- •Содержание
- •5. Методы и методики проектирования 35
- •Сокращения и обозначения
- •Введение
- •Теоретическая часть
- •Постановка проблемы коиб ас.
- •Состав компонентов ксиб.
- •Методология формирования задач
- •Интеграция средств информационной безопасности в технологическую среду.
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Сзи и общеметодологические принципы ее построения. Основы архитектурного построения
- •Методология проектирования сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним
- •Этапы проектирования ксоиб и требования к ним
- •Типовая структура комплексной сзи от нсд
- •Методы и методики проектирования
- •Методика выявления возможных каналов нсд
- •Последовательность работ при проектировании комплексной сзи от нсд и утечки за счет пэмин
- •Методы и методики проектирования
- •Моделирование как инструментарий проектирования
- •Методика построения административного управления ксоиб
- •Методы и методики оценки качества ксиб
- •Методы неформального оценивания
- •Методы экспертных оценок
- •Методы экспертно-лингвистических оценок
- •Неформальные методы поиска оптимальных решений
- •Декомпозиция общей задачи на ряд частных
- •Макромоделирование
- •Анализ и оценка рисков в ас
- •Требования к эксплуатационной документации ксиб
- •Справочно-информационные документы
- •Стандарты
- •Инструкции
- •Аттестация по требованиям безопасности
- •Планирование
- •Сбор информации
- •Базовый анализ
- •Детальный анализ
- •Подготовка отчетных документов по результатам аттестации
- •Аккредитация
- •Особенности эксплуатации ксиб на объекте защиты
- •Организационно-функциональные задачи сб
- •Ведение специальной информационной базы данных ксиб
- •Мониторинг и контроль состояния окружающей среды
- •Практическая часть
- •Постановка проблемы коиб ас. Состав компонентов ксиб. Методология формирования задач зи Виды информации и ее носители
- •Множество функций защиты
- •Интеграция средств информационной безопасности в технологическую среду. Этапы и особенности проектирования ксиб на современном уровне и требования к ним Анализ решения задач зи
- •Возможные варианты сзи
- •Этапы и особенности проектирования ксиб на современном уровне и требования к ним. Типовая структура комплексной сзи от нсд Общие рекомендации по формированию требований к зи
- •Методы и методики проектирования Анализ рисков
- •Определение ценности ресурсов
- •Оценка характеристик факторов риска
- •Оценивание уровней рисков
- •Разделение рисков на приемлемые и не приемлемые
- •Методы и методики проектирования Модели систем и процессов зи Модель сзи
- •Модель hru
- •Основные положения неформальных теорий Основные положения теории нечетких множеств
- •Основные положения теории конфликтов
- •Основные положения теории вероятностных автоматов
- •Основные понятия неформальной теории систем
- •Формально-эвристические методы
- •Основные понятия нестрогой математики
- •Метод Монте-Карло
- •Ранжирование
- •Метод Терстоуна
- •Минимаксный подход к определению качества.
- •Программа «Оценка сзи»
- •Требования к эксплуатационной документации ксиб. Аттестация по требованиям безопасности Ведомость эд
- •Формуляр
- •Руководство по техническому обслуживанию
- •Рд, используемые при аттестации ас
- •Особенности эксплуатации ксиб на объекте защиты Права начальника отдела режима и охраны:
- •Права работников сектора режима:
- •Ведение специальной ибд ксиб. Мониторинг и контроль состояния окружающей среды
- •Ас радиационно-экологического мониторинга (постоянного слежения) МосНпо «Радон»
- •Библиографический список
Оценивание уровней рисков
Рассмотрим пример метода, построенного на использовании таблиц и учитывающий только стоимостные характеристики ресурсов:
количественные показатели информационных ресурсов оцениваются на основании опросов сотрудников (владельцев информации) – тех, кто может оценить ценность информации, определить ее характеристики и степень критичности;
на основе результатов опроса производится оценивание показателей и степени критичности информационных ресурсов для наихудшего варианта развития событий;
рассматривается потенциальное воздействие на процесс при возможном НСД к информации, изменении информации, отказе от выполнения обработки информации, недоступности на различные сроки и разрушении;
разрабатывается система показателей в балльных шкалах (пример – 4-хбальная шкала (от 0 до 4), приведенная ниже).
Показатель ресурса
Показатель частоты
0
1
2
3
4
0
оценка показателя в 4-хбальной шкале (от 0 до 4)
…
4
по каждой группе ресурсов, связанной с данной угрозой, оценивается уровень последней (вероятность реализации) и степень уязвимости (легкость, с которой реализованная угроза способна привести к негативному воздействию). Оценивание производится в качественных шкалах. Например, уровень угроз и уровень уязвимостей можно оценить по шкале «высокий-средний-низкий»;
Информацию собирают, опрашивая сотрудников, занимающихся техническими вопросами, и анализируя документацию.
Уровни риска определяются тремя параметрами: ценностью ресурса, уровнями угрозы и уязвимости. Каждому значению уровня риска должно быть поставлено в соответствие описание, позволяющее однозначно его трактовать разным людям и понимать, где проходит граница между значениями. Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:
– риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик.
– риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.
…
– риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.
Пример матрицы:
Ценность ресурса |
Уровень угрозы |
||||||||
Низкий (Н) |
Средний (С) |
Высокий (В) |
|||||||
Уровни уязвимости |
|||||||||
Н |
С |
В |
Н |
С |
В |
Н |
С |
В |
|
0 |
показатель риска в шкале от 0 до 8 |
|
|
|
|
|
|
|
|
… |
|
|
|
|
|
|
|
|
|
Для каждого ресурса рассматриваются относящиеся к нему уязвимые места и соответствующие им угрозы. Если уязвимость существует, но нет связанной с ней угрозы или существует угроза, не связанная с какими-либо уязвимыми местами, то в такой ситуации рисков нет. Однако надо иметь в виду, что в дальнейшем ситуация может измениться.
Каждая строка в матрице определяется показателем ресурса, а каждый столбец – степенью опасности угрозы и уязвимости. Например, ресурс имеет ценность 3, угроза имеет степень «высокая», а уязвимость – «низкая». Показатель риска в данном случае будет равен 5. В случае, когда ресурс имеет ценность 2, например, для модификации, уровень угрозы – низкий, а уязвимости, напротив, высокий, показатель риска равен 4. Размер матрицы, учитывающей количество степеней угроз и уязвимостей, категорий ресурсов, может быть другим и определяется конкретной организацией. После того как оценивание рисков было выполнено первый раз, его результаты обычно сохраняют в базе данных. В дальнейшем проводить повторное оценивание будет значительно легче.