23. Структуризация объекта защиты и ее значение.

ХЕРНЯ КАКАЯ-ТО, НО ДРУГОГО Я НЕ НАШЕЛ : (

МНЕ ИСКРЕННЕ ЖАЛЬ, ЧТО ТЕБЕ ПОПАЛСЯ ЭТОТ ВОПРОС.

Первым шагом построения технологии управления, удовлетворяющей современным требованиям, является структуризация основных процессов управления, т. е. схематизация объектов, процессов или явлений до сте­пени однозначного определения каждого элемента.

Элемент процесса или явления считается структуриро­ванным, если он удовлетворяет следующим условиям: ;

1. Однозначность определения функционального на­значения объекта, процесса или явления;

2. Четкость и однозначность общей архитектуры объ­екта процесса или явления;

3. Простота внутренней организации объекта, процес­са или явления в целом, его составных частей и взаимосвя­зи между ними;

4. Стандартность и унифицированность внутренней структуры элементов их составляющих частей и взаимо­связей между ними;

5. Простота изучения структур и содержания элемен­тов любой их совокупности и взаимосвязей между элемен­тами;

6. Модульность, т. е. автономная организация элемен­тов, позволяющая стандартными способами объединять элементы в сложные структуры, а также заменять любые элементы или совокупность этих элементов;

7. Гибкость, т. е. возможность расширения и реоргани­зации элементов и их частей без изменения или несущест­венными изменениями других элементов;

8. Доступность для изучения элементов и их частей специалистами (инперсонификация).

Структуризация основных процессов технологии уп­равления является не только этапом разработки технологии управления, но и сама по себе позволяет в значительной степени повысить эффективность управления за счет раци­онализации и единой организации управления труда неза­висимо от степени использования в управлении средств ав­томатизации.

Поэтому под структурированной технологией управ­ления будем понимать управляемую совокупность при­емов, правил и методов осуществления всех процессов уп­равления.

24. Методология Хоффмана при определении эффективности защиты ис.

Метод экспертных структурных опросников.

Выделяют внешние угрозы:

• ^{Нарушение физической целостности}

• ^{Нарушение логической целостности}

• ^{Нарушение прав собственности на информацию}

• ^{И то и другое}

Каналы несанкционированного получения информации

Разливают несколько видов каналов

1. От источника информации и непосредственно доступе к данному источнику

2. Канал со средствами обработки информации при непосредственном НСД к ним

3. Каналы от источника информации без НСД и непосредственного доступа к нему

4. Каналы со средствами обработки информации без НСД.

Оценка эффективности по Хоффману (Оценка уязвимости)

Под уязвимостью понимают слабое место ИС с установленном барьерами защиты через которое возможно осуществление угрозы конфиденциальности, целостности и доступности информации.

Угрозы:

1. Сетевая разведка

2. Снифферинг пакетов

3. Атака непосредственно на информацию на сервере или рабочей станции с целью выявления целевой информации и нарушение ее конфиденциальности, целостности и доступности.

4. Атака на операционную систему через уязвимости и специализированное ПО.

Уязвимости:

1. Отсутствие системы мониторинга трафика

2. Отсутствие шифрования при передаче информации

3. Отсутствие системы обнаружения вторжений

4. Отсутствие системы контроля целостности

5. Использование портов, разрешенных в межсетевых экранах

6. Отсутствие заплаток

Модель системы защиты

Система зашиты по Хоффману - это конечный набор общих прав, это конечный набор исходных субъектов и исходных субъектов, конечный набор команд и интерпретаций для команд. В методологии хоффмана принято считать что характеристики объектов и субъектов СЗИ независимы друг от друга.

Предположил что Gi некоторая "хорошая" мера характеристики Fi, если Fi нет то Gi = 0

Wi -субъективный весовой коэффициент важности который мы присваиваем некоторой хар-ке Fi и некоторым экспертам

0£Gi£1 Wi>0

Линейный метод взвешивания и подсчета важности и тд как правило используются для вычисления степени обеспечения безопасности системы. Которая оценивается экспертом. В соответствии степень обеспечения безопасности вычисляется по формуле:

SR(s,r)= при

Как правило веса задаются отдельными экспертами при этом возникает проблема стандартизации веса того или иного коэффициента