Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4613 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Поволжский государственный университет телекоммуникаций и информатики
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Диплом 5240.docx
Скачиваний:
98
Добавлен:
10.06.2015
Размер:
194.98 Кб
Скачать
►Содержание►

3.1.2 Процесс оценки уязвимости

Для полной и точной оценки уязвимости объекта требуется профессиональная команда специалистов с большим опытом работы. Она должна иметь лидера — специалиста в области безопасности, способного обеспечить правильную организацию работы. Команда должна состоять из следующих специалистов: руководителя, инженера по системам безопасности, эксперта по реагированию, аналитика, представителей объекта (обслуживающего персонала), специалистов по определенным направлениям, например взрывотехника, эксперта по компьютерам, слесаря и др.

Одни члены команды могут быть востребованы эпизодически, а другие работать на постоянной основе. Руководитель должен иметь опыт работы по проектированию и управлению системами безопасности. Инженер по системам безопасности должен знать технологические средства систем обнаружения, задержки и реагирования и иметь опыт в интеграции систем безопасности. Эксперты по реагированию на угрозу должны предвидеть чрезвычайные ситуации и аварии, иметь склонность к исследовательской работе. Аналитик должен уметь использовать возможности компьютерных моделей для предсказания характеристик системы. Он также может быть инженером по системам безопасности, экспертом по реагированию или задержке и другим вопросам. В зависимости от защищаемого объекта и возможных угроз эксперты по замкам, взрывчатым веществам и другим специальным дисциплинам могут быть востребованы для оценки угроз и установления целей злоумышленника применительно к данной системе защиты. Кроме того, необходимо присутствие представителей объекта, в состав которых могут быть включены сотрудники службы безопасности, эксперты по производству продукции, юристы, эксперты по различному оборудованию.

После формирования команды первой фазой процесса проектирования и оценки является определение целей системы защиты. Конечным результатом на этой стадии должен быть полный перечень элементов объекта с развернутыми характеристиками, включая описание существующих элементов системы безопасности, спектр возможных угроз, знание всего имущества объекта и последствий, связанных с их потерей. Определение имущества и анализ последствий могут быть проведены с использованием «дерева отказов». Базовая система может быть смоделирована с применением компьютерной модели EASI и диаграмм последовательности действий нарушителя. Полученные результаты можно сравнить с целями системы и количественной оценкой величины риска, сделанной с использованием приведенного выше уравнения риска. Если величина риска приемлема, существующая система является удовлетворительной, если же нет, то система должна быть переделана таким образом, чтобы уменьшить степень риска для объекта до допустимой величины.

3.1.3 Оценка риска

Важно заметить, что для выбора оптимального решения по критерию затраты - прибыль, эффективность и риски, относящиеся как к существующей, так и к разрабатываемой системе, должны быть известны. Невозможно принять оптимального решения без такой информации, поскольку важно знать степень уменьшения риска и цену за это. Важно понимать, что имеются ограниченные средства финансирования для решения задач безопасности. Поэтому если угроза для объекта высока, а средств достаточно только для защиты объекта от угрозы более низкого уровня, то возникает дополнительный риск. Характеристики или эффективность разных систем определяют исходя из разной степени угроз. Поскольку эффективность системы зависит от угрозы, будут различны и значения , поэтому разным угрозам будут соответствовать разные риски. Когда угрозы являются более сложными и профессионально подготовленными, следует усилить систему безопасности. Данный анализ может использоваться для обоснования необходимости получения дополнительных фондов, позволяющих уменьшить риск или служить в качестве базиса для долговременного (на несколько лет) повышения безопасности. Задача оценки риска состоит не в том, чтобы истратить как можно больше денег, а в том, чтобы помочь лицам, принимающим решения, потратить имеющиеся деньги наиболее рационально. Если результат показывает наличие неприемлемо высоких рисков, дополнительные фонды могут помочь быстро увеличить эффективность системы безопасности. В качестве альтернативы можно предложить оценки риска относительно того, какие угрозы могут быть ослаблены с помощью системы зашиты, а какие окажутся на недопустимо высоком уровне. Когда работа по оценке риска завершится, полученные данные должны трактоваться как конфиденциальные и быть доступными лишь ограниченному кругу лиц.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности