Методика перекрестной оценки угроз безопасности информационных систем и их уязвимостей
Рассмотрение информационных систем, выполняющих функции автоматизированных систем управления технологическими процессами. Рассмотрение методов анализа угроз информационной безопасности. Методы ранжирования угроз и уязвимостей. Оценка опасности угрозы.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 03.05.2019 |
| Размер файла | 27,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Учреждение образования «Белорусский государственный университет транспорта»
МЕТОДИКА ПЕРЕКРЕСТНОЙ ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ И ИХ УЯЗВИМОСТЕЙ
П.М. БУЙ, С.Г. КУЛЬГАВИК
В Республике Беларусь в последнее время наблюдается процесс стремительной информатизации и компьютеризации практически всех отраслей народного хозяйства. В рамках этого процесса на вооружение принимаются информационные системы - системы, предназначенные для хранения, поиска и обработки информации, которые, помимо прочего, включают человеческие, технические и прочие организационные ресурсы, взаимодействующие с информацией. Особое место занимают информационные системы, выполняющие функции автоматизированных систем управления технологическими процессами (АСУ ТП).
Вместе с тем процессы информатизации и компьютеризации, а также использование современных сетевых технологий таят в себе множество потенциальных опасностей, область реализации которых касается исключительно сферы высоких технологий. При отсутствии адекватной системы защиты опасности такого рода могут привести к нарушению штатной работы информационных систем, что особенно критично для АСУ ТП. В таких условиях обязательным является проведение анализа опасностей характерных как для самих информационных систем, так и для среды их функционирования.
Безопасность информационных систем - это их защищенность от случайного или преднамеренного вмешательства в штатный процесс их функционирования. В общем случае речь идет о функциональной безопасности, когда важным является выполнение информационной системой поставленных перед нею задач, в этом случае должны соблюдаться такие условия функционирования информационной системы, при которых предотвращаются или минимизируются последствия от внешних или внутренних деструктивных воздействий. Если же эти задачи связаны с хранением и обработкой информации, предоставление и/или распространение которой ограничено, то в этом случае речь идет об информационной безопасности, для которой важным является защита информации от попыток хищения, изменения или разрушения компонентов информационной системы.
В реальной среде функционирования любой информационной системы независимо от нее существует множество угроз его безопасности - возможных воздействий на систему, которые прямо или косвенно могут нанести ущерб ее безопасности. Следует разделять угрозы функциональной и информационной безопасности исходя из функций информационных систем, на которые они нацелены.
Оптимальным методом анализа угроз является метод экспертных оценок, при котором экспертам предлагается оценить возможность реализации некоторого перечня угроз. В качестве критериев оценки опасности конкретной угрозы, согласно [1], можно выбрать возможность возникновения источника угрозы (K1), степень его готовности произвести атаку (K2), а также фатальность для объекта от реализации угрозы (K3). Коэффициент опасности угрозы вычисляется на основании баллов, выставленных экспертом по трем критериям, например, от 1 до 10, по следующей формуле:
. (1)
Для N экспертов общий коэффициент опасности угрозы вычисляется как произведение средних баллов, выставленных экспертами по каждому критерию:
, (2)
где K1i, K2i, K3i - баллы, выставленные i-м экспертом трем указанным выше критериям соответственно.
Сами по себе угрозы не опасны для информационных систем. Сосуществуя совместно с ним, угрозы могут вовсе не причинять ущерба их безопасности. Опасность представляют только те угрозы, для которых информационная система является уязвимой, или, иными словами, обладает определенными уязвимостями, через которые источники угроз могут реализовать свои угрозы и нанести ущерб. Уязвимость информационной системы - это присущие ей причины, приводящие к нарушению безопасности ее функционирования или безопасности обрабатываемой в ней информации.
В качестве критериев оценки опасности уязвимости источник [1] предлагает: фатальность наличия у объекта информатизации уязвимости (K4), доступность уязвимости для источников угроз (K5), а также количество уязвимостей на объекте или частота их появления (K6). Аналогично с процессом оценки опасности угроз один или N экспертов выставляют баллы от 1 до 10 по каждому из критериев. Для одного эксперта коэффициент опасности уязвимости вычисляется по схожей с (1) формулой:
. (3)
Для N независимых экспертов расчет общего коэффициента опасности уязвимости производится аналогично формуле (2):
. (4)
При наличии множества уязвимостей информационной системы и множества угроз ее безопасности в реальных условиях функционирования велика вероятность реализации одной из угроз, нацеленной на процесс функционирования объекта или безопасность информации, которая в нем используется. Анализируя коэффициенты опасности совокупности уязвимостей, можно произвести их ранжирование и определить те из них, устранением которых необходимо заняться в первую очередь.
Для защиты информационных систем от атак разрабатываются специальные мероприятия по обеспечению их безопасности, часть из которых обеспечивает их надежное функционирование в условиях воздействия угроз, часть направлено на обеспечение информационной безопасности, т. е. сохранению таких свойств защищаемой информации, как конфиденциальность, доступность и целостность.
Учитывая многообразие угроз современного информационного мира, построить абсолютно адекватную систему защиты не представляется возможным, ведь затраты на ее организацию и сопровождение не должны превышать предполагаемый ущерб от ее нарушения в результате реализации угроз. Таким образом, необходимо выбрать методику, которая позволит выбрать наиболее опасные для исследуемой информационной системы угрозы и защищаться только от них. Также важным является определение наиболее опасных уязвимостей, устранение которых позволит существенно повысить уровень безопасности информационной системы.
Существующие методы ранжирования угроз и уязвимостей производят их оценку независимо друг от друга [1]. Однако, как было указано выше, угрозы не представляют опасности для информационных систем без наличия соответствующих им уязвимостей. Также и уязвимости не подрывают уровень безопасности системы, если нет угроз, которые могут ими воспользоваться. Следовательно, оценку угроз и уязвимостей следует производить совокупно, оценивая критерии опасности угрозы и уязвимости исходя из того, что первая будет реализована через вторую. При этом следует использовать подкорректированные критерии, соответствующие указанной совокупной оценке «угроза - уязвимость»:
- критерий C1 - возможность возникновения источника угрозы в достаточном окружении от информационной системы для реализации угрозы через уязвимость;
- критерий C2 - степень готовности источника угрозы воспользоваться уязвимостью информационной системы и реализовать угрозу;
- критерий C3 - распространенность уязвимости по информационной системе или частота ее появления;
- критерий C4 - доступность уязвимости для реализации угрозы ее источником;
- критерий C5 - фатальность от реализации угрозы источником угрозы через уязвимость информационной системы.
При таком подходе оценивается опасность реализации угрозы через уязвимость информационной системы. Общий коэффициент опасности реализации угрозы через уязвимость (KопугузN) оценивается N экспертами по следующей формуле:
. (5)
угроза информационный безопасность система
В реальных условиях функционирования одна и та же уязвимость безопасности информационной системы может стать причиной реализации сразу нескольких угроз.
Для перекрестной оценки опасности угроз и уязвимостей в таких условиях необходимо учитывать все сочетания пар «угроза - уязвимость», для которых были проведены индивидуальные оценки по формуле (5).
Оценка опасности угрозы, которая может быть реализована через S уязвимостей, каждая из которых по отдельности была оценена группой из N экспертов по методике, указанной выше, рассчитывается следующим образом:
(6)
где C1ij, C2ij, C3ij, C4ij, C5ij - баллы, выставленные i-м экспертом пяти указанным выше критериям соответственно в процессе оценки реализации одной угрозы через j-ю уязвимость информационной системы.
Схожим образом производится расчет коэффициента опасности уязвимости, через которую могут реализоваться Z угроз:
(7)
где C1ij, C2ij, C3ij, C4ij, C5ij - баллы, выставленные i-м экспертом пяти указанным выше критериям соответственно в процессе оценки одной уязвимости объекта информатизации при реализации через нее j-й угрозы.
Таким образом, при проведении перекрестной оценки угроз и уязвимостей необходимо:
- определить совокупности угроз и уязвимостей безопасности информационной системы;
- увязать между собой угрозы и уязвимости, установив потенциальную реализацию первых через вторые;
- перевести в резерв несвязанные уязвимости и угрозы;
- вычислить по формуле (5) коэффициент опасности реализации каждой угрозы через каждую увязанную с ней уязвимость;
- для каждой из угроз и уязвимостей определить соответственно по формулам (6) и (7) коэффициенты их опасностей;
- произвести ранжирование угроз и уязвимостей, определив тем самым наиболее опасные из них.
Список литературы
1. Вихорев, С. В. Как узнать - откуда напасть или откуда исходит угроза безопасности информации (окончание) / С. В. Вихорев, Р. Ю. Кобцев // Защита информации. Конфидент. 2002. № 3. С. 80-84.
Размещено на Allbest.ru
...Подобные документы
Основные понятия, методы и технологии управления рисками информационной безопасности. Идентификация риска, активов, угроз, уязвимостей, существующих контролей, последствий. Оценка и снижение риска. Примеры типичных угроз информационной безопасности.
презентация [223,8 K], добавлен 11.04.2018Анализ угроз и проблем информационной безопасности, технологий защиты информационных систем. Применение данных технологий для пресечения возможных нарушителей и угроз. Выработка требований к технологиям в системе Э-Правительства Кыргызской Республики.
магистерская работа [2,5 M], добавлен 16.05.2015Цели информационной безопасности. Источники основных информационных угроз для России. Значимость безопасности информации для различных специалистов с позиции компании и заинтересованных лиц. Методы защиты информации от преднамеренных информационных угроз.
презентация [200,6 K], добавлен 27.12.2010Классификация угроз информационной безопасности. Ошибки при разработке компьютерных систем, программного, аппаратного обеспечения. Основные способы получения несанкционированного доступа (НСД) к информации. Способы защиты от НСД. Виртуальные частные сети.
курсовая работа [955,3 K], добавлен 26.11.2013Основные виды угроз безопасности экономических информационных систем. Воздействие вредоносных программ. Шифрование как основной метод защиты информации. Правовые основы обеспечения информационной безопасности. Сущность криптографических методов.
курсовая работа [132,1 K], добавлен 28.07.2015Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.
курсовая работа [2,4 M], добавлен 30.10.2009Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Факторы угроз сохранности информации в информационных системах. Требования к защите информационных систем. Классификация схем защиты информационных систем. Анализ сохранности информационных систем. Комплексная защита информации в ЭВМ.
курсовая работа [30,8 K], добавлен 04.12.2003Безопасность информационной системы как ее способность противостоять различным воздействиям. Виды компьютерных угроз, понятие несанкционированного доступа. Вирусы и вредоносное программное обеспечение. Методы и средства защиты информационных систем.
реферат [25,6 K], добавлен 14.11.2010Основы защиты компьютерной информации: основные понятия и определения. Классификация угроз безопасности информации. Формы и источники атак на объекты информационных систем. Анализ угроз и каналов утечки информации. Анализ рисков и управление ими.
курс лекций [60,3 K], добавлен 31.10.2009Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.
дипломная работа [2,5 M], добавлен 31.10.2016Мероприятия по обеспечению информационной безопасности. Понятие угроз конфиденциальности, целостности и доступности информации и ее законным пользователям. Защита прав и свобод гражданина. Государственная политика Республики Беларусь в данной области.
контрольная работа [24,9 K], добавлен 17.05.2015Принципы построения безопасных информационных систем. Организация ядра ОС МСВС. Начальное тестирование оборудования. Определение способов устранения уязвимостей. Политика безопасности сетевого брандмауэра. Запрещение доступа с некоторых адресов.
дипломная работа [270,8 K], добавлен 19.04.2012Основные понятия в сфере информационной безопасности. Характер действий, нарушающих конфиденциальность, достоверность, целостность и доступность информации. Способы осуществления угроз: разглашения, утечки информации и несанкционированного доступа к ней.
презентация [396,6 K], добавлен 25.07.2013Развитие информационных систем. Современный рынок финансово-экономического прикладного программного обеспечения. Преимущества и недостатки внедрения автоматизированных информационных систем. Методы проектирования автоматизированных информационных систем.
дипломная работа [1,5 M], добавлен 22.11.2015Основные аспекты обеспечения информационной безопасности, конфиденциальности и целостности информации. Примеры угроз, которые являются нарушением целостности и доступности информации. Субъекты, объекты и операции в информационных системах, права доступа.
контрольная работа [19,4 K], добавлен 30.12.2010Понятие компьютерной преступности. Основные понятия защиты информации и информационной безопасности. Классификация возможных угроз информации. Предпосылки появления угроз. Способы и методы защиты информационных ресурсов. Типы антивирусных программ.
курсовая работа [269,7 K], добавлен 28.05.2013Концепция адаптивного управления безопасностью. Средства анализа защищенности сетевых протоколов и сервисов. Компоненты и архитектура IDS. Классификация систем обнаружения атак. Поиск уязвимостей в современных системах IDS. Методы реагирования на атаки.
курсовая работа [488,5 K], добавлен 13.12.2011Критерии определения безопасности компьютерных систем и механизмы их реализации. Содержание международного стандарта управления информационной безопасностью ISO 17799. Критерии оценки защищенности информационных систем и практика прохождения аудита.
реферат [336,8 K], добавлен 03.11.2010Организационно-нормативные меры и технические средства контроля безопасности информации при ее обработке, хранении и передаче в автоматизированных системах. Основные источники угроз. Методы защиты сети от компьютерных атак: межсетевые экраны, шлюзы.
курсовая работа [94,3 K], добавлен 28.05.2014
