Методы определения требований к защите информации

1) методики  ориентированы  на  защиту  информации  только  в средствах ЭВТ, в то время как имеет место устойчивая тенденция органического сращивания автоматизированных и традиционных технологий обработки информации;

2) учитываются далеко не все факторы, оказывающие существенное влияние на уязвимость информации, а потому и подлежащие учету при определении требований к защите;

3) в научном плане они обоснованы недостаточно (за исключением требований к защите информации от утечки по техническим каналам).

 

3. Методы оценки параметров защищаемой информации

 

Информация, как отмечалось ранее, становится для современного общества все более и более значимым ресурсом, опережая в этом традиционно считавшиеся важнейшими сырьевые и энергетические ресурсы. Информационное обеспечение становится важнейшим видом обеспечения практически всех без исключения сфер деятельности общества и быта людей. Но для того чтобы в процессе деятельности информация эффективно выполняла свою роль, необходимо уметь оценивать значимость ее для эффективности соответствующей деятельности, имея в виду при этом, что в условиях информационного общества она является объектом и продуктом труда. Таким образом, для оценки информации необходимы показатели двух видов:

1) характеризующие информацию как обеспечивающий ресурс в процессе деятельности общества, или привычнее - в процессе решения различных задач;

2) характеризующие информацию как объект труда в процессе информационного обеспечения решаемых задач.

Показатели первого вида носят прагматический характер, их содержание определяется ролью, значимостью, важностью информации в процессе решения задач, а также количеством и содержанием информации, имеющейся в момент решения соответствующей задачи. Причем здесь важно не просто количество сведений в абсолютном выражении, а достаточность (полнота) их для информационного обеспечения решаемых задач и адекватность, т.е. соответствие текущему состоянию тех объектов или процессов, к которым относится оцениваемая информация. Кроме того, важное значение имеет чистота информации, т.е. отсутствие среди необходимых данных ненужных данных или, как принято говорить, шумов. В наукометрии такая характеристика названа релевантностью информации. Наконец для эффективности решения задач немаловажное значение имеет форма представления информации с точки зрения удобства восприятия и использования ее в процессе решения задач. Такую характеристику принято называть толерантностью.

Таким образом, показатели первого вида: важность, значимость с точки зрения тех задач, для решения которых используется оцениваемая информация; полнота информации для информационного обеспечения решаемых задач; адекватность, т.е. соответствие текущему состоянию соответствующих объектов или процессов; релевантность информации, поступающей для информационного обеспечения решаемых задач; толерантность поступающей информации.

Показатели второго вида должны характеризовать информацию как объект труда, над которым осуществляются некоторые процедуры в процессе переработки ее с целью информационного обеспечения решаемых задач. В этом качестве информация выступает, во-первых, как сырье, добываемое и поступающее на обработку, во-вторых, как полуфабрикат, образуемый в процессе обработки, и, в-третьих, как продукт обработки, выдаваемый для использования. Причем процесс обработки информации может быть представлен в естественной последовательности: добыча сырья - переработка сырья и получение на этой основе необходимых полуфабрикатов - переработка полуфабрикатов с целью получения конечного продукта. Естественно, что при этом информация непременно должна оцениваться по совокупности рассмотренных выше показателей первого вида. Вернее даже будет сказать, что технологические процессы обработки информации должны организовываться таким образом, чтобы конечный продукт обработки, т.е. информация, выдаваемая для использования, наилучшим образом удовлетворяла всей совокупности показателей первого вида.

 

4. Факторы, влияющие на требуемый уровень защиты информации

 

Естественно, что требуемый уровень защиты информации в конкретной АСОД и в конкретных условиях ее функционирования существенно зависит от учета факторов, которые сколько-нибудь существенно влияют на защиту. Таким образом, формирование возможно более полного множества этих факторов и возможно более адекватное определение степени их влияния на требуемый уровень защиты представляется задачей повышенной важности и подлежащей упреждающему решению.

Сформулированная задача, однако, практически не поддается решению традиционными формальными методами. Если бы в наличии были статистические данные о функционировании систем и механизмов защиты информации в различных АСОД (различных по функциональному назначению, архитектуре, характеру обрабатываемой информации, территориальному расположению, технологии обработки информации, организации работы и т.п.), то, вообще говоря, данную задачу можно было бы решить статистической обработкой этих данных, по крайней мере, по некоторому полуэвристическому алгоритму. Но такие данные в настоящее время отсутствуют, и их получение в обозримом будущем представляется весьма проблематичным. В силу сказанного в настоящее время для указанных целей можно воспользоваться лишь неформально-эвристическими методами, т.е. с широким привлечением знаний, опыта и интуиции компетентных и заинтересованных специалистов.

 

5. Определение весов вариантов потенциально возможных условий защиты информации

 

Конечная цель анализа факторов, влияющих на требуемый уровень защиты информации, заключается в делении всего множества вариантов потенциально возможных условий защиты на некоторое (желательно как можно меньше) число классов, каждый из которых будет объединять варианты, близкие по показателям требуемой защиты. Важность такой классификации очевидна: системы защиты, удовлетворяющие требованиям выделенных классов условий могут быть представлены типовыми, что создаст объективные предпосылки для эффективного решения проблемы защиты информации на регулярной основе в массовом масштабе. Для практической реализации такой классификации необходим показатель, количественно характеризующий относительные важности вариантов условий с точки зрения требований к защите.

 

 

6. Методы деления поля значений факторов на типовые классы

 

Основываясь на результатах теоретических исследований и опыте решения сформулированной задачи можно выделить три возможных подхода к ее решению: теоретический, эмпирический и комбинированный, т.е. теоретико-эмпирический.

Теоретический подход. Задачи деления элементов множества на классы изучаются уже продолжительное время, и для их решения в классической теории систем разработан достаточно представительный арсенал различных методов. Наиболее общим из этих методов является так называемый кластерный анализ, который определяется как классификация объектов по осмысленным, т.е. соответствующим четко сформулированным целям группам. Основная суть кластерного анализа заключается в том, что элементы множества делятся на классы в соответствии с некоторой мерой сходства между различными элементами.

Процедура кластеризации в общем виде может быть представлена последовательностью пяти шагов следующего содержания:

1. формирование множества элементов, подлежащих делению на 
   классы;
2. определение множества признаков, по которым должны оцениваться элементы множества;
3. определение меры сходства между элементами множества;
4. деление элементов множества на классы;
5. проверка соответствия полученного решения поставленным целям.

Эмпирический подход. Сущность данного подхода, как это следует из самого его названия, заключается в решении рассматриваемой задачи на основе опыта и здравого смысла компетентных специалистов.

Теоретико-эмпирический подход. Как следует из самого названия, данный подход основывается на комплексном использовании рассмотренных выше теоретического и эмпирического подходов. При этом естественным представляется стремление в максимальной степени использовать результаты строгого анализа задачи и определить те трудности, которые при этом возникают.

 

Список литературы

 

 

1. Безбогов А.А., Яковлев А.В., Шамкин В.Н. Методы и средства защиты компьютерной информации: Учебное пособие. - Тамбов: Издательство ТГТУ, 2006. – 196
2. Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы защиты информации: Учебное пособие. - Владивосток: Изд-во ДВГТУ, 2007. - 318 с.
3. Ветров Ю.В. Криптографические методы защиты информации в телекоммуникационных системах: учебное пособие / Ю.В. Ветров, С.Б. Макаров. - СПб.: Изд-во Политехн. ун-та, 2011. - 174 с.
4. Сидорин Ю.С. Технические средства защиты информации: Учебное пособие. - СПб.: СПбГПУ, 2005. - 141 с.
5. Технические средства и методы защиты информации: Учебник для вузов / Зайцев А.П., Шелупанов А.А., Мещеряков Р.В. и др.; под ред. А.П. Зайцева и А.А. Шелупанова. - М.: ООО "Издательство Машиностроение", 2009. - 508 с.