На бирже курсовых и дипломных проектов можно найти образцы готовых работ или получить помощь в написании уникальных курсовых работ, дипломов, лабораторных работ, контрольных работ, диссертаций, рефератов. Так же вы мажете самостоятельно повысить уникальность своей работы для прохождения проверки на плагиат всего за несколько минут.

ЛИЧНЫЙ КАБИНЕТ 

 

Здравствуйте гость!

 

Логин:

Пароль:

 

Запомнить

 

 

Забыли пароль? Регистрация

Повышение уникальности

Предлагаем нашим посетителям воспользоваться бесплатным программным обеспечением «StudentHelp», которое позволит вам всего за несколько минут, выполнить повышение уникальности любого файла в формате MS Word. После такого повышения уникальности, ваша работа легко пройдете проверку в системах антиплагиат вуз, antiplagiat.ru, etxt.ru или advego.ru. Программа «StudentHelp» работает по уникальной технологии и при повышении уникальности не вставляет в текст скрытых символов, и даже если препод скопирует текст в блокнот – не увидит ни каких отличий от текста в Word файле.

Результат поиска


Наименование:


реферат Автоматизация построения профилей защиты с использованием комплексной экспертной системы "АванГард"

Информация:

Тип работы: реферат. Добавлен: 15.09.2012. Сдан: 2011. Страниц: 6. Уникальность по antiplagiat.ru: < 30%

Описание (план):


МИНИСТЕРСТВО  ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Федеральное государственное образовательное  учереждение высшего профессионального  образования
«Алтайский  государственный университет»
ФИЗИКО-ТЕХНИЧЕСКИЙ  ФАКУЛЬТЕТ
Кафедра прикладной физики, электроники и КОИБ 
 
 
 

Автоматизация построения профилей защиты с использованием комплексной экспертной системы "АванГард"

              Выполнил:

                    Студент 4 курса 587 группы
                    Смолин  А.Е.         
                    Проверила:
                    Минакова  Н.Н.         
                            
                                                
                     

 Барнаул 2011 г 

                  "Не  давайте себя одурачить болтовней  о технологиях. Решение проблемы  обеспечения информационной безопасности  кроется в обеспечении адекватного  управления ею"
                    Стивен Кац, руководитель службы защиты информации Citibank1[1]  

      Комплексная экспертная система управления информационной безопасностью «АванГард» является программным продуктом, предназначенным для решения задач управления безопасностью в больших территориально-распределенных автоматизированных информационных системах (АИС), и призвана облегчать задачи контроля центральными структурами уровня обеспечения информационной безопасности на местах.
      Типовой пакет программных средств КЭС  «АванГард» включает в себя два программных  комплекса: «АванГард-Анализ» и «АванГард-Контроль». Основной функцией первого комплекса является обеспечение формирования по возможности наиболее полного набора требований к безопасности всех составляющих АИС организации, бизнес и технологических процессов. Эта задача решается путем построения моделей угроз, моделей событий рисков, моделей и профилей защиты (ПЗ), моделей комплексов мероприятий, расчета начальных и остаточных (после выполнения того или иного комплекса мероприятий) рисков.
     Программный комплекс «АванГард-Контроль», в свою очередь, состоит из двух частей - программного комплекса (ПК) "АванГард-Центр" и ПК "АванГард-Регион". Первый предназначен для: разработки профилей защиты (ПЗ); подготовки и рассылки ПЗ посредством электронной почты по подконтрольным региональным  частям АИС; для автоматизированного сбора отчетности о выполнении требований безопасности в регионах; для оценки рисков невыполнения требований безопасности в АИС; для идентификации узких мест в защите. Второй - для получения профилей защиты (ПЗ) в регионах; для автоматизации ведения в регионах  отчетности о выполнении ПЗ и для отсылки этой отчетности по электронной почте в Центр, где она должна в автоматическом режиме обрабатываться  ПК "АванГард-Центр".
     Таким образом, программный комплекс «АванГард-Анализ» призван играть вспомогательную роль в решении задач управления ИБ, а именно, обеспечивать полноценный всесторонний анализ, позволяющий сформулировать обоснованный набор целей безопасности, обосновать политику безопасности, гарантировать полноту требований безопасности, контроль выполнения которых нужно осуществлять. На практике, часто требования для ПК «АванГард-Контроль» формируются без использования комплекса «АванГард-Анализ». При этом работающие с ПК "АванГард-Центр" эксперты руководствуются собственным опытом и требованиями, сформулированными в официальных документах Гостехкомиссии РФ, других нормативных документах, приказах, должностых инструктциях, руководствах и иных  документах, в которых закреплена политика безопасности  АИС.
      Одной из вспомогательных функций, возможность  выполнения которой заложено как в комплексе «АванГард-Анализ», так и в комплексе «АванГард-Центр», является построение профилей защиты на основании требований сформулированных в ГОСТ Р ИСО/МЭК 15408-2002. Основное отличие в методологиях построения ПЗ с использованием ПК «АванГард-Анализ» и ПК «АванГард-Центр» состоит в том, что в первом комплексе построение ПЗ осуществляется через построение моделей угроз, где каждое из требований зафиксированных в ГОСТ Р ИСО/МЭК 15408-2002 рассматривается через призму угроз, которые при его соблюдении могут быть в той или иной степени парированы, и через анализ рисков, которые могут быть в результате соблюдения этого требования снижены. При использовании ПК «АванГард-Контроль» требования, содержащиеся в ГОСТ Р ИСО/МЭК 15408-2002 формируются в виде ПЗ экспертами, опирающимися на имеющиеся у них знания, опыт и на данные анализа предварительно проведенного с использованием ПК "АванГард-Анализ". Оба программных комплекса позволяют фиксировать требования с указанием дополнительных условий, взаимосвязей  и взаимозависимостей требований. Оба позволяют, строить типовые профили защиты и использовать их в качестве шаблонов для построения новых профилей. Оба позволяют дополнять требования, сформированные на основе ГОСТ Р ИСО/МЭК 15408-2002  требованиями касающимися административных мер (организационных мер, подбора, подготовки, обеспечения персонала), мер процедурного и физического контроля. Формат журнальной статьи не дает возможности представить методику проведения предварительного анализа требований с использованием ПК "АванГард-Анализ" из-за ее объема и сложности. Желающие могут ознакомиться с возможностями это комплекса в изданиях [1,2].  Далее рассматривается методика построения ПЗ с помощью ПК «АванГард-Центр».  

Разработка  профилей защиты с  помощью ПК «АванГард-Центр»

   
      Разработка  профилей защиты в ПК «АванГард-Центр» проводится в разделе ведения  Каталогов программного комплекса. Изначально в КЭС «АванГард» было определено несколько ключевых концепций, таких как Метакласс, Класс, Мера, Требование. Метаклассы предназначены для группировки классов по каким-либо определенным признакам. Классы определяют классы объектов для которых формируются типовые наборы требований (профили защиты). Меры  определяют функциональные классы  и классы гарантий требований в терминологии ГОСТ Р ИСО/МЭК 15408-2002. Требования, включают функциональные семейства, семейства гарантий, функциональные компоненты, компоненты гарантий, функциональные элементы и элементы гарантий, как они определены в ГОСТ Р ИСО/МЭК 15408-2002. 
     Для профилей защиты создаваемых на основе ГОСТ Р ИСО/МЭК 15408-2002 в Каталогах ПК "АванГард-Центр" определен метакласс «Требования и профили защиты по ГОСТ Р ИСО/МЭК 15408-2002» (рис. 1). В этом метаклассе создан один «базовый» класс, который включает в себя все требования содержащиеся в ГОСТ Р ИСО/МЭК 15408-2002  (рис. 2), как функциональные, так и требования гарантий безопасности.  


Рис.1. Состав метакласса «Требования и профили защиты по ГОСТ Р ИСО/МЭК 15408-2002» в ПК "АванГард-Центр"   


Рис.2. Состав класса «Требования ГОСТ Р ИСО/МЭК 15408-2002» в ПК "АванГард-Центр"
      По  каждому из уровней в нижней правой части формы показывается подробная информация относящаяся к выбранной записи Каталога. На рис. 3 представлен вид того, как выглядит набор Требований по Мере в ПК "АванГард-Центр", при этом  курсор был умышленно зафиксирован на записи с требованием FAU_GEN.1,  с тем,  что бы далее отследить как шаблон требования, представленный в поле «Информация» будет преобразован из формы содержащей указания на необходимость определения списков назначения, в форму, в которой указанные списки будут определены для конкретного профиля защиты.   


Рис.3. Состав Требований по Мере (функциональному  классу) в ПК "АванГард-Центр"  

      Профили защиты по ГОСТ Р ИСО/МЭК 15408-2002 строятся следующим образом. Средствами ПК "АванГард-Центр" делается копия класса «Требования ГОСТ Р ИСО/МЭК 15408-2002». Далее выполняется операция «Вставить как шаблон профиля защиты» в метакласс «Требования и профили защиты по ГОСТ Р ИСО/МЭК 15408-2002». При этом предлагается изменить название класса. Предположим, что название класса было изменено на следующее: «Система с разграничением доступа – Профиль защиты». После выполнения этой операции будет создан шаблон, который путем последовательного анализа требований корректируется с тем, что бы в нем остались только те Меры и Требования, которые отвечают целям безопасности, задаваемым для того типа объектов, для которого строится этот профиль защиты (Рис. 4). Все ненужные в данном профиле защиты меры и требования удаляются. В оставшихся - содержимое корректируется таким образом, что бы оно отвечало целям обеспечения безопасности заданного типа объектов. 

Рис.4. Профиль  защиты для систем с разграничением доступа (ПЗ СРД), в котором убраны все записи с функциональными  классами и классами гарантий, которые  не отвечают целям безопасности ПЗ СРД  

      На  рис.5 можно видеть, как было изменено и конкретизировано требование FAU_GEN.1 в профиле защиты для систем с разграничением доступа (ПЗ СРД). 
      В рассмотренном примере в качестве шаблона использовался полный набор  требований ГОСТ Р ИСО/МЭК 15408-2002, но в принципе в качестве шаблона для создания нового профиля можно использовать и любой другой из уже готовых профилей защиты, из которого можно не только удалять ненужные Меры и Требования, но и при необходимости добавлять новые а так же изменять их для достижения нужной степени адекватности целям обеспечения безопасности, которым должен удовлетворять новый ПЗ.    
 
 


Рис. 5. Конкретизации  требования FAU.GEN1.1 общих критериев в ПЗ СРД  

      Созданные профили защиты могут быть либо распечатаны на бумаге, либо экспортированы в файл формата редактора WinWord.  Фрагмент генерируемого отчета представлен на рис. 6.  


Рис. 6.  Фрагмент отчета «Профиль защиты», генерируемого ПК "АванГард-Центр"   

      Разрабатываемые в системе ПК "АванГард-Центр"  профили защиты могут использоваться, для занесения в структурную  модель оцениваемой системы объектов, которые должны оцениваться по заданному ПЗ. Создание таких объектов (ОО) проводится путем выполнения операции «перетаскивания» (“drug and drop”) нужного профиля защиты на ту составляющую структурной модели, в качестве элемента которой должен быть показан объект, безопасность которого будет оцениваться по выбранному  ПЗ. Результат такого рода операции и пример оценок, отражающих фиксацию фактов выполнения отдельных требований, показан на рис. 6.  


Рис. 7. Пример оценки выполнения требований ПЗ по конкретному  оцениваемому объекту  

      По  результатам оценки выполнения требований ПЗ по отдельным ОО  "АванГард-Центр"  позволяет оценить риски невыполнения требований в информационной системе. Пример представления в виде гистограмм оценок рисков невыполнения требований представлен на рис. 8. Чем больше требований не выполняется, тем больше риски, тем выше столбики гистограммы. В рассмотренном примере, значимости отдельных требований приняты одинаковыми, но, в принципе, можно задавать различные значения, отражающие реальную важность отдельных требований для обеспечения безопасности ОО.  


Рис. 8. Пример графической иллюстрации оценок рисков невыполнения требований ПЗ  в ПК "АванГард-Центр"  

      Таким образом, КЭС «АванГард» позволяет, не только автоматизировать процесс  разработки профилей защиты в соответствии с ГОСТ Р ИСО/МЭК 15408-2002, но  и дает возможность их  использования для оценки выполнения этих требований в информационных системах организации.   

Список  литературы

   
    Петренко С.А., Петренко А.А. Аудит безопасности Intranet – М.: ДМК Пресс, 2002.
    Проблемы управления информационной безопасностью: Сб. трудов. - М.: Едиториал УРСС, 2002.
 
 
 
В Институте  системного анализа Российской академии наук разработана методология, включающая комплекс методик:
1. идентификации  критически важных сегментов  и объектов информационной инфраструктуры  на основе анализа и оценки  рисков нарушения информационной  безопасности автоматизированных информационных систем (АИС);
2. управления  рисками нарушения информационной  безопасности больших компьютеризированных  организационных систем;
3. построения  системы требований информационной  безопасности критически важных  сегментов и объектов АИС; 
4. мониторингового  контроля над состоянием критически  важных сегментов и объектов  АИС. 
Методология базируется на использовании комплексной экспертной системы (КЭС) "АванГард", позволяющей  автоматизировать применение перечисленных  методик и использовать их для управления информационной безопасностью больших распределенных компьютерных систем самого разного профиля.
Структура и функции системы "АванГард"
КЭС "АванГард" включает в себя два программных  комплекса (ПК) – "АванГард-Анализ" и "АванГард-Контроль". На рис. 1 представлена схема, отражающая состав и основные функциональные возможности КЭС "АванГард" и входящих в нее программных комплексов. 
 


Рис. 1. Состав и основные функциональные возможности  КЭС "АванГард". 

ПК "АванГард-Анализ" позволяет построить структурную модель АИС, модель угроз и модель событий рисков, связанных с отдельными составляющими АИС и, таким образом, выявить те сегменты и объекты, риск нарушения безопасности которых является неприемлемым, то есть критическим. Помимо этого, ПК "АванГард-Анализ" позволяет построить модель защиты – систему мер и требований, которые должны выполняться, чтобы обеспечить безопасность АИС, а также выработать оптимальный комплекс мероприятий по защите.
ПК "АванГард-Контроль" позволяет проводить мониторинг-контроль выполнения требований по защите критических сегментов АИС и определять "узкие" места в защите и обеспечении безопасности АИС.
Возможные решения по использованию  КЭС "АванГард" в системах управления информационной безопасностью 
Возможны различные  системные решения использования  КЭС "АванГард". Входящие в КЭС программные комплексы могут использоваться совместно или может использоваться любой из них. Рассмотрим типовой вариант совместного использования комплексов.
На рис. 2 представлена схема использования КЭС "АванГард" для оценки рисков нарушения информационной безопасности (ИБ) АИС и определение ее критических составляющих. 
 


Рис. 2. Оценка рисков нарушения  информационной безопасности (ИБ) АИС и определение. 

Построение структурной  модели АИС в КЭС "АванГард" осуществляется путем описания иерархической  структуры АИС и идентификации  объектов АИС в БД структурных  моделей. Идентификация объектов выполняется путем указания их положения в структурной модели и определения их класса по списку справочной БД (СБД) классов объектов КЭС "АванГард". Поэтому до построения структурной модели необходимо добиться полноты используемых СБД.
В качестве объектов структурной модели АИС идентифицируются информационные ресурсы, процессы обработки  информации, средства и системы (программные  и технические) обработки информации, подсистемы, локальные среды (здания, части зданий, отдельные помещения, в которых расположены ресурсы АИС), регионы, в которых находятся сегменты территориально-распределенных АИС, АИС в целом. Основным критерием включения в структурную модель в качестве объекта той или иной составляющей является наличие угроз возможного нарушения их безопасности, причем таких, которые не могут быть отнесены на какой-либо из компонентов рассматриваемого объекта, поскольку в данном случае этот компонент сам должен быть идентифицирован в структурной модели как объект.
С каждым из классов  объектов КЭС "АванГард" связан массив угроз из БД угроз по классам объектов. Таким образом, отнесение отдельного объекта АИС к определенному классу, информация о котором имеется в КЭС "АванГард", приводит к тому, что с построением структурной модели автоматически строится и модель угроз для всех составляющих АИС. Поскольку эта модель содержит все известные для указанного класса объектов угрозы, многие из которых, в силу конкретной реализации и существующих систем защиты, могут не рассматриваться в качестве значимых для конкретной составляющей АИС, то эту модель угроз было решено назвать "нормативной", в отличие от модели "значимых" угроз, которая формируется на последующих этапах использования КЭС "АванГард".
Для того, чтобы  выявить значимость угроз, входящих в состав нормативной модели, необходимо рассмотреть события риска, которые могут возникнуть в результате реализации этих угроз. Как правило, каждое событие риска есть результат реализации ни какой-либо одной, а некоторой совокупности угроз. Это дает возможность путем анализа одного события риска выявить значимость не одной, а сразу нескольких угроз. Нормативная модель угроз должна быть достаточно полна для того, чтобы обеспечить построение адекватных по составу угроз моделей событий рисков.
Анализ возможного события риска, осуществление которого происходит в результате реализации определенного комплекса угроз, позволяет дать оценки вероятности события риска и цены риска. Совокупность описания события риска, перечня угроз, которые могут привести к его реализации, оценок вероятности события риска и цены риска, а также аналитическое обоснование данных оценок составляют то, что в данной методологии называется моделью события риска. Такие модели должны быть построены по каждому возможному с точки зрения экспертов событию риска.
При оценке ущерба, связанного с событием риска, часто  возникает вопрос: как оценить  нематериальный ущерб? Для этих целей  в комплексе реализована методика кардинального ранжирования рисков по экспертным оценкам их опасности. При этом в качестве базовой рассматривается шкала, построенная на основе оценок опасности рисков, по которым вся их "опасность" сводится к возможному материальному ущербу. Базовая шкала строится в начале анализа, до рассмотрения событий рисков с нематериальной оценкой ущерба. После того, как базовая шкала будет построена, предлагается абстрагироваться от того факта, что она строилась на основе стоимостных оценок, и считать ее выражением степени опасности событий рисков. Если степень опасности какого-либо из событий рисков с нематериальным ущербом будет превосходить базовую шкалу, то она может по необходимости достраиваться вверх. Таким образом удается не только сопоставить материальные и нематериальные риски, но и получить стоимостную экспертную оценку нематериальных рисков.
На основе данных, полученных при построении моделей  событий рисков, программный комплекс "АванГард-Анализ" дает возможность  получить оценки уровня рисков по всем критическим сегментам и по их структурным составляющим и, таким образом, выявить среди них те, с которыми связаны наибольшие риски. Такого рода составляющие идентифицируются как "критические" и по ним должен осуществляться контроль защищенности с помощью программного комплекса "АванГард-Контроль". Помимо этого, проведенный анализ позволяет сформировать модель значимых угроз АИС с указанием уровня значимости (важности, критичности) каждой из угроз. Те угрозы, которые не были задействованы ни в одной из моделей событий рисков, признаются незначимыми и в дальнейшем в расчет не принимаются.
Как указывалось  выше, одной из задач управления информационной безопасностью является задача определения мер и требований обеспечения ИБ АИС. На рис. 3 представлена схема определения значимых мер и требований и выбора оптимального комплекса мероприятий по повышению информационной безопасности АИС. 
 


Рис. 3. Определение значимых мер и требований и выбор оптимальных  комплексов мероприятий  по повышению информационной безопасности АИС. 

Работа по определению  возможных мер защиты начинается с построения нормативной модели защиты, то есть модели, в которой указываются все возможные меры защиты и противодействия угрозам, включенным в модель значимых угроз. В программном комплексе "АванГард-Анализ" эта задача решается автоматически путем использования БД возможных мероприятий, мер и требований по защите от угроз нарушения информационной безопасности КЭС "АванГард".
Следующим шагом  должно стать определение значимости возможных мероприятий и мер  защиты. Эта задача решается путем анализа того, как изменятся модели событий рисков в случае применения каждой из рассматриваемых мер. Должны быть получены новые оценки цены риска и вероятности события риска для случая, если анализируемая мера (возможно, в комплексе с какими-то другими мерами) будет применена. На основе данных оценок определяется значимость каждого из возможных мероприятий и мер защиты и система "АванГард-Анализ" автоматически строит модель значимых мероприятий, мер и требований защиты АИС.
Далее строятся и анализируются возможные варианты комплексов мероприятий по защите. При наличии оценок стоимости этих мероприятий проводится выбор наилучшего комплекса по критерию "эффективность-стоимость". При этом в качестве показателей эффективности используются рассчитываемые системой "АванГард-Анализ" значения ожидаемого снижения рисков и уровней остаточных рисков.
На рис. 4 представлена схема контроля соблюдения требований обеспечения безопасности АИС с  помощью КЭС "АванГард". 
 


Рис. 4. Контроль за выполнением  требований обеспечения  ИБ. 

Как было показано выше, при решении задач оценки и анализа рисков удается идентифицировать критические составляющие АИС. Их перечень является основой для построения структурной модели критических составляющих АИС в системе "АванГард-Контроль".
Для полноты  структурной модели критических  составляющих следует добавить те объекты, которые изначально хорошо защищены и потому не идентифицируются как критические системой "АванГард-Анализ", но в виду их особой значимости требуют постоянного контроля уровня обеспечения их безопасности. По каждой из критических составляющих должен быть построен профиль защиты, то есть определена система мер и требований, которые должны выполняться, чтобы обеспечить защищенность соответствующего объекта или системы. В системе "АванГард-Контроль" процесс построения профиля защиты максимально автоматизирован благодаря наличию в ней БД мер и требований ИБ по классам критических объектов.
В АИС должен быть организован постоянный мониторинг выполнения мер и требований по защите. Полученные оценки для обеспечения  их целенаправленной обработки должны вводиться в базу данных системы "АванГард-Контроль". На их основании системой автоматически рассчитываются оценки рисков, связанных с невыполнением требований по защите. Таким образом идентифицируются "узкие" места в защите АИС. Затем система "АванГард-Контроль" может быть использована для поиска оптимального варианта комплекса мероприятий по повышению уровня выполнения требований ИБ АИС.
Основные  аксиоматические  положения системы "АванГард-Анализ"
В основе методологии  системы "АванГард-Анализ" положено несколько принципиальных положений.
1. Основным интегрированным  показателем защищенности  системы является  показатель ее  рискообразующего  потенциала.
Под рискообразующим  потенциалом некоторой сущности (угрозы объекта, структурной составляющей или системы в целом) понимается суммарный размер риска, который может быть отнесен на факт наличия этой сущности при анализе возможных событий риска, которые могут произойти в виду существования указанной сущности со всеми присущими ей на момент анализа качествами и характеристиками.
Для оценки риска  используются следующие показатели:
    цена риска – размер ущерба, который может быть нанесен в результате некоторого события риска;
    вероятность события риска – вероятность возникновения события риска с определенной ценой риска в результате реализации определенной комбинации угроз;
    величина риска (или ожидаемый ущерб или степень риска) – математическое ожидание (произведение цены риска на вероятность события риска) возникновения события риска с определенной ценой и вероятностью этого события.
 
Если во всех расчетах цена риска  указывается в денежном выражении, то оценка рискообразующего потенциала системы представляет собой показатель ожидаемых среднегодовых потерь (в соответствующих денежных единицах) из-за недостаточной защищенности и надежности системы.

Рискообразующий потенциал любой части системы  может быть рассчитан как сумма  рискообразующего потенциала угроз, каждая из которых может быть отнесена к  соответствующей части системы.
Рискообразующий потенциал системы расчитывается как сумма рискообразующего потенциала частей этой системы и рискообразующего потенциала угроз, которые относятся к системе в целом и не могут рассматриваться в качестве угроз какой-либо из ее частей.
В качестве структурных  составляющих могут рассматриваться отдельные объекты, совокупности объектов, процессы и совокупности процессов, подсистемы, локальные среды, регионально удаленные части системы.
Общий перечень всех выделенных структурных составляющих системы, построенный на принципе идентификации иерархических связей между ними, называется структурной моделью.
Структурная модель с указанием всего множества  угроз, относимых к каждой из структурных  составляющих, образует нормативную  модель угроз системы.
Для каждой угрозы может быть указано множество мер защиты, которые могут быть приняты для снижения ее рискоообразующего потенциала.
О понятиях "мера защиты" и "мероприятие  по защите". В данной аксиоматике они рассматриваются как в значительной степени взаимозаменяемые, почти как синонимы, поэтому чаще в качестве обобщающего используется более короткое слово "мера". Вместе с тем в ряде случаев, когда необходимо подчеркнуть разовость события, используется слово "мероприятие", а когда нужно подчеркнуть перманентность защиты – слово "мера".
Указание полного  множества мер, которые могут  быть приняты для снижения рискообразующего потенциала, по угрозам, вошедшим в  модель угроз, приводит к построению нормативной модели защиты.
Рискообразующий потенциал отдельных угроз может  быть определен путем построения моделей событий рисков, которые могут произойти в результате реализации этих угроз.
Событие риска  может произойти в результате реализации одной или большего числа  угроз.
Общее число  возможных событий риска для  системы неисчислимо.
Модель любого события риска включает в себя: указание полного перечня угроз из модели угроз системы, но только тех, которые приводят к событию риска; оценку цены риска по данному событию; оценку вероятности события риска и оценку величины риска, рассчитываемую как математическое ожидание нанесения ущерба (то есть произведение цены риска на вероятность события риска).
и т.д.................


Перейти к полному тексту работы


Скачать работу с онлайн повышением уникальности до 90% по antiplagiat.ru, etxt.ru или advego.ru


Смотреть полный текст работы бесплатно


Смотреть похожие работы


* Примечание. Уникальность работы указана на дату публикации, текущее значение может отличаться от указанного.