Учебное пособие 463
.pdfФГБОУ ВПО «Воронежский государственный технический университет»
Кафедра систем информационной безопасности
МЕТОДИЧЕСКИЕ УКАЗАНИЯ
к самостоятельным работам по дисциплине «Математические основы риск-анализа» для студентов специальностей
090301 «Компьютерная безопасность»,
090302 «Информационная безопасность телекоммуникационных систем», 090303 «Информационная безопасность автоматизированных систем»
очной формы обучения
Воронеж 2015
Составитель ассистент М. В. Бурса
УДК 004.05
Методические указания самостоятельным работам по дисциплине «Математические основы риск-анализа» для студентов специальностей 090301 «Компьютерная безопасность», 090302 «Информационная безопасность телекоммуникационных систем», 090303 «Информационная безопасность автоматизированных систем» очной формы обучения / ФГБОУ ВПО «Воронежский государственный технический университет»; сост. М. В. Бурса. Воронеж, 2015. 16 с.
Методические указания к самостоятельным работам содержат указания и рекомендации, направленные на организацию углубленного изучения передового опыта и последних разработок в области риск-анализа систем различного характера.
Методические указания подготовлены в электронном виде в текстовом редакторе MW-2007 и содержатся в файле Бурса_СР_МОРА.pdf.
Табл. 1. Библиогр.: 71 назв.
Рецензент д-р техн. наук, проф. А. Г. Остапенко
Ответственный за выпуск зав. кафедрой, д-р техн. наук, проф. А. Г. Остапенко
Издается по решению редакционно-издательского совета Воронежского государственного технического университета
© ФГБОУ ВПО «Воронежский государственный технический университет», 2015
ВВЕДЕНИЕ
В настоящее время одной из наиболее важных задач системы высшего образования является подготовка профессионалов, способных к саморазвитию, самообразованию и инновационной деятельности. Решение этой задачи невозможно без организации самостоятельной работы студентов над учебным материалом, с целью систематизации и закрепления практического опыта, умений, знаний, а также общих и профессиональных компетенций. Все это становится весьма эффективным средством улучшения качества и повышения уровня подготовки.
Учебная дисциплина «Математические основы рисканализа» посвящена изучению теории и практики риск-анализа систем различного характера при реализации на них разнообразных атак. Риск-анализ является неотъемлемым этапом циклического процесса оценки защищенности системы с переходом к количественным или качественным показателям рисков, при этом риск обусловлен вероятным ущербом, который, в свою очередь, зависит от защищенности системы. Высшей целью риск-анализа является нахождение аналитического выражения риска для рассматриваемой системы. Вышесказанное говорит о том, что для исследования основ риск-анализа студентам необходимо предоставить ресурсы для самостоятельного непрерывного изучения передового опыта и последних разработок в данной предметной области.
Таким образом, самостоятельная работа предоставляет возможность реализации различных подходов к формированию у обучающихся умений самостоятельно и мотивированно организовывать свою познавательную деятельность в области риск-анализа.
Данное методическое пособие содержит методические указания и рекомендации для организации самостоятельной работы студентов над учебным материалом.
1. ЦЕЛИ И ЗАДАЧИ САМОСТОЯТЕЛЬНОЙ РАБОТЫ
Целью самостоятельной работы студентов (СРС) является овладение фундаментальными знаниями, профессиональными умениями и навыками деятельности по профилю, опытом творческой, исследовательской деятельности. Самостоятельная работа студентов способствует развитию самостоятельности, ответственности и организованности, творческого подхода к решению проблем учебного и профессионального уровня.
Задачами СРС являются:
–систематизация и закрепление полученных теоретических знаний и практических умений студентов;
–углубление и расширение теоретических знаний;
–формирование умений использовать нормативную, правовую, справочную документацию и специальную литературу;
–развитие познавательных способностей и активности студентов: творческой инициативы, самостоятельности, ответственности и организованности;
–формирование самостоятельности мышления, способностей к саморазвитию, самосовершенствованию и самореализации;
–развитие исследовательских умений;
–использование материала, собранного и полученного в ходе самостоятельных и практических занятий, для эффективной подготовки к итоговому зачету.
2
2. ВИДЫ САМОСТОЯТЕЛЬНОЙ РАБОТЫ
Выделяется два вида самостоятельной работы – аудиторная, под руководством преподавателя, и внеаудиторная. Тесная взаимосвязь этих видов работ предусматривает дифференциацию и эффективность результатов ее выполнения и зависит от организации, содержания, логики учебного процесса (межпредметных связей, перспективных знаний и др.):
–аудиторная самостоятельная работа по дисциплине выполняется на учебных занятиях под непосредственным руководством преподавателя и по его заданию.
–внеаудиторная самостоятельная работа выполняется студентом по заданию преподавателя, но без его непосредственного участия.
Основными видами самостоятельной работы студентов без участия преподавателей являются:
формирование и усвоение содержания конспекта лекций на базе рекомендованной учебной литературы, включая информационные образовательные ресурсы (электронные учебники, электронные библиотеки и др.);
подготовка к семинарам и практическим работам, их оформление;
работа с учебно-методической литературой;
оформление конспектов лекций;
подготовка к курсовому проектированию; подготовка к зачету.
3
3. ТЕМАТИКА САМОСТОЯТЕЛЬНОЙ РАБОТЫ
Распределение видов самостоятельной работы и формы отчетности
Наименование разделов тем |
|
Вид контроля и |
||||||
|
|
|
|
|
|
|
отчетность по |
|
|
|
|
|
|
|
|
результатам |
|
|
|
|
|
|
|
|
самостоятельной |
|
|
|
|
|
|
|
|
работы |
|
Теоретический материал: |
|
|
|
|
|
|||
Место риск-анализа в системе знаний по |
Проверка конспекта |
|||||||
обеспечению |
|
безопасности |
систем |
и |
|
|
||
процессов. |
Понятийный |
|
аппарат |
и |
|
|
||
терминологическая база дисциплины |
|
|
|
|||||
Оценка рисков и международные стандарты |
Проверка конспекта |
|||||||
ISO/IEC 17799:2000(E), ISO/IEC TR 13335- |
|
|
||||||
2, NIST800-30, Cobit, SCORE, SYS Trust |
|
|
|
|||||
Концепции управления рисками OCTAVE, |
Проверка конспекта |
|||||||
CRAMM, |
|
MITRE. |
Инструментарий |
|
|
|||
управления информационными рисками |
|
|
|
|||||
Методы анализа рисков на основе |
Проверка конспекта |
|||||||
экспертных оценок и аппарата теории |
|
|
||||||
нечетких множеств |
|
|
|
|
|
|||
Методы |
управления информационными |
Проверка конспекта |
||||||
рисками в инновационной деятельности |
|
|
|
|||||
Меры риска и защищенности систем на |
Доклад |
по |
||||||
основе |
вероятностных |
параметров |
и |
применению |
|
|||
характеристик ущерба |
|
|
|
методики |
|
|||
Функции чувствительности и динамическое |
Доклад |
по |
||||||
моделирование рисков |
|
|
|
применению |
|
|||
|
|
|
|
|
|
|
методики |
|
Оценка рисков сложных систем на основе |
Доклад |
по |
||||||
параметров рисков их компонентов |
|
применению |
|
|||||
|
|
|
|
|
|
|
методики |
|
Аналитическая |
оценка |
|
рисков |
при |
Доклад |
по |
||
нормальном |
|
и |
логнормальном |
применению |
|
|||
распределениях |
плотности |
вероятности |
методики |
|
||||
наступления ущерба (ПВНУ) |
|
|
|
|
||||
4
Наименование разделов тем |
|
Вид контроля и |
|||||
|
|
|
|
|
|
отчетность по |
|
|
|
|
|
|
|
результатам |
|
|
|
|
|
|
|
самостоятельной |
|
|
|
|
|
|
|
работы |
|
|
|
|
|||||
Аналитическая оценка рисков при гамма и |
Доклад |
по |
|||||
бета-распределениях ПВНУ |
|
|
|
применению |
|
||
|
|
|
|
|
|
методики |
|
Аналитическая |
оценка |
рисков |
при |
Доклад |
по |
||
экспоненциальном, Вейбулла и Эрланга |
применению |
|
|||||
распределениях ПВНУ |
|
|
|
методики |
|
||
Аналитические |
|
риск-модели |
при |
Доклад |
по |
||
биномиальном, |
|
Паскаля |
|
и |
применению |
|
|
мультинормальном |
|
распределениях |
методики |
|
|||
вероятности наступления ущерба (ВНУ) |
|
|
|
||||
Аналитические |
|
риск-модели |
при |
Доклад |
по |
||
геометрическом |
и |
гипергеометрическом |
применению |
|
|||
распределениях ВНУ |
|
|
|
|
методики |
|
|
Аналитические |
|
риск-модели |
при |
Доклад |
по |
||
пуассоновском |
распределении |
ВНУ |
и |
применению |
|
||
распределениях типа А и В |
|
|
|
методики |
|
||
Нерегулярные |
распределения |
ущерба и |
Доклад |
по |
|||
динамика рисков |
|
|
|
|
применению |
|
|
|
|
|
|
|
|
методики |
|
Синтез систем с заданным риском |
|
Доклад |
по |
||||
|
|
|
|
|
|
применению |
|
|
|
|
|
|
|
методики |
|
Прогнозирование эффективности систем на |
Доклад |
по |
|||||
основе анализа рисков ущербности и |
применению |
|
|||||
шансов полезности |
|
|
|
|
методики |
|
|
|
|
|
|||||
Рассмотрение угроз и рисков для конкретно |
Доклад |
по |
|||||
взятой системы |
|
|
|
|
|
исследованию угроз |
|
|
|
|
|
|
|
и рисков конкретно |
|
|
|
|
|
|
|
взятой системы |
|
5
Наименование разделов тем |
|
Вид контроля и |
||||||||
|
|
|
|
|
|
|
отчетность по |
|
||
|
|
|
|
|
|
|
результатам |
|
||
|
|
|
|
|
|
|
самостоятельной |
|||
|
|
|
|
|
|
|
работы |
|
||
Практические занятия: |
|
|
|
|
|
|
|
|
||
Применение |
стандартов |
|
ISO/IEC |
Сравнительный |
|
|||||
17799:2000(E), ISO/IEC TR 13335-2, |
анализ |
|
|
|
||||||
NIST800-30, Cobit, SCORE, SYS Trust на |
существующих |
|
||||||||
практике |
на примере |
конкретно взятой |
рассмотренных |
|
||||||
системы |
|
|
|
|
|
|
стандартов |
для |
||
|
|
|
|
|
|
конкретно |
взятой |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
системы |
|
|
|
Практическое |
применение |
|
концепций |
Доклад |
|
|
по |
|||
управления рисками OCTAVE, CRAMM, |
применению |
|
|
|||||||
MITRE на примере конкретно взятой |
концепций |
|
на |
|||||||
системы |
|
|
|
|
|
|
примере |
конкретно |
||
|
|
|
|
|
|
|
взятой системы |
|
||
Аналитический |
расчет |
рисков конкретно |
Пример |
расчета |
с |
|||||
взятой системы экспертными методами |
|
заданными |
|
|
||||||
|
|
|
|
|
|
|
параметрами |
|
||
Практическое |
применение |
методов |
Исследование |
|
||||||
управления информационными рисками на |
конкретно |
взятого |
||||||||
примере |
|
конкретно |
|
взятого |
инновационного |
|
||||
инновационного проекта |
|
|
|
|
проекта на предмет |
|||||
|
|
|
|
|
|
|
управления |
его |
||
|
|
|
|
|
|
|
рисками. |
|
|
|
Аналитический |
расчет |
гипотезы |
о |
Пример |
расчета |
с |
||||
принадлежности |
плотности |
|
вероятности |
заданными |
|
|
||||
распределения ущерба |
|
|
|
|
параметрами |
|
||||
Аналитический расчет начальных моментов |
Пример |
расчета |
с |
|||||||
функции риска |
|
|
|
|
|
заданными |
|
|
||
|
|
|
|
|
|
|
параметрами |
|
||
Аналитический |
расчет |
|
центральных |
Пример |
расчета |
с |
||||
моментов функции риска. Аналитический |
заданными |
|
|
|||||||
расчет |
коэффициента |
асимметрии |
и |
параметрами |
|
|||||
коэффициента эксцесса |
|
|
|
|
|
|
|
|
||
6
|
Наименование разделов тем |
Вид контроля и |
|
|||||
|
|
|
|
|
|
отчетность по |
|
|
|
|
|
|
|
|
результатам |
|
|
|
|
|
|
|
|
самостоятельной |
|
|
|
|
|
|
|
|
работы |
|
|
Аналитический |
расчет |
коэффициентов |
Пример |
расчета |
с |
|||
относительной |
и |
дифференциальной |
заданными |
|
||||
чувствительности |
риска. |
Аналитический |
параметрами |
|
||||
расчет формулы движения риска |
|
|
|
|
||||
Аналитический |
расчет |
риска |
сложных |
Пример |
расчета |
с |
||
систем при использовании пиковых оценок |
заданными |
|
||||||
их компонентов |
|
|
|
|
параметрами |
|
||
Получение формулы риска и аналитический |
Пример |
расчета |
с |
|||||
расчет параметров риска при нормальном и |
заданными |
|
||||||
логнормальном ПВНУ |
|
|
параметрами |
|
||||
Получение формулы риска и аналитический |
Пример |
расчета |
с |
|||||
расчет параметров риска при гамма- и бета- |
заданными |
|
||||||
ПВНУ |
|
|
|
|
|
параметрами |
|
|
Получение формулы риска и аналитический |
Пример |
расчета |
с |
|||||
расчет |
параметров |
риска |
при |
заданными |
|
|||
экспоненциальном и Вейбулла ПВНУ |
параметрами |
|
||||||
Получение формулы риска и аналитический |
Пример |
расчета |
с |
|||||
расчет параметров риска при биномиальном |
заданными |
|
||||||
ВНУ |
|
|
|
|
|
параметрами |
|
|
Получение формулы риска и аналитический |
Пример |
расчета |
с |
|||||
расчет параметров риска при Паскаля и |
заданными |
|
||||||
мультинормальном ВНУ |
|
|
параметрами |
|
||||
Получение формулы риска и аналитический |
Пример |
расчета |
с |
|||||
расчет |
параметров |
риска |
при |
заданными |
|
|||
геометрическом |
и |
гипергеометрическом |
параметрами |
|
||||
ВНУ |
|
|
|
|
|
|
|
|
Получение формулы риска и аналитический |
Пример |
расчета |
с |
|||||
расчет |
параметров |
риска |
при |
заданными |
|
|||
геометрическом |
и |
гипергеометрическом |
параметрами |
|
||||
ВНУ |
|
|
|
|
|
|
|
|
7
Наименование разделов тем |
|
Вид контроля и |
|
|||||
|
|
|
|
|
|
отчетность по |
|
|
|
|
|
|
|
|
результатам |
|
|
|
|
|
|
|
|
самостоятельной |
|
|
|
|
|
|
|
|
работы |
|
|
|
|
|
|
|||||
Получение формулы риска и аналитический |
Пример |
расчета |
с |
|||||
расчет |
параметров |
|
риска |
при |
заданными |
|
||
пуассоновском и распределении типа А |
параметрами |
|
||||||
ВНУ |
|
|
|
|
|
|
|
|
Аналитический |
расчет |
параметров |
риска |
Пример |
расчета |
с |
||
для нерегулярного |
экспоненциального |
заданными |
|
|||||
распределения |
плотности |
вероятности |
параметрами |
|
||||
наступления ущерба |
|
|
|
|
|
|
||
Аналитический |
расчет |
параметров |
Пример |
расчета |
с |
|||
многокомпонентной системы с заданным |
заданными |
|
||||||
уровнем |
риска |
при |
реализации |
параметрами |
|
|||
асинхронных атак на ее компоненты |
|
|
|
|
||||
Аналитический расчет шанса и риска для |
Пример |
расчета |
с |
|||||
системы |
по |
определенному |
закону |
заданными |
|
|||
распределения |
плотности |
вероятности |
параметрами |
|
||||
наступления ущерба. Аналитический расчет |
|
|
|
|||||
формулы эффективности защиты системы |
|
|
|
|||||
8