Модели и методы комплексной оценки аппаратно-программных средств обеспечения конфиденциальности и целостности информации

На протяжении последних десятилетий непрерывно растет потребность организаций в надежных средствах и методах защиты информации. В связи с этим внимание специалистов по обеспечению информационной безопасности (ИБ) привлекает проблема оценки влияния стоимости и качества средств защиты информации на бизнес. В России, как отмечается в работах Б.И. Скородумова, проблемы ИБ традиционно рассматривались преимущественно для защиты государственной тайны в военных или правительственных автоматизированных системах. В результате практика оценки средств обеспечения ИБ с экономических позиций пока не получила широкого распространения, несмотря на наличие глубоких теоретических исследований в этой области (в т.ч. работы А.И. Костогрызова, А.А. Кононова, А.А. Чемина. и др.). Сегодня это существенно мешает развитию коммерческого сектора российской экономики. Задачи разработки методов и средств проведения экспертизы и контроля качества защиты информации включены в перечень приоритетных проблем научных исследований в области информационной безопасности Российской Федерации, который был утвержден Советом Безопасности Российской Федерации 7 марта 2008 г. Не только в нашей стране, но и за рубежом наблюдается сравнительно небольшой объем публикаций, посвященных методам и моделям комплексной оценки средств обеспечения конфиденциальности и целостности информации. Исследователи, как правило, фокусируются на математических аспектах оценки устойчивости к взлому, оставляя без внимания другие актуальные задачи (такие, как человеческий фактор и удобство использования систем защиты). Исключением являются работы Б. Йи (2001), В.П. Иванова (2004), У.Маурера (2005), К.Лампрехта (2006). Тем не менее, предлагаемые в указанных публикациях методы имеют ряд существенных недостатков, в числе которых:— применимость только к системам, основанным на сохранении в секрете механизма защиты информации; — отсутствие возможности учитывать контекст использования системызащиты (критичность защищаемой информации, оснащенность злоумышленника и др.); — представление результатов оценки в форме, неудобной финансистам для принятия решений о необходимости инвестиций в средства защиты информации. Объектом исследования являются методы и модели оценки средств защиты информации. Предметом исследования является изучение применимости моделей и методов оценки средств защиты информации для получения комплексной оценки аппаратно-программных средств обеспечения конфиденциальности и целостности информации с технической и экономической точек зрения. Цель исследования заключается в разработке и исследовании моделей и методов комплексной оценки аппаратно-программных средств обеспечения конфиденциальности и целостности информации.