Лекция 9. Факторы, влияющие на требуемый уровень защиты информации.
План лекции.
1. Общая структура программы формирования перечня факторов, влияющих на требуемый уровень защиты информации.
2. Схема вопросов обсуждения перечня групп факторов, влияющих на защиту информации.
3. Пример страницы психо-эвристической программы.
1. Общая структура программы формирования перечня факторов, влияющих на требуемый уровень защиты информации.
Естественно, что требуемый уровень зашиты информации в конкретной АСОД и в конкретных условиях ее функционирования существенно зависит от учета факторов, которые сколько-нибудь существенно влияют да защиту. Таким образом, формирование возможно более полного множества этих факторов и возможно более адекватное определение степени их влияния на требуемый уровень защиты представляется задачей повышенной важности и подлежащей упреждающему решению.
Сформулированная задача, однако, практически не поддается решению традиционными формальными методами. Если бы в наличии были статистические данные о функционировании систем и механизмов защиты информации в различных АСОД (различных по функциональному назначению, архитектуре, характеру обрабатываемой информации, территориальному расположению, технологии обработки информации, организации работы и т.п.), то, вообще говоря, данную задачу можно было бы решить статистической обработкой этих данных, по крайней мере, по некоторому полуэвристическому алгоритму. Но такие данные в настоящее время отсутствуют, и их получение в обозримом будущем представляется весьма проблематичным. В силу сказанного в настоящее время для указанных целей можно воспользоваться лишь неформально-эвристическими методами, т.е, с широким привлечением знаний, опыта и интуиции компетентных и заинтересованных специалистов.
Нетрудно видеть, что задача довольно четко может быть разделена на две составляющие: формирование возможно более полного и хорошо структурированного множества факторов, существенно значимых с точки зрения защиты информации, и определение показателей значимости (веса) факторов. В классе неформально-эвристических методов выделены методы экспертных оценок, мозгового штурма и психо-интеллектуальной генерации. Анализируя содержание выделенных составляющих задач и существо названных неформально-эвристических методов, нетрудно заключить, что для решения первой из них наиболее эффективным представляется метод психо-интеллектуальной генерации, а второй - методы экспертных оценок. Что касается метода мозгового штурма, то он может быть использован для решения обеих составляющих задач, особенно для обсуждения ранее полученных решении.
Основным реквизитом метода психо-интеллектуальной генерации выступает так называемая психо-эвристическая программа (ПЭП), представляющая собой перечень и последовательность (общий алгоритм) обсуждения вопросов, составляющих существо решаемой задачи, развернутую схему обсуждения каждого вопроса, а также методические указания, обеспечивающие целенаправленное обсуждение каждого из выделенных в общем алгоритме вопросов.
2. Схема вопросов обсуждения перечня групп факторов, влияющих на защиту информации.
При разработке ПЭП для обоснования множества факторов, влияющих на требуемый уровень защиты информации, следует исходить из того, что этих факторов, вообще говоря, большое количество, и они носят разноплановый характер. Поэтому представляется целесообразным разделить их на некоторое число групп, каждая из которых объединяла бы факторы какого-либо одного плана. Тогда задачу формирования возможно более полного множества факторов можно решать по трехшаговой процедуре: первый шаг - формирование перечня групп факторов, второй - формирование перечня факторов в каждой из выделенных групп, третий - структуризация возможных значений двух факторов. Общая схема ПЭП для решения рассматриваемой задачи по такой процедуре представлена на рис. 9.1.
Развернутые схемы обсуждения выделенных на общей схеме вопросов рассмотрим на примере первого и второго вопросов, имея в виду, что по остальным вопросам подобные схемы могут разрабатываться студентами в порядке самостоятельной работы.
Вопрос 1 - первоначальное формирование перечня групп факторов. Решение данного вопроса может осуществляться двояко: перечень групп факторов предварительно сформирован или такой перечень отсутствует. В первом случае обсуждение должно вестись в целях обоснования содержания и возможной корректировки перечня, во втором - формирования перечня и затем уже его обоснования и уточнения.
Рисунок 9.1 - Общая структура программы формирования перечня факторов, влияющих на требуемый уровень защиты информации
На рис. 9.2 приведена развернутая схема обсуждения применительно к первому случаю.
Рисунок 9.2 - Схема вопросов обсуждения перечня групп факторов, влияющих на защиту информации