Методичні вказівки до лабораторних занять з дисципліни "Стандартизація та сертифікація в галузі захисту інформації", страница 29

Аналіз отриманих результатів вказує на те, що для обчислення кон’юнктивної вірності n думок доцільно використовувати метод усередненої кон’юнкції, оскільки він відповідає ідеології суб'єктивної логіки, а результат такого об'єднання залежить від значень параметрів усіх поєднуваних думок і не залежить від кількості даних думок.


Додаток Б

Аналіз автоматизованої системи самооцінки ASSET

Процес проведення самооцінки є рутинною роботою. З метою автоматизації процесу збору, збереження й обробки відповідей на питання, що дозволяють оцінити ступінь захищеності системи, відповідно до методики самооцінки запропонованої Національним інститутом по стандартизації та технологіям, був розроблений і підтримується програмний продукт ASSET (Automated Security Self-Evaluation). 

Для роботи із  системою автоматизованої самооцінки безпеки до апаратного і програмного забезпечення висуваються наступні мінімальні вимоги:

-  Pentium II –450 MHz;

-  128 Mb RAM;

-  120 Mb вільного місця на твердому диску;

-  на кожну наступну оцінку додатково виділяється  додатково 3 Mb;

-  операційна система Windows 2000 Professional;

Використання даного продукту вимагає проведення процедури інсталяції. Під час інсталяції створюється первинна база даних, у якій зберігаються питання, а також методика збору та обробки отриманих відповідей. Надалі дані  по окремих проведених оцінках можуть зберігатися в локальну базу даних, або експортуватися у файл спеціального формату.

     Робота з  ASSET включає складається із п’яти  основних етапів (Рис. Б.1):

1)  ввід початкових даних;

2)  ідентифікація системи;

3)  визначення політики;

4)  відповіді на питання;

5)  генерація звітів;

Рисунок Б.1  Основні етапи оцінки

Перед використанням ASSET необхідно створити свій обліковий запис (login). Під час цієї процедури буде потрібно ввести повне ім'я оцінювача, адресу електронної пошти. Уведення login на початку першої після інсталяції  оцінки показує ASSET, що пред'явник є головним оцінювачем. Головний оцінювач наділений правами адміністратора, що дозволяє установлювати режими роботи інших оцінювачів. (Рис. Б.2)

Рисунок Б.2 Ідентифікація експертів

Самооцінка є процедурою, що займає не один день. Враховуючи неможливість якісно оцінити стан безпеки за один сеанс по всіх контрольних областях, система дозволяє перед початком роботи вибрати саме ті  області, що будуть оцінюватися в даному сеансі. (Рис. Б.3)

Рисунок Б.3 –  Вибір областей, що оцінюються

Оскільки рівні в NIST SP 800-26 знаходяться в ієрархічній залежності, логіка функціонування ASSET не дозволяє дати відповідь на питання за рівнем, якщо воно не було атестовано на відповідність усім попереднім рівням.  Перехід до наступного питання також передбачає відповідь на всі попередні питання, котрі входять у даний Критичний елемент. Навігація між Критичними елементами можлива двома способами – послідовно, або за допомогою дерева перегляду. (Рис. Б.4)

У ході проведення самооцінки може виявитися, що питання не було вивчено в достатній для відповіді мірі, у цьому випадку цей факт позначається відповідним прапорцем.

При відповіді на питання оцінювач відзначає чи був присутній ризик, а також визначити його ступінь і описати, чим він обумовлений і в чому полягав.(Рис Б.4)

Рисунок Б.4 – Проведення процедури оцінки

Критичний елемент одержує позитивну оцінку за рівнем у тому випадку, якщо більше половини питань одержало позитивні відповіді і при цьому всі питання були атестовані на відповідність даному рівню (допускаються оцінки «рішення засноване на ризику», «вивчений у недостатньому обсязі»).

На останньому етапі ASSET представляє наступні дані (Рис. Б.5):

-  відсоток виконання оцінки;

-  список Критичних елементів, розгляд яких було довершено;