Руководство по выработке правил разграничения доступа к ЭВМ

Общая постановка проблемы


Одной из самых важных причин выработки ПРД является необходимость гарантии того, что затраты на защиту принесут впоследствии прибыли (выгоду). Хотя это может показаться очевидным, но вы можете быть введены в заблуждение, где следует приложить усилия по организации защиты. Например, много говорят о злоумышленниках со стороны, проникающих в АС; но просмотр большинства обзоров по компьютерной безопасности показывает, что для большинства организаций потери от внутренних злоумышленников ("своих") гораздо больше.

Анализ риска включает определение того, что вам нужно защищать, от чего вы защищаетесь, и как защищаться. Для этого вам надо определить все, чем вы рискуете, и отранжировать их по уровню важности. Этот процесс включает принятие экономичных решений о том, что вы хотите защищать. Старый афоризм гласит, что вы не должны тратить больше денег для защиты чего-либо, чем оно на самом деле стоит.

Полное рассмотрение анализа риска находится за пределами этого документа. [3, FITES] и [16,PFLEEGER] являются вводными книгами в этой области. Тем не менее, существуют два элемента анализа риска, которые будут кратко рассмотрены в двух следующих разделах.

  • определение ценностей;
  • выявление угроз.

    Для каждой ценности базовыми целями защиты являются доступность, конфиденциальность и целостность. Каждая угроза должна рассматриваться с точки зрения того, как она может затронуть эти три качества.



    Содержание раздела