Програмне забезпечення CORAS



Мы поможем в написании ваших работ!


Мы поможем в написании ваших работ!



Мы поможем в написании ваших работ!


ЗНАЕТЕ ЛИ ВЫ?

Програмне забезпечення CORAS



Програмне забезпечення CORAS – це редактор діаграм. Даний програмний засіб призначений для підтримки моделювання усіх видів діаграм CORAS. Він містить шість основних частин, які наведені на рис. 1. Даний інструментарій доступний для вільного користування та може бути завантажений із офіційного сайту методу.

 

Рис. 1. Робоча область програмного забезпечення CORAS

- Випадаюче меню: стандартні функції, наприклад: відкриття, збереження, копіювання, вирізати, вставити, роздрукувати тощо.

- Панель інструментів: пропонує легкий доступ до стандартних функцій випадаючого меню.

- Палітра: містить всі моделі елементів та зв’язків для створення діаграм CORAS.

- Область малювання: площа або полотно для створення діаграм CORAS.

- Вікно властивостей: список властивостей вибраних елементів; може бути використаний для редагування значень властивостей.

- Схема: представляє проект і його діаграми у вигляді дерева.

 

Діаграми CORAS містять такі компоненти:

Сторона – організація, компанія, особа, група або будь-який інший індивід, від чийого імені проводиться аналіз ризиків ІБ.
Прямий актив Непрямий актив Актив – щось цінне для сторони і, що відповідно повинне бути захищене.
Небажаний інцидент – подія, яка шкодить або зменшує цінність активу.
Уразливість – слабкість або недолік, які можуть бути використані загрозою з метою заподіяння шкоди активу або зменшення його цінності.
Загроза – це потенційна причина небажаного інциденту.
Сценарій загроз – ряд подій, що ініціюються загрозами та можуть зумовити небажані інциденти.
Ризик – ймовірність небажаного інциденту та його наслідків для конкретного активу.
Захист – заходи щодо зниження рівня ризику.
         

 

Каталоги IT-Grundschutz

Варто зазначити, що на практиці, в умовах сучасних українських організацій, нашими фахівцями успішно використовується методика IT-Grundschutz, яка розроблена урядовим відомством з інформаційної безпеки Німеччини (BSI), та досить часто використовується разом із міжнародним стандартом ISO 27001 для побудови системи менеджменту інформаційною безпекою (СМІБ).

Найвідомішими публікаціями BSI з інформаційної безпеки є керівництво IT-Grundschutz (IT-Grundschutz Manual), яке з першої появи в 1994 році не лише детально описує принципи управління інформаційною безпекою, але й зазначає заходи захисту інформаційної безпеки в області технологій, організації, персоналу та інфраструктури. Різні області керівництва IT-Grundschutz не лише були оновлені, але також були реорганізовані в 2005 році. Це зумовило те, що опис методології IT-Grundschutz та каталоги IT-Grundschutz були відокремлені один від одного.

Каталоги IT-Grundschutz (IT-Grundschutz Catalogues) мають модульну структуру і містять модулі для типових процесів, систем та ІТ-компонентів. На додаток до рекомендованих заходів захисту для кожного елемента ІТ-систем також описані найважливіші загрози, від яких компанія повинна себе захистити. Користувач може зосередити свою увагу на модулі, які мають відношення до їх області функціонування. Дані каталоги є опублікованими в Інтернеті та вільними для користування.

В даному випадку IT-Grundschutz опирається на той факт, що більшість ІТ-систем та програм, що використовуються на практиці, виконуються таким самим чином і в схожих умовах експлуатації. Сервери Unix, клієнтські ПК на базі ОС Windows і додатки баз даних є такими прикладами. Завдяки використанню цих типових компонентів, загрози ІТ-операцій знаходяться на повторюваній основі. Якщо немає спеціальних вимог до інформаційної безпеки, ці загрози багато в чому залежать від конкретних сценаріїв застосування. Це зумовлює дві ідеї для розгляду:

1. Всеохоплююча оцінка ризику не завжди необхідна: загрози ІТ-операцій і ймовірність збитку в результаті цих загроз можна умовно розрахувати з певними припущеннями.

2. Не завжди необхідно розробляти нові заходи інформаційної безпеки для будь-якого застосування: групи стандартних засобів захисту можуть бути ефективними, пропонуючи відповідні й адекватні заходи захисту від цих небезпек при нормальних вимогах інформаційної безпеки.

Основна структура каталогів IT-Grundschutz наведена нижче:

1. Каталог модулів (Modules-Catalogues)

− основні аспекти ІТ-безпеки (B1 Generic aspects of IT security);

− безпека інфраструктури (B2 Security of the infrastructure);

− безпека ІТ-систем (B3 Security of IT systems);

− безпека мережі (B4 Security in the network);

− безпека додатків (B5 Security of applications).

2. Каталог загроз (Threats Catalogues)

− каталог загроз при надзвичайних ситуаціях (T1 Threats Catalogue Force Majeure);

− каталог загроз при організаційних недоліках (T2 Threats Catalogue Organisational Shortcomings);

− каталог загроз внаслідок людського фактору / помилок персоналу (T3 Threats Catalogue Human Failure);

− каталог загроз при технічних відмовах (T4 Threats Catalogue Technical Failure);

− каталог загроз при навмисних атаках (T5 Threats Catalogue Deliberate Acts).

3. Каталог заходів захисту (Safeguard Catalogues)

− каталог заходів захисту інфраструктури (S1 Safeguard Catalogue Infrastructure);

− каталог організаційних заходів захисту (S2 Safeguard Catalogue Organisation);

− каталог заходів захисту персоналу (S3 Safeguard Catalogue Personnel);

− каталог заходів захисту апаратного та програмного забезпечення (S4 Safeguard Catalogue – Hardware & Software);

− каталог заходів захисту зв’язку (S5 Safeguard Catalogue Communications);

− каталог заходів захисту при плануванні неперервності функціонування (S6 Safeguard Catalogue Contingency Planning).



Последнее изменение этой страницы: 2016-12-12; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.238.174.50 (0.009 с.)