Information technology. Security techniques. Methodology for it security evaluation

Скачать 5.52 Mb.

Название	Information technology. Security techniques. Methodology for it security evaluation
страница	54/57
Дата публикации	19.04.2015
Размер	5.52 Mb.
Тип	Документы

100-bal.ru > Информатика > Документы

1 ... 49 50 51 52 53 54 55 56 57

А.8.1 Потенциал нападения

А.8.1.1 Применение потенциала нападения

Потенциал нападения зависит от компетентности, ресурсов и мотивации нарушителя; каждый из этих факторов рассмотрен далее. Потенциал нападения специально рассматривается оценщиком двумя различными способами в процессе оценки ЗБ и при выполнении действий по оценке уязвимостей. В процессе оценки ЗБ оценщик делает заключение, является ли выбор компонентов требований доверия, в особенности компонентов класса AVA "Оценка уязвимостей", соразмерным с потенциалом нападения источника угроз (см. ASE_REQ.1.4C). Случаи, когда требования доверия несоразмерны, могут означать, что либо оценка не будет обеспечивать достаточное доверие, либо оценка будет излишне трудоемкой. В процессе оценки уязвимостей оценщик использует потенциал нападения как способ определения возможности использования идентифицированных уязвимостей в предопределенной среде.

А.8.1.2 Трактовка мотивации

Мотивация является фактором потенциала нападения, который может быть использован, чтобы описать различные аспекты, относящиеся к нарушителю и активам, которые интересуют нарушителя. Во-первых, мотивация может подразумевать определенную вероятность нападения - из угрозы, описанной как высокомотивированная, можно предположить, что нападение неизбежно или что вследствие немотивированной угрозы нападение не ожидается. Однако, за исключением этих двух крайних уровней мотивации, затруднительно, исходя из мотивации, установить вероятность осуществления нападения.

Во-вторых, мотивация может подразумевать определенную ценность актива в денежном или ином выражении для нарушителя или владельца актива. Более ценный актив обусловит, вероятно, более высокую мотивацию по сравнению с менее ценным активом. Однако, кроме общих рассуждений, трудно связать ценность актива с мотивацией, потому что ценность актива субъективна - она в значительной степени зависит от того, что вкладывает в понятие ценности владелец актива.

В-третьих, мотивация может подразумевать определенную компетентность и ресурсы, с помощью которых нарушитель намеревается осуществить нападение. Можно предположить, что нарушитель с высокой мотивацией, вероятно, приобретет достаточную компетентность и ресурсы, чтобы преодолеть меры защиты актива. И, наоборот, можно предположить, что нарушитель с высокой компетентностью и значительными ресурсами не захочет, используя их, провести нападение, если имеет низкую мотивацию.

В ходе подготовки и проведения оценки, так или иначе, рассматривают все три аспекта мотивации. Первый, аспект, вероятность нападения - это то, что может побудить разработчика добиваться оценки. Если разработчик полагает, что у нарушителей имеется достаточная мотивация, чтобы организовать нападение, то оценка может обеспечить доверие к способности ОО помешать усилиям нарушителя. Когда предполагаемая среда полностью определена, например при оценке системы, уровень мотивации нападения может быть известен и повлияет на выбор контрмер.

Рассматривая второй аспект, владелец актива может полагать, что ценность активов (как-либо измеренная) достаточна, чтобы мотивировать нападение на них. Как только оценку посчитают необходимой, рассматривают мотивацию нарушителя для определения методов нападения, которое может быть предпринято, а также компетентность и ресурсы, которые могут быть использованы при этих нападениях. После проведения исследований разработчик способен выбрать соответствующий уровень доверия, в частности компоненты требований из класса AVA, соразмерные с потенциалом нападения для данных угроз. В ходе оценки и, в частности, по результатам завершения вида деятельности по оценке уязвимостей оценщик делает заключение, достаточен ли ОО, функционирующий в предопределенной среде, чтобы помешать нарушителям с идентифицированной компетентностью и ресурсами.

А.8.2 Вычисление потенциала нападения

В настоящем подразделе приведены факторы, которые определяют потенциал нападения, и предоставлено руководство, способствующее устранению некоторой субъективности этого аспекта процесса оценивания. Данный подход следует выбрать, если оценщик не сделает заключение, что этот подход не является надлежащим; в последнем случае требуется логическое обоснование правильности альтернативного подхода.

1 ... 49 50 51 52 53 54 55 56 57

Похожие:

	Internet Security Systems 28 2 решение от SurfControl 30 3 решение		Пути совершенствования финансовой безопасности the ways of improving financial security И наступил тот месяц, и пришел тот день, и настал тот час, и свершилось событие, в которое многие верили…
	«Право социального обеспечения» «Social Security Law» ...		Программа учебной дисциплины Актуальные проблемы безопасности и разоружения... Рецензенты: к полит наук Елена Борисовна Павлова, к полит наук Татьяна Алексеевна Романова
	Реферат: «Атаки, основанные на ip-фрагментации» Реферат: «Атаки, основанные на ip-фрагментации», Пшевский Д. А., Гип 101, rfc 1858 Security Considerations for ip fragment Filtering:...		Экзаменационные вопросы по дисциплине «Информационные системы управления... Производственное предприятие. Производственная компания. Eis (Enterprise information system) и mis (Management information system)...
	Программа по формированию навыков безопасного поведения на дорогах... Ваш ответ: Home reading lessons have different objectives for me as a teacher. Teach my students to gather information, to follow...		System of standards on information, librarianship and publishing.... Система стандартов по информации, библиотечному и издательскому делу. Описание баз данных и машиночитаемых информационных массивов....
	Joyce, James Augustine Aloysius (1882-1941), Irish novelist and poet,...		Патентам и товарным знакам (19) М.: гэотар, Медицина, 1998, с. 202-203. Ru 2238670 С1, 27. 10. 2004. Ua 1 1622 U, 16. 01. 2006. Лекманов а. Определение объема циркулирующей...
	Institute for Information Transmission Problems ras		Aim: to get new information about Robert Burns and his poetry
	Урок английского языка по теме «Путешествие в Лондон», 6 класс ...		Historical digression creation of mmwt kovert technology Программа отборочного этапа конкурса на получение подрядов на выполнение проектных и строительных работ
	Poqutec (Power Quality and Technology), Ltd Эксклюзивные представители Финской компании на Территории России, по поставке Гриль-домиков и Гриль-беседок		There is no national science just as there is no national multiplication... А. Kozhevnikova, Assoc. Prof of the Department of English for Humanities (Samara State University), Member of Board of Experts for...

Школьные материалы