Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Пятигорский Государственный Лингвистический Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
тиб и мзи 2.doc
Скачиваний:
6
Добавлен:
16.08.2019
Размер:
104.45 Кб
Скачать
►Содержание►

Неформальные методы оценивания.

Принципиально важным для методов экспертных оценок является получение такой выборки оценок экспертов, на которой статистически устойчиво проявилось бы их общее мнение по решаемой проблеме. Поэтому одно из основных требований и одна из основных трудностей состоят в подборе такого количества компетентных экспертов, которого достаточно для получения статистически устойчивых решений. Существует даже так называемый коэффициент компетентности. Это число от 0 до 1. Причем оценке каждого эксперта присваивается вес, равный этому коэффициенту. Значение коэффициента компетентности определяется самим экспертом или коллегами по экспертизе (самооценка или взаимная оценка). В некоторых случаях используются обе эти оценки.

Технология использования методов экспертных оценок представляет собой последовательность следующих операций:

  1. Формирование достаточно представительной группы компетентных экспертов.

  2. Выбор способа организации работы с экспертами.

  3. Выбор метода формирования экспертами суждений по решаемым вопросам, проведение экспертизы.

  4. Выбор метода обработки оценок экспертов.

При персональном подборе экспертов руководствуются следующими критериями:

  1. Компетентность – наличие знания и опыта по решаемой проблеме.

  2. Креативность – возможность решать творческие задачи.

  3. Антиконформизм – неподверженность влиянию авторитета.

  4. Коллективизм – способность работать в коллективе в соответствии с общепринятыми этическими нормами поведения.

  5. Конструктивность мышления – способность давать практически значимые решения.

  6. Самокритичность – возможность подходить критично к своим суждениям.

  7. Наличие времени работы в экспертной комиссии.

  8. Заинтересованность – наличие желание работать.

Численность группы должна быть достаточно представительной для того, чтобы на основе совокупности обработки их суждений можно было определить статистически устойчивую оценку. Считается, что группа должна быть не менее 20 человек.

Выбор способа работы экспертами.

Самые распространенные – интервьюирование и анкетирование.

Достоинства первого способа: способность уточнять по ходу интервью оценки эксперта, используя для этого методы психоинтеллектуальной генерации.

Достоинства второго способа: возможность экспертам не только глубоко сосредоточиться на решаемой проблеме, но и дополнительно её изучить.

Названные способы могут комбинироваться: сначала проводится предварительное интервьюирование экспертов, потом эксперты заполняют анкеты, а потом снова заключительное интервьюирование в целях изучения мотивов экспертов относительно их оценок и возможного уточнения этих оценок.

Выбор метода формирования экспертных оценок.

Это одна из важнейших задач экспертных оценок и заключается она в решении двух подзадач:

  1. Выбор формы выражения оценки.

  2. Выбор способа её формирования.

Форма выражения оценки может быть явной и неявной.

Неявная: эксперт ранжирует элементы по степени важности (линейное ранжирование) или делит на группы с возможным ранжированием групп.

При явном выражении эксперты дают элементам лингвистические или количественные оценки. При этом количественная оценка может выражаться коэффициентом на непрерывной шкале (от 0 до 1) или баллом из предложенного множества (5, 10, 15 и т.д.).

По способу формирования могут быть непосредственные оценки (эксперт определяет значение каждого оцениваемого элемента на заданной шкале) и сравнительные на основе сравнения пар оценивания элементов.

Выбор метода обработки результатов экспертизы.

  1. Оценки экспертов в форме ранжирования.

  2. Оценка экспертов в количественном выражении по непрерывной шкале.

  3. Оценки экспертов в бальном выражении (вычисляются коэффициенты важности, относительной важности и т.д.)

  4. Оценки экспертов в количественном выражении по способу парных сравнений (определяются предпочтения).

  5. Оценки в лингвистическом выражении.

Неформальные методы поиска оптимальных решений.

Решение проблем защиты информации связано с поиском оптимальных решений – то есть таких вариантов, которые обеспечивают максимальную эффективность данных решений при заданных затратах ресурсов. Поиск оптимальных решений – это наиболее сложные процедуры, которые осуществляются при создании, организации, обеспечения функционирования больших систем, поэтому разработка методов поиска оптимальных решений требует повышенного внимания. Существует 2 основных направления использования неформальных методов:

  1. Сведение сложной неформальной задачи к формальной постановке с целью использования уже реализованных формальных методов.

  2. Неформальный поиск оптимального решения, то есть непосредственный поиск.

Классификационная структура методов.

Неформальное сведение задачи к формальной постановке заключается в формировании строго выраженных условий задачи, то есть подлежащих поиску переменных, ограничений, которым должны удовлетворять переменные, и целевой функции, подлежащей максимизации или минимизации в процессе оптимального решения. Для этих целей могут использоваться 3 метода (см. рисунок).

Методы теории нечетких множеств позволяют получать аналитические выражения для количественных оценок нечетких условий принадлежности элементов тому или иному множеству и, тем самым, сводить постановки неопределенной задачи к строго определенной.

Эвристическим программирование названы такие методы поиска оптимальных решений, основу которых составляют формализованные эвристики (то есть представленные в виде конечного алгоритма).

Под эвристикой (или эвристическим правилом, или эвристическим методом) понимают, как правило, стратегию или просто ловкий приём, найденный человеком на основе своего опыта, а также имеющихся знаний и интуиции, и позволяющие наиболее эффективно решать некоторый класс слабо структурированных задач. Найденные таким образом эвристики подвергаются формализации с целью представления их в виде конечного алгоритма, который может быть реализован на ЭВМ.

Принципиальным моментом является то, что методы эвристического программирования вовсе не гарантируют получение строго оптимальных решений. Не исключаются даже случаи, когда решение далеко от оптимального.

Единственное, что гарантирует эти методы, что решение будет найдено обязательно и что оно будет лучшим среди решений, полученных без использования эвристики.

Принципиальное отличие эвристического поиска решений от поиска по конечным формальным методам.

В процессе решения строго формальными методами поле поиска (область допустимых решений) остается неизменным, а сам процесс решения заключается в прямом, направленном или случайном переборе возможных решений.

А для эвристических методов характерно, с одной стороны, сужение поля поиска за счет исключения из рассмотрения заведомо непригодных решений, а с другой – расширение поля поиска за счет генерирования новых подобластей. Из конкретных эвристических методологий наибольшее распространение получили лабиринтные и концептуальные эвристики.

Лабиринтная модель – задача перед решением представляется в виде лабиринта возможных путей поиска решения, которые ведут от условия до завершения решения задачи. Предполагается, что, благодаря природному мышлению, человек способен быстро произвести отсекание всех неперспективных вариантов движения по лабиринту и оставить варианты, которые с большей вероятностью приведут к конечному решению задачи.

Концептуальные эвристики – основным механизмом поиска решения считается генерирование множества таких путей решения задачи, среди которых с большой вероятностью содержится результативный путь. При анализе исходной ситуации и сопоставление ее с результирующей, человек не просто собирает информацию, а строит структурированную модель проблемной ситуации, вычленяя в исходной информации проблемной ситуации, выделяя в исходной информации важные элементы и затем, формируя на их основе, обобщенные элементы и отношения между ними. Такие обобщенные элементы и отношения названы концептами. Они играют основную роль в осмыслении исходной ситуации, создании ее модели и работе с моделью. Согласно концептуальной теории набор концептов является универсальным и ему соответствует имеющийся у человека механизм вычисления, трансформации и формирования отношений. В результате мысленного эксперимента со структурированной моделью ситуации человек получает возможность придумать/найти тот небольшой участок лабиринта, в котором уже нетрудно найти необходимое решение.

Эволюционное моделирование – представляет собой расширенную модификацию статистического моделирования, причем расширение заключается в том, что в процессе моделирования статистически совершенствуется, то есть эволюционирует сам алгоритм, в соответствии с которым имитируются процессы функционирования моделируемых систем.

Общая схема алгоритма эволюционного моделирования.

Построение исходной модели моделироуемого процесса

Начало

Неформально-эвристическое программирование – это такая разновидность эвристического программирования, когда человек принимает непосредственное участие не только в процессах составления моделей для поиска решения, но и также в их обучении (то есть подготовке к решению задач в конкретных условиях) и в процессе непосредственного решения конкретных задач. Одной из разновидностей неформально-эвристического программирования являются так называемые неформальные аналоги, то есть поиск решения человеком на основе тех решений аналогичных задач, которые имели место в предшествующей личной практике или практике других специалистов.

Последнюю группу неформально-эвристических методов непосредственного поиска оптимальных решений составляют методы, основанные на управлении продуктивным мышлением человека непосредственно в процессе самого поиска. К настоящему времени наибольшее развитие получили две разновидности методологии управления интеллектуальной деятельностью:

- метод «Мозгового штурма»

- метод психоинтеллектуальной генерации

Мозговой штурм - оперативный метод решения проблемы на основе стимулирования творческой активности, при котором участникам обсуждения предлагают высказывать как можно большее количество вариантов решения, в том числе самых фантастичных. Затем из общего числа высказанных идей отбирают наиболее удачные, которые могут быть использованы на практике. Является методом экспертного оценивания. Объем группы – 6-12 человек.

Процесс поиска решений по методу психо-интеллектуальной генерации осуществляется в виде целенаправленно управляемой беседы (дискуссии) двух непременных участников: ведущего и решающего. Ведущий ставит проблему, решающий – высказывается. Это может быть обсуждение-дискуссия, потом вновь ведущий уточняет проблему, решающий высказывается и т.д. В помощь ведущему могут выделяться оппоненты.

Базовые требования безопасности к информации и информационным системам (ИС).

Обеспечение информационной безопасности – это сложный, многоаспектный процесс, требующий принятия множества решений, анализа множества факторов и требований, порой, противоречивых. Наличие категорий и минимальных требований безопасности, а также предопределенного каталога регуляторов безопасности, способно служить базой для системного подхода к обеспечению ИБ, подхода, который требует разумных трудовых и материальных затрат и способен дать практически приемлемые результаты для большинства организаций.

Минимальные требования безопасности:

  1. Разработка официальной политики информационной безопасности

  2. Оценка рисков

  3. Действия ИБ к сервисам и системам

  4. Управление конфигурацией

  5. Мониторинг регуляторов безопасности

  6. Аутентификация и авторизация

  7. Обеспечение целостности

  8. Защита носителей

  9. Протоколирование и аудит

  10. Кадровая безопасность

  11. Сертификация, аккредитация и оценки ИБ

  12. Защита систем и телекоммуникаций

  13. Физическая защита

  14. Реагирование на нарушение информационной безопасности

  15. Планирование

  16. Информирование и обучение персонала

Политика безопасности.

В компании должна быть разработана, документирована и обнародована официальная политика безопасности и формальные процедуры, направленные на выполнение определенных требований (которые будут описаны ниже), и обеспечена эффективная реализация этой политики и процедур.

Оценка рисков.

Компании необходимо периодически производить оценку рисков, включая оценку угроз миссии, функционированию, имиджу и репутации организации, ее активов и персоналу. Эти угрозы являются следствием эксплуатации информационной системы и осуществляемых при этом обработки, хранения и передачи данных.

Действия ИБ к сервисам и системам.

Применительно к закупке сервиса и системы компании необходимо:

- выделить достаточный объем ресурсов для адекватной защиты ИС

- при разработке систем учитывать требования ИБ

- ограничивать использование и установку ПО

- обеспечить выделение внешними поставщиками услуг, достаточных ресурсов для ЗИ, приложений и/или сервисов

Управление конфигурацией.

В плане управления конфигурацией в компании следует установить и поддерживать базовые конфигурации, иметь опись (карту информационной системы), которая будет изменяться с учетом жизненного цикла (актуализироваться). В эту карту входят аппаратура, ПО и документация, установить и обеспечить практическое применение настроек для конфигурирования средств безопасности в продуктах, входящих в ИС.

Мониторинг регуляторов безопасности.

Аутентификация и авторизация.

В области идентификации аутентификации необходимо обеспечить идентификацию и аутентификацию пользователей ИС, процессов, действующих от имени пользователей, а также устройств, как необходимое условие предоставления доступа к ИС. Кроме того, применительно к сопровождению, нужно осуществлять периодическое и своевременное обслуживание ИС, обеспечить эффективные регуляторы для средств, методов, механизмов и персонала, которые осуществляют сопровождение.

Обеспечение целостности.

Для обеспечения целостности систем и данных нужно своевременно идентифицировать дефекты ИС и данных, докладывать о них и исправлять, защищать ИС от вредоносного ПО, отслеживать сигналы о нарушениях безопасности и сообщения о новых угрозах для ИС и должным образом реагировать на них.

Защита носителей.

Для защиты носителей нужно:

- защищать носители данных (как цифровые, так и бумажные)

- предоставлять доступ к данным на носителях только авторизованным пользователям

- уничтожать носители перед выводом из эксплуатации или перед передачей для повторного использования

Протоколирование и аудит

Протоколирование внештатных ситуаций и внештатный аудит.

Кадровая безопасность

В области кадровой безопасности необходимо обеспечить надежность, т.е. доверенность должностных лиц, которые занимают ответственные посты, а так же соответствие этих лиц, предъявляемым к данным должностям требованиям безопасности. Обеспечить защиту информации и информационной системы, при проведении дисциплинарных акций, таких как увольнение или перемещение сотрудников. Применять соответствующие официальные санкции к нарушителям политики и процедур безопасности.

Информирование и обучение персонала

Организация должна обеспечить информирование: чтобы руководителей и пользователей информационных систем знали о рисках, связанных с их деятельностью, законов, нормативных актов, руководящих документов, стандартах, инструкциях и т.п. чтобы персонал имел должную практическую подготовку к выполнению работы, должно быть налажено обучение персонала, а так же курсы переподготовки или курсы квалификации.

Защита систем и телекоммуникаций.

С целью защиты систем и телекоммуникаций нужно отслеживать, контролировать и защищать передаваемые и принимаемые данные, на внешних и ключевых внутренних границах информационной системы. Применять архитектурные и аппаратно-программные подходы, повышающие действующий уровень информационной безопасности ИС.

Необходим базовый набор регуляторов безопасности, с целью выполнения требований безопасности. Необходимым условием требований безопасности является правильный выбор и реализация соответствующих регуляторов безопасности. Т.е выработка и применение экономически оправданных контрмер и средств защиты. Регуляторы подразделяются на следующие виды: административные, процедурные, программно-технические, и служат для обеспечения для обеспечения КЦД обрабатываем, хранимых и передаваемых данных.

Планирование.

В области планирования необходимо разработать, документировать, периодически изменять и реализовывать планы обеспечения безопасности ИС, описывающие регуляторы безопасности (имеющиеся и планируемые) и правила поведения персонала, имеющего доступ к ИС. С целью планирования бесперебойной работы компании следует установить, поддерживать и реализовывать планы реагирования на аварийные ситуации, планы резервного копирования, восстановления после аварий, чтобы обеспечить доступность критичных информационных ресурсов и непрерывность функционирования в аварийных ситуациях.

В плане реагирования на нарушения ИБ организация должна:

- создать действующую структуру для реагирования на инциденты, имея ввиду адекватные подготовительные мероприятия, выявление, анализ и локализацию нарушений, восстановление после инцидентов и обслуживание обращений пользователей;

- обеспечить отслеживание, документирование и сообщение об инцидентах соответствующим должностным лицам организации и уполномоченным органам;

С целью физической защиты организация должна:

- предоставлять физический доступ к ИС, к оборудованию, в производственных помещениях только авторизованному персоналу;

- физически защищать оборудование и поддерживающую инфраструктуру ИС;

- обеспечить должные технические условия для функционирования ИС;

- защищать ИС от угроз со стороны окружающей среды;

- обеспечить контроль условий, в которых функционирует ИС;

- обеспечить доступ к активам ИС только авторизованным пользователям, а также устройствам (включая другие ИС) для выполнения разрешенных пользователям транзакций и функций.

Регуляторы.

Выбор регуляторов безопасности осуществляется на основе результатов категорирования данных и ИС. Кроме того следует учесть какие регуляторы безопасности уже реализованы и для каких имеются конкретные планы реализации, а также требуемую степень доверия к эффективности действующих регуляторов. Адекватный выбор регуляторов безопасности можно упростить, если производить его из предопределенных базовых наборов, соответствующих требуемым уровням ИБ.

Выделяют 3 базовых набора регуляторов безопасности: для минимального (базового, низкого) уровня, умеренного и высокого уровня ИБ.

Минимальный уровень ИБ.

Административные регуляторы безопасности.

Кадровая безопасность.

  1. Политика и процедуры. Разработка, распространение, периодический пересмотр и изменение официальной документированной политики кадровой безопасности, в которых представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству; пересмотр и изменение формальных документированных процедур, способствующих проведению в жизнь политики и регуляторов кадровой безопасности.

  2. Категорирование должностей. С каждой должностью ассоциируется определенный уровень риска и, соответственно, устанавливаются критерии отбора кандидатов на эти должности.

  3. Отбор персонала. Для доступа к информации и информационной системе проводится проверка лиц, нуждающихся в этом доступе.

  4. Увольнение. Увольняемый сотрудник лишается доступа к ИС, с ним проводят заключительную беседу, проверяют сдачу всего казенного имущества (идентификационных карт, пропусков и т.д.) и убеждаются, что соответствующие должностные лица имеют доступ к официальным данным, которые создавались увольняемым и хранятся в ИС.

  5. Перемещение персонала. Организация пересматривает предоставляемые ему права доступа к ИС и к ее ресурсам и проводит соответствующие действия.

  6. Соглашения о доступе. Прежде чем предоставить доступ к ИС сотруднику, составляются соответствующие соглашения (например, о правилах поведения, о неразглашении информации), а также морального кодекса компании.

  7. Требования безопасности к сотрудникам сторонних организаций. Организация устанавливает роли обязанности к сотрудникам сторонних организаций (подрядчикам, разработчикам) и отслеживание обеспечение ими адекватного уровня ИБ.

Целостность систем и данных.

  1. Политика и процедуры. Разработка, распространение, периодический пересмотр и изменение, в которых представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству; пересмотр и изменение формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов целостности систем и данных.

  2. Устранение дефектов. Идентификация дефектов ИС, информирование о них и исправление.

  3. Защита от вредоносного ПО. В компании реализуется в ИС такая защита, включая возможность автоматических обновлений.

  4. Сигналы о нарушениях безопасности и сообщения о новых угрозах. Необходимо отслеживать эти сигналы должным образом реагировать на них и доводить до соответствующих должностных лиц.

Защита носителей.

1.Политика и процедуры.

Разработка, распространение, периодический пересмотр и изменение официальной документированной политики защиты носителей, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству. Изменение формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов защиты носителей.

2. Доступ к носителям.

Необходимо обеспечить, чтобы только авторизованные пользователи имели доступ к информации в печатной форме или к информации на цифровых носителях, изъятых из информационной системы.

3. Вывод из эксплуатации.

Организация должна прослеживать, документировать и верифицировать деятельность по выводу из эксплуатации носителей, периодически тестируют соответствующее оборудование и процедуры, чтобы убедиться в корректности их функционирования.

Реагирование на нарушения информационной безопасности. 1. Политика безопасности.

Разработка, распространение, периодический пересмотр и изменение официальной документированной политики защиты носителей, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству.

2. Реагирование.

В компании формируются структуры для реагирования на нарушение ИБ, включая подготовку, выявление, анализ, локализацию, ликвидацию воздействия и восстановление после нарушений.

3. Доклады о нарушениях. Необходимо своевременно доводить информацию о нарушениях ИБ до сведения уполномоченных должностных лиц. 4. Помощь.

Формирование структуры для выдачи рекомендаций и оказание помощи пользователям информационной системы при реагировании на нарушение ИБ и докладах о них. Эта структура является неотъемлемой составной частью группы реагирования.

Физическая защита. 1. Контроль доступа к устройствам отображения информации с целью защиты последней от просмотра неавторизованными лицами. 2. Мониторинг физического доступа. В режиме реального времени отслеживаются поступающие сигналы о вторжениях и данные со следящих устройств. 3. Контроль посетителей. Обеспечение сопровождения посетителей, и если нужно мониторинга их активности.

4. Защита электрического оборудования и проводки. От повреждений и разрушений. 5. Аварийное отключение. Следует обеспечить отключение электропитания к любому отказавшему устройству или оказавшемуся под угрозой компоненту ИС, не подвергая при этом персонал, который имеет доступ к оборудованию.

6. Аварийное электропитание. Обеспечение краткосрочных источников бесперебойного питания. 7. Противопожарная защита. 8. Запасная производственная площадка. 9. Расположение компонентов ИС таким образом, чтобы минимизировать потенциальный ущерб от физических рисков и угроз со стороны окружающей среды, а также минимизировать возможность несанкционированного доступа.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности