Программа "Оценка СЗИ" иллюстрирует работу модели СЗИ представленной в виде трехмерной матрицы, описание которой приведено на этом сайте и в книге «Безопасность информационных технологий. Методология создания систем защиты» Издательство «ДиаСофт» (Телефоны в Киеве 531-90-20, 272-12-54, 272-60-34).
Прграмма разработана с целью демонстрации преимуществ системного подхода к созданию и оценке эффективности систем защиты информации.
С помощью указанной программы осуществляется расчет условных показателей эффективности СЗИ, а также графическое представление состояния достигнутого уровня безопасности по отношению к заданному.
Программа "Оценка СЗИ" реализованав виде таблиц Excel и предназначена для оценки эффективности мероприятий, проводимых при создании и функционировании систем защиты информации.
Предложенная модель СЗИ в виде трехмерной матрицы позволяет не только жестко отслеживать взаимные связи между элементами защиты, но может выступать в роли руководства по созданию СЗИ. Если вы, приступая к созданию системы защиты, не знаете с чего начать, попробуйте ответить на предлагаемые в матрице вопросы, начиная с любого из них. И когда вы пройдетесь по всем вопросам, то поймете что уже сделано, а чего не хватает для достижения поставленной цели.
Если желаете поставить задачу на создание СЗИ, то заполнив 140 элементов (вопросов) матрицы соответствующими требованиями, получим достаточно полное техническое задание. Причем сформулировать эти требования можно на основе любых стандартов - международных, европейских, американских., российских, украинских…
Ну а как оценить эффективность создаваемой или уже функционирующей СЗИ?
Снова поможет подход на основе трехмерной матрицы. Только теперь по 140 показателям (элементам матрицы) надо выставить соответствующие оценки. Существует много методов оценок, выбирайте любой понятный и прозрачный для вас.

Интерфейсы программы с некоторыми комментариями представлены на рисунках

• · 010 Защита объектов информационных систем
• · 020 Защита процессов, процедур и программ обработки информации
• · 030 Защита каналов связи
• · 040 Подавление побочных электромагнитных излучений
• · 050 Управление системой защиты

При внимательном рассмотрении можно узнать уже знакомую нам "матрицу знаний СЗИ" в несколько другом представлении.
Заказчик определяет необходимые требования к системе защиты и устанавливает заданный уровень безопасности в соответствующих клетках таблицы. Эксперты в процессе проведения оценки качества созданной системы защиты определяют реализован ли заданный уровень безопасности и свои оценки выставляют в соседних с заданными клетках таблицы.

Программный комплекс, как составляющий элемент модели СЗИ, представляет собой набор программ, предназначенных для автоматизации процессов создания и оценки эффективности СЗИ.

Это могут быть любые программы (программные средства) которые позволяют облегчить участь неискушенного пользователя или руководителя в его попытках создания системы защиты или хотя бы создания приемлемого представления о ней.

Примером может послужить программа оценки эффективности СЗИ (написана на Delphy) в основу которой положены модель представления СЗИ, принципы и подходы, описанные в данной книге.

Инсталляцию этой программы можно найти на по адресу http://www.bezpeka.com/library/adm/oceffszi.html

Программа “Оценка СЗИ” разработана с целью демонстрации преимуществ системного подхода к созданию и оценке эффективности систем защиты информации.С помощью программы “Оценка СЗИ” осуществляется расчет условных показателей эффективности СЗИ, а также графическое представление состояния достигнутого уровня безопасности по отношению к требуемому (заданному).

Программа “Оценка СЗИ” реализована на в виде таблиц Excel и предназначена для оценки эффективности мероприятий, проводимых при создании и функционировании систем защиты информации. Программа “Оценка СЗИ” иллюстрирует работу модели СЗИ представленной в виде трехмерной матрицы, описание которой приведено в книге: “Безопасность информационных технологий. Методология создания систем защиты” – Домарев В.В. К.: ТИД Диа Софт, 2002. –688 с., а также на сайте http://www.domarev.kiev.ua

Предложенная модель СЗИ в виде трехмерной матрицы позволяет не только жестко отслеживать взаимные связи между элементами защиты, но может выступать в роли руководства по созданию СЗИ. Если вы, приступая к созданию системы защиты, не знаете с чего начать, попробуйте ответить на предлагаемые в матрице вопросы, начиная с любого из них. И когда вы пройдетесь по всем вопросам, то поймете что уже сделано, а чего не хватает для достижения поставленной цели.

Если поставить задачу на создание СЗИ, то заполнив 140 элементов (вопросов) матрицы соответствующими требованиями, получим достаточно полное техническое задание. Причем сформулировать эти требования можно на основе любых стандартов – международных, европейских, американских., российских, украинских…Ну а как оценить эффективность создаваемой или уже функционирующей СЗИ? Снова поможет подход на основе трехмерной матрицы. Только теперь по 140 показателям (элементам матрицы) надо выставить соответствующие оценки экспертов. Существует много методов экспертных оценок, выбирайте любой понятный и прозрачный для вас. Наиболее популярный на сегодняшний день метод “Три П” – пол, палец, потолок.

Определение:

Под профилем безопасности будем понимать графическое представление степени выполнения требований в системе координат:
по горизонтали – перечень требований, предъявляемых к СЗИ;
по вертикали – степень выполнения каждого требования.

Целесообразно рассматривать два профиля безопасности: требуемый и реально достигнутый.
Для построения требуемого профиля безопасности используются предварительно заданные заказчиком требования к СЗИ например по уже знакомым вам 140 элементам матрицы. При этом содержание указанных элементов формулируется в виде требований К СЗИ, т.е. что именно хотим получить в результате создания СЗИ. Таким образом, исходные данные для построения требуемого профиля безопасности представлены в виде матрицы требований.