Классификация методов защиты информации

Все методы защиты информации по характеру проводимых действий можно разделить на:

— законодательные (правовые);

— организационные;

— технические;

— комплексные.

Для обеспечения защиты объектов информационной безопасности должны быть соответствующие правовые акты, устанавливающие порядок защиты и ответственность за его нарушение. Законы должны давать ответы на следующие вопросы: что такое информация, кому она принадлежит, как может с ней поступать собственник, что является посягательством на его права, как он имеет право защищаться, какую ответственность несет нарушитель прав собственника информации.

Установленные в законах нормы реализуются через комплекс организационных мер, проводимых прежде всего государством, ответственным за выполнение законов, и собственниками информации. К таким мерам относятся издание подзаконных актов, регулирующих конкретные вопросы по защите информации (положения, инструкции, стандарты и т. д.), и государственное регулирование сферы через систему лицензирования, сертификации, аттестации.

Поскольку в настоящее время основное количество информации генерируется, обрабатывается, передается и хранится с помощью технических средств, то для конкретной ее защиты в информационных объектах необходимы технические устройства. В силу многообразия технических средств нападения приходится использовать обширный арсенал технических средств защиты. Наибольший положительный эффект достигается в том случае, когда все перечисленные способы применяются совместно, т.е. комплексно.

Принципиальным вопросом при определении уровня защищенности объекта является выбор критериев. Рассмотрим один из них ‑ широко известный критерий "эффективность - стоимость".

Пусть имеется информационный объект, который при нормальном (идеальном) функционировании создает положительный эффект (экономический, политический, технический и т.д.). Этот эффект обозначим через Е0. Несанкционированный доступ к объекту уменьшает полезный эффект от его функционирования (нарушается нормальная работа, наносится ущерб из-за утечки информации и т.д.) на величину DЕ. Тогда эффективность функционирования объекта с учетом воздействия несанкционированного доступа:



Классификация методов защиты информации - student2.ru (1)

Относительная эффективность:

Классификация методов защиты информации - student2.ru (2)

Уменьшение эффективности функционирования объекта приводит к материальному ущербу для владельца объекта. В общем случае материальный ущерб есть некоторая неубывающая функция от DЕ:

Классификация методов защиты информации - student2.ru (3)

Будем считать, что установка на объект средств защиты информации уменьшает негативное действие несанкционированного доступа на эффективность функционирования объекта. Обозначим снижение эффективности функционирования объекта при наличии средств защиты через DЕ3, а коэффициент снижения негативного воздействия несанкционированного доступа на эффективность функционирования объект ‑ через К, тогда:

Классификация методов защиты информации - student2.ru (4)

где К³1.

Выражения (1) – (2) примут вид:

Классификация методов защиты информации - student2.ru (5)
Классификация методов защиты информации - student2.ru (6)

Стоимость средств защиты зависит от их эффективности, и в общем случае К — есть возрастающая функция от стоимости средств защиты:

Классификация методов защиты информации - student2.ru (7)

Поскольку затраты на установку средств защиты можно рассматривать как ущерб владельцу объекта от возможности осуществления несанкционированного доступа, то суммарный ущерб объекту:

Классификация методов защиты информации - student2.ru (8)

Если эффективность функционирования объекта имеет стоимостное выражение (доход, прибыль и т.д.), то US непосредственно изменяет эффективность:

Классификация методов защиты информации - student2.ru (9)

Таким образом, классическая постановка задачи разработки средств защиты для обеспечения максимальной эффективности объекта в условиях несанкционированного доступа имеет вид:

Классификация методов защиты информации - student2.ru (10)

или

Классификация методов защиты информации - student2.ru (11)

Несмотря на кажущуюся простоту классической постановки задачи, на практике воспользоваться приведенными результатами удается редко. Это объясняется отсутствием зависимостей K = f(C) и особенно ущерба от несанкционированного доступа. И если зависимость коэффициента защищенности от стоимости средств защиты можно получить, имея технические и стоимостные характеристики доступных средств защиты, то оценить реальный ущерб от несанкционированного доступа чрезвычайно трудно, так как этот ущерб зависит от множества трудно прогнозируемых факторов: наличия физических каналов несанкционированного доступа, квалификации злоумышленников, их интереса к объекту, последствий несанкционированного доступа и т.д.

Вместе с тем для объектов, на которые возлагаются ответственные задачи и для которых несанкционированный доступ влечет катастрофические потери эффективности их функционирования, влиянием стоимости средств защиты на эффективность можно пренебречь, т.е. если:

Классификация методов защиты информации - student2.ru (12)

то:

Классификация методов защиты информации - student2.ru (13)

В этом случае (11) и (12) принимают вид:

Классификация методов защиты информации - student2.ru (14)

Или:

Классификация методов защиты информации - student2.ru (15)

где Cдоп — допустимые расходы на защиту.

Наши рекомендации