Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Что я имею в виду под моделированием угроз

Понятие информационного риска | Место информационных рисков в таксономии экономических рисков | Для обеспечения необходимой защиты от IT-рисков и контроля безопасности можно провести следующие мероприятия. | Информационная безопасность и её составляющие | Угрозы безопасности информации в компьютерных системах | Методы защиты информации | Порядок действий пользователя при обнаружении заражения вирусами компьютерной системы | Перечисление угроз | Моделирование угроз как tabula rasa | Люди как пользователи систем моделирования средств защиты |


Читайте также:
  1. XIII. ГОСУДАРСТВО КАК ВЫСШАЯ УГРОЗА
  2. Анализ угрозы вторжения новых игроков
  3. Виды мер противодействия угрозам безопасности
  4. Для противодействия угрозам
  5. Для противодействия угрозам обеспечивают
  6. Доктрина информационной безопасности РФ об основных угрозах в информационной сфере и их источниках.
  7. Количественная оценка моделей угроз

Термин «моделирование угроз» имеет множество значений. Для ответа на вопрос «что такое моделирование угроз?» я воспользуюсь дескриптивным подходом и опишу, как может использоваться данный термин, вместо того, чтобы пытаться подобрать для него одно строгое определение. Итак, рассмотрим наиболее распространенные значения: термин «угроза» используется для обозначения как злоумышленников, то есть людей, атакующих систему, так и рисков, то есть тех нежелательных событий, которые могут произойти. Моделирование угроз может относиться как к методике установления требований к системе («каковая принятая Вами модель угроз?»), так и к методике конструкторского анализа («разрешите взглянуть на Ваш анализ модели угроз?»). Кроме того, моделирование угроз может строиться на рассмотрении ресурсов, злоумышленников или программного обеспечения. Моделирование угроз, ориентированное на ресурсы, часто включает в себя различные уровни оценки, аппроксимации или ранжирования рисков. Моделирование угроз с акцентом на злоумышленниках иногда включает ранжирование рисков или оценку ресурсов, возможностей и мотиваций (выполнение таких оценок представляет крайне сложную задачу для разработчиков пакетов программ широкого применения, так как разнообразие вариантов использования влечет и разнообразие угроз, связанных с каждым конкретным применением). Каждый подход к моделированию угроз имеет свои сильные и слабые стороны, на которых я буду при необходимости останавливаться, объясняя некоторые другие аспекты или описывая полученный опыт.

Кроме того, о моделировании угроз можно говорить применительно к анализу программных продуктов, организационных сетей, систем или даже промышленных секторов (см., например, [9]). Моделирование протоколов часто выполняется с использованием разнообразных формальных методов, иногда называемых моделями сетевых угроз. Термин «моделирование сетевых угроз» также используется при анализе развернутой сети.

Наконец, моделирование угроз может выполняться экспертами по безопасности с последующей передачей результатов инженерам, совместно экспертами и инженерами либо одними инженерами без участия экспертов. Специалисты по безопасности могут усомниться в ценности последнего подхода. Тем не менее, существует, по крайней мере, две причины, по которым стоит проводить моделирование угроз без экспертов. Во-первых, эксперты могут просто отсутствовать в организации по финансовым или иным причинам. Во-вторых, вовлечение в процесс моделирования людей, которые будут разрабатывать систему, но которые не являются специалистами по безопасности, позволяет им ощутить свою причастность к защите системы и обрести понимание модели безопасности. Моделирование угроз включает в себя множество различных процедур по выявлению требований к безопасности системы и по анализу различных схем защиты. Не существует одного «лучшего» или «правильного» метода моделирования угроз, напротив, необходимо сочетать и комбинировать различные альтернативы для того, чтобы достичь явно заданных или скрытых целей.


Дата добавления: 2015-11-14; просмотров: 44 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Законодательные акты РФ, регулирующие правовые отношения в сфере информационной безопасности и защиты государственной тайны| Построение диаграмм

mybiblioteka.su - 2015-2024 год. (0.005 сек.)