Модель системы управления информационной безопасностью в условиях неопределенности воздействия дестабилизирующих факторов

Модель системы управления информационной безопасностью в условиях неопределенности воздействия дестабилизирующих факторов

Автор: Зырянова, Татьяна Юрьевна

Шифр специальности: 05.13.19

Научная степень: Кандидатская

Год защиты: 2008

Место защиты: Томск

Количество страниц: 190 с. ил.

Артикул: 4121099

Автор: Зырянова, Татьяна Юрьевна

Стоимость: 250 руб.

Модель системы управления информационной безопасностью в условиях неопределенности воздействия дестабилизирующих факторов  Модель системы управления информационной безопасностью в условиях неопределенности воздействия дестабилизирующих факторов 

ВВЕДЕНИЕ.
ГЛАВА 1 ОБОСНОВАНИЕ МОДЕЛИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ.
1.1 Понятие системы защиты информации
1.2 Подходы к стандартизации систем защиты информации.
1.3 Анализ стандартов информационной безопасности.
1.3.1 Стандарты информационной безопасности первой группы.
1.3.2 Стандарты информационной безопасности второй группы.
1.4 Методики анализа информационных рисков
1.4.1 Понятие информационного риска.
1.4.2 Приемлемый уровень информационного риска
1.4.3 Сравнение методик анализа информационных рисков.
1.5 Обоснование цели и задач исследования.
1.6 Основные результаты главы 1.
ГЛАВА 2 МОДЕЛЬ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ И МОДЕЛЬ СИСТЕМЫ УПРАВЛЕНИЯ ЗАЩИТОЙ ИНФОРМАЦИИ.
2.1 Особенности стандарта ГОСТ Р ИСОМЭК
2.1.1 Понятия стандарта ГОСТ Р ИСОМЭК 8 и их взаимосвязь.
2.1.2 Подход стандарта ГОСТ Р ИСОМЭК 8 к информационной
безопасности
2.1.3 Формирование требований и спецификаций
2.1.4 Представление требований к безопасности.
2.1.5 Структура требований безопасности и требований доверия и
оценочные уровни доверия
2.1.6 Процесс оценки
2.2 Модель системы защиты информации на основе стандарта ГОСТ Р
ИСОМЭК 8
2.3 Модель системы управления информационной безопасностью
2.4 Основные результаты главы 2.
ГЛАВА 3 ОБОСНОВАНИЕ МЕТОДОВ И АЛГОРИТМОВ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
3.1 Оценка уровней выполнения функций безопасности.
3.1.1 Обоснование метода оценки уровней выполнения функций
безопасности на основе теории надежности.
3.1.2 Метод определения уровней выполнения функций безопасности
3.1.3 Алгоритм оценки уровней выполнения функций безопасности
3.2 Оценка текущего уровня информационного риска.
3.2.1 Постановка задачи оценки текущего уровня информационного риска в
терминах теории нечетких множеств и нечеткой логики
3.2.2 Теоретическое обоснование метода оценки информационного риска
3.2.3 Метод оценки выходного параметра на основе произвольного количества входных параметров с произвольным количеством термов
3.2.4 Алгоритм оценки уровня информационного риска.
3.3 Поддержка принятия решений о противодействии
дестабилизирующим факторам
3.3.1 Постановка задачи принятия решений и описание входных
параметров
3.3.2 Теоретическое обоснование метода поддержки принятия решений
3.3.3 Алгоритм поддержки принятия решений
3.4 Оценка показателей воздействия дестабилизирующих факторов
3.4.1 Теоретические основы получения статистических оценок.
3.4.2 Получение оценок показателей воздействия дестабилизирующих
факторов
3.5 Методы экспертного оценивания и их применение для решения задач
вспомогательных модулей.
3.5.1 Постановка задач экспертного оценивания.
3.5.2 Основы методов экспертного оценивания
3.5.3 Метод лингвистических термов.
3.5.4 Метод формирования множества элементов оценивания.
3.5.5 Метод парных сравнений
3.5.6 Метод количественной оценки на непрерывной шкале
3.6 Построение системы нечеткого логического вывода.
3.7 Построение графа связи альтернатив с исходами и графа
предпочтений .
3.7.1 Построение множеств альтернатив и исходов.
3.7.2 Построение графа связи альтернатив с исходами.
3.7.3 Построение 1рафа предпочтений .
3.8 Основные результаты главы 3.
ГЛАВА 4 АНАЛИЗ ЭФФЕКТИВНОСТИ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
4.1 Понятие эффективности системы управления информационной
безопасностью
4.2 Системный подход к оценке эффективности.
4.3 Экономический подход к оценке эффективности.
4.4 Основные результаты главы 4.
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ


Под стандартизацией в этом же законе понимается деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг. В отношении СЗИ процедуры стандартизации представляют чрезвычайно сложную проблему, связанную с необходимостью осуществления системной классификации СЗИ. СЗИ делились бы на такие элементы классификационной структуры классы, группы, каждый из которых был бы адекватен некоторым вполне определенным потребностям в защите информации, а вся совокупность таких элементов охватывала бы все потенциально возможные варианты потребностей в защите. Но описание всех потенциально возможных вариантов потребностей в защите предполагает описание полного множества угроз информационной безопасности, то есть такого множества, перечислив элементы которого, можно было бы с уверенностью утверждать, что перечислены все его элементы, и других угроз не существует и не может возникнуть. Так же решение задачи в приведенной постановке предполагает построение полного множества признаков, характеризующих ту или иную угрозу. Очевидно, что построение таких множеств, следовательно и решение этой задачи практически неосуществимо. Более того, невозможно представить существование единого стандарта ИБ в силу того, что каждая отрасль деятельности имеет свои особенности и ограничения. Так, например, политика безопасности, разработанная в соответствии с отраслевым стандартом ИБ Банка России , не может быть применена на предприятии транспортной отрасли. Тем не менее, стандартизация СЗИ необходима с целью обеспечения регламентации терминологии, технических требований, методов контроля и испытаний, а также подтверждения соответствия компонентов и средств СЗИ. К настоящему времени в мировой практике сложились два подхода к стандартизации в области ИБ. Причем эти подходы не исключают, а наоборот, взаимно дополняют друг друга. Зачастую пользователи стандартов ИБ используют те или иные их части, решая вопросы по их взаимной увязке. Например, в приведен пример взаимного использования стандартов 1БО1ЕС 9 и ГОСТ Р ИСОМЭК 8. Информационная система в стандартах первой группы рассматривается в качестве одного из направлений деятельности организации. Группа стандартов, основанных на первом подходе не содержит универсальных рекомендаций, она служит лишь отправной точкой для разработки требований, специфичных для каждой конкретной организации. К первой группе отнесем международные стандарты , II 9 ГОСТ Р ИСОМЭК 9, II 1 ГОСТ Р ИСОМЭК 1, серию II , 2, 3, 4, 5. Второй подход отражен в стандарте II , 2, 3 ГОСТ Р ИСОМЭК , 2, 3, известном под сокращенным названием Общие критерии ii. В соответствии с требованиями второго подхода объекты защиты или объекты оценки в терминологии Общих критериев оцениваются на соответствие ряду функциональных критериев и критериев доверия, причем требования обеспечения безопасности устанавливаются в виде оценочных уровней. Существует третья группа стандартов ИБ, решающих частные вопросы ЗИ, например, регламентирующие использование средств защиты от несанкционированного доступа или устанавливающие алгоритмы криптографических преобразований. К этой группе относятся такие российские стандарты, как , , , , , , , , . Например, анализ стандартов в области криптографии и порядка их применения приведен в , . В данном исследовании не уделяется внимания анализу третьей группы стандартов в связи с тем, что в них не отражается комплексный подход к построению и функционированию СЗИ, хотя, безусловно, стандартизация конкретных средств и методов ЗИ необходима и представляет собой другой, более детальный уровень стандартизации СЗИ. В ряде случаев обязательность применения этих стандартов устанавливается законодательно. В следующем разделе приведен подробный анализ стандартов первой и второй группы. Прежде чем перейти к подробному анализу существующих стандартов ИБ, следует отметить, что общее количество таких стандартов очень велико, и привести их полный обзор в одном исследовании практически невозможно. Ограничимся описанием стандартов, перечисленных выше, как наиболее известных и широко используемых на сегодняшний день. В табл. Таблица 1.

Рекомендуемые диссертации данного раздела

28.06.2016

+ 100 бесплатных диссертаций

Дорогие друзья, в раздел "Бесплатные диссертации" добавлено 100 новых диссертаций. Желаем новых научных ...

15.02.2015

Добавлено 41611 диссертаций РГБ

В каталог сайта http://new-disser.ru добавлено новые диссертации РГБ 2013-2014 года. Желаем новых научных ...


Все новости

Время генерации: 0.225, запросов: 244