ФОРМАЛИЗАЦИЯ ОЦЕНКИ РИСКОВ В ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ

Рассматривается формальный подход к оценке рисков в информационных технологиях, связанных с их основными особенностями. Вводятся формализованные определения риска, угрозы и ее составляющих, компонентов информационной технологии, факторов, влияющих на наличие и проявление угроз. Наряду с определениями данных понятий вводятся элементы их классификации. На простом примере показывается невозможность гарантированной минимизации риска проявления угрозы класса  для компонентов, относящихся к классу, и как следствие формулируется основная теорема риска, обобщающая полученный результат для классов  и . Демонстрируется возможность построения формальных моделей оценки рисков, основанных на использовании в качестве элементной базы предложенных определений.

1. Осовецкий, Л.Г. Анализ защищенности сетей АТМ / Л.Г. Осовецкий, М.В. Тарасюк, А.Ю. Щеглов // Технология и средства связи. - 1998. - № 4. - С. 103-107.

2. Леонов, А.П. Безопасность автоматизированных банковских и офисных систем/

3. А.П. Леонов, К.А. Леонов, Г.В. Фролов. - Минск : НКП Беларуси, 1996. - 280 с.

4. Vincent, T. Covello. Risk Analysis and Risk Management: An Historical Perspective / Vincent T. Covello and Jeryl Mumpower // Risk Analysis. - 1985. - Vol. 5, № 2.

5. Герасименко, В.Ф. Защита информации в автоматизированных системах обработки данных. В 2-х кн. : Кн. 1 / В.Ф. Герасименко. - М. : Энергоатомиздат, 1994. - 400 с.

6. Благодатских, В.А. Стандартизация разработки программных средств/ В.А. Благодатских, В.А. Волнин, К.Ф. Поскакалов. - М. : Финансы и статистика, 2005. - 288 с.

7. СТБ П ИСО/МЭК 17799-2000/2004. Информационные технологии и безопасность. Правила управления информационной безопасностью.

8. ГОСТ Р 51897 - 2002. Менеджмент риска. Термины и определения.

9. ГОСТ Р 51898 - 2002. Аспекты безопасности. Правила включения в стандарты.

10. СТБ 34.101.1-2004 (ИСО/МЭК 15408-1-1999). Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

11. СТБ 34.101.2-2004 (ИСО/МЭК 15408-2-1999). Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.

12. СТБ 34.101.3-2004 (ИСО/МЭК 15408-3-1999). Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Гарантийные требования безопасности.

13. СТБ П 34.101.6. Информационные технологии и безопасность. Задание по обеспечению безопасности. Разработка, обоснование, оценка.