О возможности применения методов комплексной

О ВОЗМОЖНОСТИ ПРИМЕНЕНИЯ
МЕТОДОВ КОМПЛЕКСНОЙ
СРАВНИТЕЛЬНОЙ ОЦЕНКИ ДЛЯ
АНАЛИЗА СИСТЕМЫ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ

ШИРОКОВ Е.В.
Омский государственный технический
университет
Анализ системы защиты персональных данных
(СЗ ПДн) должен позволять получать полную и
объективную оценку защищенности информационных
процессов, локализовать имеющиеся проблемы и
разработать эффективную программу построения
системы обеспечения информационной безопасности
организации.
К
сожалению,
существуют
препятствия
как
методологического, так и организационного характера
тому, чтобы комплексная оценка удовлетворяла этим
требованиям. Поэтому нередко возникают ситуации,
когда полученные тем или иным способом
обобщающие оценки состояния СЗИ не соответствуют
действительности или на практике не оправдывают
усилий, затраченных на сбор и обработку данных.
В настоящей работе предлагается методика анализа
системы защиты персональных данных (СЗ ПДн), основанная
на использовании методов комплексной сравнительной
оценки.
Преимущества рассматриваемых методов состоят в том,
что:
во-первых, они базируются на комплексном многомерном
подходе к оценке такого сложного явления, как структурные
изменения,
происходящие
в
системе
защиты;
во-вторых, логика методов позволяет преодолеть
недостатки методов оценки структурных изменений и тем
самым избежать субъективизма отдельных показателей;
в-третьих,
методы
отличаются
простотой
и
универсальностью.
Методы многомерного анализа (комплексной
сравнительной оценки)
1. Метод суммирования показателей.
2. Метод суммы мест.
3. Метод расстояний.
4. Таксонометрический метод
5. Метод стандартизованных коэффициентов.
6. Метод суммы баллов с заданной непрерывной шкалой на
выбранном отрезке.
7. Метод суммы баллов с различными шкалами для разных
показателей
Этапы методики оценки качества объектов СЗИ
с использованием вышеназванных методов
Этап 1. Определяются цели и условия функционирования предприятия
– владельца информационных ресурсов, поскольку уровень
информационной безопасности предприятия – это одна из характеристик
его жизнеспособности. При анализе СЗИ предприятия некоторые
положения комплексной оценки соответственно будут пересекаться с
определенными видами деятельности предприятия. В основном это
затрагивает формирование стратегических интересов предприятия и
соответственно их количественного толкования.
Этап 2. Формируются информационная система предприятия,
необходимая база системного анализа и выбирается исходная система
показателей.
Этап 3. Проводится организация сбора исходной информации.
Этап 4. Производится расчет и оценка значений частных показателей
(мест, балльных оценок, коэффициентов по исходным показателям и т.д.).
Этап 5. Формируются группы показателей или отдельного критерия,
определенного как мера для сравнения количественных показателей
исследуемой операции в отношении затрачиваемых усилий и
получаемых результатов.
Критерий должен отвечать следующим основным требованиям:
– иметь ясный физический смысл;
– быть определяющим и соответствовать основной цели
функционирования системы, подсистемы или элемента;
– учитывать основные факторы, определяющие уровень безопасности
системы;
– быть критичным к анализируемым параметрам и достаточно
чувствительным к ним.
Этап 6. Задается матрица Х, в которой – величина j-го показателя
i-го объекта
 x11 ...

 ... ...
X   xi1 ...

 ... ...
 x ...
 m1
x1 j ... x1n 

... ... ...
xij ... xin 

... ... ...
xim ... xmn 
Этап 7. Задается вектор K , элементы которого отражают значимость jго показателя.
K  k1 ... k j ... kn 
Этап 8. Задается вектор S, элементы которого принимают значения:
– 1, если j-й показатель-дестимулятор;
+ 1, если j-й показатель-стимулятор.
Этап 9. На этом этапе проводится операция стандартизации признаков
(показателей), поскольку разные признаки могут иметь различную
размерность. Для выполнения операции определяются:
– средняя арифметическая признака
1 m
X i   Xij
m i 1
1
22
1 m
– среднеквадратическое отклонение j-го признака  i    X ij  X j  
 m i 1

– стандартизованное значение j-го объекта
Z ij 
X ij  X j
i
Этап 10. Формируется стандартизованная матрица вида
 z11

 ...
Z   zi1

 ...
z
 m1
... z1 j
... ...
... zij
... ...
... zim
... z1n 

... ...
... zin 

... ...
... zm n 
Этап 11. Производится расчет точки-эталона, обусловленный тем, что
в одномерном пространстве происходит попарное сравнение показателей.
Эталоном будет точка (вектор), образованная по правилу: среди
признаков-стимуляторов отбираются признаки с максимальными
значениями, а среди признаков-дестимуляторов – с минимальными.
Этап 12. Ранжирование объектов по степени убывания характеристик.
Этот этап занимает важное место в системе комплексного анализа в двух
случаях:
1) когда требуется сопоставить состояние нескольких объектов на
основе единой системы показателей;
2) когда нужно сопоставить результаты функционирования объекта во
времени.
Показатели:
Показатель I – уровень технической защиты;
Показатель II – уровень правовой защиты;
Показатель III – уровень организационной защиты;
Показатель IV – уровень программной защиты;
Показатель V - оценка угроз утечки информации по техническим
каналам;
Показатель VI – оценка угрозы НСД к ПДн, обрабатываемым в
ИСПДн;
Показатель VII – оценка угроз, реализуемых с использованием
протоколов межсетевого взаимодействия из внешних сетей;
Показатель VIII – оценка угроз целостности.
Объекты:
Объект 1;
Объект 2;
Объект 3;
Объект 4;
Объект 5.
Исходные данные для расчета
Диаграмма рейтинговых мест, определенных для
анализируемых объектов по всем
использованным в исследовании методам
Результаты определения точности методов
Полученные результаты позволяют сделать вывод о приемлемости
использования методов комплексной сравнительной оценки для анализа
системы защиты персональных данных организации.
Однако следует учитывать, что осуществление разных этапов
построения комплексных оценок связано со многими нерешенными
проблемами, например при выборе целей оценки, определении системы
оцениваемых показателей и коэффициентов их сравнительной
значимости, а также с затруднениями при разработке вычислительного
алгоритма.
Становится ясно, что конкретные значения обобщающих оценок во
многом зависят от совершенства проведения отдельных этапов
построения комплексных оценок. По этой причине их нахождение и
использование требуют пристального внимания и существенного
совершенствования.
Благодарю за внимание!