А. В. Лаврентьев научный руководитель В. П. Зязин, к ф. м н
Вид материала | Анализ |
- Информационно-поисковая система “Научный потенциал вуза”, 31.25kb.
- Магнитоакустическая эмиссия магнетитовых и титаномагнетитовых руд железорудных месторождений, 290.93kb.
- Просекина Анна Николаевна Руководитель проекта: Лаврентьев Сергей Леонидович диплом, 31.22kb.
- Председателем Оргкомитета конференции является научный руководитель ниу вшэ профессор, 51.47kb.
- Председателем Оргкомитета конференции является научный руководитель ниу вшэ профессор, 56.04kb.
- Научный совет по философии образования и проблемам методологии исследования в образовании, 166.51kb.
- Программа программный комитет исаев Александр Сергеевич, академик ран, д б. н., научный, 427.64kb.
- Диакона Александра (Урбановича) (научный руководитель иерей Александр Тимофеев), затрагивающая, 1909.34kb.
- Общий менеджмент Батяшев В. И. Повышение эффективности производства замороженных полуфабрикатов, 983.44kb.
- Магистерская программа «маркетинг-менеджмент» (научный руководитель – доцент,, 16.48kb.
А.В. ЛАВРЕНТЬЕВ
Научный руководитель – В.П. ЗЯЗИН, к.ф.-м.н., профессор
Московский государственный технический университет радиотехники, электроники и автоматики
ПРОБЛЕМЫ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Рассматриваются основные проблемы современных подходов к управлению рисками информационной безопасности и предлагаются некоторые методы их решения.
Анализ рисков ИБ определяется как систематический процесс исследования угроз, активов информационных технологий и слабых мест этих активов и определения вероятности осуществления этих угроз.
Рассмотрим основные проблемы современных подходов к данному процессу.
Проблема неоднозначности включает в себя:
Использование противоречивой терминологии «риска». Много норм или тренировок называют некоторые угрозы в честь отсутствия механизмов безопасности. Например, немецкий IT Grundschutzhandbuchх[1] классифицирует “несоблюдение безопасности IT-систем” как угрозу. Использование противоречивых понятий. IT Grundschutzhandbuch разделяет угрозы и механизмы безопасности на два различных объекта, а не рассматривает их как неделимую пару. Отсутствие когерентных и всесторонних моделей. Например, модель [2] Джейкобссона визуализирует угрозы посредством использования графиков, а количество рисков определяет с помощью экономического анализа. Однако экономический анализ не предоставляет данных ни о вероятностях, ни о предпочтениях по риску для последующего принятия решений. Приложение несоответствующих методов моделирования, такие методы моделирования не оперируют контекстами различных угроз и механизмов ИБ.
Проблема статистической вероятности
Статистическая вероятность отличается от той вероятности, в которой вероятность обращается к будущим событиям, в то время как статистическая вероятность обращается к прошедшим событиям с известными результатами. Соответственно, проблема статистической вероятности относится к результатам от прошлых событий, которые формируются вероятностями, обозначающими неопределенность о будущих событиях. Что приводит к неверному оперированию терминологией в методах вероятностных оценок рисков ИБ [3]. Как результат - низкое доверие вероятностным оценкам практиками, вероятностные оценки считают ненадежными принимающие решения лица и поэтому часто игнорируются в процессе принятия решений.
Вероятностная проблема влияния
Процессы безопасности устанавливают, поддерживают и списывают механизмы безопасности, и влияют на их взаимодействие с угрозами, то есть окружение, в котором работает IS, влияет на вероятности успеха угроз. Соответственно, процессы безопасности, такие как управление патчами и тренировки понимания безопасности, важны для отбора и выравнивания механизмов безопасности. К сожалению, влияние процессов безопасности на механизмах безопасности неизвестно практически, поскольку методологическое основание, чтобы приблизиться к этой проблеме, отсутствует. На практике отсутствует важная порция информации для принятия решений. Данная проблема имеет несколько методов решения, например, основанных на распознавании образов.
Проблема принятия решений
Большое разнообразие подходов было предложено для отбора механизмов безопасности и выравнивания их затрат. Независимо от разновидностей допустимых подходов и в практическом, и в академическом мире, отбор механизмов безопасности и выравнивание их затрат плохо интегрированы в процесс принятия решений компанией. Практически, определение выделения ресурсов для управления рисками IS обычно не формируют с достаточной аккуратностью. Проблема принятия решений может быть решена, приспосабливая модели решения из Сервисной Теории. В частности, рекомендуется исследование предпочтений рисков корпоративных лиц, принимающих решения [4].
Список литературы
- BSI, IT-Grundschutzhandbuch. 2004, Bundesamt für Sicherheit in der Informationstechnik: Bonn.
- Jakobsson, M. Modeling and Preventing Phishing Attacks. [Internet] 2005; Availabl from: matics.indiana.edu/markus/papers/phishing_jakobsson.pdf.
- Yong Jick Lee, Robert J. Kauffman, Ryan Sougstad; Profit-maximizing firm investments in customer information security; November 2011, Decision Support Systems, Volume 51, Issue 4, Pages 904-920
- Garik Markarian,Rainer Kölle,Alex Tarter; Aviation Security Engineering: A Holistic Approach; 2011, ARTECH HOUSE