30535

Контроль и моделирование как основные формы организационных действий при проверке действенности системы информационной безопасности

Доклад

Математика и математический анализ

В дополнительной части можем рассказать подробно о видах моделирования. Моделирование КСЗИ заключается в построении образа модели системы с определенной точностью воспроизводящего процессы происходящие в реальной системе. Реализация модели позволяет получать и исследовать характеристики реальной системы.

Русский

2013-08-24

26.83 KB

1 чел.

Контроль и моделирование как основные формы организационных действий при проверке действенности системы информационной безопасности.

НА ДОСКЕ:

На доске можно ничего не рисовать.

В основной части даем общие понятия. И говорим о качестве данного подхода при проверке действенности системы ИБ.

В дополнительной части можем рассказать подробно о видах моделирования.

ВЫСТУПЛЕНИЕ:

Проверка действенности – испытание, аудит

Оценка эффективности функционирования КСЗИ представляет собой сложную научно-техническую задачу. Комплексная СЗИ оценивается в процессе разработки КС, в период эксплуатации и при создании (модернизации) СЗИ для уже существующих КС.

Контроль - мониторинг прогресса и регулирование хода работ проекта

Процессы контроля - отслеживание хода выполнения проекта и достижения, целей путем мониторинга, количественной оценки прогресса проекта и осуществления необходимых корректирующих воздействий для ликвидации нежелательных отклонений от плана проекта;

Контроль эффективности системы защиты информации — анализ степени уязвимости конфиденциальной информации. Осуществляют в негосударственных структурах органы государственной власти в порядке, определяемом Правительством РФ. На уровне фирмы собственный контроль эффективности системы защиты информации является функцией службы безопасности и проводится путем регулярного анализа, соответствия структуры системы защиты информации реальным и потенциальным угрозою безопасности конфиденциальной информации фирмы и соответствующей степени противодействия этим угрозам. Результатом контрольной работы становится разработка предложений по совершенствованию системы защиты информации, усложнению системы или ее упрощению вплоть до отказа от подобной системы. В основе указанных предложений должна лежать идея максимально возможного снижения степени уязвимости конфиденциальной информации.

Контроль за распоряжениями службы безопасности. Сформировать концепцию, политику безопасности можно только усилиями всех сотрудниками организации, что бы это не были формальными документами. Контроль организационных действий – залог успеха.

Понятие контроля можно интерпретировать как в узком смысле - как один из этапов процесса управления системой ИБ, так и в более широком смысле как систему, состоящую из ряда элементов.

Управленческий контроль организации в наиболее узком смысле это осуществление следующих действий:

а) определение фактического состояния или действия управляемого звена системы управления организацией (объекта контроля);

б) сравнение фактических данных с требуемыми, т.е. с базой для сравнения, принятой в организации, либо заданной извне, либо основанной на рациональности;

в) оценка отклонений, превышающих предельно допустимый уровень, на предмет степени их влияния на аспекты функционирования организации;

г) выявление причин данных отклонений.

В соответствии с подходом в узком смысле цель контроля- информационная прозрачность объекта управления для возможности принятия эффективных решений. При этом, в понятии информационной прозрачности объекта управления отражено представление о степени управляемости данного объекта, т.е. о том, в какой степени в результате управления обеспечивается (обеспечивалось или будет обеспечиваться) поддержание требуемого состояния или действия объекта управления в соответствующий момент (период) времени. Вполне очевидно, что без предельной информационной прозрачности объекта управления адекватное его восприятие невозможно, управленческое воздействие не будет приносить желаемый результат и управленческая связь с объектом теряется, что и обуславливает особую важность контроля в процессе управления. К функциям контроля можно отнести оперативную, упорядочивающую, превентивную, коммуникативную, информативную и защитную.

Контроль и регулирование в сфере ИБ

  1.  Представление отчетов о ходе выполнения работ проекта.
  2.  Управление изменениями.
  3.  Контроль предметной области, сроков выполнения, стоимости проекта.
  4.  Контроль мероприятий по снижению рисков.
  5.  Контроль качества.
  6.  Контроль выполнения контрактов.

Моделирование КСЗИ заключается в построении образа (модели) системы, с определенной точностью воспроизводящего процессы, происходящие в реальной системе. Реализация модели позволяет получать и исследовать характеристики реальной системы.

Процесс моделирования состоит из трех стадий:

  1.  формализации (переход от реального объекта к модели),
  2.  моделирования (исследование и преобразования модели),
  3.  интерпретации (перевод результатов моделирования в область реальности).

Для оценки систем используются аналитические и имитационные модели. В аналитических моделях функционирование исследуемой системы записывается в виде математических или логических соотношений. Для этих целей используется мощный математический аппарат: алгебра, функциональный анализ, разностные уравнения, теория вероятностей, математическая статистика, теория множеств, теория массового обслуживания и т. д.

При имитационном моделировании моделируемая система представляется в виде некоторого аналога реальной системы. В процессе имитационного моделирования на ЭВМ реализуются алгоритмы изменения основных характеристик реальной системы в соответствии с эквивалентными реальным процессам математическими и логическими зависимостями.

Модели делятся также на детерминированные и стохастические. Модели, которые оперируют со случайными величинами, называются стохастическими. Так как на процессы защиты информации основное влияние оказывают случайные факторы, то модели систем защиты являются стохастическими.

Моделирование КСЗИ является сложной задачей, потому что такие системы относятся к классу сложных организационно-технических систем, которым присущи следующие особенности:

  1.  сложность формального представления процессов функционирования таких систем, главным образом, из-за сложности формализации действий человека;
  2.  многообразие архитектур сложной системы, которое обуславливается многообразием структур ее подсистем и множественностью путей объединения подсистем в единую систему;
  3.  большое число взаимосвязанных между собой элементов и подсистем;
  4.  сложность функций, выполняемых системой;
  5.  функционирование систем в условиях неполной определенности и случайности процессов, оказывающих воздействие на систему;
  6.  наличие множества критериев оценки эффективности функционирования сложной системы;
  7.  существование интегрированных признаков, присущих системе в целом, но не свойственных каждому элементу в отдельности (например, система с резервированием является надежной, при ненадежных элементах);
  8.  наличие управления, часто имеющего сложную иерархическую структуру;
  9.  разветвленность и высокая интенсивность информационных потоков.

Для преодоления этих сложностей применяются:

1) специальные методы неформального моделирования;

2) декомпозиция общей задачи на ряд частных задач;

3) макромоделирование.

ДОПОЛНИТЕЛЬНО:

Процесс моделирования

Процесс моделирования включает три элемента:

  1.  субъект (исследователь),
  2.  объект исследования,
  3.  модель, определяющую (отражающую) отношения познающего субъекта и познаваемого объекта.

Первый этап построения модели предполагает наличие некоторых знаний об объекте-оригинале. Познавательные возможности модели обусловливаются тем, что модель отображает (воспроизводит, имитирует) какие-либо существенные черты объекта-оригинала. Вопрос о необходимой и достаточной мере сходства оригинала и модели требует конкретного анализа. Очевидно, модель утрачивает свой смысл как в случае тождества с оригиналом (тогда она перестает быть моделью), так и в случае чрезмерного во всех существенных отношениях отличия от оригинала. Таким образом, изучение одних сторон моделируемого объекта осуществляется ценой отказа от исследования других сторон. Поэтому любая модель замещает оригинал лишь в строго ограниченном смысле. Из этого следует, что для одного объекта может быть построено несколько «специализированных» моделей, концентрирующих внимание на определенных сторонах исследуемого объекта или же характеризующих объект с разной степенью детализации.

На втором этапе модель выступает как самостоятельный объект исследования. Одной из форм такого исследования является проведение «модельных» экспериментов, при которых сознательно изменяются условия функционирования модели и систематизируются данные о ее «поведении». Конечным результатом этого этапа является множество (совокупность) знаний о модели.

На третьем этапе осуществляется перенос знаний с модели на оригинал — формирование множества знаний. Одновременно происходит переход с «языка» модели на «язык» оригинала. Процесс переноса знаний проводится по определенным правилам. Знания о модели должны быть скорректированы с учетом тех свойств объекта-оригинала, которые не нашли отражения или были изменены при построении модели.

Четвертый этап — практическая проверка получаемых с помощью моделей знаний и их использование для построения обобщающей теории объекта, его преобразования или управления им.

Моделирование — циклический процесс. Это означает, что за первым четырехэтапным циклом может последовать второй, третий и т.д. При этом знания об исследуемом объекте расширяются и уточняются, а исходная модель постепенно совершенствуется. Недостатки, обнаруженные после первого цикла моделирования, обусловленные малым знанием объекта или ошибками в построении модели, можно исправить в последующих циклах.

Сейчас трудно указать область человеческой деятельности, где не применялось бы моделирование. Разработаны, например, модели производства автомобилей, выращивания пшеницы, функционирования отдельных органов человека, жизнедеятельности Азовского моря, последствий атомной войны. В перспективе для каждой системы могут быть созданы свои модели, перед реализацией каждого технического или организационного проекта должно проводиться моделирование.


 

А также другие работы, которые могут Вас заинтересовать

79621. МОГУЩЕСТВО ЮРИДИЧЕСКОЙ НАУКИ РОССИЙСКОЙ ПРИРАСТАТЬ БУДЕТ…СИБИРЬЮ?! 40.5 KB
  Что касается иркутской конференции, то сразу оговоримся, что в рамках данной статьи мы не будем говорить о ней, поскольку сама эта тема заслуживает отдельной статьи. Напомним также, что такие конференции проводятся в Юридическом институте Иркутского государственного университета уже давно...
79622. КРИМИНАЛЬНАЯ КУЛЬТУРОЛОГИЯ. ЧАСТЬ 1. МАСС-МЕДИА 196 KB
  Неоднократно высказывавшееся положение о том что средства массовой информации в результате переноса информации оказывают широкий спектр общего воздействия на ее получателей дают возможность для их подробного криминологического исследования.
79623. К ВОПРОСУ О МЕТОДИКЕ ПРЕПОДАВАНИЯ КРИМИНОЛОГИИ: СТУДЕНЧЕСКИЙ ОПЫТ– 4 117 KB
  Основными участниками игры, как Вы поняли, стали три команды — «соперницы» (с одной стороны, бюджетное отделение, с другой стороны, коммерческое отделение, представленное в этом году сразу двумя командами). Были проведены многочисленные репетиции.
79624. ИСТОРИЧЕСКИЕ И СОЦИАЛЬНЫЕ ПРЕДПОСЫЛКИ ИЗУЧЕНИЯ ПРЕСТУПНОСТИ КРУПНОГО ГОРОДА ВОСТОЧНОЙ СИБИРИ 161.5 KB
  Иркутская область являясь субъектом Российской федерации входит в состав Восточно-Сибирского района. Имея 22 города в том числе 5 городов с населением свыше 100 тысяч человек большое количество поселков городского типа и население численностью 28 млн.
79625. ЗАМЕТКИ О РАЗВИТИИ ПРЕДМЕТНЫХ ДЕЙСТВИЙ В РАННЕМ ДЕТСТВЕ 81 KB
  Исследованию психологических механизмов возникновения предметных действий у детей в истории детской психологии не очень повезло. Несмотря на чрезвычайную теоретическую и практическую значимость этой проблемы, ее изучение только начинается.
79626. К ПРОБЛЕМЕ ПЕРИОДИЗАЦИИ ПСИХИЧЕСКОГО РАЗВИТИЯ В ДЕТСКОМ ВОЗРАСТЕ 167 KB
  Проблема периодизации психического развития в детском возрасте является фундаментальной проблемой детской психологии. Ее разработка имеет важное теоретическое значение поскольку через определение периодов психического развития и через выявление закономерностей переходов от одного периода...
79627. РАЗВИТИЕ ГОСУДАРСТВЕННО-ПРАВОВЫХ РЕФОРМ В СТРАНАХ, ОБРАЗОВАВШИХСЯ НА ОСНОВЕ РАСПАДА СОЮЗА СОВЕТСКИХ СОЦИАЛИСТИЧЕСКИХ РЕСПУБЛИК: КЛАССИФИКАЦИОННЫЙ ПОДХОД 82 KB
  Одним из его наиболее значимых признаков является верховенство Конституции и законов на всей территории государства. Так например можно обозначить время принятия конституции после образования государства динамику становления национальной системы права направленность конституционных реформ...
79628. ОБЩАЯ ХАРАКТЕРИСТИКА НЕКОТОРЫХ ОСОБЕННОСТЕЙ ГОСУДАРСТВЕННО-ПРАВОВОГО СТРОИТЕЛЬСТВА В КОРЕЙСКОЙ НАРОДНОЙ ДЕМОКРАТИЧЕСКОЙ РЕСПУБЛИКЕ 145.5 KB
  На волне возросшего интереса к Корее появилось вместе с тем немало весьма поверхностных работ, в которых содержаться конъюнктурные оценки, и прослеживается позиция западных исследователей. В них обосновывалась неизбежность свертывания политических, экономических и военных отношений России...
79629. ГОСУДАРСТВО И МЕСТНОЕ САМОУПРАВЛЕНИЕ В ЗАРУБЕЖНЫХ СТРАНАХ: ОТДЕЛЬНЫЕ АСПЕКТЫ ИЗ ВЗАИМООТНОШЕНИЙ 84 KB
  Тем самым, идея местного самоуправления в зарубежных государствах, зародившись и развиваясь теоретически, практически смогла воплотиться лишь в период буржуазных революций. Возможным объяснением этого может явиться то, что « само становление же местного самоуправления было связано с процессами перехода...