Автор: Годла А.С., Губенко Н.Е.
Источник: Сучаснi iнформацiйнi технології та програмне забезпечення комп'ютерних систем: збірник тез доповідей Всеукраїнської науково–практичної конференції студентів та магістрантів, 27–29 березня 2013 року, м. Кіровоград. – Кіровоград: «КОД», 2013. – 208 с., с. 147–149.
Информационная безопасность – защита информации и поддерживающей инфраструктуры от случайных и преднамеренных действий естественного или искусственного характера, которые наносят вред владельцам и пользователям информации. В настоящий момент существуют передовые международные практики, применяемые во многих странах, обеспечивающие достаточный режим информационной безопасности.
IT–контрмеры не совершенны, поэтому организации должны быть готовы к управлению рисками, а не только к попыткам их устранения (Alberts & Dorofee, 2002; McCumber, 2005; Peltier, 2005; Schneier, 2004; Whitman & Mattord, 2003).
Минимальным требованиям к режиму информационной безопасности соответствует базовый уровень информационной безопасности. Для создания повышенных требований для модели распределения и использования ресурсов важно придерживаться следующих этапов: определение стоимости ресурсов; подсчет вероятности угроз; выявление уязвимости ресурсов и оценка потенциального ущерба от последствий атак [1, с.17 ].
Сегодня на многих малых предприятиях вопрос управления рисками находится в самом низу пирамиды приоритетов. Опрос, проведенный в рамках Малого бизнес–саммита Америки в мае 2010 года показывает, что главным приоритетом в малом бизнесе являются маркетинг и продажи. Меньше всего частных предпринимателей волнует вопрос защиты от судебных исков. [2]
В условиях малого бизнеса идея политики в области развития безопасности может быть решена с помощью специальных инструментальных средств оценки и управления рисками. Использование этих программ может эффективно влиять на экономию средств, которые раньше предприниматель планировал расходовать на ликвидацию последствий атак на информационную собственность [3].
С точки зрения использования такого рода программ в сфере малого бизнеса наилучших результатов с меньшими материальными затратами можно достичь с помощью методик OCTAVE–S и CRAMM.
Методы OCTAVE основаны на практических критериях OCTAVE, которые являются стандартными подходами для оценки информационной безопасности [4]. Данная методика реализуется вручную, без использования программных средств.
В отличие от OCTAVE, CRAMM–CCTA Risk Analysis & Management реализуется с помощью специализированного программного обеспечения, которое можно настроить для различных отраслей (хозяйственной, гражданской обороны, финансовые услуги и т. д.).
Таким образом, анализ показывает, что для построения эффективной, комплексной системы информационной безопасности предполагается внести следующие изменения:
Немаловажно отметить, что использование ресурсов в модели распределения ресурсов может быть построено на основе E–NET модели распределения, доступа и использования ресурсов уровнями безопасности и групп (ENLG) Николая Тодорова Стоянова и Веселина Ценова Целкова [5] .
Принцип взаимодействия в модели заключается в том, что любая группа состоит из пользователей и ресурсов с максимальным уровнем доступа. Любой пользователь может взаимодействовать только с теми ресурсами, уровень которых ниже или равен уровню пользователя и одновременно принадлежат к одной группе.
Согласно этой модели, функциональными возможностями для пользователей являются:
Таким образом, становится возможным уменьшение риска несанкционированного использования ресурсов компьютера в связи с проверкой доступа пользователей на корректность обращения к ресурсам.
Предлагаемые изменения направлены на улучшение распределенной модели использования ресурсов и уменьшение вероятности угрозы конфиденциальности, целостности и доступности данных, другими словами, становится возможным снижение риска несанкционированного использования ресурсов.