Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Основні поняття й допущення моделі

Ресурс – фізичний ресурс, на якому розташовується цінна інформація (сервер, робоча станція, мобільний комп'ютер і т.д.).

Мережна група – група, у яку входять фізично взаємозалежні ресурси.

Відділ – структурний підрозділ підприємства.

Бізнес-процеси – виробничі процеси, у яких обробляється цінна інформація.

Група користувачів – група користувачів, що має однаковий клас і засоби захисту. Суб'єкт, що здійснює доступ до інформації.

Клас групи користувачів – особлива характеристика групи, що показує, як здійснюється доступ до інформації. Основні класи груп користувачів:

1. Анонімні Інтернет-користувачі.

2. Авторизовані Інтернет-користувачі.

3. Звичайні користувачі, що здійснюють локальний і віддалений доступ до інформації.

4. Системні адміністратори й офіцери безпеки (так звані, суперкористувачі), тобто користувачі, що мають виключні права.

5. Користувачі, що здійснюють доступ до інформації з офісу компанії через Інтернет.

6. Користувачі, що здійснюють доступ до інформації з офісу компанії по модему.

7. Мобільні Інтернет-користувачі.

Засоби захисту робочого місця групи користувачів – засоби захисту клієнтського місця користувача, тобто ресурсу, з якого користувач здійснює доступ до інформації.

Характеристики групи користувачів – під характеристиками групи користувачів розуміються види доступу групи користувачів (локальний або віддалений доступ) і права, дозволені групі користувачів при доступі до інформації (читання, запис або видалення).

Інформація – цінна інформація, що зберігається й оброблюється в ІС. Тобто об'єкт, до якого здійснюється доступ. Виходячи з допущень даної моделі, вся інформація є цінної, тому що оцінити ризик нецінної інформації не представляється можливим.

Засоби захисту – засоби захисту ресурсу, на якому розташована (або обробляється) інформація й засоби захисту самої інформації, тобто застосовувані до конкретного виду інформації, а не до всього ресурсу.

Ефективність засобу захисту – кількісна характеристика засобу захисту, що визначає ступінь його впливу на ІС, тобто наскільки сильно засіб впливає на захищеність інформації й робочого місця групи користувачів. Визначається на основі експертних оцінок.

Коефіцієнт локальної захищеності інформації на ресурсі. Розраховується, якщо до інформації здійснюється тільки локальний доступ. У цьому випадку клієнтське місце групи користувачів і ресурс, на якому зберігається інформація, збігаються; тому захищеність групи користувачів окремо оцінювати не потрібно.

Коефіцієнт віддаленної захищеності інформації на ресурсі. Розраховується, коли до інформації здійснюється віддалений доступ; тобто по суті це сумарний коефіцієнт засобів захисту об'єкта.

Коефіцієнт локальної захищеності робочого місця групи користувачів. Розраховується, коли група користувачів здійснює віддалений доступ до інформації, тобто це сумарний коефіцієнт захисту суб'єкта або клієнтського місця групи користувачів. Даний коефіцієнт неможливо визначити для груп анонімних і авторизованих Інтернет-користувачів.

Наслідування коефіцієнтів захищеності. Якщо на ресурсі розташовані кілька видів інформації, причому до деяких з них здійснюється доступ через Інтернет (групами анонімних, авторизованих або мобільних Інтернет-користувачів), то загрози, що виходять від цих груп користувачів можуть вплинути й на інші види інформації. Отже, це необхідно врахувати. Якщо на одному з ресурсів, що перебуває в мережній групі, зберігається інформація, до якої здійснюють доступ зазначені групи користувачів, то це враховується аналогічно для всіх видів інформації, що зберігаються на всіх ресурсах, що входять у мережну групу.

Базовий час простою ресурсу (без застосування засобів захисту) – час, протягом якого доступ до інформації ресурсу неможливий (відмова в обслуговуванні). Визначається в годинах у рік на основі експертних оцінок без обліку впливу на інформацію засобів захисту. Базовий час простою залежить від груп користувачів, що мають доступ до ресурсу: час простою збільшується, якщо до ресурсу мають доступ Інтернет-користувачі.

Додатковий час простою ресурсу – час простою, протягом якого доступ до інформації ресурсу неможливий, обумовлений неадекватною роботою програмного або апаратного забезпечення ресурсу. Задається користувачем. Вказується в годинах у рік. (Виключення: час простою не може задаватися для твердої копії).

Мережний пристрій – пристрій, за допомогою якого здійснюється зв'язок між ресурсами мережі. Наприклад, комутатор, маршрутизатор, концентратор, модем, точка доступу.

Час простою мережного пристрою – час, протягом якого доступ, здійснюваний за допомогою мережного пристрою, до інформації ресурсу неможливий через відмову в обслуговуванні мережного пристрою.

Максимальний критичний час простою (Tmax) – значення часу простою, що є критичним для підприємства. Тобто збиток, нанесений підприємству при простоювані ресурсу протягом критичного часу простою, максимальний. При простоювані ресурсу протягом часу, що перевищує критичне, збиток, нанесений підприємству, не збільшується.

Контрзахід – дія, яку необхідно виконати для закриття вразливості.

Ризик – імовірний збиток, що понесе підприємство при реалізації загроз ІБ, що залежить від захищеності системи.

Ризик після завдання контрзаходів – значення ризику, переліченого з урахуванням завдання контрзаходів (закриття вразливостей).

Ефективність комплексу контрзаходів – оцінка, наскільки знизився рівень ризику після завдання комплексу контрзаходів стосовно первісного рівня ризику.

Для того щоб оцінити ризик інформації, необхідно проаналізувати захищеність і архітектуру побудови ІС. Власнику ІС потрібно спочатку описати архітектуру своєї мережі:

1. всі ресурси, на яких зберігається цінна інформація;

2. мережні групи, у яких перебувають ресурси системи (тобто фізичні зв'язки ресурсів один з одним);

3. відділи, до яких ставляться ресурси;

4. види цінної інформації;

5. збиток для кожного виду цінної інформації із трьох видів загроз;

6. бізнес-процеси, у яких обробляється інформація;

7. групи користувачів, що мають доступ до цінної інформації;

8. клас групи користувачів;

9. доступ групи користувачів до інформації;

10. характеристики цього доступу (вид і права);

11. засоби захисту інформації;

12. засоби захисту робочого місця групи користувачів.

Виходячи з введених даних, можливо побудувати повну модель ІС підприємства, на основі якої буде проведений аналіз захищеності кожного виду інформації на ресурсі.


Читайте також:

  1. II. Основні закономірності ходу і розгалуження судин великого і малого кіл кровообігу
  2. II. Поняття соціального процесу.
  3. V. Поняття та ознаки (характеристики) злочинності
  4. А/. Поняття про судовий процес.
  5. Автокореляція залишків – це залежність між послідовними значеннями стохастичної складової моделі.
  6. Адвокатура в Україні: основні завдання і функції
  7. Адміністративний проступок: поняття, ознаки, види.
  8. Адміністративні провадження: поняття, класифікація, стадії
  9. Акти застосування юридичних норм: поняття, ознаки, види.
  10. Амортизація основних засобів, основні методи амортизації
  11. Аналіз економічноїї політики за допомогою моделі Мандела-Флемінга. Випадки вільного та фіксованого валютного курсів.
  12. Аналіз ступеня вільності механізму. Наведемо визначення механізму, враховуючи нові поняття.




Переглядів: 699

<== попередня сторінка | наступна сторінка ==>
Матрична форма запису системи лінійних рівнянь | Принцип роботи алгоритму

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.021 сек.