МЕТОДИЧЕСКИЙ ПОДХОД К АНАЛИЗУ И ОЦЕНКЕ ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ, ОСНОВАННЫЙ НА ОПАСНОСТИ УЯЗВИМОСТЕЙ

Рассматривается методический подход к анализу и оценке безопасности информации в информационных системах, основанный на анализе уязвимостей и степени их опасности. Под опасностью уязвимости понимается сложность ее эксплуатации в составе информационной системы. Определены необходимые и достаточные условия эксплуатации уязвимостей. Предлагается обобщенная модель реализации атаки, на основе которой строится модель реализации атаки для эксплуатации конкретной уязвимости. Сформулирован критерий оценки защищенности информации в ИС, основанный на оценке опасности уязвимости. Предлагаемый подход позволяет получить количественную оценку защищенности ИС на основе предлагаемых схем реализации типовых атак для выделенных классов уязвимостей.

Методический подход использован при выборе вариантов реализации механизмов защиты в ИС, а также при оценке безопасности информации в действующих ИС.

1. Астахов, А. А. Анализ защищенности корпоративных систем / А. А. Астахов // Открытые системы. – 2002. – №7/8. – С. 44–49.

2. Вихорев, С. В. Как узнать откуда напасть и откуда исходит угроза безоапасности / С. В. Вихорев, Р. Ю. Кобиев // Конфидент. – 2002. – №1. – С. 44–49.

3. Симонов, С. Современные технологии анализа рисков в информационных системах / С. Симонов // PC Week/RE = Компьютерная неделя. – 2001. – № 37 (307).