Анализ прикладных программ оценки рисков пользовательских систем | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 30 ноября, печатный экземпляр отправим 4 декабря.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №31 (321) июль 2020 г.

Дата публикации: 30.07.2020

Статья просмотрена: 107 раз

Библиографическое описание:

Ижунинов, М. А. Анализ прикладных программ оценки рисков пользовательских систем / М. А. Ижунинов. — Текст : непосредственный // Молодой ученый. — 2020. — № 31 (321). — С. 12-14. — URL: https://moluch.ru/archive/321/72925/ (дата обращения: 19.11.2024).



Данная статья посвящена вопросам построения модели угроз и модели нарушителя для пользовательских информационных систем в современном цифровом обществе.

Ключевые слова: цифровизация, информационная безопасность, модель угроз, модель нарушителя.

Цифровизация общества идет семимильными шагами, поэтому возникает потребность в обеспечении безопасности передаваемой информации. Безопасность информации определяется большим количеством факторов. Ее защиту может обеспечить только такая система, которая способна совместить в себе совокупность всех объектов защиты, функционирующую по определенным правилам, установленным на законодательном уровне.

Федеральная служба по техническому и экспортному контролю (ФСТЭК) Российской федерации ведет актуальную базу угроз безопасности информации [1].

Благодаря ФСТЭК Россия находится на одной из ведущих позиций в области информационной безопасности, ведь именно ФСТЭК России разработал методику определения угроз безопасности информации в информационных системах [2].

Каждый человек хотел бы рассчитывать на то, что личные данные, которые он доверил госорганам или провайдерам будут в полной сохранности. Очень важной составляющей защиты личности становится безопасность персональных данных. Неправомерный доступ к ним третьих лиц может повлечь за собой реальную опасность, которая может носить характер умаления деловой репутации, хищения имущества или даже физического покушения. Разрабатывая модель угроз, на основе действующих методик ФСТЭК России, нужно обязательно учитывать понятие внутренних и внешних угроз; согласно методикам, будут оцениваться не только сами источники угроз, но и их возможности. Модель угроз должна содержать описание и характеристики информационной системы, возможные угрозы и уязвимости, способы реализации угроз, а также последствия от нарушения безопасности.

В настоящее время существуют прикладные программы, позволяющие производить оценку рисков пользовательских систем. Так программа MyCSF предоставляет следующие услуги:

− защита детей от нежелательного контента;

− защита цифровых данных;

− межсетевые экраны;

− управление доступом;

− мониторинг активности персонального компьютера;

− блокировка рекламы;

− защита от шпионских программ;

− online-утилиты;

− безопасное удаление;

− политика безопасности;

− анализ рисков информационной безопасности.

Программный продукт vsRisk Risk Assessment Tool, разработанный британской компанией IT Governance вместе с Vigilant Software — это современное средство оценки рисков, основывающееся на международном стандарте информационной безопасности ISO 27001. [3]

VsRisk предоставляет собой продукт с простым и понятным интерфейсом и обладает такими полезными свойствами как:

− оценка риска нарушения конфиденциальности, доступности и целостности информации в бизнесе, а также с точки зрения соблюдения контрактных обязательств и законодательства в полном соответствии с ISO 27001 [3];

− поддержка стандартов: BS7799–3:2006, ISO/IEC 27002, NIST SP 800–30, ISO/IEC TR 13335–3:1998 − содержание интегрированной и регулярно обновляемой базы знаний по уязвимостям и угрозам.

Программный продукт CRAMM (CCTA Risk Analysis and Managment Method) был разработан Central Computer and Telecommunications Agency — Агентством по компьютерам и телекоммуникациям Великобритании по заданию Британского правительства и взят за основу в качестве государственного стандарта. С 1985 года CRAMM используется правительственными и коммерческими организациями Великобритании, в течение этого времени CRAMM стал популярен во всем мире. Insight Consulting Limited занимается сопровождением и разработкой одноименного программного продукта, работающего с помощью метода CRAMM. За основу метода взят комплексный подход к оценке рисков, учитывающий качественные и количественные методы анализа. Данный метод универсален и подходит как для небольших, так и для крупных организаций.

Любые угрозы могут быть реализованы только при условии наличия слабых мест — уязвимостей в информационной системе; поэтому особое внимание необходимо уделять источникам угроз. Выделяются следующие источники:

− техногенные (связаны с оборудованием, измерительными приборами, специальными техническими и программными средствами);

− антропогенные (например, лица, осуществляющие преднамеренные действия с целью извлечения полезной информации, лица, имеющие доступ в информационную систему, но непреднамеренно нарушившие безопасность информации);

− стихийные (не зависят от человека, представляют собой природные явления, например, пожар, наводнение и т. д.).

С учетом анализа прав доступа субъектов к информации, а, так же анализа возможностей нарушителя определяется тип нарушителя:

− внешние нарушителя (не имеют права доступа к информационной системе и её отдельным компонентам; реализуют угрозы безопасности информации из-за границ информационной системы);

− внутренние нарушители (имеют права постоянного или разового доступа к информационной системе и её отдельным компонентам).

Любая угроза безопасности информации в информационной системе описывается следующим образом: УБИ = [нарушитель (источник угрозы); уязвимости; способы реализации угрозы; объекты воздействия; последствия от реализации угрозы] Поскольку ни одна из рассмотренных программных систем не позволяет построить модель угроз и модель нарушителя, пользователь обязан решать эту задачу самостоятельно для каждой своей автоматизированной системы, используя базу данных угроз на сайте ФСТЭК.

Согласно документу ФСЭК «Методика определения угроз безопасности информации в информационных системах» создается экспертная группа, которая и производит оценку безопасности пользовательской системы. Эксперты возможностей нарушителей по реализации угроз безопасности информации является формирование предположения о типах, видах нарушителей, которые могут реализовать угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации.

Литература:

  1. Банк данных угроз безопасности информации [Электронный ресурс] / Fstec, 2020. Режим доступа: https://bdu.fstec.ru/threat, дата обращения: 20.06.2020.
  2. Российская Федерация. Стандарты. Методический документ ФСТЭК России Методика определения угроз безопасности информации в информационных системах» [утвержден приказом ФСТЭК России от 11.02.2013 № 17] — Москва 2015.
  3. Российская Федерация. Стандарты. ГОСТ Р ИСО/МЭК 27001–2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования [утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 375-ст] — Москва — СтандартИнформ, 2019.
Основные термины (генерируются автоматически): CRAMM, ISO, информационная система, угроза безопасности информации, IEC, информационная безопасность, модель угроз, модель нарушителя, Россия, программный продукт.


Похожие статьи

Программный модуль моделирования атак в сегменте корпоративной сети с учетом оценки риска

Разработан программный модуль анализа атак в корпоративной сети на основе оценки рисков. В основу данного модуля положен новый метод на основе уязвимостей каждого элемента сети.

Методы оценки рисков нарушения целостности информации в сетях передачи данных

В статье проводится анализ методов защиты от нарушения целостности информации в сетях передачи данных. На основе анализа случайных и преднамеренных угроз рассмотрены имитационная модель для исследования методов контроля целостности информации.

Использование полумарковского процесса для систем защиты информации

В статье рассматривается модель полумарковского процесса для использования в моделировании систем защиты информации.

Стратификации типов предприятий при построении модели угроз информационной безопасности для удаленного режима работы

Для построения эффективной системы противодействия угрозам, сопутствующим удаленному режиму работы в исследовании предложено разделение предприятий на три типа, с учетом их специфики и проанализирована полезность такой классификации.

Анализ средств службы информационной безопасности в дистанционном обучении

В статье анализируются угрозы средств информационной безопасности в дистанционном обучении, а также фрагмент дерева отказов для угроз установки привилегий.

Моделирование систем защиты информации. Приложение теории графов

В статье рассматриваются основные теории и методы моделирования систем защиты информации (СЗИ). Автор останавливает внимание на применении математической теории графов к моделированию СЗИ и предлагает собственную модель, реализующую подход управления...

Цифровизация бизнес-процессов

В данной статье рассматриваются основные аспекты цифровизации бизнес-процессов, обоснована актуальность внедрения цифровых решений, рассмотрены инструменты цифровизации, определены возможные сложности, которые возникают у компаний в процессе цифровиз...

Применение инструментов OSINT для выявления уязвимостей информационной сети предприятия

В настоящее время обеспечение информационной безопасности играют важнейшую роль в предприятиях разного масштаба. Данная тенденция стала наиболее актуальной с применением инструментов OSINT. В данной статье способ применения данных инструментов для вы...

Характеристика существующего программного обеспечения системы банковских расчетов

В статье представлен анализ методов оценки финансового положения коммерческих банков, формирование информационных модели банка, кодирование и классификация информации и разделение на подсистем автоматизированных банковских систем.

Анализ сетевой архитектуры, технологий обработки информации и критериев выбора DLP-систем

В настоящей статье представлены результаты анализа сетевой архитектуры DLP-системы, её основных технологий для обработки потоков информации и критериев выбора оптимального DLP-решения.

Похожие статьи

Программный модуль моделирования атак в сегменте корпоративной сети с учетом оценки риска

Разработан программный модуль анализа атак в корпоративной сети на основе оценки рисков. В основу данного модуля положен новый метод на основе уязвимостей каждого элемента сети.

Методы оценки рисков нарушения целостности информации в сетях передачи данных

В статье проводится анализ методов защиты от нарушения целостности информации в сетях передачи данных. На основе анализа случайных и преднамеренных угроз рассмотрены имитационная модель для исследования методов контроля целостности информации.

Использование полумарковского процесса для систем защиты информации

В статье рассматривается модель полумарковского процесса для использования в моделировании систем защиты информации.

Стратификации типов предприятий при построении модели угроз информационной безопасности для удаленного режима работы

Для построения эффективной системы противодействия угрозам, сопутствующим удаленному режиму работы в исследовании предложено разделение предприятий на три типа, с учетом их специфики и проанализирована полезность такой классификации.

Анализ средств службы информационной безопасности в дистанционном обучении

В статье анализируются угрозы средств информационной безопасности в дистанционном обучении, а также фрагмент дерева отказов для угроз установки привилегий.

Моделирование систем защиты информации. Приложение теории графов

В статье рассматриваются основные теории и методы моделирования систем защиты информации (СЗИ). Автор останавливает внимание на применении математической теории графов к моделированию СЗИ и предлагает собственную модель, реализующую подход управления...

Цифровизация бизнес-процессов

В данной статье рассматриваются основные аспекты цифровизации бизнес-процессов, обоснована актуальность внедрения цифровых решений, рассмотрены инструменты цифровизации, определены возможные сложности, которые возникают у компаний в процессе цифровиз...

Применение инструментов OSINT для выявления уязвимостей информационной сети предприятия

В настоящее время обеспечение информационной безопасности играют важнейшую роль в предприятиях разного масштаба. Данная тенденция стала наиболее актуальной с применением инструментов OSINT. В данной статье способ применения данных инструментов для вы...

Характеристика существующего программного обеспечения системы банковских расчетов

В статье представлен анализ методов оценки финансового положения коммерческих банков, формирование информационных модели банка, кодирование и классификация информации и разделение на подсистем автоматизированных банковских систем.

Анализ сетевой архитектуры, технологий обработки информации и критериев выбора DLP-систем

В настоящей статье представлены результаты анализа сетевой архитектуры DLP-системы, её основных технологий для обработки потоков информации и критериев выбора оптимального DLP-решения.

Задать вопрос