Скачать книгу

Антон Александрович Воробьев, 2020

      ISBN 978-5-4498-9345-1 (т. 1)

      ISBN 978-5-4498-9346-8

      Создано в интеллектуальной издательской системе Ridero

      Список сокращений

      CCE – Common Configuration Enumeration;

      CERT – Computer Emergency Response Team;

      CPE – Common Program Enumeration;

      CVE – Common Vulnerability Enumeration;

      CVSS – Common Vulnerabilities Scoring System;

      HTML – Hyper—Text Markup Language;

      NVD – National Vulnerability Database;

      OVAL – Open Vulnerability Assessment Language;

      SCAP – Security Content Automation Protocol;

      XCCDF – The Extensible Configuration Checklist Description Format;

      XML – extensible markup language;

      XSD – XML Schema Definition;

      АИС – автоматизированная информационная система;

      АРМ – автоматизированное рабочее место;

      БД – база данных;

      ВС – вычислительная система;

      ГНИИИ ПТЗИ ФСТЭК России – Государственный научно—исследовательский испытательной институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю России;

      ГОСИБ – глобальные открытые сети информационного обмена;

      ИС – информационная система;

      ИСПДн – информационная система персональных данных;

      КИ – конфиденциальная информация;

      КНПИ – канал несанкционированной передачи информации;

      КС – корпоративная сеть;

      ЛВС – локальная вычислительная сеть;

      МЭ – межсетевой экран;

      НМД – нормативно—методическая документация;

      НСД – несанкционированный доступ;

      ОРД – организационно—распорядительная документация;

      ПДн = персональные данные;

      СД – сервер доступа;

      СЗИ – система защиты информации;

      СКЗИ – средства криптографической защиты информации;

      СКО – среднеквадратичное отклонение;

      СОВ – система обнаружения вторжений;

      СУБД – система управления базами данных;

      ФСБ – Федеральная служба безопасности;

      ФСТЭК – Федеральная служба по техническому и экспортному контролю;

      ЭДО – электронный документооборот.

      Список обозначений

      #Ψ – мощность множества Ψ;

      {Χi} – конечное семейство классов характеристик уязвимостей;

      2x – множество всех подмножеств множества Χ;

      – пространство декартового произведения множеств всех подмножеств семейства характеристик {Χi};

      M – функционал G → [0; α] ∈ R, α – const;

      B – булева алгебра с носителем элементов G;

      μ (x) – вещественная счетно—аддитивная существо положительная функция, заданная на алгебре B;

      μN (x) – нормированное значение функции μ (x);

      Введение

      Актуальность работы.

      Защита информационных ресурсов от угроз безопасности на сегодня является одним из приоритетных направлений, как отдельного предприятия, так и государства в целом.

      На сегодня регулирование деятельности по защите информации на автоматизированных объектах информатизации в Российской Федерации осуществляет Федеральная служба по техническому и экспортному контролю России(ФСТЭК) при поддержке ГНИИИ ПТЗИ ФСТЭК России, которая разработала ряд руководящих(РД) и нормативных документов(НД). Среди последних, основополагающими являются документы о базовой модели угроз информационных систем персональных данных (ИСПДн) и ключевых систем информационной структуры (правительственные объекты и объекты, непосредственно влияющие на обороноспособность государства). В соответствии с РД и НД, частным случаем угрозы является понятие уязвимости, применяемое к информационным системам (ИС), – «свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации» или «некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации».

      Однако разработанные методы, модели оценки и контроля защищенности ИС при наличии программно-аппаратных уязвимостей относятся непосредственно к системам защиты информации, созданных как элемент частной модели угроз определенных предприятий на основе базовой модели с использованием методик ГНИИИ ПТЗИ ФСТЭК России, причем отсутствие численных критериев их оценки затрудняет или делает невозможным проведение контроля и аудита защищенности ИС. Проблема отсутствия данных критериев описана в РД и НД регуляторов, и заявлена как исследовательская. Для ее решения ФСТЭК России рекомендует систематизировать уязвимости на основе существующих зарубежных баз данных(БД), используя их в качестве источников информации.

Скачать книгу