стеми можна охарактеризувати одним або декількома чисельними показниками. Приміром, якість антиспамових фільтрів характеризується кількістю пропущеного спаму і кількістю помилково відфільтрованих корисних повідомлень, а ефективність його застосування - середньою кількістю спаму, одержуваного одним користувачем за умови, що кількість помилково відфільтрованих повідомлень близько до нуля. Для багатьох процесів за допомогою подібних показників можна зручно, наочно, а головне - однозначно оцінювати достатність застосовуваних механізмів захисту. Приміром, послідовне зростання кількості викритих у корпоративній мережі вірусів свідчить про недостатність застосовуваних у ній заходів антивірусного захисту.
І, нарешті, останній з методів - тестування на проникнення. Якщо попередні методи дозволяють оцінити достатність механізмів захисту теоретично, то тестування на проникнення передбачає практичне виявлення - і демонстрацію - методів реалізації атаки, з якими не вдається впоратися застосовуваними на момент оцінки заходами захисту. Тестування на проникнення може включати в себе як автоматизоване сканування, так і практичну реалізацію атак, в тому числі - за допомогою таких погано піддаються оцінці методів, як соціальна інженерія.
Висновок
Завершуючи цей дуже короткий огляд методів оцінки ефективності захисту, необхідно відзначити: щодо об'єктивних результатів можна досягти тільки при спільній роботі власників інформаційних ресурсів компанії, фахівців компанії і залучених експертів. Експерти розташовують напрацьованими методиками та досвідом проведення подібних оцінок, фахівці компанії - точними відомостями про специфіку захищаються інформаційних ресурсів, але основною відправною точкою для оцінки все ж є інтереси власника ресурсу і ті цілі, які він переслідує, вибудовуючи захист.
Література
1. А. баутом. Стандарти та оцінка ефективності захисту інформації. Доповідь на Третьої Всеросійської практичної конференції Стандарти в проектах сучасних інформаційних систем Москва, 23-24 квітня +2003
2.А. Баутом, Економічний погляд на проблеми інформаційної безпеки. lt; http: //osp/os/2002/02/034.htmgt; Відкриті системи, 2 002, № 2.
.С. Вихорев, А. Єфімов, Практичні рекомендації з інформаційної безпеки. Jet Info № 10-11, 1996..
.С. Вихорев, Р. Кобцев, Як визначити джерела загроз lt; http: //osp/os/2002/07-08/050_1.htmgt ;. Відкриті системи, 2 002, № 7-8.
.У. Галатенко, Інформаційна безпека - основи. lt; http: //osp/dbms/1996/01/49.htmgt; Системи управління базами даних, 1996, № 1.
.А. Горбунов, В. Чуменко, Вибір раціональної структури засобів захисту інформації в АСУ. lt; http: //kiev-security.ua/box/2/26.shtmlgt;
.ГОСТ Р 50922-96. Захист інформації. Основні терміни та визначення.
.Г. Гуд, Р. Маколей. Системотехніка (Введення в проектування великих систем). М., Рад. радіо, 1962.
.М. Де Гроот. Оптимальні статистичні рішення. М .: Світ, 1974.
. Е. Зиндер, Революційні зміни базових стандартів в області системного проектування. lt; http: //osp/cio/2001/05/032.htmgt; Директор інформаційної служби, 2001 № 5.
.А. Ездаков, О. Макарова, Як захистити інформацію. lt; http: //osp/nets/1997/08/116.htmgt; Мережі, 1997, № 8.
.ІСО/МЕК 15408-99 Критерії оцінки безпеки інформаційних технологій .
.У. Козлов. Критерії інформаційної безпеки та підтримують їх стандарти: стан і тенденції. Стандарти в проектах сучасних інформаційних систем raquo ;. Збірник праць II-ої Всеросійської практичної конференції. Москва, 27-28 березня 2002 року.
.У. Липаев, Є. Філінов, Формування та застосування профілів відкритих інформаційних систем. lt; http: //osp/os/1997/05/62.htmgt; Відкриті системи, 1997, № 5.
.Г. Пєтухов, Основи теорії ефективності цілеспрямованих процесів. Частина 1. Методологія, методи, моделі. МО СРСР, 1989.
.У. Пугачов. Теорія ймовірностей і математична статистика. М .: Наука, 1979.
.У. Сабиніна, Фахівці, давайте говорити на одній мові і розуміти один одного. Інформ - Засоби зв'язку, № 6.
.П. Сейер, Lloyd страхує від хакерів. lt; http: //osp/cw/2000/30/015_0.htmgt; Computerworld Росія, 2000, № 30.
.л. Хмельов. Оцінка ефективності заходів безпеки, які закладаються при проектуванні електронно-інформаційних систем. Праці науково-технічної конференції Безпека інформаційних технологій raquo ;, Пенза, червень 2001.
.Положеніе про сертифікацію засобів і систем обчислювальної техніки і зв'язку за вимогами безпеки інформації. М., +1994.