Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Основы защиты информации(Герасименко,Малюк).doc
Скачиваний:
132
Добавлен:
18.05.2021
Размер:
5.93 Mб
Скачать

3.3. Цели и задачи оценки угроз информации

Оценка угроз, естественно, должна заключаться в определении зна­чений тех показателей, которые необходимы для решения всех задач, свя­занных с построением и эксплуатацией механизмов зашиты информации. Тогда общую задачу оценки угроз можно представить совокупностью следующих составляющих:

  1. обоснование структуры и содержания системы показателей, не­ обходимых для исследования и практического решения всех задач, свя­ занных с защитой информации;

  2. обоснование структуры и содержания тех параметров, которые оказывают существенное влияние на значения показателей уязвимости информации;

Глава 3 j

  1. разработка комплексов моделей, отображающих функциональ­ ные зависимости показателей от параметров и позволяющих определять значения всех необходимых показателей уязвимости информации во всех представляющих интерес состояниях и условиях жизнедеятельности АСОД;

  2. разработка методологии использования моделей определения значений показателей уязвимости при исследовании и практическом ре­ шении различных вопросов защиты, или иначе - разработка методологии оценки уязвимости информации.

В следующих параграфах данной главы излагаются методы реше­ ния перечисленных составляющих задач. :

3.4. Система показателей уязвимости информации

Для системной оценки уязвимости информации в АСОД необходи­мы показатели, которые отражали бы все требования к защите информа­ции, а также структуру АСОД, технологию и условия автоматизирован­ной обработки информации.

Уязвимость информации необходимо оценивать в процессах разра­ботки и внедрения АСОД, функционирования АСОД на технологических участках автоматизированной обработки информации, функционирова­ния АСОД независимо от процессов обработки информации. Уязвимость информации в процессе разработки и внедрения АСОД обусловливается уязвимостью создаваемых компонентов системы и баз данных. Особое значение на данной стадии имеет минимизация уязвимости программно­го обеспечения, поскольку от этого существенно зависит общая уязви­мость информации в АСОД.

Условия автоматизированной обработки информации характери­зуются, главным образом, совокупностью следующих параметров: струк­турой АСОД, чем определяется состав, подлежащих защите объектов и элементов; наличием и количеством дестабилизирующих факторов, по­тенциально возможных в структурных компонентах АСОД; количеством и категориями лиц, которые могут быть потенциальными нарушителями статуса защищаемой информации; режимами автоматизированной обра­ботки информации.

Уязвимость информации в процессе функционирования АСОД не­зависимо от процесса обработки информации обусловливается тем, что

Угрозы и методология оценки уязвимости информации

современные АСОД представляют собою организационную структуру с высокой концентрацией информации, которая может быть объектом слу­чайных или злоумышленных воздействий даже в том случае, если автома­тизированная обработка ее не осуществляется.

Поскольку воздействие на информацию различных факторов в зна­чительной мере является случайным, то в качестве количественной меры уязвимости информации наиболее целесообразно принять вероятность нарушения защищаемых характеристик ее при тех условиях сбора, обра­ботки и хранения, которые имеют место в АСОД, а также потенциально возможные размеры (математическое ожидание) нарушения защищен­ности информации. Конкретное содержание показателей уязвимости для различных видов защиты приведено в табл. 3.2.

Основными параметрами, определяющими вероятность нарушения защищенности информации, являются: количество и типы тех структур­ных компонентов АСОД, в которых оценивается уязвимость информа­ции; количество и типы случайных дестабилизирующих факторов, кото­рые потенциально могут проявиться и оказать негативное воздействие на защищаемую информацию; количество и типы злоумышленных дестаби­лизирующих факторов, которые могут иметь место и оказать воздействие на информацию; число и категории лиц, которые потенциально могут быть нарушителями правил обработки защищаемой информации; виды защищаемой информации. В качестве возможных значений перечислен­ных параметров целесообразно принять следующие: "один одного типа" (вида, категории), "заданная совокупность" и "все всех типов" (видов, ка­тегорий).

Основанием именно для такой структуризации послужили следую­щие обстоятельства:

  1. значение "один одного типа" необходимо для оценки уязвимости защищаемой информации в отдельном компоненте АСОД и относитель­ но какого-то дестабилизирующего фактора в его единичном проявлении;

  2. значение "заданная совокупность" необходимо для обеспечения возможностей оценки уязвимости информации в некоторой выделенной части компонентов АСОД, представляющих самостоятельный интерес в условиях обработки информации. Типичным примером такой задачи яв­ ляется оценка уязвимости информации на вполне определенном техноло­ гическом маршруте автоматизированной обработки;

  3. значение "все всех типов" необходимо для обобщенных, инте­ гральных оценок уязвимости информации.