Информационная безопасность
       

в какой мере система защиты


Для ответа на вопрос, в какой мере система защиты информации обеспечивает требуемый уровень безопасности, необходимо оценивать эффективность СЗИ показателями, носящими вероятностный характер. Совершенствование нормативной базы, методического обеспечения в области информационной безопасности должно происходить, прежде всего, в этом направлении. Содержательные результаты по оценке эффективности систем защиты информации могут быть получены при системном подходе, более того, его обязательность прямо вытекает из ГОСТ Р50922-96 [6]. Разумеется, количественная оценка эффективности СЗИ требует больше усилий, чем используемые качественные методы [4]. Однако и отдача, прежде всего экономическая, будет намного весомее, а интересы, как заказчика, так и разработчика СЗИ, будут защищены более надежно.
Литература
  • А. Баутов. Стандарты и оценка эффективности защиты информации. Доклад на Третьей Всероссийской практической конференции "Стандарты в проектах современных информационных систем". Москва, 23-24 апреля 2003 г.
  • А. Баутов, Экономический взгляд на проблемы информационной безопасности. Открытые системы, 2002, № 2.
  • С. Вихорев, А. Ефимов, Практические рекомендации по информационной безопасности. Jet Info, № 10-11, 1996.
  • С. Вихорев, Р. Кобцев, Как определить источники угроз. Открытые системы, 2002, № 7-8.
  • В. Галатенко, Информационная безопасность - основы. Системы управления базами данных, 1996, № 1.
  • А. Горбунов, В. Чуменко, Выбор рациональной структуры средств защиты информации в АСУ. http://kiev-security.org.ua/box/2/26.shtml
  • ГОСТ Р 50922-96. Защита информации. Основные термины и определения.
  • Г. Гуд, Р. Макол. Системотехника (Введение в проектирование больших систем). М., Сов. радио, 1962.
  • М. Де Гроот. Оптимальные статистические решения. М.: Мир, 1974.
  • Е. Зиндер, Революционные изменения базовых стандартов в области системного проектирования. Директор информационной службы, 2001, № 5.
  • А. Ездаков, О. Макарова, Как защитить информацию. Сети, 1997, № 8.
  • ИСО/МЭК 15408-99 "Критерии оценки безопасности информационных технологий".
  • В.
    Козлов. Критерии информационной безопасности и поддерживающие их стандарты: состояние и тенденции. "Стандарты в проектах современных информационных систем". Сборник трудов II-й Всероссийской практической конференции. Москва, 27-28 марта 2002 года.
  • В. Липаев, Е. Филинов, Формирование и применение профилей открытых информационных систем. Открытые системы, 1997, № 5.
  • Г. Петухов, Основы теории эффективности целенаправленных процессов. Часть 1. Методология, методы, модели. МО СССР, 1989.
  • В. Пугачев. Теория вероятностей и математическая статистика. М.: Наука, 1979.
  • В. Сабынин, Специалисты, давайте говорить на одном языке и понимать друг друга. Информост - Средства связи, № 6.
  • П. Сэйер, Lloyd страхует от хакеров. Computerworld Россия, 2000, № 30.
  • Л. Хмелев. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции "Безопасность информационных технологий", Пенза, июнь 2001.
  • Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации. М., 1994.
    Андрей Баутов (anb_main@mail.ru) — независимый эксперт.
    В соответствии с определением, приведенным в ГОСТ Р ИСО/МЭК 12207:99, «система — это комплекс, состоящий из процессов, технических и программных средств, устройств и персонала, обладающий возможностью удовлетворять установленным потребностям или целям». В связи с подобным определением полезно рассматривать и определение системного проектирования, которое, согласно INCOSE (International Council on Systems Engineering), представляет собой «междисциплинарный подход и средства, делающие возможным создание успешных систем». Системное проектирование — дисциплина разработки продуктов или процессов на основе концепции систем. Оно фокусируется на определении потребностей заказчика и требуемых функций системы, установлении требований, выполнении конструкторского синтеза и аттестации с согласованием как бизнес-аспектов, так и технических аспектов данной задачи, интегрируя необходимые дисциплины и группы специалистов в одну команду на протяжении всего жизненного цикла развития системы [11].
    Системный подход — методология исследования сложных объектов как объединений элементов, связанных комплексом отношений друг с другом и выступающих единым целым по отношению к внешней среде. Основной задачей системного подхода является синтез, включающий проектирование систем и организацию процессов, предназначенных для достижения определенных целей и оптимальных по выбранному критерию.

    Содержание раздела