС. При таком рассмотрении защитные функции ПСЗИ реализуются своевременно, если время их реализации не превышает своего максимально допустимого значения.

Показатель – удобство использования ПСЗИ, характеризует усилия персонала, необходимые для обеспечения эффективного функционирования ПСЗИ в заданной ситуации.

Система показателей эффективности ПСЗИ содержит три элементарных показателя (1, 2, 3), не сводящихся к другим, более частным, и интегральный показатель (0), получающийся путем агрегирования элементарных показателей.

Таким образом, предложена система показателей эффективности ПСЗИ, которая может использоваться для оценки эффективности системы при организационно-технологическом управлении процессами ЗИ в АС на основе ПСрЗИ.

Литература

  1. Гостехкомиссия РФ. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Москва, 1992.

  2. ГОСТ 28.806-90. Качество программных средств. Термины и определения.

  3. ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

  4. Гостехкомиссия РФ. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М., 1992.

  5. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2-х кн.: Кн. 1. – М.: Энергоатомиздат, 1994. – 400 с.

  6. Липаев В.В. Системное проектирование программных средств, обеспечивающих безопасность функционирования информационных систем // Информационные технологии. – 2000. - № 11.

  7. Липаев В.В. Отладка сложных программ. – М.: Энергоатомиздат, 1993.

Воронежский государственный технический университет

УДК 621.3

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности