CC BY
55Методы и средства защиты информации
УДК 004.056
О ПОДХОДЕ К ОЦЕНКЕ ЭФФЕКТИВНОСТИ ЗАЩИТЫ СИСТЕМ ЭЛЕКТРОННОГО
ДОКУМЕНТООБОРОТА
С. А. Храмлюк*, Е. В. Лапина
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: sofiakhramlyuk@gmail.com
Представлена скорректированная методика оценки эффективности защиты систем электронного документооборота. Основой подхода являются методики оценки на основе коэффициента защищенности и определения эффективности системы защиты информации на соответствия требованиям.
Ключевые слова: системы электронного документооборота, методы оценки эффективности защиты информации.
ON APPROACH TO ASSESSING EFFICIENCY OF ELECTRONIC DOCUMENT FLOW MANAGEMENT SYSTEM PROTECTION
S. A. Hramlyuk*, E. V. Lapina
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: sofiakhramlyuk@gmail.com
The corrected technique of assessing efficiency of electronic document flow management system protection is provided. Basis of approach is techniques of assessment on the basis of security coefficient and determination of efficiency of protection system in compliance to requirement.
Keywords: an electronic document management systems, a techniques of information security efficiency.
Интенсивное развитие государственных услуг, оказываемых в электронном виде, увеличение объема обмена электронными документами вызывают необходимость оптимизации документооборота, что в свою очередь вызывает большой интерес к использованию систем электронного документооборота (СЭД). В силу специфики некоторой информации, которой обладают организации, для них особо остро при разработке, внедрении и эксплуатации СЭД стоит вопрос обеспечения информационной безопасности и защиты данных [1—5].
Таким образом, в области разработки систем защиты информации СЭД можно выделить два актуальных вопроса: разработка методики оценки эффективности систем защиты СЭД и обоснование требований к составу и структуре системы защиты информации в СЭД.
Целью данной работы является разработка методики оценки эффективности защиты информации в СЭД.
Анализ существующих методов оценки эффективности защиты информации, представленных в [1—3], показал, что наиболее актуальными являются способы оценки качества функционирования и эффективности системы защиты информации (СЗИ), основанные на определении их соответствия требованиям, установленным государственным стандартом и руководящим документам уполномоченных организаций.
Однако такой подход к оценке эффективности СЗИ не позволяет определить эффективность конкретного механизма ЗИ, а констатирует лишь факт его наличия или отсутствия. Этого недостатка лишен метод оценки на основе коэффициента защищенности, который основывается на расчете какого-то абстрактного показателя с использованием некоторых исходных численных параметров защищаемой автоматизированной информационной системы (АИС).
В результате за основу была принята и скорректирована методика оценки на основе коэффициента защищенности и определения эффективности СЗИ в соответствии требованиям, представленная в работе [4].
Целевая функция эффективности защиты СЭД (7) данной методики выглядит следующим образом [4]:
Z ,/(Cинф, рвзл, Цс:
и),
(1)
где Синф - удельная стоимость защищаемых электронных документов (ЭлД); рвзл - вероятность взлома; Цсзи - стоимость СЗИ; Псзи - производительность АИС при внедрении СЗИ.
Несмотря на достоинства и недостатки, вышеприведенную методику в полной мере невозможно применять для оценки эффективности системы защиты СЭД. Методика была скорректирована путем добавления требований по защите информации, а также ограничений по стоимости и производительности системы.
Решетневс^ие чтения. 201б
Таким образом, пусть имеется М = {1, ..., т} -множество требований по защите информации, N = {1, ..., п} - множество средств защиты, реализующих различные способы и функции защиты и возможных для применения в конкретном случае; с\, ..., сп - цены на средства защиты информации. Требуется определить необходимый набор средств защиты информации хь ..., хп, чтобы стоимость решения была минимальной, а выбранные средства обеспечивали закрытие требований по ЗИ. Таким образом, необходимо решить следующую задачу:
NCЗИ = Yfjxj J=1
min,
(2)
где NСзи - множество средств защиты, реализующих различные способы и функции защиты; Х] - j-е средство защиты информации; с] - цена за ]-е средство защиты информации.
Сведение задачи к двухкритериальной посредством введения ограничений приводит вид целевой функции к следующему выражению:
D (и^ PW Рн ) max,
^зи (и^ xn) ^ min,
(3)
Ц < Ц
сзи зад
П > п ,
сзи зад
где В - коэффициент защищенности; рн - риск несоответствия требованиям регуляторов.
Риск несоответствия требованиям регуляторов рассчитывается экспертным путем как отношение суммы значений весов невыполненных требований к сумме значений весов всех требований (М).
Таким образом, оценку защищенности с учетом приведенных выше расчетных формул можно свести к следующим шагам:
1) расчет параметров СИщ,, рвзЛ, рн для оценки защищенности по исходным данным, полученным статистическим способом;
2) расчет критериев защищенности В, Цсзи, ПСЗИ, ^зи для каждого варианта системы защиты СЭД;
3) выбор варианта защиты СЭД с максимальным коэффициентом защищенности В, удовлетворяющей ограничением по стоимости ЦСЗИ, производительности ПСЗИ и требованиям по защите информации ^ЗИ.
Таким образом, разработанная методика оценки эффективности защиты СЭД наиболее полно отвечает следующим требованиям:
- определение эффективности конкретного механизма ЗИ;
- соответствие требованиям регулятора;
- возможность повышения эффективности защиты ЭД путем введения дополнительных механизмов ЗИ;
- определение эффективности защиты ЭД с заданными ограничениями стоимости;
- определение эффективности защиты ЭД с заданными ограничениями производительности.
Библиографические ссылки
1. Булдакова Т. И., Глазунов Б. В., Ляпина Н. С. Оценка эффективности защиты систем электронного документооборота // Доклады ТУСУР. 2012. № 1(25), ч. 2. С. 2-5.
2. Домарев В. В. Оценка эффективности систем защиты информации [Электронный ресурс]. URL: http://bozza.ru/art-73.html#2 (дата обращения: 06.06.2016).
3. Камаев В. А., Натров В. В. [Анализ методов оценки качества функционирования и эффективности систем защиты информации на предприятиях электроэнергетики Электронный ресурс]. URL: http://cybe-rleninka.ru/article/n/analiz-metodov-otsenki-kachestva-fu-nktsionirovaniya-i-effektivnosti-sistem-zaschity-informa-tsii-na-predpriyatiyah-elektroenergetiki (дата обращения: 31.05.2016).
4. Киселев А. В. Разработка комплексной системы защиты электронного документооборота предприятия : дис. ... канд. техн. наук / Всерос. науч.-исслед. ин-т проблем вычислительной техники и информатизации. М., 2006. С. 22-23.
5. Досмухамедов Б. Р. Анализ угроз информации систем электронного документооборота // Компьютерное обеспечение и вычислительная техника. 2009. № 6. С. 140-143.
References
1. Buldakova T. I., Glazunov B. V., Lyapina N. S. [Ocenka effectivnosti zashchity sistem elektronnogo dokumentooborota] : Doklady TUSUR, 2012, no. 25(2), рр. 2-5. (In Russ.)
2. Domarev V. V.. Ocenka effektivnosti sistem zashchity informacii. Available at: http://bozza.ru/art-73. html#2 (accessed: 06.06.2016).
3. Kamayev V. A., Natrov V. V.. Analiz metodov funktsionirovaniya i effectivnosti sistem zashchity informacii na predpriyatiyah electroenergetiki. Available at: http://cyberleninka.ru/article/n/analiz-metodov-otsenki-kachestva-funktsionirovaniya-i-effektivnosti-sistem-zaschity-informatsii-na-predpriyatiyah-elektroenergetiki (accessed: 06.06.2016).
4. Kiselyov A. V. Razrabotka kompleksnoi sistemy zashchity elektronnogo dokumentooborota predpriyatiya. Dis. ... kan. tech. nauk. M. : VNIIPVTI Publ, 2006. 169 p.
5. Dosmukhamedov B. R. [Analiz ygroz informacii system elektronnogo dokumentooborota] // Komputernoe obespechenie i vyuchislitelnaya technika, 2009, no 6, рp. 140-143. (In Russ.)
© Храмлюк С. А., Лапина Е. В., 2016
