Курс лекций Защита Информации/Оценка качества АСЗИ: различия между версиями
Lex1026 (обсуждение | вклад) |
Lex1026 (обсуждение | вклад) Нет описания правки |
||
Строка 33: | Строка 33: | ||
<math>C</math><sub>доп</sub> - допустимые затраты на СЗИ. |
<math>C</math><sub>доп</sub> - допустимые затраты на СЗИ. |
||
== Показатель качества функции <math> W(T)</math> == |
=== Показатель качества функции <math> W(T)</math> === |
||
Сформулируем показатель качества функции |
Сформулируем показатель качества функции |
||
<math> W(T)</math> = <math> F </math> (<math>P</math><sub>i угр</sub>, <math> \Delta </math> <math>q</math><sub>i</sub> <sup>угр</sup>, <math>P</math><sub>i угр</sub> <sup>устр</sup>). , где <math> i </math> = <math> 1 </math>,<math> n </math> |
<math> W(T)</math> = <math> F </math> (<math>P</math><sub>i угр</sub>, <math> \Delta </math> <math>q</math><sub>i</sub> <sup>угр</sup>, <math>P</math><sub>i угр</sub> <sup>устр</sup>). , где <math> i </math> = <math> 1 </math>,<math> n </math> |
||
== Предотвращенный ущерб за счет ликвидации == |
=== Предотвращенный ущерб за счет ликвидации === |
||
Предотвращенный ущерб за счет ликвидации <math>i</math>-ой угрозы: |
Предотвращенный ущерб за счет ликвидации <math>i</math>-ой угрозы: |
||
Строка 44: | Строка 44: | ||
<math>W_i</math> = <math>P</math><sub>i угр</sub> * <math> \Delta </math> <math>q</math><sub>i</sub> <sup>угр</sup> * <math>P</math><sub>i угр</sub> <sup>устр</sup>, где <math> i </math> = <math> 1 </math>,<math> n </math>. |
<math>W_i</math> = <math>P</math><sub>i угр</sub> * <math> \Delta </math> <math>q</math><sub>i</sub> <sup>угр</sup> * <math>P</math><sub>i угр</sub> <sup>устр</sup>, где <math> i </math> = <math> 1 </math>,<math> n </math>. |
||
Вводятся |
Вводятся допущения: |
||
* независимость угроз |
* независимость угроз |
||
* аддитивность их последствий |
* аддитивность их последствий |
Версия от 20:59, 10 июня 2013
Одним из наиболее важных вопросов является оценка качества СЗИ АСЗИ
Основные тезисы
Перед началом изучения материалов об оценки качества СЗИ АСЗИ необходимо сформулировать следующие тезисы:
- Злоумышленник с помощью источника генерирует совокупность угроз автоматизированной системе, которая является конечной и счетной.
- Каждая угроза характеризуется вероятностью появления и ущербом, приносимым информационной системе.
- Система защиты информации выполняет функцию парирования угроз в АС.
- Основной характеристикой СЗИ является вероятность устранения каждой -ой угрозы.
- За счет функционирования СЗИ обеспечивается минимизация ущерба, наносимому АС.
Ущерб
— общий предотвращенный ущерб.
— предотваращенный ущерб за счет ликвидации -ой угрозы.
Реализация
После введения обозначений, решим задачу синтеза СЗИ для АС. Неободимо выбрать варианты реализации СЗИ обеспечивающего максимальный предотвращенный ущерб при дополнительных затратах.
0 = .
0 +
(0) доп
- некоторый вектор, характеризующий варианты технической реализации СЗИ.
0 и + - оптимальный и допустимый значения вектора
доп - допустимые затраты на СЗИ.
Показатель качества функции
Сформулируем показатель качества функции = (i угр, i угр, i угр устр). , где = ,
Предотвращенный ущерб за счет ликвидации
Предотвращенный ущерб за счет ликвидации -ой угрозы:
= i угр * i угр * i угр устр, где = ,.
Вводятся допущения:
- независимость угроз
- аддитивность их последствий
= Невозможно разобрать выражение (неизвестная функция «\Sum»): {\displaystyle \Sum } i угр * i угр * i угр устр.
i угр устр - является статистической и равна частоте появления угрозы.
Ущерб i угр может определяться в любых единицах экономических потерь, временных затрат, объеме утраченной информации.
В месте с тем на разных этапах проектирования системы оценить абсолютный ущерб бывает затруднительно, поэтому вместо абсолютного ущерба используют относительный ущерб, который представляет собой степень опасности -ой угрозы для информационной системы. Степень опасности может быть определена экспертным путем в предположении, что все угрозы для АС представляют полную группу событий.
Вероятность устранения -ой угрозы определяется тем, насколько были учтены количественный и качественные требования к СЗИ АСЗИ.
i угр устр = i(i,1...i,j...i,m )
i,j - степень выполнения -го требования защиты информации, для устранения -ой угрозы.
Пусть первые требований - количественные, а требований - качественные.
Степень выполнения -го количества требований, определяется его требуемому (оптимальному) значению.
Для оценки лучше всего использовать нормированное значение.