ФОРМАЛИЗАЦИЯ ОЦЕНКИ РИСКОВ В ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ

Рассматривается формальный подход к оценке рисков в информационных технологиях, связанных с их основными особенностями. Вводятся формализованные определения риска, угрозы и ее составляющих, компонентов информационной технологии, факторов, влияющих на наличие и проявление угроз. Наряду с определениями данных понятий вводятся элементы их классификации. На простом примере показывается невозможность гарантированной минимизации риска проявления угрозы класса  для компонентов, относящихся к классу, и как следствие формулируется основная теорема риска, обобщающая полученный результат для классов  и . Демонстрируется возможность построения формальных моделей оценки рисков, основанных на использовании в качестве элементной базы предложенных определений.

1. Осовецкий, Л.Г. Анализ защищенности сетей АТМ / Л.Г. Осовецкий, М.В. Тарасюк, А.Ю. Щеглов // Технология и средства связи. – 1998. – № 4. – С. 103–107.

2. Леонов, А.П. Безопасность автоматизированных банковских и офисных систем/

3. А.П. Леонов, К.А. Леонов, Г.В. Фролов. – Минск : НКП Беларуси, 1996. – 280 с.

4. Vincent, T. Covello. Risk Analysis and Risk Management: An Historical Perspective / Vincent T. Covello and Jeryl Mumpower // Risk Analysis. – 1985. – Vol. 5, № 2.

5. Герасименко, В.Ф. Защита информации в автоматизированных системах обработки данных. В 2-х кн. : Кн. 1 / В.Ф. Герасименко. – М. : Энергоатомиздат, 1994. – 400 с.

6. Благодатских, В.А. Стандартизация разработки программных средств/ В.А. Благодатских, В.А. Волнин, К.Ф. Поскакалов. – М. : Финансы и статистика, 2005. – 288 с.

7. СТБ П ИСО/МЭК 17799-2000/2004. Информационные технологии и безопасность. Правила управления информационной безопасностью.

8. ГОСТ Р 51897 – 2002. Менеджмент риска. Термины и определения.

9. ГОСТ Р 51898 – 2002. Аспекты безопасности. Правила включения в стандарты.

10. СТБ 34.101.1-2004 (ИСО/МЭК 15408-1-1999). Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

11. СТБ 34.101.2-2004 (ИСО/МЭК 15408-2-1999). Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.

12. СТБ 34.101.3-2004 (ИСО/МЭК 15408-3-1999). Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Гарантийные требования безопасности.

13. СТБ П 34.101.6. Информационные технологии и безопасность. Задание по обеспечению безопасности. Разработка, обоснование, оценка.