Методичні вказівки до лабораторних занять з дисципліни "Стандартизація та сертифікація в галузі захисту інформації", страница 18

Критичний елемент  2.1.

Чи проводиться аналіз заходів щодо забезпечення безпеки в даній системи, а також у взаємодіючих з нею системах ?

Чи проводиться періодичний аналіз даної системи, а також границь мереж ?

Якщо відбулись значні зміни у системі, чи проводиться незалежна експертиза ?

Проводиться, чи ні періодична самооцінка системи ?

Чи регулярно проводяться іспити і перевірка ключових об'єктів, наприклад, сканування мережі, аналіз установок маршрутизотора і комутатора, перевірка можливості проникнення (вторгнення) ?

Чи проводиться аналіз інцидентів, порушень безпеки і чи застосовуються необхідні коригувальні дії?

Критичний  елемент 7.2

Дані захищені від перехоплення?

Чи впевненні ви, що монітори комп'ютерів розміщені таким чином, який виключає перегляд даних сторонніми особами, а також перехоплення електромагнітних випромінювань.

Проводиться контроль фізичного доступу до ліній передачі даних?

Використовуємо стандартний підхід, відповідаючи на питання «так» або «ні». В таблиці 2.3 приведені результати оцінки  двох Критичних елементів.

Таблиця 2.3

2.1 1

2.1 2

2.1 3

2.1 4

2.1 5

2.1 разом

7.2.1

7.2.2

7.2 разом

Відповідь

Так

Ні

Так

Так

Ні

Так

Так

Ні

?

Прийняття рішення за мажоритарним принципом:

Нехай - загальне число поставлених питань, - кількість отриманих  позитивних відповідей. Тоді  функція ухвалення рішення  має вид:

(2.1)

 
 


Процес ухвалення рішення по Критичному елементі з використанням  мажоритарного принципу зображений на рисунку 2.3.

Рис. 2.3 -  Використання мажоритарного  принципу

Використовуючи мажоритарний принцип, дійдемо такого висновку: Критичний елемент 2.1 виконується, а рішення щодо виконання Критичного елемента 7.2 прийняти неможливо. Ситуація невизначеності викликана непарною кількістю елементів, і може бути вирішена введенням/виключенням питання. Але це вимагає втручання в систему питань NIST. Друге рішення полягає у віднесенні випадку з рівною кількістю негативних і позитивних відповідей до однієї з областей позитивних/від’ємних відповідей, що неминуче приведе до огрубіння оцінки.

Незаперечною перевагою методики одержання оцінки шляхом надання відповідей «Так» і «Ні» з наступною обробкою по мажоритарному принципу є її простота, але при цьому одержана інформація не є повною. Результати, отримані по Критичному елементі 2.1, були такими ж, як і у випадку отримання позитивних відповідей на будь-які три питання, і при 4-х, 5-ти позитивних відповідях. 

Методика самооцінки запропонована NIST безперечно має дуже високу цінність. Системний підхід застосовуваний при оцінці захищеності інформації в ІТС та грамотно підібрані задачі захисту дозволяють всебічно охопити питання безпеки інформації особі, що проводить процедуру самооцінки. При цьому від неї не вимагається дуже глибоких знань у галузі захисту інформації. Але використання бінарних відповідей та мажоритарного принципу не дозволяє дати точну відповідь на питання в якому обсязі виконана та чи інша процедура (робота ) і не дає можливості сформувати обґрунтовані (бажано кількісні) висновки відносно ступеня виконання Критичного елемента.

Вище приведені фактори викликали думку використовувати математичний апарат суб'єктивної логіки, запропонований норвезьким вченим А. Джосангом (Audun Jøsang). Застосування операторів суб'єктивної логіки дозволяють поєднувати думки двох осіб, формуючи думку, що характеризує спільну істинність тверджень з урахуванням різних умов, дозволяє упорядкувати думки, чи виробити рекомендацію відносно наданої оцінки.

2.3.3 Основні теоретичні положення суб’єктивної логіки