Обзор существующих методологий построения систем защиты информации

В основном методология обеспечения безопасности АС основана на концепциях анализа и управления рисками [30]. Основным недостатком существующих подходов к оценке рисков информационной безопасности является предположение об идеальной стойкости средств защиты.

Методологический подход к построению и оценке СЗИ с использованием системного анализа рисков основан на новых определениях остаточных уязвимостей, риска и ущерба [31]. Он предполагает проведение анализа взаимодействия элементов безопасности, характеризующих внешнюю среду, объект оценки и последствия этого взаимодействия. Анализ проводится в следующей последовательности: «угроза (действие) - уязвимость (фактор) - актив (объект защиты) - риск (возможность последствий) - ущерб (последствия) - контрмеры (противодействие) - остаточная уязвимость (остаточный фактор) - остаточный риск (остаточная возможность последствий) - остаточный ущерб (остаточные последствия) - достаточность защиты» [32].

Предполагается также, что средства защиты обладают конечной стойкостью и сами могут быть объектом реализации угроз безопасности.

В качестве показателя эффективности используется нечеткий средний ущерб от нарушения ИБ (формула 1.2.1):

где Рikj - возможность принятия состояния нарушения информационной безопасности ikj при реализации угрозы у, на активы а7, используя уязвимость ИС v*; Р, - вероятность появления угрозы у, ; - максимально возможный ущерб при состоянии ikj.

Использование данного подхода позволило разработать базовую модель ИС и подход к формированию типовых объектов оценки [31], методику разработки функциональных требований безопасности [31], базовую модель системы защиты с учетом ее подверженности воздействию угроз безопасности и требований безопасности, подход к классификации систем защиты [30, 31, 33], определять необходимый состав СЗИ и предъявлять требования к их стойкости [31, 34], разрабатывать и оценивать показатели защищенности на основе анализа рисков [35, 36], проводить комплексную оценку и ранжирование элементов безопасности [36, 37], предусмотреть управление рисками на протяжении всего жизненного цикла ИС (данный подход очень хорошо рассмотрен в различных работах А.П. Баранова, А.А. Шелупанова). Разработанная методика управления рисками информационной безопасности расширяет и дополняет концепции управления рисками, определяемые международными стандартами.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >