CC BY
97
Секция безопасности информационных технологий
множества Ух\ при больших N достаточно принять А=И. Для понижения ошибок первого рода граница допуска для области «свой» может быть искусственно расширена: [а-тш ук, -тях ук], где а, Р - коэффициенты расширения.
УДК 004. 056.5
АЖ. Шилов
КУРС «КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ НА
ПРЕДПРИЯТИИ»
В соответствии с [1], целью дисциплины является раскрытие структуры комплексной системы защиты информации (КСЗИ), методики и технологии ее органи, , надежности. В докладе обсуждаются особенности содержания курса, который будет читаться студентам специальностей 075300 и 075400. Структура КСЗИ включает следующие основные подсистемы: контроля и управления доступом на объект информатизации, охранного телевидения, охранно-пожарной сигнализации, противодействия экономическому шпионажу и защиты корпоративной сети. В результате изучения курса лекций и проведения практических занятий студенты должны уметь самостоятельно применять типовые решения по использованию сертифицированных средств для построения этих подсистем и организации их взаимодействия. В курсе изучается набор типовых решений, предлагаемых ведущими фирма- , « ». -правлено на закрепление полученных знаний и состоит в разработке проекта КСЗИ для конкретных предприятий. Технические задания по каждой из подсистем анало-, - . -пользуется фактический материал, собранный на производственной практике. Задание на практику включает комплексное обследование безопасности предприятия, где проходит практика, и анализ особенностей организации основных подсистем .
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Комплексная защита объектов информатизации. Специальность 075400: ГОС высшего профессионального образования и примерные программы дисциплин федерального компонента / Отв. ред. В.В. Минаев. М.: РГГУ, 2001. 384 с.
УДК 681. 327
АЖ. Шилов, В.А. Беспалов, Т.Н. Микурова
ИНСТРУМЕНТАЛЬНЫЕ СРЕДСТВА ДЛЯ АНАЛИЗА РИСКОВ ИНФОРМАЦИОННЫХ СИСТЕМ
Целью анализа рисков, связанных с эксплуатацией информационных систем (ИС), является оценка угроз и уязвимостей, а также определение комплекса контр, . рисков для базового уровня информационной безопасности и полный анализ рисков. Для обеспечения базового уровня безопасности выполняется проверка выпол-
Известия ТРТУ
Специальный выпуск
нения требований стандартов [1,2] по списку вопросов, касающихся выполнения этих требований. При повышенных требованиях к безопасности применяется полный вариант анализа рисков с использованием структурных методов системного анализа и получением количественных характеристик, которые служат основой для анализа по критерию стоимость - эффективность. На рынке имеется более двух десятков программных продуктов для анализа рисков, например: для базового анализа - COBRA, RiskPAC, для полного анализа - RiskWath, АванГард. Все они имеют значительную стоимость, определяемую накопленной базой данных по имевшим место инцидентам в области безопасности. Поэтому была разработана оригинальная программа для полного анализа [3], позволяющая получать оценки защищенности от заданного набора угроз локальной вычислительной среды опре.
при проведении сертификационных испытаний ИС, а также как учебная для студентов специальностей 075300 и 075400.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. ISO/IEC 17799:2000 / BS 7799-1:1999 - Code of practice for information security management.
2. BS 7799-2:1999 - Specification for Information Security Management Systems.
3. Шипов АЖ., Микурова T.B. Программа анализа рисков нарушения информационной безопасности автоматизированных систем обработки данных. - N2002610320 с приоритетом от 04.03.2002.
