Выбор оптимальной структуры системы защиты информации
Построение надежной и всеобъемлющей системы защиты информации вещь, несомненно, сложная и дорогая. Поэтому понятно желание руководителя любого ранга максимально надежно обеспечить конфиденциальность информации при минимальных затратах.
Естественно, что общая система защиты является достаточно разветвленной и включает в себя аутентификацию сотрудников, автоматическое разграничение их полномочий, защиту от несанкционированного доступа к информации (независимо от вида ее хранения), закрытие технических каналов утечки, а также ряд других элементов. Причем для каждого из этих элементов, как правило, необходимы свои технические средства защиты, в изобилии предлагаемые на российском рынке.
Таким образом, существует множество вариантов построения единой системы защиты конфиденциальной информации, отличающихся надежностью, быстродействием и ценой.
К сожалению, перечисленные факторы находятся во взаимном противоречии, и выбор конкретной комплексной системы защиты должен быть реализован на основе принципа «необходимой достаточности».
Применение этого принципа возможно только при наличии надежных показателей и критериев защищенности информации.
Этому требованию в полной мере отвечают оптимизирующие критерии, основанные на применении комплексных информационных показателей.
Методика их применения заключается в следующем:
I. Составляются различные варианты построения системы защиты, из которых необходимо выбрать одну наиболее предпочтительную.
II. Составляется список параметров, по которым сравниваются выбранные системы защиты.
В этот список, например, могут входить:
>• надежность системы;
>• быстродействие;
>• удобство ее прохождения зарегистрированными пользователями (ее прозрачность);
>• глобальность системы;
>• стоимость установки и поддержания.
Приведенный список может быть расширен в соответствии с задачами, возлагаемыми на систему защиты.
III. Устанавливается единая система оценки введенных параметров (например, 10-балльная). Показатель (оценка) должен быть тем выше, чем больше оцениваемый параметр отвечает интересам владельца системы защиты.
Так, например, чем выше надежность, тем параметр, ее оценивающий, ближе к 10, а чем выше цена, тем ближе к 1.
IV. Производится экспертная сравнительная оценка всех выбранных систем защиты по параметрам.
Пусть, например, имеется 4 системы защиты и каждой из них по каждому параметру выставляется оценка по 10-балльной системе.
Так, например, по параметру «I» (надежность) оценки могут быть расставлены следующим образом:
I11=3;I12=l;I13=8;I14=10.
Аналогично выставляются оценки по параметру «2» (быстродействие):
I21=1;I22=6;I23=3;I24=5.
по параметру «3» (прозрачность для зарегистрированного пользователя):
I31=9;I32=8;I33=2;I34=6.
по параметру «4» (глобальность системы):
I41=4;I42=5;I43=4;I44=4.
и по параметру «5» (стоимость):
I51=7;I52=8;I53=6;I54=9.
V. Полученные результаты заносятся в табл. П.2.1. Табл. П.2.1 анализируется по столбцам, и рассчитывается комплексный показатель защищенности для каждой из систем по формуле:
Таблица 17.2.1. Оценка частных параметров сравниваемых систем
Номер оцениваемого параметра /Номер системы защиты
/1 /2 /3 /4
1 /3 /1 /8 /10
2 /1 /6 /3 /5
3 /9 /8 /2 /6
4 /4 /5 /4 /4
5 /7 /8 /6 /9
(1)
где j — порядковый номер системы защиты;
i — номер параметра, по которому производилась оценка;
n — количество оцениваемых параметров;
Iij— оценка i-гo параметра для j-й системы защиты;
Imax— максимальное значение оценки параметра (для рассматриваемого примера Imax =10).
VI. Полученные результаты заносятся в табл. П.2.2.
Таблица П.2.2. Комплексные показатели эффективности систем защити
Номер систем защиты /1 /2 /3 /4
Значение комплексного показателя /-4,89 /-3,95 /-4?46A6 /-2,23
VII. В соответствии с критерием оптимизации
maxjIэj. (2)
Выбирается j-я система, имеющая максимальное значение показателя Iэj. Для рассматриваемого примера эта система защиты № 4.
Вместо энтропийного показателя (1) в предложенной методике может быть использован другой информационный показатель, обладающий аналогичными свойствами. Это показатель, основанный на методе наименьших квадратов:
(3)
Таким образом, рассмотренная методика позволяет провести выбор оптимальной из имеющихся вариантов построения системы защиты на основе информационных показателей (1), (3) и критерия (2).
Перечень предприятий и организаций, получивших лицензии на деятельность в области защиты информации
№ п/п /Серия, номер бланка /Номер лицензии /Дата выдачи /Действительна до /Наименование предприятия (ведомственная принадлежность) /Адрес предприятия (организации), телефон /Виды деятельности /Особые отметки
1 /ЛГ0014, 000661 /№001 /30.05.95 /30.05.2001 /Специальный центр МЧС России (МЧС) /103012, Москва, Театральный проезд, 3,т.923-7894 /1;2;3;4;5;б /Продлено
2 /ЛГ0011, 000502 /№002 /30.05.95 /30.05.2001 /Научно-технический и сертификационный центр по комплексной защите информации «Атомзащитаинформ» (НТСЦ «Атомзащитаинформ») (Минатом России) /101000, Москва, а/я 911, т. 239-2262,239-4728 /1;2;3;4;5 /Продлено
3 /ЛГ 0019, 000943 /№003 /3.07.95 /03.07.2001 /АОЗТ «Российские наукоемкие технологии» (РНТ) /111141, Москва, 2-й проезд Перова поля, 9, т. 209-7677 /1.2; 2; 3,4; 5; 6 /Продлено и изменено
4 /ЛГ0017, 000849 /№004 /21.06.95 /21.06.2001 /ЦНИИатоминформ (Минатом России) /127434, Москва, Дмитровское ш., 2, т. 976-7272 /1.2;2;3;4;5а-в /Продлено и изменено
5 /ЛГ0008, 000393 /№ 005 /21.06.95 /21.06.2001 /5-й Центральный научно-исследовательский испытательный институт Министерства обороны Российской Федерации (5 ЦНИИ МО) (Минобороны России) /394052, Воронеж, ул. Краснознаменная, 153, т. (0732)56-1663 /1.2;2;3;4;5а-в, б /Продлено и изменено
6 /ЛГ0008, 000396 /№ 006 /09.08.95 /08.06.2001 /ОАО «Всероссийский научно-исследовательский институт автоматизации управления в непромышленной сфере» (ВНИИНС) /113149, Москва, ул., Сивашская, 4, корп.2, т.119-6842 /1.2;2.2;3;4;5а-в /Продлено и изменено
7 /ЛГ0011, 000507 /№007 /03.07.95 /03.07.2001 /ЗАО «Научно-производственная фирма «ПРОМТЕХН» (НПФ «ПРОМТЕХН») /121471, Москва, Можайское ш., 29/2, т. 166-7065 /1.2а-д; 2.2; 3; 4; 5а,б,в /Продлено
8 /ЛГ0011, 000509 /№009 /09.11.95 /09.11.98 /АОЗТ «Лаборатория новых информационных технологий «ЛАНИТ» /107066, Москва, ул. Доброслободская, 5, т.267-3038,261-5781 /1.2б,г,д,е; 2.2а-д; 36-е; 5; 6 /Срок действия истек
9 /ЛГ 0004, 000199 /№011 /16.11.98 /16.11.2001 /Федеральное государственное унитарное предприятие «Научно-производственное объединение прикладной механики им. академика М.Ф.Решетнева» (НПОПМ) (РКА) /662990, Железногорск Красноярского края, ул. Ленина, 52, т. (39197) 2-89-49, /1.2а-е;2;3а-е;4 /Продлено и изменено
Продолжение приложения 3
№ п/п /Серия, номер бланка /Номер лицензии /Дата выдачи /Действительна до /Наименование предприятия (ведомственная принадлежность) /Адрес предприятия (организации), телефон /Виды деятельности /Особые отметки
10 /ЛГ0011, 000512 /№012 /16.11.95 /16.11.2001 /Малое государственное внедренческое научно-производственное предприятие «Спектр» (МГВНПП «Спектр») (Минатом России) /117259, Москва, ул. Большая Черемушкинская, 25, т. 127-0482, 195-9496 /1.2а-в; 2; 3а-в; 4; 5а-в /Продлено
11 /ЛГ0011, 000513 /№013 /16.11.95 /16.11.98 /АООТ «НИЦЭВТ» (Минэкономики России) /113405, Москва, АО «НИЦЭВТ», т. 319-2745 /1.2а-в;2;3;4; 5а-в /Срок действия истек
12 /ЛГ 0004, 000189 /№014 /16.11.98 /16.11.2001 /ЗАО «НИЕНШАНЦ-ЗАЩИТА» /194175, Санкт-Петербург, Большой Сампсоньевский пр., 24,т. 542-9146, /3а-е;4 /Продлено с заменой бланка
13 /ЛГ0011, 000515 /№015 /16.11.95 /27.04.2000 /Калужский научно-исследовательский институт телемеханических устройств (НИИ ТУ) (Минэкономики России) /248650, Калуга, ул. Карла Маркса, 4, т. 4-35-00 /2;3.1-3.2а-б; 3.4-3.9а-б;4 /Продлено
14 /ЛГ0010, 000496 /№016 /30.01.97 /30.01.2000 /АООТ «Научно-производственное предприятие «Радуга» (НПП «РАДУГА») (Минэкономики России) /197342, Санкт-Петербург, ул. Кантемировская, 12, т. 542- 3861,245-5142 /2.2; 3а-е;4 /Продлено и изменено
15 /ЛГ0011, 000517 /№017 /30.11.95 /30.11.2001 /Российский федеральный ядерный центр -Всероссийский научно-исследовательский институт технической физики (РФЯЦ-ВНИИТФ) (Минатом России) /456770, Снежинок Челябинской обл., ул. Васильева, 13, а/я 245, т. (35172) 3-25-40,3-22-42 /2; 3; 4; 5а-в /Продлено
16 /ЛГ 0003, 000101 /№018 /05.12.98 /05.12.2001 /Центр безопасности программного обеспечения и новых информационных технологий Ростовского ВИ РВ (Минобороны России) /344027, Ростов-на-Дону, пр. Октября, 24/50, т. (8632) 39-34-02, 31-31-33 /1.2; 2; 3; 4; 5а-в; 6 /Продлено с заменой бланка
17 /ЛГ0014, 000682 /№019 /18.04.96 /18.04.99 /Монтажно-технологическое управление «Икар» (Госкомсвязи России) /350033, Краснодар, ул. Ленина, 96,т.(861-2)-52-39-01 /1.2;2.1г-е; 2.2а-в; 3; 4; 5а-в /
18 /ЛГ0011, 000520 /№020 /05.12.95 /05.12.2001 /Физический институт им. П. Н. Лебедева (РАН) /117924, Москва, ГСП-1, Ленинский пр., 53, т. 135-4264,135-2430 /2; 3.4-3.9а-в; 4; /Продлено
19 /ЛГ0011, 000521 /№021 /05.12.95 /05.12.2001 /АОЗТ «СмерШ Техникс» /198148, Санкт-Петербург, а/я 732, т. (812) 560-4512 /За, в, е /Продлено
20 /ЛГ0011, 000522 /№022 /05.12.95 /05.12,2001 /ТОО «Поликом» /143000, Оди