30535

Контроль и моделирование как основные формы организационных действий при проверке действенности системы информационной безопасности

Доклад

Математика и математический анализ

В дополнительной части можем рассказать подробно о видах моделирования. Моделирование КСЗИ заключается в построении образа модели системы с определенной точностью воспроизводящего процессы происходящие в реальной системе. Реализация модели позволяет получать и исследовать характеристики реальной системы.

Русский

2013-08-24

26.83 KB

1 чел.

Контроль и моделирование как основные формы организационных действий при проверке действенности системы информационной безопасности.

НА ДОСКЕ:

На доске можно ничего не рисовать.

В основной части даем общие понятия. И говорим о качестве данного подхода при проверке действенности системы ИБ.

В дополнительной части можем рассказать подробно о видах моделирования.

ВЫСТУПЛЕНИЕ:

Проверка действенности – испытание, аудит

Оценка эффективности функционирования КСЗИ представляет собой сложную научно-техническую задачу. Комплексная СЗИ оценивается в процессе разработки КС, в период эксплуатации и при создании (модернизации) СЗИ для уже существующих КС.

Контроль - мониторинг прогресса и регулирование хода работ проекта

Процессы контроля - отслеживание хода выполнения проекта и достижения, целей путем мониторинга, количественной оценки прогресса проекта и осуществления необходимых корректирующих воздействий для ликвидации нежелательных отклонений от плана проекта;

Контроль эффективности системы защиты информации — анализ степени уязвимости конфиденциальной информации. Осуществляют в негосударственных структурах органы государственной власти в порядке, определяемом Правительством РФ. На уровне фирмы собственный контроль эффективности системы защиты информации является функцией службы безопасности и проводится путем регулярного анализа, соответствия структуры системы защиты информации реальным и потенциальным угрозою безопасности конфиденциальной информации фирмы и соответствующей степени противодействия этим угрозам. Результатом контрольной работы становится разработка предложений по совершенствованию системы защиты информации, усложнению системы или ее упрощению вплоть до отказа от подобной системы. В основе указанных предложений должна лежать идея максимально возможного снижения степени уязвимости конфиденциальной информации.

Контроль за распоряжениями службы безопасности. Сформировать концепцию, политику безопасности можно только усилиями всех сотрудниками организации, что бы это не были формальными документами. Контроль организационных действий – залог успеха.

Понятие контроля можно интерпретировать как в узком смысле - как один из этапов процесса управления системой ИБ, так и в более широком смысле как систему, состоящую из ряда элементов.

Управленческий контроль организации в наиболее узком смысле это осуществление следующих действий:

а) определение фактического состояния или действия управляемого звена системы управления организацией (объекта контроля);

б) сравнение фактических данных с требуемыми, т.е. с базой для сравнения, принятой в организации, либо заданной извне, либо основанной на рациональности;

в) оценка отклонений, превышающих предельно допустимый уровень, на предмет степени их влияния на аспекты функционирования организации;

г) выявление причин данных отклонений.

В соответствии с подходом в узком смысле цель контроля- информационная прозрачность объекта управления для возможности принятия эффективных решений. При этом, в понятии информационной прозрачности объекта управления отражено представление о степени управляемости данного объекта, т.е. о том, в какой степени в результате управления обеспечивается (обеспечивалось или будет обеспечиваться) поддержание требуемого состояния или действия объекта управления в соответствующий момент (период) времени. Вполне очевидно, что без предельной информационной прозрачности объекта управления адекватное его восприятие невозможно, управленческое воздействие не будет приносить желаемый результат и управленческая связь с объектом теряется, что и обуславливает особую важность контроля в процессе управления. К функциям контроля можно отнести оперативную, упорядочивающую, превентивную, коммуникативную, информативную и защитную.

Контроль и регулирование в сфере ИБ

  1.  Представление отчетов о ходе выполнения работ проекта.
  2.  Управление изменениями.
  3.  Контроль предметной области, сроков выполнения, стоимости проекта.
  4.  Контроль мероприятий по снижению рисков.
  5.  Контроль качества.
  6.  Контроль выполнения контрактов.

Моделирование КСЗИ заключается в построении образа (модели) системы, с определенной точностью воспроизводящего процессы, происходящие в реальной системе. Реализация модели позволяет получать и исследовать характеристики реальной системы.

Процесс моделирования состоит из трех стадий:

  1.  формализации (переход от реального объекта к модели),
  2.  моделирования (исследование и преобразования модели),
  3.  интерпретации (перевод результатов моделирования в область реальности).

Для оценки систем используются аналитические и имитационные модели. В аналитических моделях функционирование исследуемой системы записывается в виде математических или логических соотношений. Для этих целей используется мощный математический аппарат: алгебра, функциональный анализ, разностные уравнения, теория вероятностей, математическая статистика, теория множеств, теория массового обслуживания и т. д.

При имитационном моделировании моделируемая система представляется в виде некоторого аналога реальной системы. В процессе имитационного моделирования на ЭВМ реализуются алгоритмы изменения основных характеристик реальной системы в соответствии с эквивалентными реальным процессам математическими и логическими зависимостями.

Модели делятся также на детерминированные и стохастические. Модели, которые оперируют со случайными величинами, называются стохастическими. Так как на процессы защиты информации основное влияние оказывают случайные факторы, то модели систем защиты являются стохастическими.

Моделирование КСЗИ является сложной задачей, потому что такие системы относятся к классу сложных организационно-технических систем, которым присущи следующие особенности:

  1.  сложность формального представления процессов функционирования таких систем, главным образом, из-за сложности формализации действий человека;
  2.  многообразие архитектур сложной системы, которое обуславливается многообразием структур ее подсистем и множественностью путей объединения подсистем в единую систему;
  3.  большое число взаимосвязанных между собой элементов и подсистем;
  4.  сложность функций, выполняемых системой;
  5.  функционирование систем в условиях неполной определенности и случайности процессов, оказывающих воздействие на систему;
  6.  наличие множества критериев оценки эффективности функционирования сложной системы;
  7.  существование интегрированных признаков, присущих системе в целом, но не свойственных каждому элементу в отдельности (например, система с резервированием является надежной, при ненадежных элементах);
  8.  наличие управления, часто имеющего сложную иерархическую структуру;
  9.  разветвленность и высокая интенсивность информационных потоков.

Для преодоления этих сложностей применяются:

1) специальные методы неформального моделирования;

2) декомпозиция общей задачи на ряд частных задач;

3) макромоделирование.

ДОПОЛНИТЕЛЬНО:

Процесс моделирования

Процесс моделирования включает три элемента:

  1.  субъект (исследователь),
  2.  объект исследования,
  3.  модель, определяющую (отражающую) отношения познающего субъекта и познаваемого объекта.

Первый этап построения модели предполагает наличие некоторых знаний об объекте-оригинале. Познавательные возможности модели обусловливаются тем, что модель отображает (воспроизводит, имитирует) какие-либо существенные черты объекта-оригинала. Вопрос о необходимой и достаточной мере сходства оригинала и модели требует конкретного анализа. Очевидно, модель утрачивает свой смысл как в случае тождества с оригиналом (тогда она перестает быть моделью), так и в случае чрезмерного во всех существенных отношениях отличия от оригинала. Таким образом, изучение одних сторон моделируемого объекта осуществляется ценой отказа от исследования других сторон. Поэтому любая модель замещает оригинал лишь в строго ограниченном смысле. Из этого следует, что для одного объекта может быть построено несколько «специализированных» моделей, концентрирующих внимание на определенных сторонах исследуемого объекта или же характеризующих объект с разной степенью детализации.

На втором этапе модель выступает как самостоятельный объект исследования. Одной из форм такого исследования является проведение «модельных» экспериментов, при которых сознательно изменяются условия функционирования модели и систематизируются данные о ее «поведении». Конечным результатом этого этапа является множество (совокупность) знаний о модели.

На третьем этапе осуществляется перенос знаний с модели на оригинал — формирование множества знаний. Одновременно происходит переход с «языка» модели на «язык» оригинала. Процесс переноса знаний проводится по определенным правилам. Знания о модели должны быть скорректированы с учетом тех свойств объекта-оригинала, которые не нашли отражения или были изменены при построении модели.

Четвертый этап — практическая проверка получаемых с помощью моделей знаний и их использование для построения обобщающей теории объекта, его преобразования или управления им.

Моделирование — циклический процесс. Это означает, что за первым четырехэтапным циклом может последовать второй, третий и т.д. При этом знания об исследуемом объекте расширяются и уточняются, а исходная модель постепенно совершенствуется. Недостатки, обнаруженные после первого цикла моделирования, обусловленные малым знанием объекта или ошибками в построении модели, можно исправить в последующих циклах.

Сейчас трудно указать область человеческой деятельности, где не применялось бы моделирование. Разработаны, например, модели производства автомобилей, выращивания пшеницы, функционирования отдельных органов человека, жизнедеятельности Азовского моря, последствий атомной войны. В перспективе для каждой системы могут быть созданы свои модели, перед реализацией каждого технического или организационного проекта должно проводиться моделирование.


 

А также другие работы, которые могут Вас заинтересовать

26510. Основные этапы соц-экон. и полит. разв. стран Центр и Вост.Европы 1945-2000гг 62 KB
  было желание видеть в госве гаранта социальн.социализма оставило лицом к лицу коммунизм и либер. – революции нардем социал.
26513. Основные этапы социально-экономического развития Японии 32 KB
  в руках США. цель – подписание мирного договора сделанного в США и АНГ. договоры как сепаратные м у США и Я. тут же подписан договор безопасности м у Я и США.
26514. Основные этапы социально-экономического и политического развития Индии в 1950 – 2000 гг. 55 KB
  Существенным элементом внешней политики ИНК стали неприсоединение к военным блокам и стремление к консолидации молодых независимых государств. Критике подверглась позиция ИНК в социальных вопросах. В ИНК существовали различные группировки отражавшие несовпадающие интересы социальных слоев связанных с этой партией от крупных капиталистов и землевладельцев до интеллигенции мелкой буржуазии города и деревни трудящихся масс. В этом многообразии коренились и сила общенациональный авторитет ИНК и его внутренняя слабость.
26515. Валютный рынок Украины 34.05 KB
  В сфере валютной политики Национальный банк ставит задачу иметь реальный курс украинской гривны относительно свободно конвертируемых валют на уровне сбалансированности спроса и предложения. Для решения этой задачи и упорядочения ситуации на валютном рынке
26516. Основные направления отечественной и зарубежной историографии 43.5 KB
  Барг, Лавровский: уникальная особенность Англии в том, что она является ед. в Европе страной где развитие буржуазных отношений происходило одновременно в городе и деревне. Именно в деревне кап. Отношения развились более глубоко, именно из деревни шел импульс. Центр тяжести АБР лежал в деревне.
26517. Аграрный вопрос в Великой английской и Великой французской революциях 38.5 KB
  До революции в английской деревни было 2 формы собственности: крестьянская копигольд и буржуазнодворянская рыцарское держание. Революции лекция – феодализма ко времени ВФР уже не было. Эта идея поддержана целым течением яркий представитель Фюре – феодализм как таковой во Франции исчез до революции. необходимости в революции не было.
26518. Основные проблемы и особенности войны северо-американских колоний Англии за независимость и образование США 45.5 KB
  Северовосточные колонии новая Англия – территории с ранним развитием ремесел мануфактуры судостроение и судоходство рыболовство. Это колонии которые пошли по буржуазному пути. Среднеатлантические колонии. Южные колонии плантации основанные на труде рабов.