2014-02-04
747
Для оценки качества любой системы, и системы защиты информации в том числе, необходим набор показателей качества. Как уже отмечалось, общепринятого набора показателей качества СЗИ не существует. Эти показатели формируются в каждом случае с учетом характера, структуры системы, целей оценивания качества и т.д. Формирование набора показателей качества – это акт творчества. Системный анализ разделяет показатели качества на количественные и качественные. Количественные показатели, как следует из их названия, выражаются каким-либо численным значением. Это могут быть: максимальное время реализации проекта; стоимость реализации проекта; вероятность реализации какой-либо угрозы конфиденциальности, целостности или доступности информации; риск по какому-либо ресурсу или по всей информационной системе, стоимость ущерба, нанесенного реализацией какой-либо угрозы информационной безопасности; критическое время простоя (время, в течение которого ущерб от простоя системы достигает максимального значения) и т.д. Качественные показатели не могут быть выражены числовым значением. Они выражаются какой-либо качественной характеристикой: отлично, хорошо, удовлетворительно, неудовлетворительно; удобно, неудобно; надежно, ненадежно; весьма вероятно, маловероятно; дорого, средней стоимости, дешево и т.д.
|
|
|
Определив набор показателей качества, необходимо определить требования к этим показателям. Требования к количественным показателям могут задаваться в виде фиксированного значения, в виде максимального или минимального значений, в виде допусков (диапазона допустимых значений). Требования к качественным показателям определяются так же качественно: стоимость реализации проекта не должна увеличиться, удобство пользования информационной системой не должно ухудшиться и т.д.
Если бы показатели качества были взаимонезависимыми, то можно было бы оценивать качество КСИБ по выбранным показателям. Но показатели качества чаще всего именно взаимозависимы и, кроме того, противоречивы. Простым примером этого могут служить два показателя качества передачи дискретных сигналов – скорость и достоверность: Повышаем скорость – ухудшается достоверность, повышаем достоверность – теряется скорость передачи информации.
В случае корреляции показателей качества задача становится многокритериальной. Такие задачи решаются разными способами.
1. Можно определить n-мерную область Парето (n – количество рассматриваемых показателей качества), в пределах которой должна находиться оцениваемая система.
2. Можно зависимости показателей качества описать функцией нескольких переменных (целевой функцией) и найти ее максимум или минимум, в зависимости от характера показателей качества и целей оценивания.
|
|
|
3. Во многих практических случаях можно свести многокритериальную задачу к задаче условной оптимизации, то есть выбрать один показатель качества основным, а на остальные наложить ограничения. Например:
где РНК – вероятность нарушения конфиденциальности; РНЦ – вероятность нарушения целостности; РНД – вероятность нарушения доступности; С – стоимость проекта.
