CC BY
86
УДК 004.056.53
МНОГОАЛЬТЕРНАТИВНАЯ ОПТИМИЗАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ НА ОСНОВЕ МЕТОДОВ РИСК-АНАЛИЗА
Я.Е. Львович, Д.С. Яковлев, А.Е. Иохвидова
В статье рассмотрены условия проектирования системы защиты информации, построена модель многоальтернативной оптимизации средств защиты информации
Ключевые слова: информационная безопасность, многоальтернативная оптимизация, риск-анализ
Одним из необходимых условий проектирования систем защиты информации для компьютерной системы является анализ потенциальных угроз безопасности с целью определения исходных данных и граничных условий для разработки средств защиты. Чем полнее и детальнее будет описано множество угроз, тем с большей вероятностью будут найдены адекватные средства и способы защиты.
С другой стороны, решение задачи адекватности и эффективности средств защиты невозможны без системы критериев и показателей защищенности информационной системы от различного рода угроз. При этом если состав и характеристики угроз задают, по сути, исходные данные для проектирования системы защиты, то система критериев и показателей защищенности позволяет не только оценивать результат разработки, но и контролировать ее ход
[3].
Перечень угроз, оценки вероятностей их реализации, а также модель угроз являются основой для определения требований к средствам защиты информации. На практике задача формального описания полного множества угроз чрезвычайно сложна вследствие очень большого числа факторов, влияющих на процессы хранения и обработки информации в современных компьютерных системах. Поэтому для защищаемой системы определяют, как правило, не полный перечень угроз, а перечень классов угроз в соответствии с принятой классификацией.
В свою очередь, использование методов классификации угроз предопределяет классификацию методов защиты и обусловливает существование систем показателей защищенности классификационно-описательного типа.
Львович Яков Евсеевич - ВИВТ, д-р техн. наук, профессор, тел. (473) 220-56-28
Яковлев Дмитрий Сергеевич - ВИВТ, аспирант, e-mail: dmitry-yakovlev@yandex.ru
Иохвидова Анна Евгеньевна - ВГТУ, аспирант, тел. (473) 252-34-20
Данный процесс актуален, поскольку в настоящее время для обработки информации все больше организаций внедряют информационные системы. Это позволяет наиболее эффективно выполнять поставленные задачи. Но вместе с тем процесс информационной глобализации открыл широкие возможности и для информационных преступников. На первый план выходят процессы оценки и нейтрализации рисков, с помощью которых организации имеют возможность четко спланировать и внедрить необходимые программно-аппаратные средства защиты информационных процессов и ресурсов информационной системы. Следует отметить, что сам процесс оценки рисков является комплексным, поэтому он должен затрагивать все аспекты функционирования системы.
Конечная цель проведения процесса оценки и нейтрализации рисков заключается в эффективном обеспечении безопасности информации в информационной системе и оказании помощи персоналу, ответственному за функционирование системы в целом.
Целевая функция будет иметь вид К(Синф, Р ) ® ШШ. Защита системы
^(Синф, рвзл ) должна быть оптимальна. Цена на
внедряемую систему защиты ЦСЗИ должна
быть не выше запланированной суммы. Соответственно и эффективность средств защиты ЭСЗИ и производительность системы в целом
ПИС не должны быть ниже заданных параметров [2]. Таким образом, объединяя целевую функцию и ограничения, получим следующую модель многоальтернативной оптимизации:
\К(Синф , Р,л ) ® Ш1П,
о(Синф, р а) ^ Ор,
Э < Э
ЭСЗИ — Эзад 5 ЦСЗИ < Цзад ,
ПИС < Пзад ,
Для решения поставленной оптимизационной задачи и получения рациональных для данной ИС вариантов снижения и ликвидации рисков используются специальные алгоритмы направленного рандомизированного поиска.
При выполнении работ можно использовать модель построения системы защиты информации проиллюстрированной на рис.1, основанную на адаптации общих критериев и стандартов. Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту КО/1ЕС 15408 «Информационная технология - методы защиты - критерии оценки информационной безопасности», стандарту КОЛЕС 17799 «Управление информационной безопасностью» и учитывает тенденции развития отечественной нормативной базы (в частности, Гостехкомиссии РФ) по вопросам защиты информации [1].
Подводя итоги, отметим, что проводя мероприятия по выявлению рисков в организации, а также дальнейшие процедуры по их снижению и ликвидации, уровень защиты информационных процессов и ресурсов значительно повышается.
Воронежский институт высоких технологий Воронежский государственный технический университет
MULTIALTERNATIVE OPTIMIZATION OF INFORMATION SECURITY BASED
ON RISK ANALYSIS METHODS
Ya.E. L’vovich, D.S. Yakovlev, A.E. Iohvidova
The article considers the design criteria of information security, a model multialternative optimization of information security
Key words: information security, multialternative optimization, risk analysis
Условные обозначения:
- естественное воздействие,
---------------► - упразляющее воздействие.
Модель построения системы защиты информации
Литература
1. Зегжда Д.П. Основы безопасности информационных систем/Д.П. Зегжда, А.М. Ивашко. - М.: Горячая линия - Телеком, 2000. - 452 с.
2. Леонов А.П. Компьютерная преступность и информационная безопасность / А.П. Леонов. - Минск: АРИЛ, 2000. - 552 с.
3. Каплинский А.И. Моделирование и алгоритмизация слабоформализованных задач выбора наилучших вариантов системы/А.И. Каплинский. Воронеж: Изд-во ВГУ, 1991. - 298 с.
