Кафедра меңгерушісі: с.ғ. к., доцент Бердібаев Р. Ш
CORAS әдістемелерінің ақпараттық қауіпсіздік тәуекелдерін талдау
жүктеу/скачать 2.43 Mb. Pdf көрінісі
|
| 5.2.2 CORAS әдістемелерінің ақпараттық қауіпсіздік тәуекелдерін талдау
CORAS [1] методологиясы Information Society Technologies бағдарламасы аясында әзірленген. Оның мәні Event-Tree-Analysis, Марков тізбегі, HazOp және FMECA [2] сияқты тәуекелдерге талдау жүргізу әдістерін бейімдеу, нақтылау және біріктіруден тұрады. CORAS UML as / as as / NZS 4360 технологиясын қолданады: 1999 code ISO/IEC 17799-1: 2000 ақпараттық қауіпсіздікті басқару тәжірибесінің кодексі. Guidelines, Guidelines ISO / IEC TR 13335-1: 2001 ат қауіпсіздігін басқару және IEC 61508: 2000 қауіпсіздікке байланысты электр / электрондық/бағдарламаланатын қауіпсіздіктің функционалдық қауіпсіздігі. CORAS-қа сәйкес Ақпараттық жүйелер пайдаланылатын технологиялар тұрғысынан ғана емес, бірнеше жағынан, атап айтқанда адам факторы ескерілген күрделі кешен ретінде қарастырылады. Бұл әдістеменің ережелері Windows және Java-қосымшалар түрінде іске асырылған. Активтердің тізбесін пайдаланып, 5.1-суретте ұсынылған активтердің диаграммасын құрдық. 5.1 сурет – Активтер 70 5.4 кестені пайдалана отырып, қауіптер моделін құрдық. Тәуекелдер диаграммасын генерациялаймыз,бұдан әрі әрбір актив үшін әрбір тәуекел бойынша осы тәуекел жүзеге асырылған жағдайда салдарларды анықтаймыз. Алынған диаграмма 5.2 суретте көрсетілген. 5.2 сурет – Қауіптер моделі Алдыңғы қадамда алынған модельге жағымсыз инциденттің сценарийін жүзеге асыру ықтималдығын келтіреміз. Нәтижесінде қатерлердің толық моделін аламыз. Біздің мысал үшін бұл қауіп моделі күріш ұсынылған.5.3. 71 5.3 сурет – Тәуекелдер диаграммасы 72 Енді әрбір тәуекел бойынша әрбір актив үшін осы тәуекел жүзеге асырылған жағдайда салдарды анықтаймыз. (сур.5.4). 5.4 сурет – Қауіпті жүзеге асыру салдарының сипаттамасы бар тәуекелдер диаграммасы 73 5.3 суреттегі диаграмманы қолданғаннан кейін, қауіп-қатер үшін қорғаныс шараларын қосамыз. 5.5 сурет – Қарсы әрекет етуді қосқаннан кейінгі қауіптер диаграммасы 74 Бұл диаграммада қорғаныс шараларын қосқан кезде де қалуы мүмкін тәуекелдерді көрсетеді. Жүйелердің толық мониторингі кезінде қауіптердің пайда болуы азайтылуы тиіс. 5.6 сурет – Қолайсыз тәуекелдер диаграммасы Бұл бөлімде біз жүйенің осалдығын анықтау және жою мақсатында тәуекелдердің есебін жүргіздік. Есептеу ISO27005 стандартына негізделген екі параметр бойынша жүргізілді. Нәтижесінде біз ақпараттық жүйенің ағымдағы жағдайын көрдік. Бұдан әрі біз қорғаудағы барлық кемшіліктерді көрдік және қорғау құралдарын енгізгенге дейін есептелген тәуекелдерді азайту үшін барлық қорғаныс құралдарын енгіздік. Содан кейін біз тәуекелдерді сол әдіс бойынша қорғау құралдарымен қайта есептеу жасадық. Есептеу нәтижесінде біз тәуекелдердің үш есе төмендеуін айқын көре аламыз және осының арқасында осы есептеу әдісі өте пайдалы екенін растай аламыз, өйткені бизнес үшін шығындардың айтарлықтай азаюына ықпал етеді. Екінші бөлімде біз CORAS арқылы талдау жасадық. Бағдарламада ақпаратты неғұрлым көрнекі ұсыну үшін UML-диаграммалар және жалпы активтер схемалары, осалдықтар, қауіп-қатерлер ұғымы жұмыс барысында жүргізілген қарсы шаралар салынды. |