8. Fairfield, Joshua. Virtual Property [Электронный ресурс] // Social Science Research Network. - 2005. - Режим доступа: www.papers.ssrn.com/ sol3/Papers.cfm?abstract_id=507966.
АВТОМАТИЗИРОВАННЫЕ СРЕДСТВА АНАЛИЗА И УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ
© Лебедева Т.В.*
Российский новый университет, г. Москва
В настоящее время проблема защиты информации выходит на передний план для обеспечения безопасности бизнеса, поскольку практически все данные компании, начиная инвентарными книгами и заканчивая персональными данными сотрудников, хранятся в электронном виде. Для принятия каких-либо мер по защите информации, а также для выбора соответствующего данной проблеме инструментария необходимо оценить информационные риски, которым подвергается компания.
Для облегчения проведения анализа информационных рисков существуют автоматизированные средства анализа и управления информационными рисками - CRAMM (Central Computer and Telecommunications Agency, Великобритания), RiskWatch (RiskWatch, США), пакет ГРИФ (Digital Security, Россия). Данные программные продукты позволяют смоделировать информационную систему компании и рассчитать информационные риски [1].
CRAMM
Целью разработки метода являлось создание формализованной процедуры, позволяющей:
- убедиться, что требования, связанные с безопасностью, полностью проанализированы и документированы;
- избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;
- оказывать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем и т.д.
Концепция, положенная в основу метода
Анализ рисков включает идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов. Контроль рисков состоит в идентификации и выборе контрмер, благодаря которым удается снизить риски до приемлемого уровня.
* Аспирант.
Исследование информационной безопастности системы с помощью CRAMM проводится в несколько этапов. На первой стадии, Initiation, производится формализованное описание границ информационной системы, ее основных функций, категорий пользователей, а также персонала, принимающего участие в обследовании. На стадии идентификации и оценки ресурсов, Identification and Valuation of Assets, описывается и анализирует -ся все, что касается идентификации и определения ценности ресурсов системы. В конце этой стадии заказчик исследования будет знать, удовлетворит ли его существующая традиционная практика или он нуждается в проведении полного анализа рисков. В последнем случае будет построена модель информационной системы с позиции информационной безопасности.
Стадия оценивания угроз и уязвимостей, Threat and Vulnerability Assessment, не является обязательной, если заказчика удовлетворит базовый уровень информационной безопасности. Эта стадия выполняется при проведении полного анализа рисков.
Стадия анализа рисков, Risk Analysis, позволяет оценить риски либо на основе сделанных оценок угроз и уязвимостей при проведении полного анализа рисков, либо путем использования упрощенных методик для базового уровня безопасности.
На стадии управления рисками, Risk Management, производится поиск адекватных контрмер. По существу речь идет о нахождении варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.
Таким образом, рассмотренная методика анализа и управления рисками полностью применима и в российских условиях. Программное обеспечение анализа рисков существенно снижает трудоемкость выполнения всех этапов анализа рисков [2].
RiskWatch
RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 фазы.
1. Первая фаза - определение предмета исследования. На данном этапе описываются параметры организации - тип организации, состав исследуемой системы, базовые требования в области безопасности. Описание формализуется в ряде подпунктов, которые можно выбрать для более подробного описания или пропустить.
Далее каждый из выбранных пунктов описывается подробно.
Для облегчения работы аналитика в шаблонах даются списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют в организации.
2. Вторая фаза - ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из
отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей.
На этом этапе:
- Подробно описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов;
- Для выявления возможных уязвимостей используется опросник, база которого содержит более 600 вопросов. Вопросы связаны с категориями ресурсов. Допускается корректировка вопросов, исключение или добавление новых.
- Задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это используется в дальнейшем для расчета эффективности внедрения средств защиты.
3. Третья фаза - оценка рисков. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах. Для рисков рассчитываются математические ожидания потерь за год по формуле: т = р -у, где р - частота возникновения угрозы в течении года, у - стоимость ресурса, который подвергается угрозе.
4. Четвертая фаза - генерация отчетов. Типы отчетов:
- Краткие итоги.
- Полные и краткие отчеты об элементах, описанных на стадиях 1 и 2.
- Отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз.
- Отчет об угрозах и мерах противодействия.
- Отчет о результатах аудита безопасности [3].
ГРИФ
Анализ рисков информационной безопасности осуществляется с помощью построения модели информационной системы организации. Рассматривая средства защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, влияние прав доступа групп пользователей, организационные меры, модель исследует защищенность каждого вида информации.
В результате работы алгоритма программа представляет следующие данные:
- Инвентаризацию ресурсов;
- Значения риска для каждого ценного ресурса организации;
- Значения риска для ресурсов после задания контрмер (остаточный риск);
- Эффективность контрмер;
- Рекомендации экспертов.
Для того чтобы оценить риск информации, необходимо проанализировать защищенность и архитектуру построения информационной системы.
Владельцу информационной системы требуется сначала описать архитектуру своей сети:
- все ресурсы, на которых хранится ценная информация;
- сетевые группы, в которых находятся ресурсы системы (т.е. физические связи ресурсов друг с другом);
- отделы, к которым относятся ресурсы; виды ценной информации и т.д.
Исходя из введенных данных, выстраивается полную модель информационной системы компании, на основе которой проводится анализ защищенности каждого вида информации на ресурсе.
Риск оценивается отдельно по каждой связи (группа пользователей -информация), т.е. модель рассматривает взаимосвязь (субъект - объект), учитывая все их характеристики.
Риск реализации угрозы информационной безопасности для каждого вида информации рассчитывается по трем основным угрозам: конфиденциальность, целостность и доступность. Владелец информации задает ущерб отдельно по трем угрозам; это проще и понятнее, т.к. оценить ущерб в целом не всегда возможно.
В результате работы алгоритма пользователь системы получает следующие данные:
- Риск реализации по трем базовым угрозам для вида информации.
- Риск реализации по трем базовым угрозам для ресурса.
- Риск реализации суммарно по всем угрозам для ресурса.
- Риск реализации по трем базовым угрозам для информационной системы.
- Риск реализации по всем угрозам для информационной системы.
- Риск реализации по всем угрозам для информационной системы после задания контрмер.
- Эффективность контрмеры.
- Эффективность комплекса контрмер [4].
В данной статье рассмотрены одни из самых распространенных программных средств, предназначенных для оценки информационных рисков. Это направление в сфере защиты информации постоянно развивается и совершенствуется и в ближайшее время возможно появление новых программных продуктов. С большей долей вероятности новые продукты будут использовать те же самые основные методы и подходы оценки, что описаны в данной статье.
Список литературы:
1. Медведовский И., Куканова Н. Анализируем риски собственными силами. Практические советы по анализу рисков в корпоративной сети
[Электронный ресурс]. - Режим доступа: www.dsec.ru/about/articles/self_ar (дата обращения: 01.04.2010).
2. Алексеев А. Управление рисками. Метод CRAMM [Электронный ресурс]. - Режим доступа: www.itexpert.ru/rus//ITEMS/ /ITEMS_CRAMM.pdf (дата обращения: 01.11.2010).
3. Поликарпов А. К. Обзор существующих методов оценки рисков и управления информационной безопасностью [Электронный ресурс]. -Режим доступа: www.ocenkariskov.narod.ru//PolikOtc.html (дата обращения: 01.11.2010).
4. Куканова Н. Методика оценки риска ГРИФ 2006 из состава Digital Security Office [Электронный ресурс]. - Режим доступа: www.dsec.ru/ about/articles/ /grif_ar_methods/ (дата обращения: 01.11.2010).
ОСОБЕННОСТИ ПРИМЕНЕНИЯ МЕТОДА ПОЗИЦИОННОГО УПРАВЛЕНИЯ УГЛОВОЙ АДАПТАЦИЕЙ ДЕТАЛЕЙ ПРИ АВТОМАТИЗИРОВАННОЙ СБОРКЕ
© Пантелеев Е.Ю.*
Ковровская государственная технологическая академия им. В.А. Дегтярева,
г. Ковров
В статье приводится анализ особенностей применения методов управления движением соединяемой детали на этапе угловой адаптации при автоматизированной сборке. Определены возможности осуществления метода позиционного управления движением детали по угловым координатам.
В условиях автоматизированной сборки для компенсации погрешностей относительного расположения и ориентации соединяемых деталей необходимы этапы относительной и угловой адаптации положения деталей. В результате управления движением детали при автоматизированной сборке относительно некоторой программной траектории для обеспечения выполнения условий собираемости и гарантированного совмещения сопрягаемых поверхностей происходит целенаправленное изменение линейных и угловых координат деталей в процессе адаптации [1].
Общими методами управления движением соединяемой детали на этапе адаптации являются: метод адаптивного позиционного управления, метод стабилизации положения детали относительно адаптируемой программной траектории, автоматический поиск согласованного положения сопрягаемых поверхностей.
* Доцент кафедры «Приборостроение», кандидат технических наук, доцент.