Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ответы КСЗИ пачти.doc
Скачиваний:
10
Добавлен:
09.12.2018
Размер:
353.79 Кб
Скачать

22.Моделирование объекта защиты

Заключается в построении образа (модели) системы, с определенной точностью воспроизводящего процессы, происходящие в реальной системе. Реализация модели позволяет получать и исследовать характеристики реальной системы.

Для оценки систем используются аналитические и имитационные модели. В аналитических моделях функционирование исследуемой системы записывается в виде математических или логических соотношений. Для этих целей используется мощный математический аппарат: алгебра, функциональный анализ, разностные уравнения, теория вероятностей, математическая статистика, теория множеств, теория массового обслуживания и т. д. При имитационном моделировании моделируемая система представляется в виде некоторого аналога реальной системы. В процессе имитационного моделирования на ЭВМ реализуются алгоритмы изменения основных характеристик реальной системы в соответствии с эквивалентными реальным процессам математическими и логическими зависимостями. Модели делятся также на детерминированные и стохастические. Модели, которые оперируют со случайными величинами, называются стохастическими. Так как на процессы защиты информации основное влияние оказывают случайные факторы, то модели систем защиты являются стохастическими. Моделирование объекта защиты с точки зрения КСЗИ является сложной задачей, потому что такие системы относятся к классу сложных организационно-технических систем, которым присущи следующие особенности:

  1. сложность формального представления процессов функционирования таких систем, главным образом, из-за сложности формализации действий человека;

  2. многообразие архитектур сложной системы, которое обуславливается многообразием структур ее подсистем и множественностью путей объединения подсистем в единую систему;

  3. большое число взаимосвязанных между собой элементов и подсистем;

  4. сложность функций, выполняемых системой;

  5. функционирование систем в условиях неполной определенности и случайности процессов, оказывающих воздействие на систему;

  6. наличие множества критериев оценки эффективности функционирования сложной системы;

  7. существование интегрированных признаков, присущих системе в целом, но не свойственных каждому элементу в отдельности (например, система с резервированием является надежной, при ненадежных элементах;

  8. наличие управления, часто имеющего сложную иерархическую структуру;

  9. разветвленность и высокая интенсивность информационных потоков. Для преодоления этих сложностей применяются: 1) специальные методы неформального моделирования; 2) декомпозиция общей задачи на ряд частных задач; 3) макромоделирование.

Вопрос 23. Моделирование угроз безопасности и.

1.определение реестра угроз в соответствии с целями и задачами защиты и здравым смыслом: сначала необходимо определить актуальность угроз. Определение реестра угроз – аналог составления Перечня: - опрос специалистов. – результаты передаем главным специалистам для анализа.

2.Создав реестр угроз, необходимо определить вероятные источники основных угроз, т.е. каждой угрозе ставим в соответствие определенный источник.

3.Затем определение моделей нарушителей (квалификация злоумышленника, оснащение, цели и способы действий).

По Торокину различаются группы моделей:

- моделирование физического проникновения(внешний, внутренний враг)

- моделирование ТКУИ.

4. Моделирование организационно-технических мероприятий по ЗИ.

5. Управление рисками: 4.1. Оценка рисков. Риск – вероятн6ость потерь, нанесения ущерба. Двухфакторный анализ: Ругрозы*Цинф., или Трехфакторный: Ругрозы*Цинф.*Руязвимости. 4.2. Выбор политики управления рисками. Наиболее часто применяемым инструментом риск-менеджмента является страхование. Страхование предполагает передачу ответственности за возмещение предполагаемого ущерба сторонней организации (страховой компании). Примерами других инструментов могут быть: отказ от чрезмерно рисковой деятельности (метод отказа), профилактика или диверсификация (метод снижения), аутсорсинг затратных рисковых функций (метод передачи),формирование резервов или запасов (метод принятия).

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.