Проект "ИТ-Защита"

Многие руководители служб автоматизации (СIO) и служб информационной безопасности (CISO) наверняка задавались вопросами: Как оценить эффективность планируемой или существующей корпоративной системы защиты информации? Как оценить эффективность инвестиционного бюджета на информационную безопасность (ИБ) компании? В какие сроки окупятся затраты компании на ИБ? Как экономически эффективно планировать бюджет компании на ИБ и управлять им? Попробуем найти возможные ответы на эти вопросы.

Введение
Большинство предприятий тратят на безопасность продукта своей деятельности определенный фиксированный процент прибыли. Часть вложенных на безопасность средств в этот продукт не возвращается в виде прибыли. Можно видеть, что безопасность это не продукт, а процесс. Поэтому для решения подобной проблемы можно посмотреть на безопасность как на управление рисками. Цель управления рисками заключается в балансе рисков для деятельности предприятия, снижая потенциальные угрозы. Необходимость в методе управления рисками, который бы позволил точно и надежно измерять параметры безопасности продукта и получать максимальную отдачу средств, вложенных на его безопасность, по-прежнему велика [1].

Информационная безопасность определяется выполнением требований известной «триады»: конфиденциальности, целостности и доступности.

ФОРМАЛЬНАЯ МОДЕЛЬ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ КРИТИЧНЫХ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ

Рассмотрена модель информационных технологий критичных ИИС на основе предоставления прав в виде мандатного доступа к объектам комплексных измерений, модифицированная для военных и ядерных приложений. Представлены основные предположения и ограничения для данного вида модификаций. Предложена неформализованная модель описания процессов предоставления прав для систем подобного класса.

Рассмотрен класс моделей информационных технологий критичных ИИС на основе предоставления прав в виде мандатного доступа к объектам комплексных измерений.

Представлены основные теоремы безопасности систем подобного класса.

Рассмотрен класс моделей информационных технологий критичных ИИС на основе предоставления прав в виде дискреционного доступа к объектам комплексных измерений.

Представлены основные теоремы безопасности систем подобного класса.