Математическое и программное обеспечение оценки рисков использования информационно-вычислительных систем Кононов Александр Анатольевич, к т.




НазваниеМатематическое и программное обеспечение оценки рисков использования информационно-вычислительных систем Кононов Александр Анатольевич, к т.
Дата конвертации07.04.2013
Размер445 b.
ТипПрезентации


Институт системного анализа Российской академии наук Математическое и программное обеспечение оценки рисков использования информационно-вычислительных систем Кононов Александр Анатольевич, к.т.н., с.н.с. Лаборатории системного анализа процессов информатизации


Работы по оценке рисков использования ИВС проводятся нами в рамках общих работ над общей теорией управления доверием к безопасности территориально-распределенных критически важных инфраструктур. В качестве основного в построении этой теории нами принят аксиоматический метод при использовании в качестве вспомогательных таких методов как моделирование, имитация, статистические методы, оптимизация.



Ступени развития теоретического знания на основе аксиоматического подхода

  • 1. Теории с нечетко сформулированными предпосылками (так называемые содержательные теории).

  • 2. Теории с четко выявленными аксиоматическими предпосылками, но не сформулированными в виде аксиом (так называемые неформальные теории).

  • 3. Теории с аксиомами, но без полностью и явно сформулированных правил вывода (так называемые неполностью формализованные теории).

  • 4. Теории с аксиомами и с правилами вывода (так называемые полностью формализованные (математические) теории).

  • Источник: Урманцев Ю.А. Начала общей теории систем // в сборнике «Системный анализ и научное знание». М., «Наука», 1978.



Развитие теоретического знания от состояния содержательной теории к состоянию полностью формализованной теории осуществляется путем: 1) построения систем аксиом, фиксирующих базовые предположения о соответствующей предметной области; 2) использования дедуктивного метода, позволяющего получать строгие (в смысле формальной логики) следствия из аксиом, определений и ранее доказанных утверждений; 3) принятия того, что новые утверждения могут формулироваться на основе гибкой логики, позволяющей рассматривать не только точные доказательства, но и правдоподобные рассуждения.



Место задач по оценке рисков в обеспечении ИБ ИВС



Место обеспечения доверия в системе обеспечения ИБ



Структура системы «РискМенеджер»



Принципиальные задачи, которые позволяет решать система «РискМенеджер». Задачи управления рисками доверия.

  • 1. Разработка профилей защиты



Принципиальные задачи, которые позволяет решать система «РискМенеджер». Задачи управления рисками доверия.

  • 2. Построение структурной модели оцениваемой системы



Принципиальные задачи, которые позволяет решать система «РискМенеджер». Задачи управления рисками доверия.

  • 3. Автоматизированное оперативное доведение требований до исполнителей и проведение мониторинг-контроля выполнения требований ИБ. Особая задача – межрегиональная синхронизация при изменении классов объектов.



Принципиальные задачи, которые позволяет решать система «РискМенеджер». Задачи управления рисками доверия.

  • 4. Проведение общего аудита информационной безопасности на соответствие требованиям ГОСТ Р ИСО/МЭК 15408, ИСО 17799, СТР-К и другим стандартам и системам требований, на основе которых строятся профили защиты



5. Оценка рисков доверия – рисков невыполнения требований

  • 5. Оценка рисков доверия – рисков невыполнения требований



Оценки рисков - индексы

  • Классическое определение индексов принадлежит Ф. Эджворту:

  • «Я предлагаю определить индексное число как число, приспособленное для того, чтобы своими вариациями указывать увеличение или уменьшение величины, не допускающей точного измерения».

  • Edgeworth F.Y. The plurality of index numbers. Economic Journal, 1925, v. 35, р. 379)



При использовании любой ИВС пользователь доверяя этой системе полагается на ее безопасность. Пусть значение показателя риска доверия пользователя ИВС определяется по 100-балльной (процентной) шкале. Например 100-процентный риск будет означать, что пользователь доверяя ИВС за год теряет 100 процентов своей собственности зависящей от ИВС. Предположим, что для обеспечения безопасности ИВС должно быть выполнено одно требование. Пусть возможно только два состояния – «выполнено» и «не выполнено» и оценка выполнения требования означает одно из двух - система функционирует «правильно» или «неправильно».

  • При использовании любой ИВС пользователь доверяя этой системе полагается на ее безопасность. Пусть значение показателя риска доверия пользователя ИВС определяется по 100-балльной (процентной) шкале. Например 100-процентный риск будет означать, что пользователь доверяя ИВС за год теряет 100 процентов своей собственности зависящей от ИВС. Предположим, что для обеспечения безопасности ИВС должно быть выполнено одно требование. Пусть возможно только два состояния – «выполнено» и «не выполнено» и оценка выполнения требования означает одно из двух - система функционирует «правильно» или «неправильно».

  • Тогда если требование выполнено, то риск пользователя будет нулевым. Если не выполнено – то риск будет 100-процентным и пользователь все потеряет.

















5. Оценка рисков доверия – рисков невыполнения требований

  • 5. Оценка рисков доверия – рисков невыполнения требований



Опасные сочетания невыполненных требований (ОСНТ)

  • При расчете оценок рисков доверия по предложенной методике полностью игнорируются связи, существующие между отдельными требованиями. Это объясняется тем, что методика ориентирована на решение задач оценки в больших организационных структурах, где количество требований, отнесенных к различным объектам и процессам может исчисляться десятками и сотнями тысяч. Определить зависимости между ними в приемлемые сроки не представляется возможным. К тому же, системы требований безопасности ИВС - это системы с нестабильным составом и структурой, что является следствием частых изменений в используемых технологиях и в средах использования этих технологий, перманентно формирующих новые уязвимости и угрозы, которые в кратчайшие сроки должны парироваться и закрываться новыми требованиями по безопасности. В тоже время, как правило, на практике любая система требований безопасности реализует "эшелонированную оборону" защищаемого объекта. Будем называть опасным сочетанием невыполненных требований (ОСНТ) такое их сочетание, наличие которого означает полную незащищенность объекта во всех "эшелонах обороны" от какого-либо типа угроз. Наличие ОСНТ должно расцениваться как неприемлемый уровень риска. Однако, предлагаемая методика в изложенном виде не дает гарантий того, что такой уровень риска будет зафиксирован (рассчитан) при наличии ОСНТ. Поэтому предложенная методика при ее реализации должна дополняться специальными процедурами идентификации ОСНТ на основании алгоритмов их распознавания.



Принципиальные задачи, которые позволяет решать система «РискМенеджер». Управление рисками доверия

  • 6. Выявление опасных

  • сочетаний невыполненных

  • требований (ОСНТ)



7. Выявление «узких» мест в обеспечении доверия к безопасности

  • 7. Выявление «узких» мест в обеспечении доверия к безопасности



8. Выявление источников рисков доверия.

  • 8. Выявление источников рисков доверия.



9. Построение моделей угроз и защиты.

  • 9. Построение моделей угроз и защиты.



10. Построение моделей событий рисков и обоснование значимости угроз

  • 10. Построение моделей событий рисков и обоснование значимости угроз



11. Оценка рисков нарушения безопасности

  • 11. Оценка рисков нарушения безопасности



12. Строить модели воздействия мер защиты и обосновывать значимость мер защиты

  • 12. Строить модели воздействия мер защиты и обосновывать значимость мер защиты



13. Построение вариантов комплексов мер защиты и их сравнение по критерию «эффективность-стоимость»

  • 13. Построение вариантов комплексов мер защиты и их сравнение по критерию «эффективность-стоимость»



14. Оценка остаточных рисков по комплексам мер

  • 14. Оценка остаточных рисков по комплексам мер



15. Отслеживать динамику состояния безопасности

  • 15. Отслеживать динамику состояния безопасности



16. Создание инфраструктуры управления безопасностью

  • 16. Создание инфраструктуры управления безопасностью



Проблемы решаемые с помощью системы «РискМенеджер»

  • Контроль и информированность о выполнении требований по безопасности. Контроль рисков доверия к безопасности. Полная картина состояния безопасности.

  • Преодоление тенденций к оптимизации за счет невыполнения требований по безопасности.

  • Быстрое реагирование на появление новых угроз, путем оперативного доведения требований до исполнителей.

  • Быстрое усвоение исполнителями требований по безопасности.

  • Готовность к любым внешним проверкам по безопасности.

  • Получение инструмента выбора и обоснования комплексов мер в области обеспечения безопасности.

  • Повышение качества инспекционного контроля и сокращение затрат на инспекционный контроль.



Прочитать о системе «АванГард» можно в книгах: 1. Петренко С.А., Петренко А.А. Аудит безопасности Intranet. Москва, ДМК Пресс, 2002. 2. Проблемы управления информационной безопасностью. Москва, УРСС, 2002. 3. Петренко С.А., Симонов С.В. Управление информационными рисками. Москва, Компания АйТи; ДМК Пресс, 2003.



Разработчик: Лаборатория системного анализа проблем информатизации Института системного анализа РАН Наш адрес в Internet:



Похожие:

Математическое и программное обеспечение оценки рисков использования информационно-вычислительных систем Кононов Александр Анатольевич, к т. iconДвойственность компетенций. Двойственность компетенций
В фгос 230400 в п было «…, их инструментальное (программное, техническое, организационное) обеспечение, …». Разработчики ос заменили...
Математическое и программное обеспечение оценки рисков использования информационно-вычислительных систем Кононов Александр Анатольевич, к т. iconОценка рисков и потребностей в структуре канадской системы ювенальной юстиции назначение Формы оценки рисков и потребностей
Пав, образование, склонность к проявлению насилия инструмент оценки рисков может часто использоваться в работе с малолетними или...
Математическое и программное обеспечение оценки рисков использования информационно-вычислительных систем Кононов Александр Анатольевич, к т. iconБраузер(обозреватель) — это программное обеспечение для Браузер(обозреватель) — это программное обеспечение для
Браузер(обозреватель) это программное обеспечение для Браузер(обозреватель) это программное обеспечение для Поиска и взаимодействие...
Математическое и программное обеспечение оценки рисков использования информационно-вычислительных систем Кононов Александр Анатольевич, к т. iconЮжный федеральный университет потенциал и направления развития информационных и электронных технологий Корецкий Александр Анатольевич
Корецкий Александр Анатольевич – начальник управления по научно-инновационной деятельности
Математическое и программное обеспечение оценки рисков использования информационно-вычислительных систем Кононов Александр Анатольевич, к т. iconАрхитектурные особенности вычислительных систем различных классов
По мере развития компьютеры суще­ственно уменьшились в размерах, но обросли дополнительным оборудованием, необходимым для их эффективного...
Математическое и программное обеспечение оценки рисков использования информационно-вычислительных систем Кононов Александр Анатольевич, к т. iconИсследования, разработка и модернизация вычислительных устройств и систем управления обеспечивающих работоспособность специализированных объектов в реальном масштабе времени
Исследования и разработка информационно – управляющих резервированных сетевых систем
Математическое и программное обеспечение оценки рисков использования информационно-вычислительных систем Кононов Александр Анатольевич, к т. iconOpen Source решения На чем можно сэкономить, внедряя erp какие бывают лицензии на по
Открытое программное обеспечение (англ open-source software) — программное обеспечение с открытым исходным кодом
Математическое и программное обеспечение оценки рисков использования информационно-вычислительных систем Кононов Александр Анатольевич, к т. iconНазвание: Компьютерное моделирование
Читается для специальностей: 010503 «Математическое обеспечение и администрирование информационных систем»
Математическое и программное обеспечение оценки рисков использования информационно-вычислительных систем Кононов Александр Анатольевич, к т. iconКлассификация многопроцессорных вычислительных систем Классификация многопроцессорных вычислительных систем
Дальнейшее разделение типов многопроцессорных систем основывается на используемых способах организации оперативной памяти
Математическое и программное обеспечение оценки рисков использования информационно-вычислительных систем Кононов Александр Анатольевич, к т. iconОпыт использования вычислительных систем сверхвысокой производительности Четверушкин Б. Н
В настоящее время пользователю стали доступны вычислительные системы с производительностью более 10 Tflops
Разместите кнопку на своём сайте:
dok.opredelim.com


База данных защищена авторским правом ©dok.opredelim.com 2015
обратиться к администрации
dok.opredelim.com
Главная страница