Часть 6. Вопрос 6. (62) Методы и методики оценки качества и эффективности комплексной системы обеспечения информационной безопасности:  вероятностный, оценочный, экспертный подходы, метод экспертных структурных вопросников, метод оценки уязвимости информации, метод оценки риска.Методы и методики оценки качества и эффективности комплексной системы обеспечения информационной безопасности:  вероятностный, оценочный, экспертный подходы, метод экспертных структурных вопросников, метод оценки уязвимости информации, метод оценки риска.

Состав методов и моделей оценки эффективности КСЗИ. Методы и методики оценки качества КСИБ: методы нормативного функционального наполнения, метод экспертных структурных вопросников, метод оценки уязвимости информации.
!!! Грибунин, Чудовский «КСЗИ на предприятии» главы 19, 20
Эффективность системы - степень достижения цели этой системой (целями создания КСЗИ являются предотвращение и/или минимизация воздействия угроз информационной безопасности, обеспечение непрерывности ведения бизнеса).
Оценка эффективности – это процедура, направленная на определение качественных и количественных показателей эффективности, выявление критических элементов системы, а также определение интегрального показателя эффективности системы в целом.

В оценке эффективности КСЗИ в зависимости от используемых показателей и способов их получения можно выделить три подхода: вероятностный, оценочный, экспертный.

Под ВЕРОЯТНОСТНЫМ ПОДХОДОМ к оценке эффективности понимается использование критериев эффективности, полученных с помощью показателей эффективности. Значения показателей эффективности получаются путем моделирования или вычисляются по характеристикам реальной системы:
1. аналитические методы;
2. численные методы;
3. методы статистических испытаний основаны на геометрическом способе определения вероятности случайного события;
4. методы статистического имитационного моделирования основаны на построении имитационной модели процесса функционирования КСЗИ;
5. метод вероятностной скаляризации.

ОЦЕНОЧНЫЙ ПОДХОД к оценке эффективности КСЗИ – подход, связанный с проверкой соответствия системы защиты тем или иным требованиям (например, законодательным):
1. требования по защите персональных данных – ФЗ «О персональных данных» и подзаконные НПА;
2. требования по защите коммерческой тайне – ФЗ «О коммерческой тайне»;
3. требования по технической защите информации от утечки по каналам ПЭМИН и технической защите речевой информации - СТР-К и закрытые документы;
4. требования по защите информации от НСД в АС - РД Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации

Аттестация объектов информатизации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации

Основными руководящими документами по подготовке и проведению аттестации объектов информатизации (ОИ) являются:
1. «Положение по аттестации объектов информатизации по требованиям безопасности информации», 1994 г.;
2. «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам» (СТР), 1997 г.;
3. «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), 2001.
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
Аттестация проводится органом по аттестации в установленном порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:
- анализ исходных данных по аттестуемому объекту информатизации;
- предварительное ознакомление с аттестуемым объектом информатизации;
- проведение экспертного обследования объекта информатизации;
- анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
- проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
- проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
- проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
- анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.
 

Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:
- подачу и рассмотрение заявки на аттестацию;
- предварительное ознакомление с аттестуемым объектом;
- испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
- разработка программы и методики аттестационных испытаний;
- заключение договоров на аттестацию;
- проведение аттестационных испытаний объекта информатизации:
o анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
o определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несеpтифициpованных средств и систем защиты информации;
o проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
o проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
o проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
o оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.
- оформление, регистрация и выдача "Аттестата соответствия";
- осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
- рассмотрение апелляций.

ЭКСПЕРТНЫЙ ПОДХОД к оценке эффективности КСЗИ:

1. Ответы сотрудников предприятия на предлагаемые экспертами вопросы.
2. Методы проведения экспертного опроса
a. Личный опрос — это процедура, в процессе которой исследователь осуществляет очный контакт с экспертом.
b. Заочный опрос осуществляется путем пересылки анкеты эксперту по почте.
c. Индивидуальные методы опроса (интервью, аналитический способ)
d. Групповые методы опроса в общем случае предполагают, что мнение группы экспертов надежнее, чем мнение отдельного индивидуума:
i. Метод комиссии состоит в открытой дискуссии по обсуждаемой проблеме для выработки единого мнения экспертов.
ii. Экспертиза по методу суда
iii. Метод мозговой атаки
iv. Метод экспертных структурных вопросников

• - отказ от коллективных обсуждений;
• - программа последовательных индивидуальных опросов, проводимых в форме анкетирования;
• - Ответы на вопросы анкеты обобщаются и вместе с новой дополнительной информацией снова поступают в распоряжение экспертов, после чего они уточняют свои первоначальные ответы. Такая процедура повторяется несколько раз, до достижения приемлемой сходимости высказанных мнений. Обычно для этого бывает достаточно пяти итераций.

v. Процедура Дельфи-метода заключается в следующем:
- организуется последовательность циклов «мозговой атаки»;
- разрабатывается программа последовательных индивидуальных опросов с помощью вопросников (анкет), исключающая контакты между экспертами, но предусматривающая ознакомление их с мнениями друг друга в перерывах между турами и уточнение содержания вопросников от тура к туру;
- в наиболее развитых методиках экспертам присваиваются весовые коэффициенты значимости их мнений, вычисляемые на основе предшествующих опросов, уточняемые от тура к туру и учитываемые при получении обобщенных результатов оценивания;
- недостатки метода Дельфи: - значительный расход времени на проведение экспертизы, связанный с неоднократным последовательным повторением оценок; - необходимость неоднократного пересмотра экспертами своих ответов, вызывающая негативную реакцию, что сказывается на результатах экспертизы.
Экономический подход к оценке эффективности КСЗИ:
1. Определение размеров ущерба с использованием моделей «осведомленность — эффективность».
2. Определение размеров ущерба с использованием экспертных оценок.
3. Определение упущенной выгоды в результате ограничений на распространение информации.
4. Определение затрат на защиту информации.