1. Критерии и методы оценки эффективности систем защиты информации. Эффективность (прочность) системы защиты должна быть такой, чтобы ее преодоление потенциальным нарушителем было бы по каким-либо причинам просто нецелесообразным. Критерии оценки эффективности (качества) системы защиты основываются на двух основных свойствах конфиденциальной информации: информация имеет цену и эта цена изменяется со временем. Исходя из этого можно сформулировать стоимостной и временной критерии эффективности (достаточности) системы защиты [16]. Стоимостной критерий - эффективность (прочность) системы защиты является достаточной, если предполагаемые затраты на ее преодоление потенциальным нарушителем превышают или равны стоимости защищаемого объекта. Временной критерий - эффективность (прочность) системы защиты является достаточной, если предполагаемое время преодоления ее потенциальным нарушителем больше или равно времени жизни (актуальности) защищаемого объекта или времени обнаружения и блокировки (нейтрализации) нарушителя.
Кроме этого, в настоящее время для детального анализа эффективности функционирования системы защиты используется достаточно много различных формальных и неформальных моделей безопасности [12,18,21,31], которые являются базовым инструментом доказательства соответствия системы защиты заданной политике безопасности.
Политикой безопасности называется совокупность организационно-административных норм, требований, ограничений и формальных правил, регулирующих порядок доступа, обработки и использования информационных ресурсов, с целью их защиты от известного множества угроз безопасности. Формальные модели оперируют данными, критериями и величинами, которые можно предопределить и описать, используя адекватный математический аппарат (теорию конечных автоматов, множеств, графов, логики и другие). Неформальные модели строятся с учетом конкретной сферы применения, свойств среды и особенностей функционирования той или иной системы защиты. Они могут изменяться под действием различных факторов, во многом являются интеллектуальными и не всегда предполагают строгое математическое описание. К неформальным можно отнести игровые и экспертные модели анализа эффективности системы защиты. Они наиболее достоверно отражают действительность и учитывают "человеческий" фактор. В игровых моделях предполагается обязательное наличие минимум двух противоборствующих сторон. Одна сторона строит систему защиты информации, а вторая предлагает способы ее преодоления. На это первая сторона адекватно отвечает и перестраивает (дополняет) систему защиты с учетом новых факторов.