CC BY
51
Известия ТРТУ
Тематический выпуск «Информационная безопасность»
Е.А. Нетребенко, А.К. Шилов
Россия, г. Таганрог, ТРТУ
ПРОГРАММНОЕ СРЕДСТВО ДЛЯ АНАЛИЗА РИСКОВ RISK WATCH
В настоящее время применяются различные технологии анализа рисков безопасности предприятий. Они отличаются различными концепциями и постановками задач анализа рисков. Отличаются и практические реализации методик, которые соответствуют этими концепциями. И, наконец, используется различное специализированное программное обеспечение для анализа рисков. При проведении анализа часто используются некоторые традиционные принятые в международной практике схемы. Одним из основных стандартов определяющих базовый уровень информационной безопасности предприятия, является ISO 17799.
Доклад посвящен результатам опытного использования программного продукта компании Risk Wateh, специально разработанного для этих целей. Программа является автоматизированным средством для идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты как информационной, так и физической безопасности предприятия. При соответствующей квалификации пользователей программа может помочь провести упрощенный анализ рисков и на его основе выбрать контрмеры и механизмы защиты. Заложенная в программе методика содержит четыре основные фазы. Первая фаза - «определение» - с помощью имеющихся шаблонов описываются параметры предприятия. Вторая фаза -«данные» - вводятся конкретные характеристики защищаемой системы. Третья фаза - «оценка» - устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, рассчитываются математические ожидания потерь за год, расчет повторяется для условия внедрения средств защиты, оценивается эффект от таких мероприятий. Четвертая фаза - «отчеты» - генерация отчетов различного типа. RiskWatch использует сравнительно несложную модель описания информационной системы и оценки рисков. Не учитываются организационные и административные факторы. Учитывается только программно-технический уровень защиты. Также принимаются во внимание только финансовые аспекты.
В докладе приводятся результаты работы с программой для предприятий различного типа и даются предложения по использованию ее в учебном процессе.
А.Ю. Половников
Россия, г. Юбилейный, Московской области, 4 ЦНИИ МО РФ
ПРЕДЛОЖЕНИЯ ПО ОРГАНИЗАЦИИ КОНТРОЛЯ ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ ОТ СПЕЦИАЛЬНЫХ ПРОГРАММНО-МАТЕМАТИЧЕСКИХ ВОЗДЕЙСТВИЙ
Анализ структур многих информационно -телекоммуникационных систем (ИТКС) решающих свои специфичные задачи, показывает, что как правило их структуры имеют общие принципы. В общем случае, с точки зрения сбора данных о их функционировании включают четыре уровня контроля функционирования ИТКС, представленные на рис.1.
- уровень специального программного обеспечения (СПО) прикладной, отвечающий за взаимодействие с пользователем. Примером элементов ИТКС, работающих на этом уровне, можно назвать средства реализации протокола взаимодействия комплексов баллистических задач с сервером сбора измерений или средства взаимодействия сервера приложений с клиентами;
