CC BY
45
■ ИНФОРМАЦИОННОЕ ОБЕСПЕЧЕНИЕ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ ИНФОРМАЦИИ
Соловьев С.В.1, Язов Ю.К.2
Цель исследования состоит в определении основных направлений разработки, состава и структуры методического обеспечения построения и функционирования систем информационного обеспечения деятельности по организации и ведению технической защиты информации в органах власти, организациях и предприятиях.
Методом проведения исследования является обобщение и анализ состава, содержания задач технической защиты информации, решаемых при её организации, а также математический аппарат факторного анализа и теоретико-методологические основы кластерного подхода.
В результате исследования определены задачи технической защиты информации, решаемые на объектах информатизации и показана актуальность применения для их создания автоматизированных систем информационного обеспечения деятельности по решению указанных задач. Отмечено, что в настоящее время методологии создания таких систем практически отсутствует. Авторами указаны основные подходы их развития, такие как динамичное изменение предметной области защиты информации, появление новых информационных технологий, быстрое изменение системного и прикладного программного обеспечения, расширение спектра угроз безопасности информации, изменение нормативной базы и др. Предложен состав и структура системы моделей и методик, необходимых для проектирования указанных систем информационного обеспечения, их разработки, производства, поставки и эксплуатации. Предложены частные показатели для оценки полноты, достоверности, своевременности (актуальности) и защищенности информации, необходимой для обеспечения деятельности по решению задач технической защиты информации, и комплексные показатели для оценки эффективности информационного обеспечения этой деятельности. Показана взаимосвязь комплексного и частных показателей путем свертки частных показателей с использованием линейной функции и функции Кобба-Дугласа. Приведены примеры расчета комплексного показателя.
Предложенные показатели и модели для их расчета позволят количественно обосновать требования к составу и структуре перспективных систем информационного обеспечения, а также к полноте, достоверности, своевременности и защищенности предоставляемой ими информации, необходимой для организации технической защиты информации в отечественных информационных системах.
Ключевые слова: объект информатизации, жизненный цикл, стадия, обоснование требований, показатель, эффективность, модель, методика.
DOI: 10.21681/2311-3456-2021-1-69-79
Введение
Деятельность по технической защите информации сегодня связана с решением широкого круга задач, касающихся:
- исследования объектов информатизации3 (ОИ) на предмет отнесения их к значимым объек-
там информационной инфраструктуры, определения их классов (уровней) защищенности, выявления источников угроз, уязвимостей в архитектуре, в системном и прикладном программном обеспечении, в конфигурации (на-
1 Соловьёв Сергей Вениаминович, кандидат технических наук, доцент, начальник управления, Государственного научно-исследовательского испытательного института проблем технической защиты информации Федеральной службы по техническому и экспортному контролю России, г Воронеж, Россия. Е-таН^егео1@таП.ш
2 Язов Юрий Константинович, доктор технических наук, профессор, главный научный сотрудник Государственного научно-исследовательского испытательного института проблем технической защиты информации Федеральной службы по техническому и экспортному контролю России, г Воронеж, Россия. E-mail:yazoff_1946@mail.ru
3 Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
стройках), в технологии обработки и передаче информации и др.;
- выявления и оценки рисков реализации возможных угроз безопасности информации, в том числе угроз несанкционированного доступа к защищаемой информации, внедрения вредоносных программ, формирования технических каналов утечки и преднамеренного электромагнитного воздействия на ОИ и их элементы;
- обоснования требований по ТЗИ и формировании адекватных решений по защите с оценкой их эффективности и выбором приемлемых мер и средств, позволяющих выполнить обоснованные требования;
- определения целесообразных путей построения и создании систем защиты информации на ОИ;
- организации и обеспечения выполнения мероприятий по ТЗИ;
- разработки необходимых организационно-распорядительных и методических документов по ТЗИ;
- организации и проведения контроля и оценки состояния защиты информации на ОИ, выявления основных проблем в области ТЗИ и выработки предложений по их решению, а также ряда других задач, направленных на обеспечение бесперебойного защищенного функционирования информационной инфраструктуры органов власти, предприятий и организаций.
Сложность защищаемых ОИ, территориальная распределенность многих из них и наличие иерархии в построении, внедрение новых технологий обработки информации, постоянно расширяющийся спектр угроз и способов их реализации, огромное разнообразие решений, которые приходится обосновывать при организации и ведении ТЗИ, быстро разрастающиеся объемы информации, которую необходимо использовать при организации и проведении мероприятий по ТЗИ, в том числе на основании требований нормативных документов по ТЗИ [1, 2], которых насчитывается уже несколько сотен (рис.1), вынуждают автоматизировать процессы информационного обеспечения деятельности по ТЗИ, создавать в рамках организационно-технических систем защиты информации в органах власти и организациях специальные подсистемы информационного обеспечения деятельности по ТЗИ (далее системы информационного обеспечения - СИО).
Все это обусловливает высокую востребованность на практике создания систем информационного обеспечения деятельности по ТЗИ, однако сегодня методическое обеспечение создания таких СИО
отсутствует. Цель написания данной статьи состоит в определении основных направлений разработки, состава и структуры методического обеспечения построения и функционирования СИО.
Рис.1. Динамика изменения количества документов, регламентирующих деятельность по ТЗИ
Оценка состояния развития методологии построения СИО
Методология построения СИО сегодня только начинает развиваться. Это обусловлено следующим.
Системы информационного обеспечения деятельности по ТЗИ, по сути, являются системами поддержки принятия решений при планировании и проведении мероприятий по ТЗИ, в которых необходимо обрабатывать большие объемы информации, составляющей предметную область ТЗИ [2], представленной в различных форматах (текстовой, видео-, аудио-) и включающей характеристики объектов защиты, цели и задачи защиты, состав и характеристики угроз безопасности информации, сведения о номенклатуре и характеристиках мер, средств и систем защиты, нормативном, методическом, программном и других видах обеспечения решения задач ТЗИ. Достаточно отметить, что по приблизительным оценкам варианты построения СИО одной организационно-технической системы ТЗИ характеризуются варьируемыми параметрами, количество которых составляет от 30 до 50 (номенклатура информационных элементов может составлять несколько сотен единиц) [3].
Кроме того, при информационном обеспечении деятельности по ТЗИ (функционировании СИО) осуществляется обмен (в том числе защищенный) разнородной информацией различной степени конфиденциальности с использованием ИС как внутри органа власти, организации, так и с другими инстан-
циями, в том числе через сети общего пользования, что обусловливает создание в самих СИО подсистем защиты информации.
Важным фактором развития методологии построения СИО является то, что предметная область ТЗИ постоянно изменяется и дополняется :
- развиваются существующие и появляются новые информационные технологии (например, Grid-технологии, технологии «облачных вычислений», нейросетевые технологии и т.п.), в ближайшие годы появятся и начнут интенсивно внедряться квантовые компьютеры, молекулярные, нано- и ДНК-компьютеры, принципиально новые технологии хранения данных (например, основанных на углеродных нанотруб-ках, на полимерной памяти и т.п.);
- быстро изменяется программное и аппаратное обеспечение ИС;
- расширяется спектр угроз безопасности информации;
- изменяется нормативное обеспечение организации и ведения ТЗИ (появляются новые законы, нормативные правовые акты федеральных органов исполнительной власти - регуляторов в области защиты информации);
- активно разрабатываются новые способы, средства и системы защиты информации на ОИ и т.д.
Соответственно высокой динамикой изменений характеризуется и подлежащая учету информация, которая должна содержаться в СИО.
Все это обусловило проблемный характер обоснования требований к СИО, определения рациональных путей построения таких систем и разработки методического обеспечения оценки их эффективности, наличие теоретических и практических противоречий, сдерживающих разработку СИО. К основным из таких противоречий, на наш взгляд, следует отнести следующие:
- во-первых, при острой необходимости автоматизации информационного обеспечения деятельности органов власти, организаций и предприятий в области защиты информации до сих пор даже требования к таким системам фактически не разрабатывались, а нормативные документы, определяющие такие требования на федеральном уровне, вообще отсутствуют. Формирование полноценного автоматизированного информационного обеспечения связано с учетом значительного количества факторов, обусловленных содержанием предметной областью ТЗИ и ее изменениями, однако на практике при попытках указанной
автоматизации учет этих факторов отсутствует, что неминуемо приводит к субъективности, недостаточной обоснованности решений, к потере достоверности, к значительному разбросу в составе, структуре, характеристиках информационного обеспечения, даже при решении весьма сходных задач защиты информации в различных ведомствах и организациях. По сути, ведомственные и региональные органы и службы по ЗИ проводят работы по автоматизации независимо друг от друга, действуя в инициативном порядке в рамках ведомственных, отраслевых и региональных программ работ в области ТЗИ и программ информатизации, что приводит не только к упущениям в информационном обеспечении, но к нерациональному расходованию финансовых и материальных ресурсов;
- во-вторых, отсутствуют количественные показатели оценки эффективности информационного обеспечения организации и ведения ТЗИ и аналитические методы их расчета при острой практической потребности отхода от экспертных процедур оценки эффективности информационного обеспечения деятельности по организации и ведению ТЗИ и перехода к количественным методам такой оценки;
- в-третьих, развитие информационных технологий, регулярное изменение нормативной базы, появление новых объектов защиты, новых угроз безопасности информации и средств защиты от них приводит к необходимости создания систем ТЗИ, способных гибко и оперативно перестраивать своё информационное обеспечение, корректировать его, наращивать возможности по информационной поддержке проводимых мероприятий по ТЗИ. Однако работы, направленные на прогнозирование развития предметной области и научное обоснование состава, структуры и путей развития информационного обеспечения функционирования систем ТЗИ с учетом такого прогноза, отсутствуют.
Вопросы информационного обеспечения деятельности органов управления, организаций и предприятий, в том числе с применением автоматизированных ИС различного назначения неоднократно поднимались в научной литературе (см.4, а также в источниках [4-6]). Однако непосредственное применение приводимых в этих источниках моделей и
4 Ершов А.Д. Информационное обеспечение управления в таможенной сфере: монография / А.Д. Ершов, П.С. Копанев. Спб.: Знание, 2002. - 232 с.
методов для решения проблемы информационного обеспечения деятельности по ТЗИ невозможно ввиду сложности их адаптации к предметной области ТЗИ.
Например, эти методы и модели нужно существенно менять для учета специфических процедур (имеющих пока качественный характер) прогнозирования и анализа угроз безопасности, оценки рисков реализации угроз, обоснования требований по ТЗИ с применением совокупности нормативных документов, выбора и оценки эффективности мер и средств защиты информации, контроля защищенности информации и т.д. Кроме того, динамично изменяющиеся условия организации и ведения ТЗИ (изменения
нормативной базы, появление новых объектов защиты, новых каналов утечки информации, средств и систем защиты информации и т.д.) обусловливает необходимость регулярного расширения используемого информационного пространства, создания саморегулирующейся системы информационного обеспечения, способной гибко и оперативно перестраивать алгоритмы своего функционирования и осуществлять наращивание возможностей по информационной поддержке проводимых мероприятий по ТЗИ, что не предусмотрено в известных моделях и методах обоснования состава и оценки качества информационного обеспечения в других сферах деятельности.
Рис. 2. Состав моделей и методик, необходимых для создания и эксплуатации системы информационного обеспечения на стадиях ее жизненного цикла
Состав методического обеспечения создания СИО
Как и всякая другая автоматизированная система СИО имеет свой жизненный цикл, включающий в себя стадии [7-9]:
- предпроектную, на которой определяется состав и характеристики ОИ, применительно к которым будут решаться задачи ТЗИ, состав и содержание задач ТЗИ, содержание информационного обеспечения ТЗИ, обоснование требований к СИО и формирование технического задания;
- проектирования (концептуального, эскизного и технического), на которой формируются решения по составу, структуре и характеристикам СИО, в том числе характеристикам программного, аппаратного и других видов обеспечения, алгоритмам функционирования СИО в целом и ее элементов и т.д.;
- разработки и создания СИО, в том числе ее аппаратного и программного обеспечения, поставки на ОИ (установки и настройки), опытной эксплуатации, аттестации и сдачи Заказчику (ввода в действие);
- эксплуатации СИО и сопровождения в ходе эксплуатации, на которой решаются задачи информационного обеспечения деятельности по ТЗИ;
- вывод из эксплуатации.
Состав моделей и методик, которые необходимо, на наш взгляд, иметь на этапах жизненного цикла СИО приведен на рис. 2.
Разработка и применение указанных моделей и методик позволит принимать обоснованные решения по рациональному построению СИО на объектах информатизации в интересах качественного и своевременного выполнения мероприятий по ТЗИ.
Показатели качества информационного обеспечения
Решения по рациональному построению СИО должны приниматься на основе, во-первых, прогнозных оценок эффективности возможных вариантов построения СИО в ходе ее проектирования, во-вторых, оценок эффективности функционирования СИО в ходе организации и ведения ТЗИ, когда реализуются функции «сбора, контроля, преобразования, хранения, обновления, распределения и передачи информации от источников к ее потребителям» [6]. Однако при организации и ведении ТЗИ, как правило, необходимо проводить многочисленные расчеты и, значит, иметь в составе системы ТЗИ расчетную подсистему, эффективность информационного обе-
спечения которой весьма существенно влияет на процесс организации ТЗИ.
Под эффективностью информационного обеспечения здесь понимается степень соответствия предоставляемых услуг в информационном обеспечении потребностям организации ТЗИ на ОИ. В таком понимании эффективность информационного обеспечения является функцией показателей, характеризующих, прежде всего, полноту, достоверность, своевременность (актуальность) и защищенность предоставляемой информации, необходимой для организации ТЗИ на ОИ органа власти, предприятия, организации.
Обоснование применения именно таких показателей проводилось на основе результатов анализа значительного количества отечественных и зарубежных стандартов и методических разработок (см.5, а также [5,6]) в области оценки эффективности выполнения разнообразных процессов, достижения определенных свойств, требуемых параметров, уровней и т.п. (рассмотрено более 50 показателей, более 250 характеристик, влияющих на значения этих показателей). Содержание процедуры выбора частных показателей для информационного обеспечения деятельности по ТЗИ приведено на рис. 3.
В общем случае под полнотой понимается степень соответствия состава выполняемых услуг информационного обеспечения составу услуг, которые должны предоставляться в соответствии с моделью предметной области ТЗИ и уровнем развития методического обеспечения организации и ведения ТЗИ6. Как правило, такие услуги связаны с предоставлением информации [2,3]:
- о составе и содержании нормативных и организационно-распорядительных документов в области ТЗИ;
- о характеристиках защищаемых ОИ;
- о характеристиках мер и средств защиты и способах их применения;
- о технологиях обработки информации, существенных для организации ее защиты и др.
Под достоверностью информационного обеспечения организации ТЗИ понимается степень соответствия предоставляемой информации, необходимой для организации ТЗИ, той информации, которая должна предоставляться в соответствии с моделью предметной области ТЗИ и достигнутым уровнем методического обеспечения организации ТЗИ. При
5 Мамиконов А.Г. Модели и методы проектирования информационного обеспечения АСУ. А.Г. Мамиконов, А.Н. Пискунов, А.Д. Цвиркун. М., «Статистика», 1978. - 221 с.
6 Имеется в виду состав методик, алгоритмов, программ, которые используются для проведения оценок, расчетов и т.п. и для которых необходима информации в виде исходных данных
Рис. 3. Процедура выбораперечнячастныхпоказателейкачестваинформационногообеспечения деятельности
поТЗИ
Анализ и зарубеж ных нормативных документе». содер> кащих показатели
оценки качества ИС
ГОСТ 28195-89
ГОСТ 28806-90
: ... I
6 показателей
19 характерна ик
200 оценочных элементов
5 показателей
20
характеристик
Документы, содержащие показатели оценки дефектологических свойств
Документы, содержащие показатели оценки добротности
ISO/IEC 9126-1-4
(свойства)
2 уровня оценивания
6 показателей
ГОСТ PB 51987-02
ГОСТ PB 51170-98
48
характеристик
2 уровня
9 показателей
4 показателя
10
характеристик
Выбор показателей, содержание которых связывается с характеристаками предметной области ЗИ
Выбор достаточного перечня показателей, характеризующих качество информационного обеспечения деятельности по ЗИ
этом расхождениев сведениях, содержащихся в предоставляемой информации, обвоеовлдваехед ошяО-еааи прогнеоа (оценка) охремаеседтик предметной оЯлхсти Зенримонитеаьно -и спяни,инн^дштл-ий ИС.
О-д тсoeвлeмдниоянню Пгаипи^<^лыяос^ть>и;|) ихфе°-мационного обеспечения ТЗИ понимается соответствие информационного обеспечения реальному состоянию развития предметной области ТЗИ к заданному моменту времени и достигнутому уровню методического обеспечения организации ТЗИ.
Наконец, защищенность инфореационного обеспечения понимается как достигнутый результат защиты инфорннацин т оцениваетсн нлесном или уровнем защищенности СИО, что обеспечивается вы погашением истановленсын а нормативных дояументах мер а пилименением соответствующих етим мер/ам7 сертифицированных средств защиты.
Конечно, на эффективность функционирования информационного обеспечения влияют и многие другие факторы, такие как надежность, ресурсоемкое^, аачеятпо хнтсрфейса, мдвштлМыхдемоитя и р.д.Оцнако, такс^е^ фаготе! яинянваютвн п/и проеян тироеонии имодернизааяс люФых nя(t:.^|^гvл-ЗLдаl<оя"-^l=.l:т систем, не являются спеои-етными д/-и СдО, то есии
я ПpнмининпльннкopгeгизaциoнтяLтeинтчecитйl и техиякн-
скио мерам
хе си/я;и;энйп п инид/мметно-6 о^/хст-юЗ0 и поэтомяоо-пое не дaccмввяиcтювха,
Покатете/И1 садопне|яизующно нортона, ивcпит":э(иeя>-всастпз, тяемвpeмeнмеопи (аитулхнхо^ив/ и асщищвн-ности н<с//(НхоАИ1/с-гй ох-я оргонязации ТЗИ информации, являются частными показателям и качесыма он-фopмпцисннoте нбесиочения деятельности по ТЗИ. Дин еекоторых пст1--лл1нт0/\н1а (иапример, показателей защищенности [2, 4]) уже были разработаны модеос и методики расчема, для других лишь даны предложе-ння по п-^т\чпн ралреботки соответствующих моделей и методик. При этом совокупноинь подобных показателей (-к-г^си/т.ы^оЕза ^/зс т^ е- внде еектолногопокезателя [6] без какей-лнбо их свертки, гт-но не/ позволяла оце: нивитт единым комплексным иоказптепем эффели нилоооти информациоаното еH>ecпсчeная. 0 данной работе п|иедлагаетси еменно такой поктзотель, взаимосвязь которого с укезннныорчастнымг пооазапе-оиме (ррс. еГ т^<тггисцзЕзиг|ч|[ЕЗ£аезсзи слееующим образом.
илеюрся зиачинтв чиненых поедисндцФч имениям МО,и дояноетонояти а^СО. своев|семен-хости (окнуальи ости) иа- (- и защищенности оего1(а) ин -орем ярион ддгл обе-печи ния к -иeмонтe доп метн Я Крсмо того, ух'^^няее/з.г^но лияоеитольная еажнояйя каждого пометатиля в вcдeяоотаеиcедяюФ^их еиэффи-0иоитее
Цге1в н ае1 цюд•
Комплексный показатель эффективности информационного обеспечения деятельности по ЗИ
Процедура свертки частных показателей качества с весовыми коэффициентами
Частные показатели качества ИС ППР ЗИ (качества информационного обеспечения ППР ЗИ)
Показатель полноты информационного обеспечения
Показатель достоверности информационного обеспечения
Показатель актуальности информационного обеспечения
Показатель защ ищ енности информации в И С ППР ЗИ
Рис.4. Связь показателейкачестваскомплекснымпоказателемэффективности информационногообеспечениядеятельностипозащитеинформации
При определения аналитической зависимости комплексного показателя от частных могутсыть несколько вариантов, два из которых наиболее шнроси применяются на практике и основаны насвтртси независимых частных показателей с ис поитзоутстсм [10-12]:
• линейной функции;
• мультипликативной функции Кобб а-Дугиаса. Рассмотрим каждый из указанныо вариаооов
свертки частных показателей при опредеввнут комплексного показателя.
Первый вариант основан на элемснрос оеоиии факторного анализа [12-14] с испольдевентвм дня свертки нуттнынпоказатулеУ кочессун оинетной фуоецно улоуующсгн вкус:
Л) = аМ ■ ёщ ^) + 0 ■ ёге! (0-
он
Л0 + ав
, О) •
(1)
а,. =
и-ссу-^)]
ы\
рго1 о рго1 V
Это н асбстио прастеИ го игн таг кс нн ифл^няе ■вонь» Iо •ыс) ввактилл подход к тииллие тастлыо л0кгсьн^те/гг) в компт^ксно|й. Наибольшей сложностью пде оро:нс.о комплексного показатеия по при^ееенно!:! фoоноис лoкяcпcя нер^шли^сно кoэффoеиритoo 0с|у|0^1'1^^ь\с-ной енжсосев"] аонсратурей.Для ксгФO икыггтт бсн0)l" ие ннойнет ме^ уoб еoяводa.
бФувьсЛí подхоы, ^^с^нзгй псостол из них, с\\с стоите икпooп/oвacиипуaвила Фишбегоо [И], и соосЕетстиеи с исторым, нсис наминжсствн pac-смстзувастых псказателей, кикичестус которыи савно )с, устсноанены стошения oиeдтюттeниc деefKga>деefaga)>|..Cдез/(тЕИМ то риутимбHоп п-го коэффициентаопределяется из соотношения:
нТ С > с ДУат!
Kо/фMииoeуты бнеро снщеычвеснн еавиивта ус того, и темам мосте ^ои псeдпoтсииус бсдyс лн-ходться частдек5 исыыю^з о.) тнт^и. Нип |эемси+у если тс ни сcоoю 1а1^с"ы^ п-]сст п ooспoнель ус щищн н ностсу н а втооим и- зикдпeтслз пасноны, ны т|тeт^^eм - пooaтo-тоип ^отс^^внкнасти, о на нсыиертом - aктoильнoлтсl то сoсфaуцocтсс икжнистo пт/oпосуcр б-^дут иооот зооиекoн:
aвф—0-4 Е Ощ-О.3, )Пп-—00 ю ° ссо — От11 |
COЗMOЫKO TCПИOЧCHCИ (("—ИC-3(ECB;C) то ПуCЯ( гюизелос йртчпу П1ск<т.^^снtt\т[(rl супpимоа"
д™/) а)м дыEМ(Oз) м • • •м —•Л——-г н í;Г)V-l^гои)•■ Так, ^«^.^иа^тутск^—зсе одисатиуoe,нo e-cст выиоиое /оeд-поетеии(t длн поы^<азителеИ защиа-снн0C"ГC и поллнты и мoспшoC" но тожа oыГ[cспlкн—ое пpeдпoчисеин дви пoкпшaтeсей /^о^т^веснноти -у eитунлпнcстиl то и сооп-естстваи ты фыpмЕтoй (У-
1
И
а ^•„—м.на ,—ал = —.
усго/ Зо е н /И аст т
Достоинство такого подходе в несомненной простоте определения коэффициентов важности частных показателей, однако недостаток очевиден: низкий уровень обоснованности, при этом зачастую приходится экспертно корректировать значения указан-ныхкоэффициентов.
Второй подход основан на применении метода анализа иерархий Т. Саати8 При этом строится «вербально-числовая шкала», пример которой приведен в таблице, по которой оценивается относи-
8 Саати Т. Л. Математические модели конфликтных ситуаций / Пер. с англ.-М.:Сов. радио,1977. 280 с.
Таблица 1
П ример построен ия вербал ьно-число во й шкалы парных сравнений частных показателей качества по методу Т.Саати
С^^лэ^ина тооо»счтаэонс-т впжности Опсысеаента Пояснение
1 Растая важность Невозможно отдать предпочтение какому-либо из объектов
3 Т^/^испынтио^^ль несеослоэважнее нругэсо (нмеренное прас Есть некоторые основания п редпочесть один показатель д ругому, но их нельзя считать неопровержимыми
5 Один показатель существ е нно в а л н в; е д нуго гк= (существенное или сильное лревосхэдство) Существуют веские свидетельства того, что один и з показатель более важен
7 еосо пoаеытксло явно ас6l^eадpyгака И меются неопровержимые основания,чтобы предпочесть о дин показатель другому
9 Один пырсзатепь ыбссржтно лажнеедхрьлго Большая важность одного объекта по сравнению с другим столь очевидна, что не может вызвать ы, и малейшего сомнения
с, 4, 6, н lЧpoмежатсиный сет-ени» лежд» дв^си сослчйнимч! П рименяются в компромиссном случае
Вчличиты, обратаые ариведенным сытео Есля эрн сравоеоии осного поназнчаля н друвим ноиучннооднн тз чи^ниаиурйг^аиныэ чисел Сныорв 1ь еэ, величины 5р, то для Cl0<^з;п^|\(киlрlя состоятелрностл нлтрицы аароых стаонерис пут трсасоцли отарого йoкчзаицля с лервым должнс;^ кыае устоаонаеса чбротсоя снлнчьсуЕнспстмср| ЕИи^Н^^
Затем находится собственный вектор матрицы, координатыкоторого рассчитываются по формуле:
1 = ^Йч,Л = Л^ (3)
и осуществл яатся их нор)наоизация по формуле: > Я-У
0 = ер-г—) е = Я,зу
Т М ( (( (
Л=Л
то есть определцются коэффициенты ва>цнцети а настнют поеазателей (инети о" есвл^^ еесе^,
^ "Мз/У
То гда зобственный ис;погор м атри цы имеет коор-дпнняы:
ум2.5и, ие^ «а 1.35,1 »о.ст, в4 ззй о.нн, и в теоз-ветттнии с формалоУ (40 1^т)а(Ус^ицибнты важноп^и чее(5тн1^|)и иекезаиелей зсчества амоюо язитеп ия:
а. у 0.52, а = 0.27, тЕ);( = 0.Н^, ау = 0.12. В этом
тельный «вес» каждого коэффициента и заполняется матрица палыыын сравнений = }, ¿,] = 1,N, где ./Э-колиивствт ластяоех оо(К(Тс!аие»рйц« качества, а вели-сйли >»;,.« эсемеоп матаоцы псгзоь^ю сравнений, опре-деляемыр потабл«1.
ЛЕплиспен 1. Пусти е частные по-
казатели качества имеют слидуюлаие значения: И>й » ета = 07 Е ЛЧЯвя = И.5, = 0.8. ф о^нкетате квеск1х свиисений чаинвыл показнтеяиН лачеитул в ювакветваики с нлблиссУ (зкр^т^^аснао, чтомсиаица итрныа сцаювакий аакн^т клв
1 2 3 4
1 1 а 3 5
ш = 2 1/ /3 1 2 5
1/ /3 1/ /2 1 1/ 1 /и с
а 1/ /5 1/ Ю5 и 1 ,
случае з н рч енае ч кстного п оваз ттеач о соответствии с форезло4 (1) ратао: 6а1 »я т и .
Веоройворайонааооойаа1та использосаоок мтлт-топзиег^тивной фазаели С-о УТПНнп-Ое^ог/м^сгт [П1, 16], кото-рот ииичаи сзедвоощий вед:
^ьПоГаИеа-^а-еа-еа}. :
а
Пример 2. Пустз в .ез^ьтато ^^сс^етов устаков-с(\т((, ото g>\ng,.з=к.7 и --з = --а, 0
показатели ит ваун-юс^ги тааоз ике, кто гч о прелы-дущем птпиаг(ицэит, то етть к 0.552, агП ,027, н-ас, = К.К9, со = в 12 . Ттгпа всоизттчствил с фо^ мулой 5 потазатоль эффоетзаносеи иоформаоионот-гооОетпиветачроеео о2(-)»0.3.
Необходимо отметить, что, во-первых, в данном варианте, как и в предыдущем, коэффициенты важности показателей качества информационного обеспечения определяются экспертным путем, во-вторых, при использовании мультипликативной функции комплексный показатель в значительной мере зависит от разброса значений частных показателей качества и больше от меньших значений этих показателей, при этом в большинстве случаев комплексный показатель имеет меньшие значения, чем при использованиилинейнойфункциисвертки.
Мультипликативную функции целесообразно использовать в случае, когда нежелательно снижение ни одного из частных показателей качества до относительно низких значений, например, менее 0.6. Такое может иметь место в случае решения вопросов защиты информации 2на значимых объектах критической информационной инфраструктуры. Для иных объектов и информационных систем более приемле-
мым является показатель эффективности, основанный на линейной функции свертки с применением метода анализа иерархий Т. Саати для определения коэффициентов относительной важности частных по-казателейкачества.
Выводы
1. Для автоматизации процессов информационного обеспечения деятельности по ТЗИ на объектах информатизации необходимо иметь автоматизированные СИО, для создания и функционирования которых требуется разработка соответствующего методического обеспечения. Предложенный состав и структура системы моделей и методик позволит обеспечить решение задач количественного обоснования требований к СИО, информационного обеспечения деятельности по ТЗИ применительно ко всем стадиям жизненного цикла СИО с учетом динамично меняющейся предметной области ТЗИ, интенсивного развития информационных технологийиизменениянормативнойбазы ТЗИ.
2. Для обоснования требований к СИО, определения рациональных путей построения и алгоритмов функционирования необходимо количественно оценивать эффективность информационного обеспечения деятельности по ТЗИ. Предложенный комплексный нпоказатель эффективности информационного обеспечения деятельности по ТЗИ и пути его расчета на основе свертки частных показателей качества - полноты, достоверности, своевременности (актуальности) и защищенности информации, необходимой для решения задач ТЗИ, с использованием линейной функции или мультипликативной функции Кобба-Дугласа позволяет перейти к указанным количественным оценкам и тем самым повысить обоснованность решений по ТЗИ.
Литература
1. Оганисян А.К. Совершенствование информационного обеспечения организации. Евразийский научный журнал. 2016. № 10. С. 87-89.
2. Язов Ю.К. Организация защиты информации в информационных системах от несанкционированного доступа: монография / Ю.К. Язов, С.В. Соловьев. Воронеж: Кварта, 2018. - 588 с.
3. Соловьев С.В. Особенности проектирования информационных систем обеспечения деятельности по ТЗИ / С.В. Соловьев, И.В. Затока. М.: Журнал «Программная инженерия», вып. № 5, 2012 г., стр. 21-28.
4. Костогрызов А.И. Прогнозирование рисков для обеспечения качества информации в сложных системах/ А.И. Костогрызов, П.В. Степанов, А.А. Нистратов, Л.И. Григорьев, Л.М. Червяков // Системы высокой доступности. 2016. Т. 12. № 3. С. 25-38.
5. Троянская М.А. Информационное обеспечение деятельности органов государственного управления: понятие и значение. Международный научно-исследовательский журнал. 2020. № 5-2 (95). С. 100-103.
6. Сюнтюренко О.В. Информационное обеспечение: факторы развития, управление, эффективность. Научно-техническая информация. Серия 2: Информационные процессы и системы. 2016. № 6. С. 7-15.
7. Воробьев А.Ф. Жизненный цикл информационной системы. APRIORI. Серия: Естественные и технические науки. 2014. № 6. С. 9.
8. Лапина Я.С. Жизненные циклы информационных систем. Экономика и социум. 2015. № 5-1 (18). С. 686-693.
9. Конев А.А. Модель жизненного цикла системы защиты информации/ А.А. Конев Т.Е. Минеева, М.Л. Соловьёв, А.А. Шелупанов, М.П. Силич. Безопасность информационных технологий. 2018. Т. 25. № 4. С. 34-41.
10. Рыбинец А.Г. Методы анализа, моделирование и прогнозирования экономических процессов (мировой опыт применения кризис прогнозных моделей).Учебное пособие / Москва, 2016. 180 с.
11. Тимшина Д.В. Моделирование экономических процессов / Д.В. Тимшина, Е.Н. Зелепухина.- Учеб. пособие / Пенза. 2017. 200 с.
12. Чернов В.А. Теория экономического анализа. Изд-во ООО «Проспект». - М: 2017.
13. Марков Л.С. Теоретико-методологические основы кластерного подхода. Институт экономики и организации промышленного производства Сибирского отделения Российской академии наук. Новосибирск, 2015. 300 с.
14. Жгун Т.В. Алгоритм построения интегрального индикатора качества сложной системы для ряда последовательных наблюдений. Вестник Южно-Уральского государственного университета. Серия: Вычислительная математика и информатика. 2017. Т. 6. № 1. С. 5-25.
15. Ремесник Е.С. Применение последовательностей Фишберна в моделях с количественными факторами. В сборнике: Теория и практика экономики и предпринимательства. XVI Всероссийская с международным участием научно-практическая конференция. Под редакцией Н.В. Апатовой. 2019. С. 210-212.
16. Сазанова Л.А. Анализ особенностей производственной функции Кобба-Дугласа. В сборнике: Актуальные тенденции и инновации в развитии российской науки / сборник научных статей. Москва, 2020. С. 120-123.
INFORMATION SUPPORT OF THE ACTIVITY FOR TECHNICAL PROTECTION OF INFORMATION
SolovievS.V.9, Yazov Yu.K.10
The goal of research is to determine the main areas for the development, composition and structure of methodological support for the construction and functioning of information provision systems for the organization and maintenance of technical protection of information in authorities, organizations and enterprises.
The method of research is synthesis and analysis of the composition, and content of the tasks of technical protection of information, addressed in its organization, as well as the mathematical technique of factor analysis and theoretical and methodological basis of the cluster approach.
As a result of the research, the tasks of technical protection of information, considered on the objects of informatization are defined and the timeliness of the application is shown for automated information support systems of the activity for the technical protection of information to solve these problems. It is noted that at present, the methodology for creating such systems is practically absent. The authors of research indicate the main approaches to their development, such as the dynamic change in the subject area of information security, the emergence of new information technologies, rapid changes in system and application software, the expansion of the range of information security threats, changes in the regulatory framework, etc. The composition and structure of the system of models and methodologies are proposed necessary for the design of these information support systems, their development, production, delivery and operation. Particular indicators are proposed to assess the completeness, reliability, timeliness (relevance) and information security necessary to ensure the activities to solve the problems of technical protection of information and complex indicator to assess the efficiency of information support for this activity. The interdependence of complex and particular indicators is shown by convolution of particular indicators using the linear function and the Cobb-Douglas function. Examples of calculating the complex indicator are given.
The proposed indicators and models for their calculation will define quantitative requirements for the composition and structure of promising information support systems, as well as for the completeness, reliability, timeliness and security of the information provided by them, which is necessary for organizing the technical protection of information in domestic information systems.
Keywords: object of informatization, technical protection of information, information support, life cycle, stage, indicator, efficiency, model, methodology.
9 Sergey Soloviov, Ph.D., Assistant Professor, Head of Department, State Research Testing Institute of Problems of Technical Protection of Information, Federal Service on Technical and Export Control of Russia, Voronezh, Russia. E-mail: sersol@mail.ru
10 Yuri Yazov, Dr.Sc., Professor, chief researcher, State Research Testing Institute of Problems of Technical Protection of Information, Federal Service on Technical and Export Control of Russia, Voronezh, Russia. E-mail: yazoff_1946@mail
References
1. Oganisian A.K. Sovershenstvovanie informatcionnogo obespecheniia organizatcii. Evrazii"skii" nauchny"i" zhurnal. 2016. № 10. S. 87-89.
2. lazov lu.K. Organizatciia zashchity" informatcii v informatcionny"kh sistemakh ot nesanktcionirovannogo dostupa: monografiia / lu.K. lazov, S.V. Solov"ev. Voronezh: Kvarta, 2018. - 588 s.
3. Solov"ev S.V. Osobennosti proektirovaniia informatcionny"kh sistem obespecheniia deiatel"nosti po TZI / S.V. Solov"ev, I.V. Zatoka. M.: Zhurnal «Programmnaia inzheneriia», vy"p. № 5, 2012 g., str. 21-28.
4. Kostogry"zov A.I. Prognozirovanie riskov dlia obespecheniia kachestva informatcii v slozhny"kh sistemakh/ A.I. Kostogry"zov, P.V. Stepanov, A.A. Nistratov, L.I. Grigor"ev, L.M. Cherviakov // Sistemy" vy"sokoi" dostupnosti. 2016. T. 12. № 3. S. 25-38.
5. Troianskaia M.A. Informatcionnoe obespechenie deiatel"nosti organov gosudarstvennogo upravleniia: poniatie i znachenie. Mezhdunarodny"i" nauchno-issledovatel"skii" zhurnal. 2020. № 5-2 (95). S. 100-103.
6. Siuntiurenko O.V. Informatcionnoe obespechenie: faktory" razvitiia, upravlenie, e"ffektivnost". Nauchno-tekhnicheskaia informatciia. Seriia 2: Informatcionny"e protcessy" i sistemy". 2016. № 6. S. 7-15.
7. Vorob"ev A.F. Zhiznenny"i" tcicl informatcionnoi" sistemy\ APRIORI. Ceriia: Estestvenny"e i tekhnicheskie nauki. 2014. № 6. S. 9.
8. Lapina Ia.S. Zhiznenny"e tcicly" informatcionny"kh sistem. E"konomika i sotcium. 2015. № 5-1 (18). S. 686-693.
9. Konev A.A. Model" zhiznennogo tcicla sistemy" zashchity" informatcii/ A.A. Konev T.E. Mineeva, M.L. Solov"yov, A.A. Shelupanov, M.P. Silich. Bezopasnost" informatcionny"kh tekhnologii". 2018. T. 25. № 4. S. 34-41.
10. Ry"binetc A.G. Metody" analiza, modelirovanie i prognozirovaniia e"konomicheskikh protcessov (mirovoi" opy"t primeneniia krizis prognozny"kh modelei").Uchebnoe posobie / Moskva, 2016. 180 s.
11. Timshina D.V. Modelirovanie e"konomicheskikh protcessov / D.V. Timshina, E.N. Zelepuhina.- Ucheb. posobie / Penza. 2017. 200 s.
12. Chernov V.A. Teoriia e"konomicheskogo analiza. Izd-vo OOO «Prospekt». - M: 2017.
13. Markov L.S. Teoretiko-metodologicheskie osnovy" clasternogo podhoda. Institut e"konomiki i organizatcii promy"shlennogo proizvodstva Sibirskogo otdeleniia Rossii"skoi" akademii nauk. Novosibirsk, 2015. 300 s.
14. Zhgun T.V. Algoritm postroeniia integral"nogo indikatora kachestva slozhnoi" sistemy" dlia riada posledovatel"ny"kh nabliudenii". Vestneyk Iuzhno-Ural"skogo gosudarstvennogo universiteta. Seriia: Vy"chislitel"naia matematika i informatika. 2017. T. 6. № 1. S. 5-25.
15. Remesnik E.S. Primenenie posledovatel"nostei" Fishberna v modeliakh s kolichestvenny"mi faktorami. V sbornike: Teoriia i praktika e"konomiki i predprinimatel"stva. XVI Vserossii"skaia s mezhdunarodny"m uchastiem nauchno-prakticheskaia konferentciia. Pod redaktciei" N.V. Apatovoi". 2019. S. 210-212.
16. Sazanova L.A. Analiz osobennostei" proizvodstvennoi" funktcii Kobba-Douglasa. V sbornike: Aktual"ny"e tendentcii i innovatcii v razvitii rossii"skoi" nauki / sbornik nauchny"kh statei". Moskva, 2020. S. 120-123.
