Шрифт:
Интервал:
Закладка:
Приложение 2
Выбор оптимальной структуры системы защиты информации
Построение надежной и всеобъемлющей системы защиты информации вещь, несомненно, сложная и дорогая. Поэтому понятно желание руководителя любого ранга максимально надежно обеспечить конфиденциальность информации при минимальных затратах.
Естественно, что общая система защиты является достаточно разветвленной и включает в себя аутентификацию сотрудников, автоматическое разграничение их полномочий, защиту от несанкционированного доступа к информации (независимо от вида ее хранения), закрытие технических каналов утечки, а также ряд других элементов. Причем для каждого из этих элементов, как правило, необходимы свои технические средства защиты, в изобилии предлагаемые на российском рынке.
Таким образом, существует множество вариантов построения единой системы защиты конфиденциальной информации, отличающихся надежностью, быстродействием и ценой.
К сожалению, перечисленные факторы находятся во взаимном противоречии, и выбор конкретной комплексной системы защиты должен быть реализован на основе принципа «необходимой достаточности».
Применение этого принципа возможно только при наличии надежных показателей и критериев защищенности информации.
Этому требованию в полной мере отвечают оптимизирующие критерии, основанные на применении комплексных информационных показателей.
Методика их применения заключается в следующем:
I. Составляются различные варианты построения системы защиты, из которых необходимо выбрать одну наиболее предпочтительную.
II. Составляется список параметров, по которым сравниваются выбранные системы защиты.
В этот список, например, могут входить:
>• надежность системы;
>• быстродействие;
>• удобство ее прохождения зарегистрированными пользователями (ее прозрачность);
>• глобальность системы;
>• стоимость установки и поддержания.
Приведенный список может быть расширен в соответствии с задачами, возлагаемыми на систему защиты.
III. Устанавливается единая система оценки введенных параметров (например, 10-балльная). Показатель (оценка) должен быть тем выше, чем больше оцениваемый параметр отвечает интересам владельца системы защиты.
Так, например, чем выше надежность, тем параметр, ее оценивающий, ближе к 10, а чем выше цена, тем ближе к 1.
IV. Производится экспертная сравнительная оценка всех выбранных систем защиты по параметрам.
Пусть, например, имеется 4 системы защиты и каждой из них по каждому параметру выставляется оценка по 10-балльной системе.
Так, например, по параметру «I» (надежность) оценки могут быть расставлены следующим образом:
I11=3;I12=l;I13=8;I14=10.
Аналогично выставляются оценки по параметру «2» (быстродействие):
I21=1;I22=6;I23=3;I24=5.
по параметру «3» (прозрачность для зарегистрированного пользователя):
I31=9;I32=8;I33=2;I34=6.
по параметру «4» (глобальность системы):
I41=4;I42=5;I43=4;I44=4.
и по параметру «5» (стоимость):
I51=7;I52=8;I53=6;I54=9.
V. Полученные результаты заносятся в табл. П.2.1. Табл. П.2.1 анализируется по столбцам, и рассчитывается комплексный показатель защищенности для каждой из систем по формуле:
Таблица 17.2.1. Оценка частных параметров сравниваемых систем
Номер оцениваемого параметра /Номер системы защиты
/1 /2 /3 /4
1 /3 /1 /8 /10
2 /1 /6 /3 /5
3 /9 /8 /2 /6
4 /4 /5 /4 /4
5 /7 /8 /6 /9
(1)где j — порядковый номер системы защиты;
i — номер параметра, по которому производилась оценка;
n — количество оцениваемых параметров;
Iij— оценка i-гo параметра для j-й системы защиты;
Imax— максимальное значение оценки параметра (для рассматриваемого примера Imax =10).
VI. Полученные результаты заносятся в табл. П.2.2.
Таблица П.2.2. Комплексные показатели эффективности систем защити
Номер систем защиты /1 /2 /3 /4
Значение комплексного показателя /-4,89 /-3,95 /-4?46A6 /-2,23
VII. В соответствии с критерием оптимизации
maxjIэj. (2)
Выбирается j-я система, имеющая максимальное значение показателя Iэj. Для рассматриваемого примера эта система защиты № 4.
Вместо энтропийного показателя (1) в предложенной методике может быть использован другой информационный показатель, обладающий аналогичными свойствами. Это показатель, основанный на методе наименьших квадратов:
(3)Таким образом, рассмотренная методика позволяет провести выбор оптимальной из имеющихся вариантов построения системы защиты на основе информационных показателей (1), (3) и критерия (2).
Приложение 3
Перечень предприятий и организаций, получивших лицензии на деятельность в области защиты информации
№ п/п /Серия, номер бланка /Номер лицензии /Дата выдачи /Действительна до /Наименование предприятия (ведомственная принадлежность) /Адрес предприятия (организации), телефон /Виды деятельности /Особые отметки
1 /ЛГ0014, 000661 /№001 /30.05.95 /30.05.2001 /Специальный центр МЧС России (МЧС) /103012, Москва, Театральный проезд, 3,т.923-7894 /1;2;3;4;5;б /Продлено
2 /ЛГ0011, 000502 /№002 /30.05.95 /30.05.2001 /Научно-технический и сертификационный центр по комплексной защите информации «Атомзащитаинформ» (НТСЦ «Атомзащитаинформ») (Минатом России) /101000, Москва, а/я 911, т. 239-2262,239-4728 /1;2;3;4;5 /Продлено
3 /ЛГ 0019, 000943 /№003 /3.07.95 /03.07.2001 /АОЗТ «Российские наукоемкие технологии» (РНТ) /111141, Москва, 2-й проезд Перова поля, 9, т. 209-7677 /1.2; 2; 3,4; 5; 6 /Продлено и изменено
4 /ЛГ0017, 000849 /№004 /21.06.95 /21.06.2001 /ЦНИИатоминформ (Минатом России) /127434, Москва, Дмитровское ш., 2, т. 976-7272 /1.2;2;3;4;5а-в /Продлено и изменено
5 /ЛГ0008, 000393 /№ 005 /21.06.95 /21.06.2001 /5-й Центральный научно-исследовательский испытательный институт Министерства обороны Российской Федерации (5 ЦНИИ МО) (Минобороны России) /394052, Воронеж, ул. Краснознаменная, 153, т. (0732)56-1663 /1.2;2;3;4;5а-в, б /Продлено и изменено
6 /ЛГ0008, 000396 /№ 006 /09.08.95 /08.06.2001 /ОАО «Всероссийский научно-исследовательский институт автоматизации управления в непромышленной сфере» (ВНИИНС) /113149, Москва, ул., Сивашская, 4, корп.2, т.119-6842 /1.2;2.2;3;4;5а-в /Продлено и изменено
7 /ЛГ0011, 000507 /№007 /03.07.95 /03.07.2001 /ЗАО «Научно-производственная фирма «ПРОМТЕХН» (НПФ «ПРОМТЕХН») /121471, Москва, Можайское ш., 29/2, т. 166-7065 /1.2а-д; 2.2; 3; 4; 5а,б,в /Продлено
8 /ЛГ0011, 000509 /№009 /09.11.95 /09.11.98 /АОЗТ «Лаборатория новых информационных технологий «ЛАНИТ» /107066, Москва, ул. Доброслободская, 5, т.267-3038,261-5781 /1.2б,г,д,е; 2.2а-д; 36-е; 5; 6 /Срок действия истек
9 /ЛГ 0004, 000199 /№011 /16.11.98 /16.11.2001 /Федеральное государственное унитарное предприятие «Научно-производственное объединение прикладной механики им. академика М.Ф.Решетнева» (НПОПМ) (РКА) /662990, Железногорск Красноярского края, ул. Ленина, 52, т. (39197) 2-89-49, /1.2а-е;2;3а-е;4 /Продлено и изменено
Продолжение приложения 3
№ п/п /Серия, номер бланка /Номер лицензии /Дата выдачи /Действительна до /Наименование предприятия (ведомственная принадлежность) /Адрес предприятия (организации), телефон /Виды деятельности /Особые отметки
10 /ЛГ0011, 000512 /№012 /16.11.95 /16.11.2001 /Малое государственное внедренческое научно-производственное предприятие «Спектр» (МГВНПП «Спектр») (Минатом России) /117259, Москва, ул. Большая Черемушкинская, 25, т. 127-0482, 195-9496 /1.2а-в; 2; 3а-в; 4; 5а-в /Продлено
11 /ЛГ0011, 000513 /№013 /16.11.95 /16.11.98 /АООТ «НИЦЭВТ» (Минэкономики России) /113405, Москва, АО «НИЦЭВТ», т. 319-2745 /1.2а-в;2;3;4; 5а-в /Срок действия истек
12 /ЛГ 0004, 000189 /№014 /16.11.98 /16.11.2001 /ЗАО «НИЕНШАНЦ-ЗАЩИТА» /194175, Санкт-Петербург, Большой Сампсоньевский пр., 24,т. 542-9146, /3а-е;4 /Продлено с заменой бланка