30535

Контроль и моделирование как основные формы организационных действий при проверке действенности системы информационной безопасности

Доклад

Математика и математический анализ

В дополнительной части можем рассказать подробно о видах моделирования. Моделирование КСЗИ заключается в построении образа модели системы с определенной точностью воспроизводящего процессы происходящие в реальной системе. Реализация модели позволяет получать и исследовать характеристики реальной системы.

Русский

2013-08-24

26.83 KB

1 чел.

Контроль и моделирование как основные формы организационных действий при проверке действенности системы информационной безопасности.

НА ДОСКЕ:

На доске можно ничего не рисовать.

В основной части даем общие понятия. И говорим о качестве данного подхода при проверке действенности системы ИБ.

В дополнительной части можем рассказать подробно о видах моделирования.

ВЫСТУПЛЕНИЕ:

Проверка действенности – испытание, аудит

Оценка эффективности функционирования КСЗИ представляет собой сложную научно-техническую задачу. Комплексная СЗИ оценивается в процессе разработки КС, в период эксплуатации и при создании (модернизации) СЗИ для уже существующих КС.

Контроль - мониторинг прогресса и регулирование хода работ проекта

Процессы контроля - отслеживание хода выполнения проекта и достижения, целей путем мониторинга, количественной оценки прогресса проекта и осуществления необходимых корректирующих воздействий для ликвидации нежелательных отклонений от плана проекта;

Контроль эффективности системы защиты информации — анализ степени уязвимости конфиденциальной информации. Осуществляют в негосударственных структурах органы государственной власти в порядке, определяемом Правительством РФ. На уровне фирмы собственный контроль эффективности системы защиты информации является функцией службы безопасности и проводится путем регулярного анализа, соответствия структуры системы защиты информации реальным и потенциальным угрозою безопасности конфиденциальной информации фирмы и соответствующей степени противодействия этим угрозам. Результатом контрольной работы становится разработка предложений по совершенствованию системы защиты информации, усложнению системы или ее упрощению вплоть до отказа от подобной системы. В основе указанных предложений должна лежать идея максимально возможного снижения степени уязвимости конфиденциальной информации.

Контроль за распоряжениями службы безопасности. Сформировать концепцию, политику безопасности можно только усилиями всех сотрудниками организации, что бы это не были формальными документами. Контроль организационных действий – залог успеха.

Понятие контроля можно интерпретировать как в узком смысле - как один из этапов процесса управления системой ИБ, так и в более широком смысле как систему, состоящую из ряда элементов.

Управленческий контроль организации в наиболее узком смысле это осуществление следующих действий:

а) определение фактического состояния или действия управляемого звена системы управления организацией (объекта контроля);

б) сравнение фактических данных с требуемыми, т.е. с базой для сравнения, принятой в организации, либо заданной извне, либо основанной на рациональности;

в) оценка отклонений, превышающих предельно допустимый уровень, на предмет степени их влияния на аспекты функционирования организации;

г) выявление причин данных отклонений.

В соответствии с подходом в узком смысле цель контроля- информационная прозрачность объекта управления для возможности принятия эффективных решений. При этом, в понятии информационной прозрачности объекта управления отражено представление о степени управляемости данного объекта, т.е. о том, в какой степени в результате управления обеспечивается (обеспечивалось или будет обеспечиваться) поддержание требуемого состояния или действия объекта управления в соответствующий момент (период) времени. Вполне очевидно, что без предельной информационной прозрачности объекта управления адекватное его восприятие невозможно, управленческое воздействие не будет приносить желаемый результат и управленческая связь с объектом теряется, что и обуславливает особую важность контроля в процессе управления. К функциям контроля можно отнести оперативную, упорядочивающую, превентивную, коммуникативную, информативную и защитную.

Контроль и регулирование в сфере ИБ

  1.  Представление отчетов о ходе выполнения работ проекта.
  2.  Управление изменениями.
  3.  Контроль предметной области, сроков выполнения, стоимости проекта.
  4.  Контроль мероприятий по снижению рисков.
  5.  Контроль качества.
  6.  Контроль выполнения контрактов.

Моделирование КСЗИ заключается в построении образа (модели) системы, с определенной точностью воспроизводящего процессы, происходящие в реальной системе. Реализация модели позволяет получать и исследовать характеристики реальной системы.

Процесс моделирования состоит из трех стадий:

  1.  формализации (переход от реального объекта к модели),
  2.  моделирования (исследование и преобразования модели),
  3.  интерпретации (перевод результатов моделирования в область реальности).

Для оценки систем используются аналитические и имитационные модели. В аналитических моделях функционирование исследуемой системы записывается в виде математических или логических соотношений. Для этих целей используется мощный математический аппарат: алгебра, функциональный анализ, разностные уравнения, теория вероятностей, математическая статистика, теория множеств, теория массового обслуживания и т. д.

При имитационном моделировании моделируемая система представляется в виде некоторого аналога реальной системы. В процессе имитационного моделирования на ЭВМ реализуются алгоритмы изменения основных характеристик реальной системы в соответствии с эквивалентными реальным процессам математическими и логическими зависимостями.

Модели делятся также на детерминированные и стохастические. Модели, которые оперируют со случайными величинами, называются стохастическими. Так как на процессы защиты информации основное влияние оказывают случайные факторы, то модели систем защиты являются стохастическими.

Моделирование КСЗИ является сложной задачей, потому что такие системы относятся к классу сложных организационно-технических систем, которым присущи следующие особенности:

  1.  сложность формального представления процессов функционирования таких систем, главным образом, из-за сложности формализации действий человека;
  2.  многообразие архитектур сложной системы, которое обуславливается многообразием структур ее подсистем и множественностью путей объединения подсистем в единую систему;
  3.  большое число взаимосвязанных между собой элементов и подсистем;
  4.  сложность функций, выполняемых системой;
  5.  функционирование систем в условиях неполной определенности и случайности процессов, оказывающих воздействие на систему;
  6.  наличие множества критериев оценки эффективности функционирования сложной системы;
  7.  существование интегрированных признаков, присущих системе в целом, но не свойственных каждому элементу в отдельности (например, система с резервированием является надежной, при ненадежных элементах);
  8.  наличие управления, часто имеющего сложную иерархическую структуру;
  9.  разветвленность и высокая интенсивность информационных потоков.

Для преодоления этих сложностей применяются:

1) специальные методы неформального моделирования;

2) декомпозиция общей задачи на ряд частных задач;

3) макромоделирование.

ДОПОЛНИТЕЛЬНО:

Процесс моделирования

Процесс моделирования включает три элемента:

  1.  субъект (исследователь),
  2.  объект исследования,
  3.  модель, определяющую (отражающую) отношения познающего субъекта и познаваемого объекта.

Первый этап построения модели предполагает наличие некоторых знаний об объекте-оригинале. Познавательные возможности модели обусловливаются тем, что модель отображает (воспроизводит, имитирует) какие-либо существенные черты объекта-оригинала. Вопрос о необходимой и достаточной мере сходства оригинала и модели требует конкретного анализа. Очевидно, модель утрачивает свой смысл как в случае тождества с оригиналом (тогда она перестает быть моделью), так и в случае чрезмерного во всех существенных отношениях отличия от оригинала. Таким образом, изучение одних сторон моделируемого объекта осуществляется ценой отказа от исследования других сторон. Поэтому любая модель замещает оригинал лишь в строго ограниченном смысле. Из этого следует, что для одного объекта может быть построено несколько «специализированных» моделей, концентрирующих внимание на определенных сторонах исследуемого объекта или же характеризующих объект с разной степенью детализации.

На втором этапе модель выступает как самостоятельный объект исследования. Одной из форм такого исследования является проведение «модельных» экспериментов, при которых сознательно изменяются условия функционирования модели и систематизируются данные о ее «поведении». Конечным результатом этого этапа является множество (совокупность) знаний о модели.

На третьем этапе осуществляется перенос знаний с модели на оригинал — формирование множества знаний. Одновременно происходит переход с «языка» модели на «язык» оригинала. Процесс переноса знаний проводится по определенным правилам. Знания о модели должны быть скорректированы с учетом тех свойств объекта-оригинала, которые не нашли отражения или были изменены при построении модели.

Четвертый этап — практическая проверка получаемых с помощью моделей знаний и их использование для построения обобщающей теории объекта, его преобразования или управления им.

Моделирование — циклический процесс. Это означает, что за первым четырехэтапным циклом может последовать второй, третий и т.д. При этом знания об исследуемом объекте расширяются и уточняются, а исходная модель постепенно совершенствуется. Недостатки, обнаруженные после первого цикла моделирования, обусловленные малым знанием объекта или ошибками в построении модели, можно исправить в последующих циклах.

Сейчас трудно указать область человеческой деятельности, где не применялось бы моделирование. Разработаны, например, модели производства автомобилей, выращивания пшеницы, функционирования отдельных органов человека, жизнедеятельности Азовского моря, последствий атомной войны. В перспективе для каждой системы могут быть созданы свои модели, перед реализацией каждого технического или организационного проекта должно проводиться моделирование.


 

А также другие работы, которые могут Вас заинтересовать

83929. Разработка приложения баз данных для автоматизации операции учета в отделе кадров 66.41 KB
  Для решения подобных проблем применяются автоматизированные базы данных. За последние несколько лет вырос уровень потребительских качеств систем управления базами данных СУБД: разнообразие поддерживаемых функций удобный для пользователя интерфейс сопряжение с программными продуктами в частности...
83931. Государственный бюджет, проблема сбалансированности. Управление государственным долгом 526 KB
  Целью моей работы является: анализ государственного бюджета его положение на данный момент выявить способы управления государственным долгом и методы достижения сбалансированности бюджета страны.
83932. Система стимулирования труда и пути их совершенствования 128 KB
  Механизм внешнего воздействия на трудовое поведение реализуется в системе стимулов к труду. Стимулирование – создание такой трудовой, экономической ситуации, которая могла бы заинтересовать объект стимулирования в определенном трудовом поведении.
83933. Организация работы механо-сборочного цеха 219.5 KB
  Задачи курсовой работы: охарактеризовать предприятие; описать планирование в структурном подразделении на предприятии; изучить виды планов; составить калькуляцию на изготовление изделия; изобразить схему организационной структуры подразделения; изучить рабочее место контролёра...
83934. ПОЧВЕННО-АГРОХИМИЧЕСКАЯ ХАРАКТЕРИСТИКА ПОЧВ ТУНКИНСКОГО РАЙОНА РЕСПУБЛИКИ БУРЯТИЯ 57.85 KB
  Тункинский район Республики Бурятия находится в юго-западной части Бурятии, в 40 км к западу от озера Байкал. На территории Тункинского района находится Тункинский национальный парк, границы парка совпадают с административными границами района.
83935. Договор международной купли-продажи товаров: понятие, особенности, правовое регулирование 191.5 KB
  Цель работы дать характеристику договора международной купли-продажи товаров, раскрыть его содержание и определить порядок разрешения коллизионных вопросов. Для достижения указанной цели решаются следующие задачи: проанализировать источники, регулирующие договор международной купли-продажи товаров...
83936. Разработка мероприятия направленного на улучшение финансового состояния ЗАО «Коноваловское» 546.5 KB
  Объектом исследования является Закрытое Акционерное Общество «Коноваловское», которое занимается выращиванием, переработкой, хранением и реализацией сельскохозяйственной продукции, оптовой торговлей зерном, продажей элитных семян зерновых культур.
83937. Регистр сдвига 2.96 MB
  Заданная схема представляет собой 4х-разрядный сдвиговый регистр. Запись и сдвиг происходит синхронно по сигналу C. Переключение режима записи и сдвига осуществляется сигналом E. Все переключения осуществляются по отрицательному фронту.