Information technology. Security techniques. Methodology for it security evaluation

Скачать 5.52 Mb.

Название	Information technology. Security techniques. Methodology for it security evaluation
страница	56/57
Дата публикации	19.04.2015
Размер	5.52 Mb.
Тип	Документы

100-bal.ru > Информатика > Документы

1 ... 49 50 51 52 53 54 55 56 57

А.8.2.3 Подход к вычислению

В предыдущем пункте определены факторы, подлежащие рассмотрению. Однако для проведения стандартной оценки требуется дополнительное руководство. Для поддержки этого процесса предусмотрен следующий подход. Должны быть представлены конкретные числа в целях достижения рейтингов, которые согласуются с соответствующими уровнями оценки.

В таблице А.3 идентифицированы факторы, обсуждавшиеся в предыдущем пункте, и приведены числовые значения, которые поставлены в соответствие с двумя факторами: идентификацией и использованием уязвимости. При определении потенциала нападения для конкретной уязвимости из каждого столбца для каждого фактора следует выбрать определенное значение (10 значений). При выборе значений должна быть учтена предопределенная среда ОО. Выбранные 10 значений далее суммируют, получая итоговое значение. Это значение затем сверяют с таблицей А.4 для определения рейтинга.

Если значение фактора оказывается близким к границе диапазона, оценщик может использовать значение, усредняющее табличные. Например, если для использования уязвимости требуется доступ к ОО в течение одного часа или если доступ обнаруживается очень быстро, то для этого фактора может быть выбрано значение между 0 и 4. Таблица А.3 предназначена для руководства.

Таблица А.3 - Вычисление потенциала нападения

Фактор	Диапазон	Значение при идентификации уязвимости	Значение при использовании уязвимости
Затрачиваемое время	< 0,5 ч	0	0
	< 1 сут	2	3
	< 1 мес	3	5
	> 1 мес	5	8
	Непрактично	*	*
Компетентность	Непрофессионал	0	0
	Профессионал	2	2
	Эксперт	5	4
Знание ОО	Отсутствие информации	0	0
	Общедоступная информация	2	2
	Чувствительная информация	5	4
Доступ к ОО	< 0,5 ч или необнаруживаемый доступ	0	0
	< 1 сут	2	4
	< 1 мес	3	6
	> 1 мес	4	9
	Непрактично	*	*
Оборудование	Отсутствует	0	0
	Стандартное	1	2
	Специализированное	3	4
	Заказное	5	6
______________________________ * Означает, что нападение невозможно в пределах тех временных рамок, которые были бы приемлемы для нарушителя. Любое значение "*" указывает на "высокий" рейтинг.

Для конкретной уязвимости может возникнуть необходимость использовать таблицу неоднократно для различных сценариев нападения (например, попеременно использовать разные значения компетентности в сочетании со значениями факторов времени или оборудования). Следует сохранить наименьшее значение, полученное в результате этих вычислений.

В случае уязвимости, которая уже идентифицирована и информация о которой общедоступна, идентифицируемые значения для нарушителя следует выбирать исходя из раскрытия этой уязвимости в общедоступных источниках, а не из начальной ее идентификации нарушителем.

Затем для получения рейтинга уязвимости следует использовать таблицу А.4.

1 ... 49 50 51 52 53 54 55 56 57

Похожие:

	Internet Security Systems 28 2 решение от SurfControl 30 3 решение		Пути совершенствования финансовой безопасности the ways of improving financial security И наступил тот месяц, и пришел тот день, и настал тот час, и свершилось событие, в которое многие верили…
	«Право социального обеспечения» «Social Security Law» ...		Программа учебной дисциплины Актуальные проблемы безопасности и разоружения... Рецензенты: к полит наук Елена Борисовна Павлова, к полит наук Татьяна Алексеевна Романова
	Реферат: «Атаки, основанные на ip-фрагментации» Реферат: «Атаки, основанные на ip-фрагментации», Пшевский Д. А., Гип 101, rfc 1858 Security Considerations for ip fragment Filtering:...		Экзаменационные вопросы по дисциплине «Информационные системы управления... Производственное предприятие. Производственная компания. Eis (Enterprise information system) и mis (Management information system)...
	Программа по формированию навыков безопасного поведения на дорогах... Ваш ответ: Home reading lessons have different objectives for me as a teacher. Teach my students to gather information, to follow...		System of standards on information, librarianship and publishing.... Система стандартов по информации, библиотечному и издательскому делу. Описание баз данных и машиночитаемых информационных массивов....
	Joyce, James Augustine Aloysius (1882-1941), Irish novelist and poet,...		Патентам и товарным знакам (19) М.: гэотар, Медицина, 1998, с. 202-203. Ru 2238670 С1, 27. 10. 2004. Ua 1 1622 U, 16. 01. 2006. Лекманов а. Определение объема циркулирующей...
	Institute for Information Transmission Problems ras		Aim: to get new information about Robert Burns and his poetry
	Урок английского языка по теме «Путешествие в Лондон», 6 класс ...		Historical digression creation of mmwt kovert technology Программа отборочного этапа конкурса на получение подрядов на выполнение проектных и строительных работ
	Poqutec (Power Quality and Technology), Ltd Эксклюзивные представители Финской компании на Территории России, по поставке Гриль-домиков и Гриль-беседок		There is no national science just as there is no national multiplication... А. Kozhevnikova, Assoc. Prof of the Department of English for Humanities (Samara State University), Member of Board of Experts for...

Школьные материалы