ФОРМАЛИЗАЦИЯ ОЦЕНКИ РИСКОВ В ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ
Аннотация
Рассматривается формальный подход к оценке рисков в информационных технологиях, связанных с их основными особенностями. Вводятся формализованные определения риска, угрозы и ее составляющих, компонентов информационной технологии, факторов, влияющих на наличие и проявление угроз. Наряду с определениями данных понятий вводятся элементы их классификации. На простом примере показывается невозможность гарантированной минимизации риска проявления угрозы класса для компонентов, относящихся к классу, и как следствие формулируется основная теорема риска, обобщающая полученный результат для классов и . Демонстрируется возможность построения формальных моделей оценки рисков, основанных на использовании в качестве элементной базы предложенных определений.
Об авторах
В. В. АнищенкоБеларусь
Е. А. Цынкевич
Беларусь
Список литературы
1. Осовецкий, Л.Г. Анализ защищенности сетей АТМ / Л.Г. Осовецкий, М.В. Тарасюк, А.Ю. Щеглов // Технология и средства связи. – 1998. – № 4. – С. 103–107.
2. Леонов, А.П. Безопасность автоматизированных банковских и офисных систем/
3. А.П. Леонов, К.А. Леонов, Г.В. Фролов. – Минск : НКП Беларуси, 1996. – 280 с.
4. Vincent, T. Covello. Risk Analysis and Risk Management: An Historical Perspective / Vincent T. Covello and Jeryl Mumpower // Risk Analysis. – 1985. – Vol. 5, № 2.
5. Герасименко, В.Ф. Защита информации в автоматизированных системах обработки данных. В 2-х кн. : Кн. 1 / В.Ф. Герасименко. – М. : Энергоатомиздат, 1994. – 400 с.
6. Благодатских, В.А. Стандартизация разработки программных средств/ В.А. Благодатских, В.А. Волнин, К.Ф. Поскакалов. – М. : Финансы и статистика, 2005. – 288 с.
7. СТБ П ИСО/МЭК 17799-2000/2004. Информационные технологии и безопасность. Правила управления информационной безопасностью.
8. ГОСТ Р 51897 – 2002. Менеджмент риска. Термины и определения.
9. ГОСТ Р 51898 – 2002. Аспекты безопасности. Правила включения в стандарты.
10. СТБ 34.101.1-2004 (ИСО/МЭК 15408-1-1999). Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
11. СТБ 34.101.2-2004 (ИСО/МЭК 15408-2-1999). Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
12. СТБ 34.101.3-2004 (ИСО/МЭК 15408-3-1999). Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Гарантийные требования безопасности.
13. СТБ П 34.101.6. Информационные технологии и безопасность. Задание по обеспечению безопасности. Разработка, обоснование, оценка.
Рецензия
Для цитирования:
Анищенко В.В., Цынкевич Е.А. ФОРМАЛИЗАЦИЯ ОЦЕНКИ РИСКОВ В ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ. Информатика. 2008;(4(20)):89-103.