Уровень точности получаемой на выходе оценки зависит в первую очередь от полноты списка угроз и уязвимостей, как основных составляющих риска, точности оценки информационных ресурсов, а также точности оценки вероятностных характеристик реализации угроз. Для оценки этих характеристик может потребоваться привлечение, как технических специалистов, так и представителей управления самой компании, что позволяет в дальнейшем результативней финансировать и контролировать процесс внедрения СЗИ.
1. ДСТСЗИ 1.1-003-99 Терминология в отрасли защиты информации в компьютерных системах от НСД. От 01.07.1999
2. Приказ Департамента специальных телекоммуникационных систем и защиты информации Службы безопасности Украины N 31 от 30.04.2004
3. Международный стандарт ISO/IEC 15408 “Общие критерии оценки безопасности информационных технологий”
4. Галицкий А.. Защита информации в сети - анализ технологий и синтез решений. ДМК. 2004.
5. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. –– М.:Компания Айти ; ДМКПресс, 2004.
6. Столлингс Вильям Криптография и защита сетей: принципы и практика, 2-е изд. – М. : Издательский дом «Вильямс», 2001.
7. Конеев И.Р., Беляев А.В.. Информационная безопасность предприятия. BHV-СПб. 2003
8. NIST 800-30 cтандарт США «Предотвращение и мониторинг инцидентов связанных с вредоносным ПО»
9. Германский стандарт «Руководство по защите информационных технологий для базового уровня защищенности».
10. Международный стандарт ISO 17799:2000 “Практические правила управления информационной безопасностью”
11. Л. Хмелев. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции "Безопасность информационных технологий", Пенза, июнь 2001
12. Норткатт Стивен. Защита сетевого периметра. DiaSoft. 2004.
13. Стивен Норткат. Обнаружение нарушений безопасности в сетях. Изд.3. Диалектика-Вильямс. 2003
14. http://ru.wikipedia.org/wiki/NAT
15. http://www.linux.ru/
16. http://www.securityfocus.com/ids
17. Стюарт Мак-Клар, Джо. Секреты хакеров. Изд.4. Безопасность сетей -готовые решения. Диалектика-Вильямс. 2004.
18. http://www.cisco.com/global/RU/index.shtml
19. http://www.ey.com/cis
20. http://www.anti-malware.ru/index.phtml?part=survey&surid=updates
21. Thomson K. “Reflection on Trysting Trust (Deliberate software bugs)” Communications of the ACM, August 1994.
22. Stephenson P. “Preventive medicine.” LAN magazine, Novemder 1999
23. Berg A. “Viruses: More infections then ever, users say.” LAN Times June 23,1997
24. http://www.nsca.com
25. http://www.anti-malware.ru/index.phtml?part=analysis
26. http://www.domarev.kiev.ua/
27. Петров А.А. Компьютерная безопасность. Криптографические методы защиты. –– М.:ДМК, 2000
28. Хетч Б., Колесников О. LINUX: создание виртуальных частных сетей (VPN). – М.: КУДИЦ-ОБРАЗ, 2004.
29. http://www.citforum.ru/
30. http://www.securitylab.ru
31. Петров Э.Г. «Методы и средства принятия решений в социально экономических и технических системах». –– Херсон: ОЛДИ-плюс, 2003.
32. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. –– СПб: Наука и Техника, 2004
33. http://www.uni.ru
34. http://www.kaspersky.ru
35. http://www.osp.ru/text/302/138646.html
36. http://www.ptsecurity.ru/analisis01.asp
37. http://www.pcwelt.de/news/sicherheit/107774/
38. http:///updates.drweb.com
39. http://www.av-test.org/
40. http://www.anti-malware.ru/index.phtml?part=analysis&anid=proactive
41. http://www.anti-malware.ru/index.phtml?part=compare&anid=packs
42. Форристал. Защита от хакеров WEB-приложений. ДМК. 2004.
43. Зима В.. Безопасность глобальных сетевых технологий. BHV-СПб. 2001.
Приложение А. Методы оценки субъективной вероятности
Как правило, на практике субъективную вероятность приходится привлекать в следующих случаях:
· когда объективная вероятность некачественная;
· если предполагается, что полученные закономерности и объективная вероятность не будут наблюдаться в будущем;
· когда нет объективных данных о наблюдениях в прошлом.
В таких ситуациях субъективную вероятность можно рассматривать как меру уверенности эксперта в возможности наступления события. Она может быть представлена по-разному: вероятностным распределением на множестве событий, бинарным отношением на множестве событий, не полностью заданным вероятностным распределением или бинарным отношением и другими способами.
Покажем, как определить субъективную вероятность. Разделим процесс на три этапа [5]:
· подготовительный этап;
· получение оценок;
· анализ оценок.
Первый этап позволяет выделить объект исследования - некоторое множество событий. Далее проводится предварительный анализ свойств этого множества (устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий). На основе такого анализа выбирается один из подходящих методов определения субъективной вероятности. На этом же этапе проводится подготовка эксперта или группы экспертов, ознакомление его с методом и проверка понимания поставленной задачи экспертами.
Второй этап состоит в применении метода, выбранного на первом этапе. Результатом этого этапа является набор чисел, который отражает субъективный взгляд эксперта или группы экспертов на вероятность того или иного события. Здесь далеко не всегда удается установить окончательное распределение, поскольку результаты могут быть противоречивыми.
Третий этап заключается в исследовании и обобщении результатов опроса. Если вероятности, представленные экспертами, не согласуются с аксиомами вероятности, то это доводится до сведения экспертов и ответ уточняется так, чтобы они соответствовали аксиомам. Для некоторых методов определения субъективной вероятности третий этап исключается, поскольку сам метод состоит в выборе распределения, подчиняющегося аксиомам вероятности, которое в том или другом смысле наиболее близко к оценкам экспертов. Примеры таких методов - метод главного значения для конечного множества независимых событий и минимаксный метод для зависимых событий. Особую важность третий этап приобретает при агрегировании оценок, полученных от группы экспертов. Например, в методе Делфи, после анализа вероятностей, представленных отдельными экспертами, предполагается повторение второго этапа, то есть повторный опрос. Далее вновь следует третий этап, и в случае необходимости процедура выполняется еще раз.
А.1 Классификация методов получения субъективной вероятности
Методы определения субъективной вероятности можно классифицировать в зависимости от формы поставленных перед экспертами вопросов или от характеристик событий и случайных величин, а также от числа привлекаемых экспертов. В задачах оценки рисков в условиях неопределенности требуется оценивать вероятность (возможность) состояний внешней среды (неопределенных факторов). Поскольку внешняя среда может принимать лишь одно значение из заданного множества, то при оценке субъективных вероятностей обычно применяют методы, предназначенные для множеств несовместных событий. Среди методов, служащих для оценки вероятностей в случае конечных множеств несовместных событий, наибольшее практическое значение имеют три: метод прямого приписывания вероятностей, метод отношений и метод собственного значения, а в случае бесконечных множеств несовместных событий - метод изменяющегося интервала и метод фиксированного интервала.
Для практической реализации указанных методов необходима их детальная доработка и адаптация к характеру решаемых задач. Также понадобится разработать и реализовать конкретные алгоритмы проведения опроса экспертов по этим методам. В качестве дополнения к таким алгоритмам нужны процедуры графического представления данных, подготовленных экспертом. Это позволит эксперту вносить необходимые корректировки в свои прежние оценки исходя из общей картины. А для обработки вероятностей, представленных несколькими экспертами, следует создавать процедуры агрегирования вероятностей. В их основу может быть положен метод взвешенной суммы. Для лучшей согласованности оценок экспертов обычно разрабатывают итеративную процедуру проведения экспертизы, основанную на методе Делфи.
Условно методы нахождения субъективной вероятности можно разделить на следующие три группы.
Первая, самая многочисленная группа, - это прямые методы, состоящие в том, что эксперт отвечает на вопрос о вероятности события. К ним относятся метод изменяющихся интервалов, метод фиксированных интервалов, метод отношений, графический метод, метод собственного значения, методы оценки параметров распределения и др. Независимо от конкретного метода данной группы эксперт должен оценивать непосредственно вероятность событий.
Вторую группу образуют методы, в которых вероятность событий выводится из решений экспертов в гипотетической ситуации. Примером является метод лотерей, а также метод равноценной корзины. Формально говоря, применение методов второй группы требует от эксперта сравнения не вероятностей как таковых, а полезности альтернатив, при которых исход зависит от реализации случайной величины. Многие эксперты отмечают возрастающую сложность вопросов и более существенные ошибки при применении этих методов по сравнению с методами первой группы.
Третья группа - это гибридные методы, требующие от экспертов ответов на вопросы как о вероятности, так и о полезности. К гибридным методам относятся некоторые разновидности метода лотерей.
А.2 Методы получения субъективной вероятности