Вопрос 6. Разработка и внедрение политик безопасности.

Одним из методов оценки качества защиты информации является опре­деление соответствия техническому заданию на создание системы защиты реа­лизованных функций и задач, эксплуатационных характеристик и требований.

Количественный уровень защиты автоматизированных информационных систем (АИС) характеризуется двумя основными группа­ми показателей - относительными и абсолютными.

Относительная количественная оценка представляет собой число (рейтинг, категорию, нормализованное значение), которое требует сравне­ния с другими числами, принятыми в качестве эталона. Для их определения используются экспертные оценки.

Наиболее важным моментом качественной оценки является вопрос о коррекции и согласовании погрешностей, которые возникают из-за субъе­ктивизма оценок экспертов. Экспертиза может быть направлена на оценку эффективности системы защиты, уровня допустимого риска, уровня защищенности отдель­ных подсистем и др.

В случае, когда объектом оценки выступает АИС, следует разрабо­тать комплекс механизмов, позволяющих получить количественные показа­тели защищенности.

Абсолютная количественная оценка защиты информации в АИС может характеризовать издержки, выраженные в денежном выражении, ча­стоту неблагоприятных событий или другие показатели, которые являются значимыми в части обеспечения защиты информации.

Абсолютные количественные показатели могут быть систематизи­рованы в следующие разновидности:

1. Технические. В эту группу входят следующие показатели:

• количество распознаваемых угроз - определяет количество опозна­ваемых и обрабатываемых угроз. Угроза считается опознанной, если ее ха­рактеристики совпадают с описаниями, находящимися в СИБ;

• качество противостояния угрозам - определяется способностью СИБ адекватно реагировать на опознанную угрозу. В реальной жизни возникают угрозы, на которые АИС достаточно трудно реагировать. В такой ситуации же­лательно протоколировать те действия, которые осуществляются угрозой;

• уменьшение производительности АИС в целом - отражает уменьше­ние производительности АИС вследствие необходимости реализации действий предписанных политикой безопасности. Примерами могут служить платы шифрования, которые уменьшают скорость передачи данных из-за необходи­мости шифровать при передаче и дешифровать при приеме данных, неудобства пользователей из-за необходимости использования паролей и т.д.

2. Организационные.Этот вид показателей характеризует количество дополнительно привлеченного персонала для обслу­живания СИБ. При реализации функций безопасности привлекается допол­нительный персонал - инженеры, программисты, администраторы систем,
менеджеры АИС по безопасности.

3. Экономические. К данной разновидности относятся следующие
показатели:

• стоимость создания, внедрения, эксплуатации и обучения пользо­вателей и поддержки СИБ. В ней включаются все затраты, произведенные на всех этапах жизненного цикла СИБ, в том числе и затраты на исследова­ния, приобретение технологий ноу-хау, специальной аппаратуры, и про­граммного обеспечения и др. Сюда также входит заработная плата работни­ков, выполняющих специфические для СИБ работы;

• затраты специфических материалов. Предусматривает использование специальных расходных материалов в работе СИБ. В качестве приме­ра можно рассматривать дополнительные магнитные носители, необходи­мые для реализации резервного копирования;

• затраты на восстановление нормальной работы после реализа­ции угрозы. В них включаются затраты информационных, технических, трудовых и других ресурсов на восстановление нормальной работы АИС;

• коэффициент уменьшения потенциальных потерь. Характеризует отношение между показателем уменьшения потерь и величины возможных потерь. Величина возможных потерь - это потери, которые могут быть в случае, когда СИБ не используется. Показатель уменьшения потерь – это величина, на которую уменьшаются потери вследствие использования СИБ:

,

где L - потенциальные потери;

L " - величина реальных потерь;

L - величина уменьшения потерь.

В то же время следует отметить, что при оценке проектов в области информационного бизнеса в общем и систем информационной безопасно­сти АИС, в частности, невозможно однозначно определить стоимость того или иного ресурса или актива АИС, который может быть потерян вследст­вие реализации той или иной угрозы. Поэтому используются вероятност­ные модели, позволяющие рассчитывать экономические показатели.

• эффективность СИБ. Отражает эффективность вложения средств в обеспечение безопасности АИС. Данный показатель определяется вели­чиной уменьшения потенциальных потерь, коэффициентом окупаемости и др. показателями, которые будут рассматриваться далее.

Потери АИС - это потеря свойств информации, вычислительных, информационных ресурсов АИС, финансовых и прочих активов, а также потеря доверия между партнерами вследствие реализации угроз.

При разработке СИБ разработчик должен оценивать потери, кото­рые понесет АИС в результате реализации той или иной угрозы. Исходя из таких оценок, он должен ответить на поставленные выше вопросы.

В то же время, при разработке эффективной СИБ, должна учиты­ваться величина выигрыша нарушителя, и сделать так, чтобы данная вели­чина минимизировалась.

При исследовании возможных потерь АИС вследствие реализации угроз, требуется изучать множество ресурсов АИС и потенциальных угроз и по отношению к каждому ресурсу найти решения, связанные со следующими обстоятельствами:

- определение круга заинтересованных лиц в использовании акти­вов АИС.

- определение целей нарушителя.

- установление размеров выгоды полученной нарушителем вследст­вие реализации одной или комплекса угроз.

- оценка размеров затрат, которые нарушитель готов понести для
достижения поставленной цели.

Расчет абсолютных количественных показателей неразрывно связан с понятиями риска и затрат на уменьшение риска. Риск может иметь место только там, где имеется возможность выбора: при отсутствии реальных альтернатив может быть принято только одно решение.

В качестве отправной точки в данной работе выделяются два вида риска:

- глобальный (долгосрочный);

- локальный (краткосрочный);

Долгосрочный риск связан с приня­тием решений на уровне АИС, а краткосрочный является главным образом особенностью риска локального, то есть риска на уровне используемых ме­тодов и средств защиты.

Выделяют три большие группы рисков:

- риски хозяйственные;

- субъективные риски, связанные с природой человека;

- естественные риски, связанные с природными факторами.

Приведенная классификация показывает, что риск является неотъе­млемой частью всех решений, от самых простых до самых сложных. Из приведенных групп рисков наиболее присущим для нас являются риски, связанные с деятельностью человека (проектировщика, программиста, пользователя, а также злоумышленника), которые могут быть разделены также на временные и объектные. Например, временной риск может проя­виться в том, что при разработке концепции СИБ не учитываются новые виды угроз. Объектные риски проявляется в том, что СИБ не покрывает все компоненты АИС (ресурсы БД, отдельные программные приложения и т.д.).

Аудит безопасности АИС представляет собой комплекс работ, включающий исследование всех аспектов обеспечения информационной безопасности в организации, проводимое по согласованному с заказчиком плану, в соответствии с выбранной методикой и критериями.

Заключение

Эффективность информационного проекта – система показателей, отражающих соотношение затрат и результатов применимо к интересам его участников.

К количественным подходам оценки эффективности АИТ относят метод нормативного коэффициента, метод расчета экономической добавленной стоимости, метод совокупной стоимости владения, метод совокупного экономического эффекта, метод быстрого экономического обоснования.

К качественным подходам оценки эффективности АИТ относятся метод сбалансированных показателей, метод информационной экономики, метод управления портфелем активов, метод анализа показателей.

К числу вероятностных подходов оценки эффективности АИТ относят метод прикладной информационной экономики и метод реальной цены опционов.

Совокупная стоимость владения АИТ – совокупные затраты на АИТ, включает в себя две группы расходов: плановые и внеплановые.

Разрядность ЭВМ — это максимальное количество разрядов двоичного числа, над которым одновременно может выполняться машинная операция, в том числе и операция передачи информации.

Тактовая частота определяет количество элементарных операций (тактов), выполняемые процессором за единицу времени.

Рабочее напряжение процессора обеспечивается материнской платой, поэтому разным маркам процессоров отвечают разные материнские платы.

Коэффициент внутреннего умножения тактовой частоты - это коэффициент, на который следует умножить тактовую частоту материнской платы, для достижения частоты процессора.

Надежность АИС — это способность системы выполнять полностью и правильно все заданные ей функции.

Тестирование, при котором разработчик теста имеет доступ к исходному коду программы, называется тестированием «белого ящика».

Информационная безопасность – состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций и государства.

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Основными лицензирующими органами в области защиты информации являются Федеральное агентство правительственной связи и информации (ФАПСИ) и Гостехкомиссия России.

Электронный документ - документ, в котором информация представлена в электронно-цифровой форме.

Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).

Средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.

Сертификат средств электронной цифровой подписи - документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям.

Закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.

Открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе.

Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.

Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.

Пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи.

Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность.

Количественный уровень защиты автоматизированных информационных систем (АИС) характеризуется двумя основными группа­ми показателей - относительными и абсолютными.

Относительная количественная оценка представляет собой число (рейтинг, категорию, нормализованное значение), которое требует сравне­ния с другими числами, принятыми в качестве эталона.

Абсолютная количественная оценка защиты информации в АИС может характеризовать издержки, выраженные в денежном выражении, ча­стоту неблагоприятных событий или другие показатели, которые являются значимыми в части обеспечения защиты информации.

Потери АИС - это потеря свойств информации, вычислительных, информационных ресурсов АИС, финансовых и прочих активов, а также потеря доверия между партнерами вследствие реализации угроз.

Список используемой литературы

· Банк В.Р., Зверев В.С. Информационные системы в экономике.: Учебник / Банк В.Р., Зверев В.С. - М.:: Экономистъ, 2005.

· Ивасенко А.Г. Информационные технологии в экономике и управлении.: Учебное пособие. / А.Г. Ивасенко. - М.:: КНОРУС, 2005.

· Избачков Ю. С., Петров В. Н. Информационные системы: учебник для ВУЗов – СПб: Питер, 2005.

· Козырев А.А. Информационные технологии в экономике и управлении: Учебник / А.А. Козырев. - 4-е, перераб. и доп. - СПб.: Изд.-во Михайлова В.А., 2005.

· Семенов М.И., Трубилин И.Т. и др. Автоматизированные информационные технологии в экономике. – М: Финансы и статистика, 2002.

· Соломонов К. Н., Пикалов О. Г. Информационные системы в экономике- М., МГЭИ, 2007.

· Титоренко Г. А. АИТ в экономике: учебник, М. ЮНИТИ, 2006 г.

· Уткин В.Б., Балдин К.В. Информационные системы и технологии в экономике.: Учебник для вузов. / Уткин В.Б., Балдин К.В. - М.:: ЮНИТИ-ДАНА, 2005.