CC BY
46
системой МЧС России, обеспечения её единства, результативности служебной деятельности. Она должна осуществляться с учётом особенностей функционирования конкретных подразделений и служб, федеральной и региональной специфики.
Система кадровой работы строится с учётом необходимости поддержания баланса прав и интересов сотрудника, с одной стороны, и Министерства - с другой, что обеспечивает эффективную реализацию конституционных прав и свобод сотрудника как профессионала, гражданина и личности в органическом единстве с интересами МЧС России, со всеми вытекающими взаимными правами, обязанностями и ограничениями.
Кадровая политика МЧС России разрабатывается и осуществляется с учетом объективных факторов состояния кадрового потенциала и избранных приоритетов социально-экономического развития общества.
Кадровый потенциал МЧС России составляет важнейшее достояние, без сохранения и приумножения которого невозможно поступательное развитие Министерства. Отсутствие эффективных механизмов воздействия на процессы формирования и востребования кадрового потенциала, снижение его профессионализма могут привести к снижению качества решаемых МЧС России задач.
Список использованной литературы
1. Приказ МЧС России от 1 июля 2010 г. № 306 «Об утверждении концепции кадровой политики МЧС России на период до 2020 года» // URL: http://pandia.ru/text/78/054/8141 .php
НЕКОТОРЫЕ ПОДХОДЫ К ОЦЕНКЕ СУБЪЕКТИВНЫХ ПОКАЗАТЕЛЕЙ КАЧЕСТВА ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ КОМПЛЕКСАХ ФИЗИЧЕСКОЙ ЗАЩИТЫ
В.С. Зарубин, профессор, д.т.н., профессор,
Т.Б. Ходырев, адъюнкт, Воронежский институт МВД России, г. Воронеж
Теоретико-прикладная проблема стандартизации требований к качеству защиты информации в автоматизированных комплексах физической защиты весьма сложна и не имеет очевидного решения. В этой проблеме можно выделить ряд взаимосвязанных аспектов. Во-первых, в общем случае отсутствуют формальные или рациональные методы объективного обоснования необходимого и достаточного набора оценочных показателей и требований к их значениям. Очевидно, это обусловлено как многообразием характеристик защищенности информации, связанным со сложностью, размерами и организационно-технической природой автоматизированных комплексов
физической защиты, так и с широким диапазоном и динамикой пользовательских требований.
Эти обстоятельства определяют наличие значительного и варьируемого количества различных, слабо связанных или несвязанных между собой показателей. Теоретическая сторона этой ситуации заключается в отсутствии сложившейся системной классификации показателей. Следует отметить, что существенным недостатком многих из этих показателей является недоступность для понимания неподготовленных пользователей автоматизированных комплексов физической защиты. Другими словами, показатели качества защиты информации в них должны быть адресными, т.е. адекватно воспринимаемыми пользователями.
Кроме того, свойство услуги, определяющее ее качество, должно обладать измеримостью. Согласно классическому определению измерение есть акт присвоения чисел предметам или явлениям согласно некоторой системе правил.
Атрибутами оценочных показателей являются: способ измерения (объективный и субъективный); мера измерения, характеризующая природу показателя: численный или лингвистический; шкала измерения (наименований, порядка, интервалов и отношений), определяет логические, арифметические или статистические операции, возможные со значениями показателя; единица измерения.
Оценка качества защиты информации в автоматизированных комплексах физической защиты представляет собой процедуру соотнесения результатов измерения с информационными потребностями пользователя и его представлениям о качестве. Это означает необходимость наличия требований к области допустимых значений каждого из множества оценочных показателей качества.
Таким образом, для разрешения проблемы оценки качества защиты информации, в автоматизированных комплексах физической защиты необходимы разработка и обоснование: множества показателей качества; требований к областям допустимых значений этих показателей с точки зрения предметной области; разработка методик измерения и оценки качества. Это является, с одной стороны, весьма нетривиальной задачей, а с другой стороны -основополагающей для синтеза системы показателей для оценки защищенности информационных ресурсов автоматизированных комплексов физической защиты.
Структуризация важнейших общих аспектов проблемы качества защиты информации, в автоматизированных комплексах физической защиты, позволяет вплотную подойти к разработке подходов ее решения. В этих целях будем использовать такой известный метод как классификация показателей качества.
Международные стандарты ISO 9000 используют три группы показателей качества услуги (в статье - защиты информации в автоматизированных комплексах физической защиты): технические, субъективные и экономические показатели.
В качестве критерия классификации будем использовать способ измерения. Это позволяет выделить множества объективных и субъективных показателей. В общем случае, объективный способ измерения представляет собой инструментальное или расчетное измерение свойства предмета или услуги. Общим признаком множества объективных показателей является возможность непосредственного и оперативного присваивания чисел результатам измерений в соответствии со шкалой отношений. На множестве объективных показателей можно выделить подмножества технических и экономических показателей и в дальнейшем будем считать, что они определяют две стороны объективного качества защиты информации в автоматизированных комплексах физической защиты.
Способность услуги отвечать определенным пользовательским требованиям описывается специфическими свойствами и характеристиками, которые определим как субъективное качество. Измерение и оценка субъективного качества защиты информации в автоматизированных комплексах физической защиты производится с помощью, так называемых, субъективных показателей непосредственно пользователем и без применения каких-либо приспособлений, инструментов или вычислительных методов. Описанный способ измерения есть субъективный способ измерения качества.
Природа субъективных показателей различна и по этому критерию позволяет разделить их на две группы. Первую группу субъективных показателей образуют показатели, производные от объективных, вторую группу - показатели, обусловленные организационной природой автоматизированных комплексов физической защиты. Взаимосвязь субъективных и объективных показателей качества появляется в силу ряда обстоятельств. Так, современное состояние науки и техники позволяет с помощью объективных показателей описать и измерить с той или иной степенью точности различные свойства информации и как информационной сущности (семантика), и как предмета технологии защиты (ресурс). Однако при этом могут существовать трудности их применения:
1) Невозможно использовать объективные методы измерения.
2) У неподготовленного пользователя технологией защиты информации существует интуитивная и естественная трудность конкретного восприятия достаточно абстрактных объективных показателей защищенности.
3) Свойство услуги, воспринимаемое пользователем, интегрирует в себе ряд свойств, описываемых объективными (скалярными) показателями.
Психофизиологическое преодоление названных трудностей определяет существование субъективного качества обеспечения защиты информации в автоматизированных комплексах физической защиты, семантика которого состоит в реакции пользователя на объективное качество. Определим показатели для оценки такого качества как субъективные показатели первого рода. Следствием перехода от объективных к субъективным свойствам и, соответственно, показателям, является лингвистическая мера оценки качества защиты информации в автоматизированных комплексах физической защиты.
Введение множества субъективных показателей качества защиты информации, в автоматизированных комплексах физической защиты, обусловленных организационной природой этих систем связано с наличием у них ряда свойств, присущих только такого рода системам. Естественно предположить, что эти свойства не описываются, не оцениваются и не имеют взаимосвязи с объективными (техническими) показателями. Наиболее известным такого рода показателем является показатель ущерба, наносимого корпорации вследствие нарушения информационной безопасности ее компьютерной системы. Определим такие показатели как субъективные показатели второго рода.
Несмотря на различную природу, субъективные показатели и мера качества обеих групп имеют общие признаки:
- нетривиальную определимость (трудности формулирования и формального описания) и количественную оценку;
- нечеткость измерения в лингвистической форме (измеримость по шкалам порядка, интервалов);
- неоднозначную, неформализуемую и, как правило, векторную связь с объективными показателями;
- отсутствие инвариантности (зависимость значения показателя от конкретных условий деятельности);
- возможную альтернативность показателей;
- широкий доверительный интервал вычислительной оценки и др.
Обычно показатели, имеющие подобные свойства, называются
функциональными. Приведенные рассуждения и классификация показателей качества защиты информации в автоматизированных комплексах физической защиты создают основу для выработки критериев для более детальной группировки показателей. Для этого будем полагать, что в системе оценки качества защиты такой информации существует множество необходимых и достаточных технических показателей, общее назначение которых -характеризовать, с точки зрения разработчика механизмов защиты информации, технологию защиты как предмет труда. Рассмотрим данное множество с точки зрения возможности использования для оценки свойств и характеристик, которыми оперирует пользователь.
Часть этих показателей описывает свойства защищенности информационных ресурсов автоматизированных комплексов физической защиты, которые адекватно воспринимаются пользователем. Следовательно, эти показатели можно использовать для субъективной пользовательской оценки без каких-либо преобразований и интерпретаций. Будем называть такие показатели - технические показатели двойного применения.
Другие технические показатели описывают субъективно не воспринимаемые свойства механизмов защиты информации (например, типизация вредоносной программы по штамму, разнотипные криптографические преобразования информации), но, очевидно, входящие составной частью в более сложные и субъективно воспринимаемые свойства.
Это означает, что существует взаимосвязь технических и субъективных показателей. Эта взаимосвязь может быть как скалярной, так и векторной. В данном случае это - технические показатели, непосредственно неиспользуемые для субъективных оценок.
И, наконец, для третьей группы технических показателей нельзя установить каких-либо очевидных или достаточно простых взаимосвязей с субъективными показателями. Тем не менее, такие показатели при наличии неявных или сложных связей входят во множество технических показателей. Будем называть такие показатели специальными техническими показателями. Подмножество специальных технических показателей используется техническими специалистами при проектировании и сопровождении механизмов защиты информации.
При отсутствии достаточных оснований полагать, что связи между специальными техническими и субъективными показателями существуют, специальный показатель исключается из множества. Критерием достаточности может быть опыт исследователя.
В результате проведенной структуризации множества технических показателей множество субъективных показателей можно дополнить подмножеством технических показателей двойного применения. Этим самым формируется полное множество пользовательских показателей, т.е. показателей, которыми имеет возможность оперировать пользователь для оценки качества защиты информации в автоматизированных комплексах физической защиты.
На множестве пользовательских показателей может быть выделено подмножество, характеризующее технологию защиты информации в части удобства работы пользователя и размеров психофизиологических, временных или материальных затрат. Область оценки по каждому показателю детерминирована субъектом деятельности в соответствии со степенью удовлетворения его технологией защиты информации.
Список использованной литературы
1. Основы информационной безопасности: учеб. для вузов МВД России / Под ред. В.А. Минаева и С.В. Скрыля. Воронеж: ВИ МВД России, 2001. -464 с.
2. Информатика: учеб. для вузов МВД России. Т. 1. Информатика: Концептуальные основы / С.В. Скрыль [и др.]. - М.: Маросейка, 2008. - 464 с.
3. Холстед М.Х. Начала науки о программах. / Пер. с англ. - М: Финансы и статистика, 1981. - 128 с.
