Антон Александрович Воробьев - Методы и модели защиты информации. Часть 1. Моделироваание и оценка

  1. прочая образовательная литература
  2. книги о компьютерах
  3. Антон Александрович Воробьев
14 минут
читать Методы и модели защиты информации. Часть 1. Моделироваание и оценка
Антон Александрович Воробьев
прочая образовательная литература, книги о компьютерах
Можно купить 40Р
Шрифт
Фон

Методы и модели защиты информации

Часть 1. Моделироваание и оценка


Иван Андреевич Трещев

Антон Александрович Воробьев

Общий анализ Анастасия Сергеевна Ватолина


© Иван Андреевич Трещев, 2020

© Антон Александрович Воробьев, 2020


Список сокращений

CCE Common Configuration Enumeration;

CERT Computer Emergency Response Team;

CPE Common Program Enumeration;

CVE Common Vulnerability Enumeration;

CVSS Common Vulnerabilities Scoring System;

HTML HyperText Markup Language;

NVD National Vulnerability Database;

OVAL Open Vulnerability Assessment Language;

SCAP Security Content Automation Protocol;

XCCDF The Extensible Configuration Checklist Description Format;

XML extensible markup language;

XSD XML Schema Definition;

АИС автоматизированная информационная система;

АРМ автоматизированное рабочее место;

БД база данных;

ВС вычислительная система;

ГНИИИ ПТЗИ ФСТЭК России Государственный научноисследовательский испытательной институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю России;

ГОСИБ глобальные открытые сети информационного обмена;

ИС информационная система;

ИСПДн информационная система персональных данных;

КИ конфиденциальная информация;

КНПИ канал несанкционированной передачи информации;

КС корпоративная сеть;

ЛВС локальная вычислительная сеть;

МЭ межсетевой экран;

НМД нормативнометодическая документация;

НСД несанкционированный доступ;

ОРД организационнораспорядительная документация;

ПДн = персональные данные;

СД сервер доступа;

СЗИ система защиты информации;

СКЗИ средства криптографической защиты информации;

СКО среднеквадратичное отклонение;

СОВ система обнаружения вторжений;

СУБД система управления базами данных;

ФСБ Федеральная служба безопасности;

ФСТЭК Федеральная служба по техническому и экспортному контролю;

ЭДО  электронный документооборот.

Список обозначений

#Ψ  мощность множества Ψ;

{Χi}  конечное семейство классов характеристик уязвимостей;

2x  множество всех подмножеств множества Χ;

пространство декартового произведения множеств всех подмножеств семейства характеристик {Χi};

M  функционал G [0; α] R, α  const;

B  булева алгебра с носителем элементов G;

μ (x)  вещественная счетноаддитивная существо положительная функция, заданная на алгебре B;

μN (x)  нормированное значение функции μ (x);

Введение

Актуальность работы.


Защита информационных ресурсов от угроз безопасности на сегодня является одним из приоритетных направлений, как отдельного предприятия, так и государства в целом.


На сегодня регулирование деятельности по защите информации на автоматизированных объектах информатизации в Российской Федерации осуществляет Федеральная служба по техническому и экспортному контролю России(ФСТЭК) при поддержке ГНИИИ ПТЗИ ФСТЭК России, которая разработала ряд руководящих(РД) и нормативных документов(НД). Среди последних, основополагающими являются документы о базовой модели угроз информационных систем персональных данных (ИСПДн) и ключевых систем информационной структуры (правительственные объекты и объекты, непосредственно влияющие на обороноспособность государства). В соответствии с РД и НД, частным случаем угрозы является понятие уязвимости, применяемое к информационным системам (ИС),  «свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации» или «некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации».


Однако разработанные методы, модели оценки и контроля защищенности ИС при наличии программно-аппаратных уязвимостей относятся непосредственно к системам защиты информации, созданных как элемент частной модели угроз определенных предприятий на основе базовой модели с использованием методик ГНИИИ ПТЗИ ФСТЭК России, причем отсутствие численных критериев их оценки затрудняет или делает невозможным проведение контроля и аудита защищенности ИС. Проблема отсутствия данных критериев описана в РД и НД регуляторов, и заявлена как исследовательская. Для ее решения ФСТЭК России рекомендует систематизировать уязвимости на основе существующих зарубежных баз данных(БД), используя их в качестве источников информации. Наиболее распространенной базой данных об уязвимостях является БД National Vulnerability Database(NVD), основанная на объединении информации из ранее созданных баз данных (CPE Common Platform Enumeration, CVE Common Vulnerabilities and Exposures, и др.)

Ваша оценка очень важна

0
Шрифт
Фон
Следующая →
Перейти к странице
Автор книги Антон Александрович Воробьев

Помогите Вашим друзьям узнать о библиотеке

Скачать книгу

Если нет возможности читать онлайн, скачайте книгу файлом для электронной книжки и читайте офлайн.

fb2.zip txt txt.zip rtf.zip a4.pdf a6.pdf mobi.prc epub ios.epub fb3
Продолжая использовать сайт, вы соглашаетесь на обработку файлов cookies и Политика конфиденциальности
Согласен