CC BY
134МНОГОУРОВНЕВАЯ СИСТЕМА ПОКАЗАТЕЛЕЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
А.С. Артамонов, кандидат физико-математических наук, профессор; А.Ю. Иванов, доктор технических наук, профессор. Санкт-Петербургский университет ГПС МЧС России
Рассмотрены существенные свойства и показатели информационной безопасности социально-экономических систем. Совокупность показателей представлена в виде трехуровневой иерархии. Показана взаимосвязь показателей, определяющих эффективность средств защиты информации.
Ключевые слова: информационная безопасность, критерий эффективности, показатели эффективности, защита информации
THE MULTILEVEL SYSTEM OF INDEXES OF THE INFORMATION SECURITY
A.S. Artamonov; A.Y. Ivanov.
Saint-Petersburg university of State fire service of EMERCOM of Russia
The article describes the essential properties and indicators of information security of the socio-economic systems. The set of indicators is represented in the form of the three-level hierarchy. The correlation defining the efficiency of the protection of information is indicated
Keywords: information security, criterion of effectiveness, index of effectiveness, protection of information
Любые организационно-технические решения в области обеспечения информационной безопасности, реализуемые в реально функционирующих системах, требуют выбора показателей эффективности, анализа стоимости, оценки последствий и определения критериев принятия решений. Когда наступает необходимость выбора, то ситуация не является вполне однозначной и определенной. Возможно множество вариантов выбора, каждый из которых вполне корректен. С данной точки зрения, конкретное решение задачи построения системы критериев и показателей эффективности определяется поставленной целью исследования [1].
Целью исследования, в конечном счете, является разработка совокупности моделей и методов, которые позволяют оценить последствия и эффективность принятия тех или иных решений в области обеспечения информационной безопасности социально-экономической системы. В качестве меры информационной безопасности предлагается использовать потенциально предотвращенный ущерб функционированию системы.
Понятие ущерба кажется интуитивно ясным и понятным, хотя для построения количественных, следовательно, строгих и однозначных методик его оценки необходим глубокий анализ процессов в конкретной предметной области. В этом аспекте рассмотрим процесс информатизации объектов социально-экономической сферы. Информатизация как процесс, имеющий достаточно сложную структуру, становится особым объектом для права в целом и во всех своих составных элементах - структурах, отношениях. В тексте Федерального закона Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ информационная система определяется как «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» [2]. Обладатель информации определяется как «лицо, самостоятельно создавшее информацию
либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по тем или иным критериям».
В том случае, когда нарушены требования по обеспечению информационной безопасности лица, права и законные интересы которого были нарушены, вправе обратиться в установленном порядке за судебной защитой своих прав, включая иски о возмещении убытков.
Предлагается трехуровневая система оценки информационной безопасности.
Первый, верхний уровень оценки - здесь в качестве основного критерия эффективности предлагается использовать математическое ожидание предотвращенного ущерба, а в качестве критерия предпочтения стоимость (С) реализации определенного комплекса технических решений по защите информации.
Второй уровень оценки - используется система показателей, непосредственно определяющих свойства конструируемой системы защиты информации. С целью установления взаимосвязи с показателями верхнего уровня на нижнем уровне оценки эффективности информационной системы используются показатели, определяющие ее вклад в повышение эффективности решения основных функциональных задач, таких как:
- способность информационной системы к адекватному описанию процессов функционирования соответствующей предметной области, то есть достоверность;
- способность информационной системы к учету максимально необходимого диапазона реальных значений характеристик формализуемого процесса, то есть полнота;
- способность информационной системы решать свои задачи за промежутки времени не превышающие необходимые для эффективного функционирования обслуживаемой ею технической системы, то есть оперативность.
Третий уровень оценки характеризуется тем, что на нем формируются показатели, предъявляемые к любому средству защиты в компьютерной сети, а именно:
- показатели надежности, характеризующие способность своевременно, правильно и корректно выполнять все предусмотренные функции защиты;
- функциональные показатели, определяющие необходимость решения требуемой совокупности задач защиты;
- показатели эргономичности, характеризующие уровень выполнения требований по удобству администрирования, эксплуатации и минимизации помех пользователям;
- показатели адаптируемости, соответствующие требованию целенаправленной адаптации при изменении структуры, технологических схем и условий функционирования компьютерной сети;
- экономические показатели, определяющие уровень финансовых и ресурсных затрат на создание и эксплуатацию средств защиты.
Достижение минимального значения социального и экономического ущерба, как достижение поставленной цели, обеспечивается выполнением ряда функций в технологическом процессе ввода, хранения, отображения и обработки информации. В состав этих функций входят как мероприятия организационно-технического характера, направленные на координацию усилий различных должностных лиц по созданию определенного режима работы с базой данных, так и по автоматизации процесса информационного сопровождения базы данных (в том числе поддержанием информационной устойчивости базы данных). Схема взаимосвязи показателей качества решения некоторой функциональной задачи с показателями эффективности обслуживающей ее информационной системы в условиях внешних воздействий показана на рисунке.
Также, в упомянутом Федеральном законе говорится о том, что правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на принципе обеспечения достоверности информации и своевременности ее предоставления. Итак, объединение результатов исследования, полученных методами теории права и государства, а также кибернетическими методами анализа и синтеза сложных систем дало возможность получить схему взаимосвязи показателей, определяющих эффективность средств защиты информации.
Рис. Схема взаимосвязи показателей, определяющих эффективность средств защиты информации
Процесс защиты информации как и всякое социальное явление находится в сложных связях с социальными регуляторами: моралью, правом, нравственностью, административными нормами и техническими нормативами [3]. При всей сложности проблемы установления такой взаимосвязи регулятивная функция права в области информатики понимается как органическая связь использования информационного ресурса с интересами человека и общества в целом.
Решение основной задачи защиты в словесном виде может быть сформулировано как получение максимальной прибыли в социально-экономической сфере деятельности при обеспечении заданных уровней безопасности информации. Решение данной задачи происходит в условиях взаимодействия с внешней средой. Приведем математическое описание функциональной иерархической трехуровневой схемы взаимосвязи показателей, характеризующих эффективность системы защиты. В общем случае процесс функционирования социально-экономической системы, содержащей подсистему защиты информации, может быть задан отображением:
Р: М хО^ У.
где Р - множество состояний процесса функционирования социально-экономической системы; О - множество внешних воздействий на информационную составляющую процесса функционирования социально-экономической системы; У - множество результатов социально-экономической системы, достижение которых обеспечивается благодаря наличию в ее составе подсистемы защиты информации; М - множество управляющих воздействий системы защиты информации.
Процесс функционирования социально-экономической системы, в целом, должен характеризоваться некоторой функцией g затрат на систему защиты. Отсюда вытекает предположение о необходимости существования глобальной функции затрат:
g: М хО^ V,
где V - некоторое упорядоченное множество чисел (например, матрица), определяющих затраты на создание системы информационной защиты.
Глобальную функцию затрат можно, в самом общем виде, выразить через результаты процессов функционирования социально-экономической системы:
g (тш) = 0(т, у ) = 0(т, Р(т,ш)),
где т - конкретное множество управляющих воздействий; ш - текущие внешние воздействия.
Проблема оценивания комплексного показателя, являющегося результатом взаимодействия ряда разнородных факторов с математической точки зрения является задачей определения значений неизвестной функции многих переменных. Многообразные подходы к решению таких задач заключаются в поиске приближенного вычисления искомой величины различными методами.
Если не рассматривать получение строго оптимального решения поставленной задачи, что в реальных условиях довольно сложно, а ограничиваться локальным улучшением планов, то целесообразно ввести отношение предпочтения: множество управлений то предпочтительнее множества управлений т:
о У т, если g(то,ш)> g(т,ш), Уш е О.
то У т, если ^то,ш)>
Отыскание локально-оптимального управления процесса функционирования социально-экономической системы, таким образом, сводится к отысканию управления то предпочтительного по отношению к любому управлению т из заданного подмножества
М с М . _
Подобное управление является локально оптимальным потому, что множество М «сгенерированных системой управления» управляющих воздействий, как правило, существенно.
Литература
1. Системный анализ и принятие решений / В.И. Антюхов [и др.]; под ред. В С. Артамонова. СПб.: С.-Петерб. ун-т ГПС МЧС России, 2009. 389 с.
2. Об информации, информационных технологиях и о защите информации: Федер. закон Рос. Федерации от 27 июля 2006 г. № 149-ФЗ. Доступ из справ.-правовой системы «КонсультатнтПлюс».
3. Конев И.Р., Беляев А.В. Информационная безопасность предприятия. СПб.: БХВ-Петербург, 2003. 752 с.
