55. Эффективность защиты и методология ее расчета
ИБ – информационная безопасность
АС – Автоматизированная система
Анализ показывает, что в настоящее время существуют два основных подхода к оценке ИБ АС. Первый – на основе характеристик защитных для объекта оценки механизмов и достаточности системы защиты. Суть подхода в том, что вывод об уровне ИБ делается на основании значение показателя эффективности системы защиты. При этом в рамках данного подхода внимание уделяется лишь одному из аспектов информационной безопасности – защите информации от несанкционированного доступа. Второй подход основан на тесной связи системы показателей количественных оценок ИБ АС с эффективностью функционирования этой АС в условиях воздействия всех видов угроз ИБ. Второй подход является методологически более верным с точки зрения системного анализа, так как в этом случае выполняется один из основных принципов системного подхода, который заключается в том, что каждый элемент системы, выполняя определенную функцию, способствует достижению цели (выполнению общесистемной функции). Об эффективности функционирования этого элемента можно говорить тогда, когда существует прирост эффективности системы в целом. То есть если в том виде деятельности компании, который связан с применением АС, наблюдается улучшение ситуации, рост соответствующих показателей, то можно говорить и об эффективности системы обеспечения ИБ. Анализ показывает, что разработка методики оценки ИБ предполагает наличие или разработку модели объекта оценки, модели системы защиты, а в ряде случаев модели потенциального нарушителя (например, при оценке АС военного назначения). Наличие модели объекта оценки необходимо для определения существующих в нем связей, процессов, выявления конкретных элементов, требующих защиты, характерных уязвимостей и угроз, а также выработки показателей ИБ. Модель потенциального нарушителя необходима для определения конкретных стратегий поведения нарушителя, а также уточнения характера угроз, источником которых он является. Одной из самых распространенных является так называемая оценка по требованиям нормативных документов. В результате удовлетворения тем или иным требованиям АС относят к тому или иному классу защищенности. Примером такого подхода может служить международный стандарт ИСО/МЭК 15408.99 «Критерии оценки безопасности информационных технологий», разработанный в рамках проекта «Общие критерии». Из-за отсутствия соответствующей теории и расчетных соотношений в данном стандарте не приведены единицы измерения и количественная оценка безопасности информации в АС. Другой подход, основанный на анализе рисков, предусматривает оценку рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС. Известные методики можно классифицировать по типу используемой в них процедуры принятия решения на одноэтапные, в которых оценки риска выполняется с помощью одноразовой решающей процедуры, и многоэтапные, с предварительным оцениванием ключевых параметров. Одноэтапные методики, как правило, используются на начальной стадии проектирования АС, когда ключевые факторы, определяющие информационную безопасность, еще не выявлены. Недостатком одноэтапных процедур является высокая степень «субъективного фактора» в оценке риска и трудности их использования для анализа риска. Многоэтапные методики с предварительным оцениванием ключевых параметров являются более конструктивными. Например, методика оценки риска, изложенная в специальных рекомендациях 800-30 (NIST) предполагает предварительное оценивание двух параметров: потенциального ущерба и вероятности реализации угрозы. Однако достаточно «жесткий» механизм получения оценок риска существенно ограничивает возможности данной методики. Известны методики получения оценок риска с предварительным оцениванием трех ключевых параметров (метод CRAMM). Здесь кроме потенциального ущерба и вероятности реализации угрозы оценивается степень уязвимости АС. Можно говорить, что методика оценивания риска CRAMM по сравнению с методикой NIST является более конструктивной, поскольку она позволяет анализировать большее количество параметров по более точным шкалам. Однако по существу механизм вывода оценок рисков, представленный в CRAMM, остался табличным, то есть отражает только взаимосвязи между уровнями, определенными для шкал входных данных и величиной риска.
- Что такое информационное общество , основные положительные и отрицательные черты.
- Национальные интересы рф в информационной сфере.
- Интересы государства, общества и личности в информационной сфере.
- Законы рф «Об авторском праве и смежных правах».
- Законы рф «о правовой охране программ для эвм и баз данных».
- Классификация видов иб жизнедеятельности государства.
- Доктрина информационной безопасности.
- 10. Государственная и коммерческая тайны, конфиденциальная ин-ия.
- 11. Четыре основных принципа обеспечения информационной безопасности(отсутствует в конспекте)
- 12. Правовые аспекты информационной безопасности рф.
- 13. Источники угроз информационной безопасности рф.
- 14. Информация, основные свойства и характеристики(отсутствует в конспекте)
- 15. Основные методы определения объема информации(отсутствует в конспекте).
- 18. Доступность и ценность информации(отсутствует в конспекте).
- 19. История развития криптографии.
- 20. Классификация криптографических методов.
- 21. Криптографические методы с открытым ключом.
- 22. Классификация шифров замены
- 23. Блочные системы шифрования
- 24. Американский стандарт des
- 25. Стандарт шифровки гост 28147-89
- 26. Алгоритм обратимых методов(метод упаковки).
- 27. Алгоритм Хаффмана.
- 29. Методы сжатия с регулируемой потерей информации.
- 30. Криптосистемы с открытым ключом
- 31. Математическая основа криптографических систем с открытым ключом
- 34. Характерные свойства односторонних функций с секретом
- 35. Проблемы идентификации
- 36. Правила составления паролей
- 37. Электронная цифровая подпись
- 40. Личные идентификационные номера
- 42. Защита информации в пк
- 43. Защита информации в Windows
- 44. Компьютерные вирусы (способы заражения)
- 45. Антивирусы полифаги, программы-ревизоры
- 46. Защита информации в сетях эвм
- 50. Комплексный подход к обеспечению безопасности
- 51. Техническое обеспечение защиты процессов переработки информации
- 52. Автоматизированные системы контроля доступа
- 53. Системы оповещения
- 54. Системы опознования
- 55. Эффективность защиты и методология ее расчета