Испытания на надежность

1. Испытания на надежность - это определение показателей надежности объекта на основании непрерывного наблюдения за состоянием его

работоспособности в условиях, предписанных
методикой испытаний.
Испытания на надежность могут дать объективную информацию о
надежности объекта с учетом комплексного влияния всех действующих
при его работе факторов. Вместе с тем испытания на надежность
обладают и отрицательными сторонами:
1) они требуют больших затрат времени и средств. Кроме того, в
процессе испытаний расходуется значительная часть ресурса изделия;
2) результаты испытаний на надежность часто обращены в прошлое:
об изделиях, которые успешно выдержали испытания, можно сказать,
что они до испытаний обладали такой-то надежностью и это
подтверждено испытаниями.

2.

Для объектов мелкосерийного и особенно
индивидуального производства возникают серьезные
затруднения. Пути их преодоления различны и зависят от
конкретных условия производства и особенностей изделий.
К таким путям относятся:
обеспечение устойчивости показателей надежности
объектов на значительном интервале времени, с тем,
чтобы после проведения испытаний на надежность
оставался необходимый интервал времени, на
котором сохраняется обнаруженная при испытаниях
надежность изделия;
сочетание натурных испытаний с расчетом и
моделированием.

3.

Определительные испытания - испытания, в результате
которых определяются количественные показатели надежности,
как точечные (средняя наработка до отказа), так и интервальные
(среднеквадратическое отклонение времени работы до отказа
относительно среднего значения).
Контрольные испытания на надежность - испытания, в
результате которых контролируемые изделия по некоторым
признакам и с заданным риском относятся либо к категории
годных, либо к категории негодных по уровню своей надежности.
Такими признаками могут быть: отсутствие отказов на заданном
интервале времени; число отказов в случайный момент времени
и т.п.
Специальные испытания на надежность - испытания,
предназначенные для исследования некоторых явлений,
связанных с оценкой надежности (определение долговечности,
анализ влияния отдельных факторов на показатели надежности
и т.д.).

4. Чтобы испытания на надежность были менее трудоемкими и менее дорогостоящими, применяют специальные приемы:

ускорение испытаний путем использования
таких режимов, которые приводят к ускорению
процесса возникновения отказов;
прогнозирование отказов по изменению тех
или иных параметров объекта;
использование предварительной информации
о надежности испытуемого изделия, а также
принципа накопления информации,
полученной из различных источников.

5. ЗАДАЧИ, ВОЗНИКАЮЩИЕ ПРИ ИСПЫТАНИЯХ НА НАДЕЖНОСТЬ

1. Ускорение испытаний.
2. Исключение «анормальных» результатов
испытаний.
3. Использование косвенных признаков
прогнозирования отказов.
4. Индивидуальное прогнозирование
надежности.

6. ВЫВОДЫ ОБ ИСПЫТАНИЯХ НА НАДЕЖНОСТЬ ИНФОРМАЦИОННЫХ СИСТЕМ

1.
Процесс создания ИС длительный и непрерывный.
Испытания на надежность ИС должны быть тоже
непрерывными и длительными.
Аппаратные средства ИС состоят из различных
комплектующих элементов. Испытания на надежность
должны учитывать специфику всех устройств и объем
производства каждого элемента аппаратуры.
На надежность ИС оказывают влияние разнообразные
факторы. Эта особенность требует проведения
испытаний, позволяющих выявить их влияние в
различных режимах использования системы.

7. РЕКОМЕНДАЦИИ К ПРОВЕДЕНИЮ ИСПЫТАНИЙ НА НАДЕЖНОСТЬ ИНФОРМАЦИОННЫХ СИСТЕМ

1.
Испытания на надежность ИС должны представлять собой
систему взаимосвязанных испытаний, которые сопровождают
процесс создания системы до сдачи в эксплуатацию.
Испытаниям на надежность следует подвергать объекты,
предварительно проверенные на функционирование.
Надежность – это свойство сохранять работоспособность.
В состав системы испытаний следует включать
разнообразные виды и способы испытаний, отвечающих
особенностям испытуемых объектов.
Наиболее целесообразным решением проблемы оценки
надежности ИС в целом является расчетноэкспериментальный метод, т.е. сочетание натурных
испытаний и расчетов.

8. СОВРЕМЕННЫЕ МЕТОДЫ И СРЕДСТВА АНАЛИЗА И КОНТРОЛЯ РИСКОВ ИС КОМПАНИЙ

Причины на пути принятия мер по обеспечению надежности ИС
в компании:
1. ограничение бюджета
2. отсутствие поддержки со стороны руководства
Если ИТ-менеджер четко подтвердит, сколько компания
потеряет денег в случае реализации угроз, какие места
наиболее уязвимы, какие меры можно предпринять и не
потратить лишних денег и подтвердит это документально,
то решение задачи убедить руководство выделить
средствана обеспечение надежности становится
реальным.

9. СОВРЕМЕННЫЕ МЕТОДЫ И СРЕДСТВА АНАЛИЗА И КОНТРОЛЯ РИСКОВ ИС КОМПАНИЙ

Для решения данной задачи были разработаны программные
комплексы анализа и контроля информационных рисков:
британский CRAMM (компания Insight Consulting),
американский Risk Watch (компания Risk Watch ) и
российский ГРИФ.

10.

Метод CRAMM (the Сoverment Risk Analysis and
Managment Method)

11. Метод CRAMM (the Сoverment Risk Analysis and Managment Method)

Разработан Службой Информатизации Великобритании и принят в
качестве государственного стандарта.
Кроме анализа рисков ИС решает вопросы:
1. проведение обследования ИС и выпуск сопроводительной
документации на всех этапах жизни ИС
2. проведение аудита ИС
3. разработка политики безопасности ИС

12. Недостатки CRAMM

1.Использование CRAMM требует специальной подготовки
и высокой квалификации аудитора.
2. CRAMM подходит для аудита существующих ИС, и не
подходит для ИС на стадии разработки.
3. Аудит по методу CRAMM может потребовать месяцев
непрерывной работы.
4. CRAMM требует большое количество бумажной
документации не полезной на практике.
5. Возможность внесения дополнений в базу данных
CRAMM не доступна пользователям, что вызывает
трудности при адаптации этого метода к потребностям
конкретной организации.
6. Англоязычность и высокая стоимость лицензии.

13.

Программное обеспечение Risk Watch,
разрабатываемое американской компанией Risk
Watch, является мощным средством анализа и
управления надежностью ИС. В семейство Risk
Watch входят программные продукты для
проведения различных видов аудита.
Средства аудита и анализа рисков:
RiskWatch for Physical Security – для физических
методов защиты ИС ;
RiskWatch for Information Systems – для
информационных рисков ;
HIPAA-WATCH for Healthcare Industry – для оценки
соответствия требованиям стандарта.

14.

15. Недостатки Risk Watch

1.Метод подходит, если анализ рисков требуется провести на
программно-техническом уровне защиты, без учета
организационных и административных факторов.
2. Получение оценки рисков (математическое ожидание)
потерь не исчерпывает понимание риска с системных
позиций – метод не учитывает комплексный подход к
надежности ИС.
3. Англоязычность и высокая стоимость лицензии.

16. ГРИФ

Для проведения полного анализа информационных рисков строится
полная модель ИС. ГРИФ при этом обладает простым и
интуитивно понятным интерфейсом.
Но, за внешней простотой скрывается сложный алгоритм
анализа рисков, учитывающий более ста параметров.
Основная задача ГРИФ – дать возможность менеджеру без
привлечения сторонних экспертов оценить уровень рисков в
ИС и доказательно – в цифрах убедить руководителя в
необходимости инвестиций в обеспечение надежности ИС.

17.

ГРИФ

18. ГРИФ

1. ЭТАП проводится опрос ИТ-менеджера с целью определения
полного списка информационных ресурсов, представляющих
ценность для компании.
2. ЭТАП определение ценности информации и местонахождение
каждого вида информации (серверы, рабочие станции и т.д.).
Определение ущерба по каждому виду информации,
расположенной на соответствующих ресурсах, по всем видам
угроз.
3. ЭТАП определение пользовательских групп (число
пользователей в каждой группе). Выяснение к каким группам
информации на ресурсах имеет доступ каждая из групп
пользователей. Вид локальный или удаленный доступ.

19. ГРИФ

4. ЭТАП Вводится информация о затратах на техническую
поддержку ИС.
5. ЭТАП Пользователи отвечают на вопросы по рискам системы.
6. ЭТАП Формируется полная модель ИС с точки зрения
выполнения требований политики надежности ИС.
7. ЭТАП Отчет, дающий полную картину возможного ущерба от
инцидентов.