Щуровская А.Ю., Унтилов А.М.
Одесская национальная академия связи им.
Попов a
Критерии и показатели эффективности
защиты информации
В современных условиях динамично
развивающихся экономических, социальных, общественно-политических,
технологических процессов коммерческое предприятие должно обеспечивать себе
стабильное положение и авторитет на рынке, должно уметь защитить свой бизнес и,
соответственно, свою информацию.
Массовое
создание, внедрение и эксплуатация информационных систем привели к
возникновению спектра новых проблем в сфере безопасности личности, общества и
государства. Внимание к этим проблемам закономерно. Если коммерческая
организация допускает утечку более 20% важной внутренней информации, то она в
60 случаях из 100 банкротится [7]. Утверждают также [5], 93% компаний,
лишившихся доступа к собственной информации на срок более 10 дней, покинули
бизнес, причем половина из них заявила о своей несостоятельности немедленно.
Примерная
структура последствий неэффективного обеспечения информационной безопасности в
американских организациях такова [8]: кража конфиденциальной информации —
20-25% от общего годового ущерба; фальсификация финансовой информации — 21-25%;
заражение вредоносными программами — 11-12%; нарушение доступа к Web-сайтам —
1-11%; срыв работы информационной системы — 4-10%; незаконный доступ
сотрудников к информации — 4-9%; другие виды ущерба — 14-33%.
В таких условиях
все более широко распространяется мнение, что защита информации должна по своим
характеристикам быть соразмерной масштабам угроз [1]. Отклонение от этого
правила чревато дополнительным ущербом.
Эффективность защиты информации
Обеспечение защиты информации на практике происходит в условиях случайного воздействия самых разных факторов. Некоторые из них систематизированы в стандартах, некоторые заранее неизвестны и способны снизить эффективность или даже скомпрометировать предусмотренные меры. Оценка эффективности защиты должна обязательно учитывать как объективные обстоятельства, так и вероятностные факторы.
Факторы, влияющие на уровень защиты информации, систематизированы в ГОСТ Р 51275-99. Однако, независимо от воли и предвидения разработчиков возникают и иные, заранее неизвестные при проектировании систем защиты информации (СЗИ) обстоятельства, способные снизить эффективность защиты или полностью скомпрометировать предусмотренные проектом меры информационной безопасности. Оценка эффективности защиты информации должна обязательно учитывать эти объективные обстоятельства, а ее характеристики, как это следует из ГОСТ Р 50922-96, должны иметь вероятностный характер. Развитие подобной методологии, включая систему нормативных документов, содержащих количественные, измеримые показатели эффективности СЗИ, обеспечит интересы как заказчиков, так и проектировщиков. Особую важность приобретает обоснование оптимальных значений показателей эффективности, учитывающее целевое предназначение информационной системы.
Для решения рассматриваемой проблемы предлагается использовать системный подход. Как отмечали авторы [8], «сама идея количественного определения эффективности с полным правом может рассматриваться как поворотный пункт истории науки».
Эффективность защиты информации
2003 г
Эффективность защиты информации
Андрей Баутов
07.08.2003
Открытые системы, #07-08/2003
Обеспечение защиты информации на практике происходит в условиях случайного воздействия самых разных факторов. Некоторые из них систематизированы в стандартах, некоторые заранее неизвестны и способны снизить эффективность или даже скомпрометировать предусмотренные меры. Оценка эффективности защиты должна обязательно учитывать как объективные обстоятельства, так и вероятностные факторы.
Факторы, влияющие на уровень защиты информации, систематизированы в ГОСТ Р 51275-99. Однако, независимо от воли и предвидения разработчиков возникают и иные, заранее неизвестные при проектировании систем защиты информации (СЗИ) обстоятельства, способные снизить эффективность защиты или полностью скомпрометировать предусмотренные проектом меры информационной безопасности. Оценка эффективности защиты информации должна обязательно учитывать эти объективные обстоятельства, а ее характеристики, как это следует из ГОСТ Р 50922-96, должны иметь вероятностный характер. Развитие подобной методологии, включая систему нормативных документов, содержащих количественные, измеримые показатели эффективности СЗИ, обеспечит интересы как заказчиков, так и проектировщиков. Особую важность приобретает обоснование оптимальных значений показателей эффективности, учитывающее целевое предназначение информационной системы.
Для решения рассматриваемой проблемы предлагается использовать системный подход. Как отмечали авторы [8], «сама идея количественного определения эффективности с полным правом может рассматриваться как поворотный пункт истории науки».
Оценка эффективности защиты акустической (речевой) информации
Критерии эффективности защиты акустической (речевой) информации во многом зависят от целей, преследуемых при организации защиты, например:
- скрыть смысловое содержание ведущегося разговора;
- скрыть тематику ведущегося разговора и т.д.
Процесс восприятия речи в шуме сопровождается потерями составных элементов речевого сообщения. Понятность речевого сообщения характеризуется количеством правильно принятых слов, отражающих качественную область понятности, которая выражена в категориях подробности справки о перехваченном разговоре, составляемой "агентом".
Проведенный анализ показал возможность ранжирования понятности перехваченного речевого сообщения. Из практических соображений может быть установлена некоторая шкала оценок качества перехваченного речевого сообщения:
Перехваченное речевое сообщение содержит количество правильно понятых слов, достаточное для составления подробной справки о содержании перехваченного разговора.
Перехваченное речевое сообщение содержит количество правильно понятых слов, достаточное только для составления краткой справки-аннотации, отражающей предмет, проблему, цель и общий смысл перехваченного разговора.
Перехваченное речевое сообщение содержит отдельные правильно понятые слова, позволяющие установить предмет разговора.
При прослушивании фонограммы перехваченного речевого сообщения возможно установить факт наличия речи, но нельзя установить предмет разговора.
В соответствии с ГОСТ Р 50840-95 понимание передаваемой речи с большим напряжением внимания, переспросами и повторениями наблюдается при слоговой разборчивости 25 – 40 %, а при слоговой разборчивости менее 25 % имеет место неразборчивость связного текста (срыв связи) на протяжении длительных интервалов времени. Учитывая взаимосвязь словесной и слоговой разборчивости, можно рассчитать, что срыв связи будет наблюдаться при словесной разборчивости менее 71%.
Оценка эффективности систем защиты информации
Введение
Практически каждый системный интегратор в области ИБ обещает своим заказчикам создать эффективную систему защиты корпоративных информационных ресурсов.
При этом «типовые» решения, предлагаемые интеграторами, разнятся в соответствии со специализацией самих интеграторов: кто-то делает акцент на защите информации от утечек, кто-то - на защите сетевого взаимодействия, кто-то - на приведении корпоративных систем в соответствие с требованиями регуляторов. В связи с этим возникает вопрос: какую систему защиты считать эффективной и какими критериями руководствоваться?
Системный подход
Понятие системности заключается не просто в создании соответствующих механизмов защиты, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла ИС. При этом все средства, методы и мероприятия, используемые для защиты информации объединяются в единый целостный механизм - систему защиты.
К сожалению, необходимость системного подхода к вопросам обеспечения безопасности информационных технологий пока еще не находит должного понимания у пользователей современных ИС.
Сегодня специалисты из самых разных областей знаний, так или иначе, вынуждены заниматься вопросами обеспечения информационной безопасности. Это обусловлено тем, что в ближайшие лет сто нам придется жить в обществе (среде) информационных технологий, куда перекочуют все социальные проблемы человечества, в том числе и вопросы безопасности.
Каждый из указанных специалистов по-своему решает задачу обеспечения информационной безопасности и применяет свои способы и методы для достижения заданных целей. Самое интересное, что при этом каждый из них в своем конкретном случае находит свои совершенно правильные решения. Однако, как показывает практика, совокупность таких правильных решений не дает в сумме положительного результата - система безопасности в общем и целом работает не эффективно.