при каком значении по шкале оценки защищенности объект является условно защищенным

Критически важный объект (КВО)

Критически важный объект (КВО) – это объект, нарушение или прекращение функционирования которого приведет к потере управления экономикой Российской Федерации, субъекта Российской Федерации или административно-территориальной единицы субъекта Российской Федерации, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения.

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

Критически важный объект (КВО)

Классификация КВО

Классификация КВО по значимости

Объекты федерального уровня:

Объекты субъектового уровня:

Объекты территориального и муниципального уровня:

Классификация КВО по видам угроз

Классификация КВО по уровням угроз

Категории значимости КВО

Перечень категорий КВО

Ядерно и/или радиационно опасные объекты

Химически опасные объекты

Биологически опасные объекты

Техногенно опасные объекты

Пожаровзрывоопасные объекты

Объекты государственного управления, информационной и телекоммуникационной инфраструктуры

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

Источники: постановление Правительства РФ от 14.08.2020 № 1225 «Об утверждении Правил разработки критериев отнесения объектов всех форм собственности к критически важным объектам»; Федеральный закон РФ 68-ФЗ от 21.12.1994 «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера»; ГОСТ Р 22.2.06-2016 Безопасность в чрезвычайных ситуациях. Менеджмент риска чрезвычайной ситуации. Оценка риска чрезвычайных ситуаций при разработке паспорта безопасности критически важного объекта и потенциально опасного объекта.

Источник

Правила разработки критериев критически важных и потенциально опасных объектов

Утверждены правила разработки критериев отнесения объектов всех форм собственности к критически важным или потенциально опасным объектам.

Критически важные объекты

Утверждены в Постановлении Правительства РФ от 14.08.2020 № 1225 “Об утверждении Правил разработки критериев отнесения объектов всех форм собственности к критически важным объектам”.

Закреплено деление критически важных объектов:

Установлено, что такие критерии должны состоять из конкретных качественных и количественных показателей и соответствующих им значений, на основании которых объекты включаются в одну из категорий значимости критически важных объектов.

Потенциально опасные объекты

Утверждены в Постановлении Правительства РФ от 14.08.2020 № 1226 “Об утверждении Правил разработки критериев отнесения объектов всех форм собственности к потенциально опасным объектам”.

Установлено 6 категорий опасности потенциально опасных объектов:

В Постановлении определяется, что потенциально опасный объект – это объект, на котором расположены здания и сооружения повышенного уровня ответственности, либо объект, на котором возможно одновременное пребывание более 5 тысяч человек.

Установлено, что такие критерии должны состоять из конкретных качественных и количественных показателей и соответствующих им значений, на основании которых объекты включаются в одну из категорий опасности.

“Это позволит сформировать механизмы ранжирования потенциально опасных объектов по отраслям экономики и реализовать дифференцированный подход при установлении критериев отнесения объектов к указанной категории с учетом их видов и особенностей, а также возможных угроз и опасностей.

Постановление направлено на реализацию риск–ориентированного подхода в указанной сфере деятельности и позволит избежать возложения излишней административной нагрузки на бизнес.”

В соответствии с текстами постановлений, Министерство строительства и жилищно-коммунального хозяйства, МЧС России при содействии федеральных органов исполнительной власти, госкорпораций «Росатом» и «Роскосмос» в течение полугода должны разработать нормативные акты в соответствии с вновь утвержденными правилами.

Источник

Как определить уровень защищенности информационных систем

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

Верное определение уровня защищенности персональных данных важно для принятия адекватных мер защиты. Если уровень завышен — деньги потрачены зря. Учреждения здравоохранения используют множество информационных систем персональных данных, поэтому рассмотрим параметры определения уровня защищенности на примере медиков.

Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».

Таким образом, сейчас перечень обязательных организационных и технических мер по обеспечению безопасности персональных данных определяется в соответствии с установленным для информационной системы уровнем защищенности персональных данных.

В свою очередь уровни защищенности персональных данных при их обработке в информационных системах определяются исходя из следующих условий:

1) категория субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: сотрудники или иные лица;

2) количество субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: до 100 000 или более 100 000;

3) категория персональных данных, обрабатываемых в информационной системе:

4) тип актуальных угроз безопасности персональных данных:

Чем выше определен уровень защищенности персональных данных, тем больше мер по обеспечению безопасности персональных данных требуется выполнить. Если по ошибке определить более высокий уровень защищенности, то, соответственно, придется строить более дорогую систему защиты персональных данных. Рассмотрим типовые варианты информационных систем, которые используются в большинстве медицинских учреждений.

Защита типовой системы: скромно и со вкусом

Организация защиты информации в медицинском учреждении строится на общих принципах защиты ИСПДн. Например, практически в любом учреждении здравоохранения установлена типовая информационная система персональных данных для учета кадров и расчета зарплаты.

Субъекты обработки персональных данных в этом случае — сотрудники организации, а цель обработки ПДн — обеспечение соблюдения в отношении сотрудника законодательства Российской Федерации в сфере трудовых и непосредственно связанных с ними отношений. В такой информационной системе не ведется обработка биометрических или специальных категорий персональных данных, а значит, определение уровня защищенности будет зависеть от актуальных угроз безопасности персональных данных, определенных для данной информационной системы. В большинстве случаев для подобного рода информационных систем актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, а следовательно, в информационной системе необходимо будет обеспечить четвертый уровень защищенности персональных данных, т. е. потребуется выполнение минимального перечня организационных и технических мер.

ИС федерального масштаба: все, как у людей

Федеральный регистр медицинских работников (ФРМР) — система, предназначенная для сбора, хранения и обработки данных учета медицинского персонала субъектов Российской Федерации, а также для контроля распределения и перемещений медперсонала. Как и в описанной выше информационной системе, в ФРМР не ведется обработка биометрических или специальных категорий персональных данных, и при схожих характеристиках в ФРМР требуется обеспечить такой же уровень защищенности.

Несмотря на то что категория субъектов ПДн и обрабатываемые данные в обеих системах практически аналогичны, объединять их в одну ИС все же не стоит, поскольку цели обработки ПДн в первом случае — это исполнение требований трудового законодательства, а во втором — требований Министерства здравоохранения и социального развития Российской Федерации.

Медицинские информационные системы: зона особого внимания

С помощью медицинских информационных систем сотрудники медицинских организаций решают целый ряд задач:

При определении уровня защиты для медицинских информационных систем следует принимать во внимание ряд факторов:

В зависимости от количества обрабатываемых субъектов персональных данных и типа актуальных угроз безопасности в МИС требуется обеспечить второй или третий уровень защищенности персональных данных.

Прочие информационные системы в сфере здравоохранения

В зависимости от инфраструктуры и задач учреждения в организации могут функционировать и иные ИС. Для них действует точно такой же алгоритм определения требуемого уровня защищенности ПДн, что и для систем, речь о которых шла выше.

Если субъекты и цель обработки ПДн в нескольких информационных системах совпадают, то их можно объединить и выстроить для них единую систему защиты персональных данных.

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

В заключение напомним, что уровень защищенности персональных данных в информационных системах определяется оператором персональных данных самостоятельно, а следовательно, и выбор организационных и технических мер по защите персональных данных лежит на плечах оператора. Однако не стоит забывать, что завышение уровня защищенности приведет к увеличению стоимости системы защиты персональных данных, а занижение уровня защищенности персональных данных является нарушением. Дабы не ломать себе голову вопросом «а правильно ли я классифицировал ИС?», доверьтесь профессионалам.

Максим Малкиев, эксперт по защите информационных систем персональных данных компании «СКБ Контур», проект «Контур-Безопасность»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Источник

При каком значении по шкале оценки защищенности объект является условно защищенным

Суханов Андрей Вячеславович,

кандидат технических наук,

начальник управления специальных работ, ЗАО «ЭВРИКА», г. Санкт – Петербург.

Официально признаваемой оценкой защищенности ИС являются классы защищенности, описание которых приведено в стандартах защищенности.

Рассмотренные в вышеназванных стандартах подходы обладают рядом недостатков:

· при наличии большого числа стандартов отсутствует единая терминология, которая отслеживает изменения в области защиты информации;

· предъявляются только требования по составу и проведению сертификации средств защиты информации, но отсутствуют количественные показатели и единые требования к функционированию СЗИ.

Согласно модели комплекса механизмов защиты [6] уровень защищенности зави­сит не только от числа механизмов защи­ты, но и от расположения МЗ в структуре СЗИ. Анализ защищенности проводится в 2 этапа:

· оценка защищенности, обеспечивае­мой отдельным механизмом;

· оценка защищенности СЗИ в целом.

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

где mi — рейтинг стойкости i-го механизма защиты.

Структурная модель СЗИ учитывает структурные особенности ИС, например, наличие средств защиты на следующих уровнях: аппаратном, BIOS, ОС, сетевом, СУБД, функционального ПО (рис. 1).

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

Структурная модель системы защиты.

МЗ располагаются на уровнях СЗИ в соответствии с их назначени­ем. Например, механизм идентификации и аутентификации мо­жет быть реализован как на уровне ОС, так и на уров­не функционального программного обеспечения (ФПО).

Если число уровней СЗИ равно j, а число различных МЗ составляет i, то можно сформировать ма­трицу рейтингов стойкости следующе­го вида:

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным.

Каждый столбец матрицы соответствует уровню СЗИ. Эле­мент матрицы mij равен 0, если i-й МЗ отсутствует на j-м уровне СЗИ. Предполагается, что угроза с определенной ве­роятностью будет нейтрализована некоторым МЗ на од­ном из уровней СЗИ.

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

где ij — число МЗ, а nj — число угроз, актуальных для j-го уровня СЗИ.

Для каждого последующего уровня СЗИ число актуальных угроз будет уменьшаться, поскольку некоторые из них будут нейтрализованы на предыдущих уровнях СЗИ

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным.

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

Поэлементным умножением строк матрицы рейтингов стойкости на вектор распределения вероятностей формируют матрицу защищенности Z

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным.

Рейтинг защищенности ИС определяют суммой элементов матрицы защищенности Z

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным.

К недостаткам последней модели следует отнести статичный характер оценки защищенности ИС, не учитывающей такие параметры как ущерб от реализации угроз информационной безопасности и частоту осуществления атак. Кроме того, предположение о снижении количества актуальных угроз по мере приближения к объекту защиты не всегда справедливо (например, для внутрисистемных попыток НСД).

Предлагается при проведении инвестиционного ана­лиза СЗИ или для оценки ущерба в случае реализации угроз учитывать ущерб, как в стоимостном исчислении, так и не­материальный ущерб (табл. 1) [7], нане­сенный репутации, конкурентным воз­можностям хозяйствующего субъекта (ХС).

Вводят семантические показатели «величина нематериального ущерба» и «вероятность нанесения ущерба» (табл. 2) [7], которые связаны с частотой реализации угрозы за конкретный период времени.

Семантический показатель «величина нематериального ущерба»

Ущербом можно пренебречь

Затраты на ликвидацию последствий реализации угрозы невелики

Ликвидация последствий реализации угрозы не связана с крупными затратами, но положение рынке ухудшается, часть клиентов теряется

Затрудняется выполнение критически важных задач. Утрата на длительный период положения на рынке. Ликвидация последствий угрозы связана со значительными финансовыми инвестициями

Реализация угрозы приводит к невозможности решения критически важных задач. Организация прекращает существование

Частота реализации
угрозы

Семантическая характеристика реализации
угрозы

Угроза практически никогда не реализуется

1 раз за несколько лет

Угроза реализуется редко

Скорее всего, угроза не реализуется

Скорее всего, угроза реализуется

Угроза почти обязательно реализуется

Шансов на положительный исход нет

Предлагается [7] осуществлять анализ вариантов СЗИ по критерию «стоимость/эффективность», учитывая соображения:

· стоимость СЗИ не должна превышать опреде­ленную сумму (как правило, не более 20% от стоимости системы ИС);

· уровень ущерба не должен превышать заданное значение, например, «незначительный».

Представленные оценки отражают статическое состояние объекта защиты, исходя из имеющихся в СЗИ механизмов защиты, не учитывают действительную загруженность МЗ по нейтрализации последствия компьютерных атак, динамику изменения угроз, возможность адаптации СЗИ к изменению угроз, не дают рекомендаций на изменение состава механизмов защиты и структуры СЗИ.

В работе [8] защищенность определяется исходя из ущерба ИС, связанного с реализацией угроз, носящих случайный характер, который оценивается через коэффициенты опасности угроз. Коэффициенты опасности представляются нечеткими величинами, а показатель защищенности ИС определяется посредством матрицы нечетких отношений между коэффициентом опасности множества угроз и степенью защищенности ИС.

Под эффективностью понимают меру достижения цели ТЗИ. Оценка эффективности ТЗИ — процесс установления соответствия между результатом защиты и поставленной целью. С ростом сложности объектов анализа, состава и характеристик угроз (особенно угроз несанкционированного удаленного доступа) задача количественной оценки защищенности актуальна.

Оценка эффективности ТЗИ возможна: 1) на основе сравнения значения показателя защищенности с нормативным (пороговым) значением; 2) на основе сравнения показателей защищенности информации без ТЗИ и в условиях ТЗИ. Оба подхода применяются на уровне частных моделей и методик. Для комплексной оценки эффективности первый подход является мало приемлемым, т. к. сложно определить допустимые уровни снижения защищенности информации от комплекса угроз. Второй подход применим при сравнительном анализе эффективности мер и средств защиты информации и не позволяет определить достаточность ТЗИ.

Если защищенность информации оценивается показателем h 0 ( t ) без принятия мер защиты и h Т3И ( t ) в условиях ТЗИ, то эффективность ТЗИ может быть оценена относительным показателем [47]

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

где l — вспомогательный параметр, К S n и Ки — отношения соответственно D S n и Du к Dnp назовем коэффициентами опасности угроз, так как они соответствуют уровню наноси­мого ущерба, вплоть до неприемлемого.

Если рассматривать все U угроз и учесть, что коэффициенты опасности являются функциями времени, то последняя формула преобразуется к виду

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

Данный показатель позволяет оценить эффективность ТЗИ как по всему множеству угроз, так и подмножеству угроз, составляющих определенную направленность: нарушение целостности, доступности или конфиден­циальности информации. Достоинство показателя — полиморфизм, исключающий корректи­ровку методов расчета в зависимости от состава угроз.

Определение коэффициентов опасности угроз в виде четких значений основано на ана­литических соотношениях, связывающих эти коэффициенты с показателями ценности ин­формации. Такие показатели в виде коэффициентов важности могут быть определены на основе эвристического анализа и категорирования информации в ИС по важности. Пусть информация на объекте информатизации представлена в виде файлов и для каждого файла пользователь устанавливает категорию важности информа­ции. Например, м.б. введены 4 категории важности информации: 1 — особо важная, 2 — очень важная, 3 — важная, 4 — маловажная. При этом все угрозы разделяются на 3 группы: нарушение целостности, доступности и конфиденциальности информации. Пользо­вателем эвристически определяются коэффициенты важности f-го файла Vz (t,f) z-й категории.

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

а для угроз, направленных на нарушение целостности и доступности информации, или для комплексных угроз коэффициент опасности

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

При определении коэффициентов опасности угроз в виде нечетких величин необходимо проводить экспертный анализ опасности угроз. Такой подход может оказаться наиболее адекватным реальной опасности угроз, если анализ осуществляется высококвалифициро­ванными специалистами. Как правило, различные эксперты по-разному оценивают значение параметра и часто затрудняются задать конкретное число, поскольку существует много факторов, влияющих на оцениваемые величины и имеющих вероятностную природу. Для подобных ситуаций используется аппарат нечетких множеств, коэффициенты опасности задаются в виде нечетких чисел, способных принимать свои значения из определенного заданного интервала (множества) с различными значениями функций принадлежности [9].

Коэффициент опасности каждой угрозы описывается функцией принадлежности треугольной формы [10] (рис. 2).

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

Треугольное представление нечеткого числа.

То есть представляется тройкой чисел, определяющих левую и правую границу области определения, а также значение, соответствующее максимальной истинности коэффициента опасности угрозы. Значения функции принадлежности m А (х) для этих точек задаются так, что для средней точки это значение наибольшее, а остальные два являются нулевыми.

В соответствии с теорией нечетких множеств операции над значениями коэффициентов опасности Ки заменяются операциями над их функциями принадлежности m Ки (Ки i ). При обработке результатов опроса экспертов функция принадлежности может потерять треугольный вид.

Для случая задания коэффициентов опасности угроз нечеткими числами формула для показателя «степень защищенности» запишется в виде

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

где операция ° умножения нечетких чисел производится по следующему правилу:

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным.

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

Часто соотношение между коэффициентом опасности совокупности угроз и степенью защищенности ИС оказывается приблизительным. В этом случае необходимо определить причинные отношения между значениями этого коэффициента (предпосылками) и конечным результатом — степенью защищенности h (заключениями).

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

где знак • определяет операцию «max-min» композиции в качестве композиционного правила нечеткого вывода и операции взятия минимума в качестве нечеткой импликации

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

Размерность матрицы нечетких отношений определяется количеством заданных числовых градаций коэффициента опасности и порогов функции принадлежности. Корректная формализация правил, с помощью которых формируется эта матрица, определит точность и достоверность конечного результата, являющегося выводом системы экспертного оценивания.

Возможны несколько вариантов построения правил вывода в зависимости от важности объекта информатизации и отношения к нему экспертов. Однако наиболее широко в экспертных оценках [10] используется набор правил, основанный на определении связи коэффициента К S и показателя защищенности системы h в виде пропорциональной зависимости с равномерным уменьшением достоверности оценки. В простейшем случае значения элементов матрицы нечеткого вывода рассчитываются по формуле

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

Оценить эффективность ТЗИ можно, определяя степень защищенности h ( t ) в условиях отсутствия и применения мер ТЗИ. Для этого осуществляют дефаззификацию [11] одним из следующих способов;

1) задавшись требуемым уровнем функции принадлежности m h ( h ), проводят отсечение и выбирают первое приемлемое значение h

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

со степенью достоверности:

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

Зная нечеткие значения и функции принадлежности коэффициентов опасности угроз, можно с учетом вероятностей реализации угроз по правилам теории нечетких множеств рассчитать нечеткие значения степени защищенности объекта информатизации от комплекса угроз.

Недостатками подобного оценивания являются статичность оценки защищенности и отсутствие взаимосвязи показателей защищенности с местоположением МЗ в структуре системы информационной безопасности (СИБ).

Динамичный характер оценки защищенности ИС обеспечивает модель адаптивной СИБ [12]. Одним из компонентов СИБ является блок расчета показателей защищенности, который совместно с методикой оценки защищенности ИС, позволяет:

· обеспечить близкое к оптимальному отношение «стоимость/ эффективность» СИБ за счет использования только необходимых МЗ,

· отслеживать динамику использования МЗ при изменении множества угроз,

· формировать спецификацию требований на отсутствующие МЗ,

· оценивать защищенность ИС через величины ожидаемого ущерба и интегральные показатели активности МЗ, распределенных по СИБ.

Решение о расширении классификаций угроз и МЗ производится в соответствии с системой оценок достоверности нейтрализации угроз в разрезе отдельных МЗ или уровней СИБ и аналогичных оценок предполагаемого ущерба, соотносимых с отдельными МЗ или уровням СИБ. Ущерб рассматривается в относительных величинах, к примеру, по отношению к значению допустимого ущерба в ИС хозяйствующего субъекта.

Результаты экспертных оценок представляют в виде матрицы достоверности «угрозы – уровни СИБ»:

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

Активность уровня СИБ по нейтрализации угроз, входящих в систему предикатных правил в качестве посылок, определяют строкой интегральных показателей строкой показателей значимости уровня в структуре СИБ:

Аналогично можно получить столбец интегральных показателей активности использования механизма защиты на всех уровнях СИБ:

Сопоставление интегральных показателей в пределах столбца дает возможность выявить наиболее активно используемые МЗ в структуре СИБ. Анализ интегральных показателей позволяет обосновать целесообразность использования МЗ в составе соответствующего уровня СИБ.

Использование экспертных оценок и отражение в структуре нейронечеткой сети опыта экспертов ИБ сопровождают проверкой на непротиворечивость результатов опроса экспертов. Непротиворечивость экспертных оценок может быть обеспечена применением, например, метода экспертных оценок матрицы нечетких отношений [8] или метода на основе расчета максимального собственного значения матрицы парных сравнений [13].

Приведенные показатели будут более информативными, если учитывать не только достоверность использования МЗ в структуре СИБ, но и показатели предполагаемого ущерба, возникающего при реализации угроз в ИС и который может быть предотвращен системой информационной безопасности.

С этой целью по аналогии с [8] оценку защищенности можно косвенно связать с предотвращением ущерба и использовать экспертные оценки для сопоставления множества угроз с потенциальным ущербом от их реализации и размера ущерба с местом реализации угрозы в структуре ИС.

Для классов защищенности автоматизированных систем согласно РД ФСТЭК получены рейтинговые оценки, сопоставленные с известными из научных источников [6] оценками защищенности АС (рис. 3).

при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть фото при каком значении по шкале оценки защищенности объект является условно защищенным. Смотреть картинку при каком значении по шкале оценки защищенности объект является условно защищенным. Картинка про при каком значении по шкале оценки защищенности объект является условно защищенным. Фото при каком значении по шкале оценки защищенности объект является условно защищенным

Рейтинговые оценки АС по классам защищенности РД ФСТЭК.

Показатели применимы для оценки защищенности систем по множеству известных угроз и по подмножеству угроз: нарушения целостности, конфиденциальности, доступности информации.

Проведенный анализ показал необходимость разработки обобщенного количественного показателя для оценки свойства «защищенность» ИС, который должен объединить положительные стороны известных подходов с целью его дальнейшего использования в качестве целевой функции для оптимизации структуры информационной системы по критерию «стоимость/защищенность».

Кроме того, необходима разработка процесса двухступенчатой оптимизации средств мониторинга безопасности ИС, включающего:

· оптимизацию набора функций безопасности объекта оценки в условиях бюджетных ограничений;

· оптимизацию размещения механизмов защиты в структуре системы информационной безопасности по критерию максимизации рейтингового показателя защищенности ИС.

Корректная оценка защищенности критических информационных систем необходима для выполнения сравнения аналогичных по назначению и уровню сложности систем либо для мониторинга динамики уровня защищенности конкретной информационной системы во времени.

Литература.

2. ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. – Госстандарт России, Москва, 2002.

3. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. – Госстандарт России, Москва, 2002.

9. Кофман А. Введение в теорию нечетких множеств. – М.: Радио и связь, 1982.

10. Асаи К., Ватада Д., Иваи С. И др. Прикладные нечеткие системы / Под ред. Т. Тэрано, К. Асаи, М. Сугэно. – М.: Мир, 1993.

12. Нестерук Г. Ф., Молдовян А. А., Осовецкий Л. Г., Нестерук Ф. Г.; Фархутдинов Р. Ш. К разработке модели адаптивной защиты информации // Вопросы защиты информации. 2005, № 3. С. 11 – 16.

13. Корнеев В. В., Гареев А. Ф., Васютин С. В., Райх В. В. Базы данных. Интеллектуальная обработка информации. – М.: Нолидж, 2001.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *