На заключительной стадии оценки обстановки все найденные пути решения проблем обобщаются и синтезируются руководителем в возможные варианты решения стоящей задачи для достижения цели действий и затем из них выбирается наилучший, позволяющий достичь поставленной цели действий с наименьшими затратами сил и средств, и более качественно. Из практики следует, что возможных вариантов решения поставленной задачи, обеспечивающих ее успешное выполнение, не так уж много - максимум 4-6. При наличии нескольких таких возможных вариантов задача руководителя выбрать такой, который при безусловном достижении поставленной цели обеспечит максимальную эффективность работ. Для этого необходимо оценить выбранные варианты и определить среди них наиболее подходящий для конкретных условий вариант. На практике применяются два подхода к выбору оптимального варианта:

• сравниваются несколько вариантов;

• анализируется один вариант, но он выбирается по этапам (шагам).

Однако при использовании того или другого подхода, возникает необходимость сравнения вариантов или различных элементов (шагов) одного варианта для выбора из них лучшего. Для этой цели приходится использовать какие-то критерии (в переводе с греческого «мерило») для качественной оценки рассматриваемых вариантов. В качестве критериев выбираются такие показатели, которые наиболее полно характеризуют оцениваемый процесс.

При этом может использоваться несколько способов выбора оптимального варианта действий:

^ вариант: выбирается критерий, наиболее полно отражающий степень достижения цели действий, и по нему сравнивают предлагаемые варианты.

2 вариант: задаются определенные ограничения значений критериев, и варианты, не удовлетворяющие критериям с введенными ограничениями, отбрасываются, а затем из оставшихся вариантов выбирается наилучший по максимуму значений используемых критериев.

3 вариант: задается удельный вес (коэффициент значимости) каждому критерию и выбирается обобщенный критерий эффективности.

4 вариант: ранжировка вариантов по выбранным критериям эффективности.

Решение проблемы защиты информации с точки зрения системного подхода можно сформулировать как трансформацию существующей системы в требуемую.

Целями системы защиты являются обеспечение требуемых уровней безопасности информации на фирме, в организации, на предприятии (в общем случае - на объекте защиты). Задачи конкретизируют цели применительно к видам и категориям защищаемой информации, а также элементам объекта защиты и отвечают на вопрос, что надо сделать для достижения целей. Кроме того, уровень защиты нельзя рассматривать в качестве абсолютной меры, безотносительно от ущерба, который может возникнуть от потери информации и использования ее злоумышленником во вред владельцу информации.

В качестве критериев при выборе рационального варианта для оценки требуемого уровня защиты целесообразно выбрать соотношение между ценой защищаемой информации и затратами на ее защиту. Уровень защиты рационален, когда обеспечивается требуемая степень безопасности информации и минимизируются расходы на ее защиту. Эти расходы Сри складываются из:

- затрат на защиту информации СЗИ

- ущерба Суп за счет попадания информации к злоумышленнику и использования ее во вред владельцу.

Между этими слагаемыми существует достаточно сложная связь, так как ущерб из-за недостаточной безопасности информации уменьшается с увеличением расходов на ее защиту. Если первое слагаемое может быть точно определено, то оценка ущерба в условиях скрытности разведки и неопределенности прогноза использования злоумышленником полученной информации пред ставляет достаточно сложную задачу. Ориентировочная оценка ущерба возможна при следующих допущениях.

В свою очередь величина ущерба зависит от уровня защиты, который определяется расходами на нее. Максимальный ущерб возможен при нулевых расходах на защиту, гипотетический нулевой обеспечивается при идеальной защите. Но идеальная защита требует бесконечно больших затрат.

При увеличении расходов на защиту вероятность попадания информации злоумышленнику, а следовательно, и ущерб уменьшаются. При этом рост суммарных расходов на информацию с увеличением затрат на ее защиту имеет место в период создания или модернизации системы, когда происходит накоппение мер и средств защиты, которые еще не оказывают существенного влияния на безопасность информации. Например, предотвращение утечки информации по отдельным каналам без снижения вероятности утечки по всем остальным не приводит к заметному повышению безопасности информации, хотя затраты на закрытие отдельных каналов могут быть весьма существенными. Образно говоря, для объекта защиты существует определенная «критическая масса» затрат на защиту информации, при превышении которой эти затраты обеспечивают эффективную отдачу.

При некоторых рациональных затратах на защиту информации выше критических наблюдается минимум суммарных расходов на информацию. При затратах ниже рациональных увеличивается потенциальный ущерб за счет повышения вероятности попадания конфиденциальной информации к злоумышленнику, при более высоких затратах - увеличиваются прямые расходы на защиту.

Ограничения системы представляют собой выделяемые на защиту информации людские, материальные, финансовые ресурсы, а также ограничения в виде требований к системе Суммарные ресурсы удобно выражать в денежном эквиваленте Независимо от выделяемых на защиту информации ресурсов они не должны превышать суммарной цены защищаемой информации Это верхний порог ресурсов.

Ограничения в виде требований к системе предусматривают принятие таких мер по защите информации, которые не снижают эффективность функционирования системы при их выполнении. Например, можно настолько ужесточить организационные меры управления доступом к источникам информации, что наряду со снижением возможности ее хищения или утечки ухудшатся условия выполнения сотрудниками своих функциональных обязанностей.

При оценке вариантов защиты информации наиболее целесообразно использовать 3-й вариант, когда задается удельный вес (коэффициент значимости) каждому критерию и выбирается обобщенный критерий эффективности.

В качестве этого критерия может быть использован обобщенный критерий в виде отношения эффективность/стоимость, учитывающий основные характеристики системы, или представлять собой набор частных показателей.

В качестве частных показателей критерия эффективности системы защиты информации используются, в основном, те же, что и при оценке эффективности разведки. Это возможно потому, что цели и задачи, а следовательно, значения показателей эффективности разведки и защиты информации близки по содержанию, но противоположны по результатам. То, что хорошо для безопасности информации, плохо для разведки, и наоборот.

Частными показателями эффективности системы защиты информации являются:

- вероятность обнаружения и распознавания органами разведки объектов защиты;

- погрешности измерения признаков объектов защиты,

- качество (разборчивость) речи на выходе приемника злоумышленника;

- достоверность (вероятность ошибки) дискретного элемента информации (буквы, цифры, элемента изображения).

Очевидно, что система защиты тем эффективнее, чем меньше вероятность обнаружения и распознавания объекта защиты органом разведки (злоумышленником), чем ниже точность измерения им признаков объектов защиты, ниже разборчивость речи, выше вероятность ошибки приема органом разведки дискретных сообщений.

Однако при сравнении вариантов построения системы по нескольким частным показателям возникают проблемы, обусловленные возможным противоположным характером изменения значений разных показателей: одни показатели эффективности одного варианта могут превышать значения аналогичных показателей второго варианта, другие наоборот - имеют меньшие значения. Какой вариант предпочтительнее? Кроме того, важным показателем системы защиты являются затраты на обеспечение требуемых значений оперативных показателей. Поэтому результаты оценки эффективности защиты по совокупности частных показателей, как правило, неоднозначные.

Для выбора рационального (обеспечивающего достижение целей, решающего поставленные задачи при полном наборе входных воздействий с учетом ограничений) варианта путем сравнения показателей нескольких вариантов используется обобщенный критерий в виде отношения эффективность/стоимость. Под эффективностью понимается степень выполнения системой задач, под стоимостью - затраты на защиту.

«Вес» частного показателя определяется экспертами (руководством, специалистами организации, сотрудниками службы безопасности) в зависимости от характера защищаемой информации. Если защищается в основном семантическая информация, то больший «вес» имеют показатели оценки разборчивости речи и вероятности ошибки приема дискретных сообщений. В случае защиты объектов наблюдения выше «вес» показателей, характеризующих вероятности обнаружения и распознавания этих объектов.

Для оценки эффективности системы защиты информации по указанной формуле частные показатели должны иметь одинаковую направленность влияния на эффективность - при увеличении их значений повышается значение эффективности. С учетом этого требования в качестве меры обнаружения и распознавания объекта надо использовать вероятность необнаружения и нераспознания, а вместо меры качества подслушиваемой речи - ее неразборчивость. Остальные частные показатели соответствуют приведенным выше.

Выбор лучшего варианта производится по максимуму обобщенного критерия, так как он имеет в этом случае лучшее соотношение эффективности и стоимости. Затем выбранные варианты, которые соответствуют наиболее рациональному построению и организации защиты, предлагаются руководству.

После рассмотрения руководством предлагаемых вариантов (лучше двух для предоставления выбора), учета предложений и замечаний наилучший, с точки зрения лица, принимающего решения, вариант ложится в основу замысла решения руководителя на организацию защиты информации на фирме (объектах защиты). В нем руководитель намечает порядок и последовательность решения проблем, влияющих на выполнение основной задачи, при этом он определяет:

• ответственных за выполнение основных этапов работ;

• последовательность и сроки их выполнения;

• порядок финансирования и материального обеспечения;

• порядок и последовательность действий при отклонениях и несоблюдении сроков решения основных вопросов;

• порядок взаимодействия между отделами и службами фирмы;

• порядок управления и контроля за действиями подчиненных.

После оформления решения отрабатывается план-график выполнения работ, в котором отражаются основные вопросы решения:

• начало и окончание основных работ;

• ответственные исполнители;

• последовательность выполнения основных этапов, их взаимосвязь между собой;

• организация контроля качества и сроков выполнения основных видов работ.

В процессе реализации решения, в результате изменения обстановки, возможно внесение корректив в план-график выполнения работ и уточнение основных этапов, которые не влияют на сроки достижения конечной цели.

Методика принятия решения на защиту от утечки информации в организации | Защита от утечки информации по техническим каналам | Организация защиты информации


Защита от утечки информации по техническим каналам



Новости за месяц

  • Октябрь
    2018
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс