Главная » 2014 » Июнь » 27 » Скачать Модель и метод дуального субъектного взаимодействия в нотации стандарта ГОСТ ИСО\МЭК 15408 (ОК). Пастухов, Андрей Сергеевич бесплатно
04:40
Скачать Модель и метод дуального субъектного взаимодействия в нотации стандарта ГОСТ ИСО\МЭК 15408 (ОК). Пастухов, Андрей Сергеевич бесплатно
Модель и метод дуального субъектного взаимодействия в нотации стандарта ГОСТ ИСО\МЭК 15408 (ОК)
Диссертация
Автор: Пастухов, Андрей Сергеевич
Название: Модель и метод дуального субъектного взаимодействия в нотации стандарта ГОСТ ИСО\МЭК 15408 (ОК)
Справка: Пастухов, Андрей Сергеевич. Модель и метод дуального субъектного взаимодействия в нотации стандарта ГОСТ ИСО\МЭК 15408 (ОК) : диссертация кандидата технических наук : 05.13.19 / Пастухов Андрей Сергеевич; [Место защиты: С.-Петерб. гос. ун-т информац. технологий, механики и оптики] Санкт-Петербург, 2008 156 c. : 61 08-5/8
Объем: 156 стр.
Информация: Санкт-Петербург, 2008
Содержание:
ОГЛАВЛЕНИЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ ВВЕДЕНИЕ
1ПОСТАНОВКА ЗАДАЧИ РАСШИРЕННОГО И УТОЧНЕННОГО МОДЕЛИРОВАНИЯ СУБЪЕКТОВ ОБЩЕГО КОНТЕКСТА БЕЗОПАСНОСТИ (ОКБ) В НОТАЦИИ ОБЩИХ КРИТЕРИЕВ
11 Сущность и спецификация стандарта ISO/IEC «Common Criteria for Information Technology Security Evaluation»
111 Анализ эволюции линейки стандартов «Общие Критерии»
112 Актуальность формального моделирования ОКБ ОК
12 Структурное и формальное моделирование ОКБ
121 Структурная модель Общего Контекста Безопасности
122 Формализованная системотехническая модель взаимодействия субъектов ОКБ
13 Математическое и имитационное моделирование взаимодействия субъектов ОКБ
131 Математическое моделирование ОКБ
132 Имитационное моделирование взаимодействия субъектов ОКБ
133 Методика имитационного моделирования взаимодействия субъектов ОКБ Заключение по главе
2 ФОРМАЛЬНЫЕ МОДЕЛИ ОБЩЕГО КОНТЕКСТА В НОТАЦИИ ОБЩИХ КРИТЕРИЕВ
21 Описание ОКБ ОК
22 Структурная модель дуального взаимодействия субъектов ОКБ БЕЗОПАСНОСТИ
23Формализованная системотехническая модель взаимодействия субъектов ОКБ
231 Формализованное описание конкурентного взаимодействия субъектов ОКБ
232 Принципы взаимодействия макросистем
Введение:
Стандарт ГОСТ Р ИСО/МЭК 15408 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий" (краткое название "Общие критерии", сокращенно ОК) начал действовать в России с 1 января 2004 г. Разработка этого стандарта преследовала следующие основные цели: унификация национальных стандартов в области оценки безопасности ИТ; повышение уровня доверия к оценке безопасности ИТ; сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов. [6] Международный стандарт ISO/IEC 15408, а также его российский вариант ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» в применении к оценке безопасности изделий информационных технологий (ИТ) являются по сути «метасредствами, задающими систему понятий, в терминах которых должна производиться оценка, и содержащими относительно полный но каталог не требований безопасности (функциональных и доверия), предоставляющих конкретных наборов требований и критериев для тех или иных типов продуктов и систем ИТ, выполнение которых необходимо проверять. Эти требования и критерии фигурируют в профилях защиты (ПЗ) и заданиях по безопасности (ЗБ)»[51]. Внедрение ОК в России спланировано поэтапно. До 2007 г. организации, в информационных системах которых циркулирует конфиденциальная информация, могут самостоятельно выбирать по каким стандартам (старым или новым) проводить аттестацию. Однако, поскольку внедрение нового ГОСТ является частью правительственной программы по вступлению России в ВТО (что предполагает, в частности, унификацию некоторых стандартов в области информационной безопасности), в настоящее время становится неизбежной масштабная деятельность по оцениванию и сертификации продуктов ИТ по стандарту ОК [17]. Помимо безусловно важных методов и рекомендаций по оценке информационной безопасности ИТ ОК так же содержат системотехническую модель общего контекста безопасности (ОКБ), иллюстрирующую взаимодействие высокоуровневых понятий информационной безопасности и их взаимосвязь [58]. Однако, конкурентного указанный стандарт не двух учитывает дуальный характер Владельца взаимодействия субъектов информационного актива и Нарушителя информационной безопасности, что не позволяет на практике построить обоснованный профиль защиты. Для того чтобы должным образом учесть этот аспект в вышеуказанном взаимодействии требуется усовершенствовать и уточнить модель ОКБ. Расширенная трактовка взаимодействия субъектов ОКБ требует модель создания программно-инструментальных данного взаимодействия. средств, реализующих Современные методы разработки подобных средств широкое применение формальных и структурных предполагают моделей предметной области, по крайней мере, на стадиях специфицирования и высокоуровневого проектирования. [13] Решение перечисленных задач, как и многих других, связанных с переосмыслением подхода ОК к контексту ОКБ представляется трудновыполнимым без представления модифицированной модели ОКБ и взаимосвязей ее элементов в интегральной структурированной форме, то есть в виде формальных моделей. Разработка таких моделей является совершенно необходимым условием для применения новых подходов на практике.Целью данной работы является уточнение модели ОКБ в части учета дуального субъектного взаимодействия и метода оценки защищенности ИТ на основе указанной модели. Объектом исследования в данной работе является модель ОКБ как совокупность понятий, методов, средств, функций и процессов. Предметом исследования и в работе являются структурные, защищенности математические, формальные имитационные модели информационных технологий, описывающие взаимодействие элементов ОКБ ОК и их взаимосвязи, а также процессы деятельности разработчиков систем защиты информации (СЗИ). Для решения поставленных задач планируется использовать методы объектного, функционального, информационного методы и имитационного математические моделирования, математические оптимизации, методы микроэкономики, методы теории игр. Разрабатывается Субъектов ОКБ, структурная модель от дуального взаимодействия модели отличающаяся существующей усовершенствованием структуры своих элементов и дуального конкурентного взаимодействия. Разрабатывается формализованная наличием механизма системотехническая модель взаимодействия субъектов ОКБ, отличающаяся от существующей модели наличием цепного механизма развития конкурирующих субъектов. Разрабатывается математическая балансная модель защищенности ИТ, отличающаяся от существующей введением функции защищенности ИТ и прослеживаемыми зависимостями между коэффициентами атаки и защиты. Разрабатывается методика оценки проектируемой системы защиты информации по критерию «эффективность-стоимость», учитывающая специфику СЗИ как комплексного объекта моделирования. Предлагаются методы применения системы структурных моделей основных компонентов защищенности ИТ в нотации ОК для решения разнообразных практических задач, связанных развитием научных подходов к модели ОКБ. Разрабатывается программно-инструментальный комплекс игр, имитационного моделирования, использующий который позволяет выявить принципы теории критериев влияние различных на исход конфликтного взаимодействия субъектов ОКБ. Научная факторами: 1. Выполненные исследования позволят учесть характер поля угроз и его источники, применительно к ОКБ. 2. Разрабатывается усовершенствованная и уточненная модель ОКБ, новизна результатов работы обусловлена следующими применительно к ситуации дуального конфликтного взаимодействия. 3. Используются методики оценки проекта по критерию «эффективность-стоимость» применительно к разработке СЗИ. 4. Применяются методы научного моделирования и теории игр при моделирующего комплекса, реализующего конфликтное разработке взаимодействие субъектов ОКБ. Разрабатываемые в работе формальные модели взаимодействия двух конкурирующих фирм в условиях дуального конфликта являются необходимой базой разработки функциональных и проектных спецификаций для программного обеспечения поддержки проектирования СЗИ по ОК. Примененная в диссертации методика оценки разрабатываемой СЗИ по критерию «эффективность-стоимость» и программно-инструментальный комплекс поддержки деятельности по аудиту уязвимостей СЗИ в условиях дуального конкурентного взаимодействия могут использоваться для решения широкого спектра практических задач. Материалы диссертации могут быть использованы при разработке методических материалов для учебного процесса в вузах, осуществляющих подготовку специалистов по информационной безопасности, а также в системе повышения квалификации сотрудников испытательных лабораторий, центров аудита ИБ, фирм-разработчиков и организаций-пользователей. Помимо приведенных построенные в работе выше областей практической деятельности, формальные модели защищенности ИТ могут использоваться при разработке семейств профилей защиты и заданий по безопасности конкретных ИТ. Важную, как в теоретическом, так и в практическом отношении, область приложений полученных результатов составляет решение задач согласования международных, национальных и корпоративных стандартов в области информационной безопасности, в частности интеграция государственных стандартов РФ в систему оценки и сертификации по ОК. Основные положения и результаты диссертационной работы докладывались и обсуждались на XXXVI научной и учебно-методической конференции Санкт-Петербургского Государственного университета информационных технологий, механики и оптики (СПбГУ ИТМО), 30 января 02 февраля 2007, г. С-Петербург, на IV межвузовской конференции молодых ученых (13 14 апреля 2007г., г. Санкт-Петербург), научно-технической технология конференции и «Майоровские защиты чтения. на 11-ой Теория и программирования информации. Применение вычислительной техники» (18 мая 2007г., г. Санкт-Петербург), на VI Всероссийской конференции «Обеспечение информационной безопасности. Региональные аспекты» (11-15 сентября 2007 г. г. Сочи) и на V СанктПетербургской межрегиональной конференции «Информационная безопасность регионов России (ИБРР-2007) (23-25 октября 2007 г. г. СанктПетербург). Структура и объем диссертации Диссертация состоит из списка сокращений, введения, четырех глав, заключения, списка литературы и двух приложений. Материал изложен на 156 страницах машинописного текста, содержит 14 рисунков и 2 таблицы, СПИСОК_ЛИТЕРАТУРЫ состоит из 56 наименований. Во введении обосновывается актуальность темы, сформулированы её цель, научная новизна, приведены сведения о практическом использовании полученных научных результатов и представлены основные положения, выносимые на защиту. В первой главе представляется постановка задачи исследования общего контекста безопасности ИТ и доказывается разработки альтернативного подхода к нему. В первом
