Анализ методов и методика оценки эффективности систем защиты информации

Автор: Калмуратова Сапура Мырзамуратовна, Нукусбаев Наурызбек Жеткеншек

Журнал: Бюллетень науки и практики @bulletennauki

Рубрика: Технические науки

Статья в выпуске: 12 т.8, 2022 года.

Бесплатный доступ

Представлены основные методы оценки эффективности систем защиты информации информационных систем, их преимущества и недостатки. Существуют недостатки оценки эффективности СЗИ, связанные с выбором показателей, сложная вычислительная нагрузка, недостатки экспертных оценок и необходимость привлечения высококвалифицированных специалистов.

Вероятность, система, метод минимизации, системы защиты информации

Короткий адрес: https://sciup.org/14126025

IDR: 14126025   |   DOI: 10.33619/2414-2948/85/45

Текст научной статьи Анализ методов и методика оценки эффективности систем защиты информации

Бюллетень науки и практики / Bulletin of Science and Practice

УДК 616.718.4-001.5-08                              

Основными методами оценки эффективности системы защиты информации информационных систем являются: статистический; вероятностный; частотный; экспертный; информационно-энтропийный; многокритериальный (нейросетевой); метод минимизации рисков; матричный (формальный); многоуровневый; комбинаторный (оптимизационный).

Метод минимизации рисков . Реализуется следующими шагами: 1.Фиксация рисков. 2.

Индекс риска. 3. Проводится классификация рисков. 4. Определяются способы обработки рисков. 5. Рассчитываются показатели, характеризующие риски. 6. Рассчитываются показатели экономического эффекта от управления рисками [1].

Одновременно с этим существуют ряд проблем, связанных с выбором показателей оценки эффективности СЗИ [2, 3].

Анализ методов и методик оценки эффективности СЗИ показал, что в настоящее время существуют недостатки оценки эффективности СЗИ, связанные с выбором показателей, сложная вычислительная нагрузка, недостатки экспертных оценок и необходимость привлечения высококвалифицированных специалистов в области ИБ.

Таблица

ПРЕИМУЩЕСТВА И НЕДОСТАТКИ МЕТОДОВ

ОЦЕНКИ ЭФФЕКТИВНОСТИ СЗИ (СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ)

Метод оценки СЗИ ИС

Преимущества

Недостатки

Статистический

Позволяет получать результаты в случаях, когда не известны параметры СЗИ (систем защиты информации) и СФ (среда функционирования), позволяет оценивать СЗИ ТРИС (территориально-распределенных ИС) любой сложности

Результаты достоверны с определенной вероятностью, большой объем обработки статистических данных

Вероятностный

Анализируется полный спектр УБИ, использование реалистичного подхода, взаимосвязи между элементами СЗИ ТРИС (территориально-распределенных ИС) учитываются в явном виде

Сложность вычислений, невозможно обнаружить плавное изменение вероятностных характеристик наблюдений

Частотный

Удобство реализации, графическое представление характеристик СЗИ ТРИС

Необходимость в большой статистической выборке

Экспертный

Использование метода в отсутствии статистических сведений. Быстрота получения результатов.

Человеческий фактор —достоверность результатов зависит от компетенций экспертов. Субъективность метода. Потребность в высококвалифицированных специалистах по ИБ. Недостаточная устойчивость

Информационно

-энтропийный

По характеру зависимости Ψ(t) удобно судить об эффективности СЗИ ТРИС. Если вид зависимости отличается от линейной, то можно сделать вывод о неэффективности СЗИ ИБ (информационной безопасность)

Необходимость принятия пороговых значений для оценивания результатов вычислений или составление эталонных образов, что вызывает трудности в связи с ограниченностью и неполнотой результатов эксперимента. Не рассматривается стохастическая природа событий и явлений, которые возникают в процессе обеспечения ИБ

Много критериальный (нейро сетевой)

Позволяет учитывать большое количество критериев оценки СЗИ ТРИС. Позволяет учитывать не только количественные, но и качественные показатели критериев оценки СЗИ ТРИС. Позволяет преодолевать неопределенности

Сложность выбора оптимальной структуры Отсутствие формализованных процедур выбора измеряемых параметров (показатели оценки СЗИ ТРИС). Требует больших вычислительных ресурсов

Метод минимизации рисков

Отсутствие необходимости в точной и полной информации. Простота в части Использования инструментальных средств проведения оценки эффективности СЗИ ТРИС

Сложность при проведении оценки рисков. Результат зависит от экспертной оценки рисков. Использование нескольких оптимизационных моделей

Матричный (формальный)

Универсальный метод для проведения оперативной. Оценки эффективности СЗИ ТРИС. Требует минимальных вычислительных ресурсов

Не позволяет проводить оценку эффективности СЗИ ТРИС в условиях неопределенности, большого числа показателей оценки

Многоуровневы й

Повышение объективности и корректности оценки эффективности

Сложность формирования уровней оценивания СЗИ ТРИС. Сложность

(ос) CD

Метод оценки

Преимущества                      Недостатки

СЗИ ИС

СЗИ ТРИС, позволяет обрабатывать     проведения вычислений

трудно формализуемые данные качественных характеристик и нечеткой информации

Комбинаторный (оптимизационн ый)

Наиболее эффективный методом в      Сложность поведения вычислений

оценке эффективности СЗИ ТРИС.

Гибкость построения

Под оценкой эффективности понимается следующее: эффективность СЗИ достигается путем создания СЗИ, способной максимально нейтрализовать актуальные УБИ в ТРИС, выполнить требования по защите информации, предъявляемые к ТРИС на основании требований регуляторов в области обеспечения безопасности информации, а также позволяющей снизить финансовые затраты на создание СЗИ.

Список литературы Анализ методов и методика оценки эффективности систем защиты информации

  • Гвоздик Я. М. Модель и методика оценки систем защиты информации автоматизированных систем: дисс. … канд. техн. наук. СПб. 2011.
  • Коломойцев В. С. Модели и методы оценки эффективности систем защиты информации и обоснование выбора их комплектации: дисс. … канд. техн. наук. СПб. 2018.
  • Миняев А. А. Метод и методика оценки эффективности системы защиты территориально-распределенных информационных систем // Информатизация и связь. 2020. №6. С. 29-36.
Статья научная