Под эффективностью системы понимают степень достижения цели этой системой. В оценке эффективности КСЗИ, в зависимости от используемых показателей и способов их получения, можно выделить 3 подхода:
Вероятностный подход:
Под вероятностным подходом к оценке эффективности понимается использование критериев эффективности, полученных с помощью показателей эффективности. Значения показателей эффективности получаются путем моделирования или вычисляются по характеристикам реальной системы. Однако возможности вероятностных методов эффективности применительно к КСЗИ ограничены в силу ряда причин. Высокая степень неопределенности исходных данных, сложность формализации процессов функционирования, отсутствие общепризнанных методик расчета показателей эффективности и выбора критериев оптимальности.
Оценочный подход
На практике часто применяется подход к оценке эффективности КСЗИ, связанный с проверкой соответствия системы защиты тем или иным требованиям. Такой подход можно условно назвать оценочным.
Экспериментальный подход
Под экспериментальным подходом понимается организация процесса определения эффективности существующих КСЗИ путем попыток преодоления защитных механизмов системы специалистами, выступающими в роли злоумышленников – активный аудит КСЗИ. Активный аудит может выполняться как своими силами (при наличии специалистов), так и за счет привлечения сторонней организации.
В настоящее время ФСТЭК разработан проект «Концепции аудита информационной безопасности систем информационных технологий и организаций».
Согласно данному документу, под аудитом информационной безопасности организации понимается периодический, независимый от объекта аудита и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях установленных требований по обеспечению информационной безопасности.
