Методология построения систем защиты информации
Автор: astraboy91 • Ноябрь 2, 2018 • Курсовая работа • 3,209 Слов (13 Страниц) • 596 Просмотры
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ
РОССИЙСКОЙ ФЕДЕРАЦИИ
Федеральное государственное автономное образовательное учреждение высшего образования
«Санкт-Петербургский политехнический университет Петра Великого»
Институт промышленного менеджмента, экономики и торговли
Высшая школа управления и бизнеса
КУРСОВОЙ ПРОЕКТ
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ
по дисциплине «Информационная поддержка бизнес-процессов»
Выполнил студент гр.
_________________
Руководитель
_____________________
«___» __________ 201__ г.
Санкт-Петербург
2018
Содержание
Введение 2
Обеспечение отказоустойчивости по ас 10
Предотвращение неисправностей в по ас 13
Заключение 19
Список использованной литературы 20
Введение
Существующая нормативно-методическая база по вопросам безопасности информационных технологий (ИТ) имеет определенные недостатки. Основными из них являются: игнорирование системного подхода, как методологии построения системы защиты информации (СЗИ); отсутствие механизмов достоверного подтверждения качества и достаточности средств защиты, недостаточность проработки вопросов моделей системы защиты, системы показателей и критериев безопасности ИТ; статический подход к оценке уязвимостей.
Это обусловливает необходимость развития нормативно-методической базы, методик и моделей оценки защищенности на основе системного подхода.
1. Системный подход к построению системы защиты
Методология обеспечения безопасности ИС основана на концепциях анализа и управления рисками. Основным недостатком существующих подходов к оценке рисков информационной безопасности (ИБ) является предположение об идеальной стойкости средств защиты.
Методологический подход к построению и оценке СЗИ с использованием системного анализа рисков основан на новых определениях остаточных уязвимостей, риска и ущерба. Он предполагает проведение анализа взаимодействия элементов безопасности, характеризующих внешнюю среду, объект оценки и последствия этого взаимодействия. Анализ проводится в следующей последовательности: «угроза (действие)→ уязвимость (фактор) → актив (объект защиты) → риск (возможность последствий) → ущерб (последствия) → контрмеры (противодействие) → остаточная уязвимость (остаточный фактор) → остаточный риск (остаточная возможность последствий) → остаточный ущерб (остаточные последствия) → достаточность защиты?» (рис.1)
[pic 1]
Рис. 1. Диаграмма формирования ущерба
Предполагается также, что средства защиты обладают конечной стойкостью и сами могут быть объектом реализации угроз безопасности.
В качестве показателя эффективности используется нечеткий средний ущерб от нарушения ИБ показателя эффективности используется нечеткий средний ущерб от нарушения ИБ [pic 2] где [pic 3] - возможность принятия состояния нарушения информационной безопасности ikj при реализации угрозы [pic 4] на активы [pic 5] , используя уязвимость ИС , [pic 6] ; [pic 7] – вероятность появления угрозы [pic 8]; [pic 9]-максимально возможный ущерб при состоянии ikj.
Использование данного подхода позволило авторам разработать базовую модель ИС и подход к формированию типовых объектов оценки, методику разработки функциональных требований безопасности, базовую модель системы защиты с учетом ее подверженности воздействию угроз безопасности и требований безопасности, подход к классификации систем защиты, определять необходимый состав СЗИ и предъявлять требования к их стойкости, разрабатывать и оценивать показатели защищенности на основе анализа рисков, проводить комплексную оценку и ранжирование элементов безопасности, предусмотреть управление рисками на протяжении всего жизненного цикла ИС.
...