Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4609 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
167.doc
Скачиваний:
6
Добавлен:
30.04.2022
Размер:
1.1 Mб
Скачать
►Содержание►

3.3. Построение и анализ математической модели организационно-правовых аспектов реализации и противодействия для информационных операций и атак

Перейдем к построению модели, которая позволит определить причиненный ущерб. Прежде необходимо обратить внимание на тот факт, что моделируемая система состоит, с одной стороны, из значительного количества узлов сети, каждый из которых выполняет определенные для него информационные функции, и множества субъектов защиты, взаимодействующих с технической подсистемой, с другой стороны. Для объектов и субъектов защиты определяется их ценность как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации, дезорганизации деятельности предприятия, нематериального ущерба и т.д.

На основе знакового графа воздействия технических угроз на объект защиты с учетом организационно-правовых аспектов ИОА рассмотрим процесс нарушения безопасности системы путем реализации ИОА и процесс защиты системы путем использования организационно-правовых и технических механизмов защиты.

На рис. 3.9 выделены контура (жирные линии), которые отображают благоприятную ситуацию для системы, когда ИОА не реализуются. На следующем графе (рис. 3.10) показаны действия нарушителя (пунктирные линии) при реализации ИОА и нарушении безопасности системы, а также действия по противодействию ИОА (жирные линии).

Итак, если при благоприятной ситуации дуги ОПО - Служба безопасности, ОПО – Подразделение ИБ, ОПО – Пользователи имеют положительный знак, то в случае нарушения организационно-правовых норм они поменяют его

Рис. 3.9. Граф с выделенными контурами, отображающими благоприятную картину для системы

Рис. 3.10. Граф, с выделенными контурами, отображающими реализацию и противодействие ИОА

на противоположный. Таким образом, здесь наблюдается импульсный процесс, при котором и происходит кратковременное изменение направленности и знаков дуг графа, генерируемое возможными угрозами. Эти изменения приводят к нарушению структурного баланса.

В то же время существуют контура, которые остаются неизменными как при благоприятной для системы ситуации, так и при нарушении ее безопасности. Этими контурами являются: ОПО – Пользователи – ОЗ, ОПО – ОЗ – СЗИ и ОПО – СЗИ – ИОА – Субъект, реализующий угрозы. Все эти контура сбалансированы и влияют на устойчивость системы в целом, поэтому построение математических моделей организационно-правовых аспектов ИОА будет основано на их детализации.

Процесс организационно-правовой защиты СТС предусматривает рассмотрение следующих множеств:

- А – конечное множество пользователей;

- Xi – конечное множество технических угроз;

- Ui – конечное множество правовых угроз;

- St – субъект, реализующий угрозы;

- Sj – субъект правовой защиты;

- Wij – оператор запуска процесса реализации угроз;

- Wjk – отображает ущерб после воздействия угрозы на субъект защиты;

- Р – конечное множество организационно-правовых норм;

- М – конечное множество законных прав пользователей;

- I – подмножество множества Xi, ИОА;

- Z – конечное множество СЗИ;

- С – конечное множество объектов защиты;

- К – конечное множество подразделений ИБ;

- L – конечное множество служб безопасности;

- Y – ущерб.

С учетом модели процесса воздействия правовой угрозы на субъект правовой защиты построим графы ОПО реализации и противодействия для ИОА.

Wjk

Рис. 3.11. Детализированный контур ОПО – Пользователи – ОЗ

Граф на рис. 3.11 представляет собой детализированный контур графа на рис. 3.10. Он показывает действие ОПО на пользователей и объект защиты, а также связи между субъектом, реализующим угрозу, субъектом правовой защиты, правовыми угрозами и ущербом, нанесенным системе.

Далее рассмотрим контур ОПО – ОЗ – СЗИ (рис. 5.10). На нем четко видно взаимосвязь организационно-правового обеспечения с элементами системы информационной безопасности (подразделение ИБ, служба безопасности).

Рис. 3.12. Детализированный контур ОПО - ОЗ - СЗИ

И, наконец, тот же контур с учетом реализации ИОА (рис. 3.13).

Рис. 3.13. Детализированный контур ОПО – СЗИ – ИОА – Субъект, реализующий угрозы

В результате детализации имеем математические модели организационно-правовых аспектов реализации и противодействия для ИОА.

Проанализировав математические модели можно сделать следующие выводы:

1. Реализация правовых и технических угроз неизменно приводит к ущербу.

2. ОПО действует как на субъекты правовой защиты, так и на субъекты, реализующие угрозы.

3. Действие ОПО постоянно во времени, в отличие от технических мер защиты.

4. ОПО является механизмом защиты, влияющим на величину ущерба.

5. Для эффективного снижения величины ущерба необходимо применять комплексные меры обеспечения ИБ: организационно-правовые и технические.

Учитывая данные выводы можно сделать некоторые предложения по оптимизации системы.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности