http://www.microfinance.uz Бухгалтерский и налоговый учёт Mon, 06 Oct 2008 10:10:46 +0000 http://backend.userland.com/rss092 en Модель GCC разработана как альтернатива Количественной модели рисков (QRM) для улучшения и облегчения расчетов и вычислений. Одним из основных недостатков QRM определяется ее вероятностная составляющая. Действительно, редко происходящие события с большим ущербом и часто происходящие события с маленьким ущербом часто требуют различных подходов в определении защитных мер, однако, как можно ... http://www.microfinance.uz/model-obobshhennogo-stoimostnogo-rezultata-miory-gcc/ Следующий тонкий вопрос — определение стоимости активов. Разделим их на осязаемые и неосязаемые активы. К осязаемым отнесем средства обслуживания информационных технологий (ИТ) — аппаратное обеспечение, сетевое обеспечение (среда передачи данных), запасные части, документация и зарплата персонала для поддержки функционирования систем. Стоимостные характеристики этих активов обычно известны либо легко вычисляемы. http://www.microfinance.uz/opredelenie-stoimosti-aktivov/ Количественная модель рисков оперирует такими понятиями, как: □ годовая частота происшествия (англ. Annualized Rate of Occurrence — ARO), иначе говоря, вероятность появления ущерба; □ ожидаемый единичный ущерб (англ. Single Loss Expectancy — SLE), т.е. стоимость ущерба от одной успешной атаки; □ ожидаемый годовой ущерб (англ. Annualized Loss Expectancy — ALE), величина, равная произведению ... http://www.microfinance.uz/obshhaya-metodika/ В этой главе будут рассмотрены три методики оценки рисков: □ модель качественной оценки; П традиционная (для Запада) методика под условным названием Количественная модель рисков (англ. Quantative Risk Model — QRM); П  именная методика Модель обобщенного стоимостного результата Миоры (англ. Miora Generalized Cost Consequence Model). http://www.microfinance.uz/metodiki-ocenki-riskov/ Стандартная методика организации работ по управлению рисками следующая: 1. Определение политики управления рисками. Построенная на общепринятых принципах обеспечения информационной безопасности (англ. Generally Accepted System Security Principles — GASSP) [GASSP] политика позволит избежать субъективного подхода. http://www.microfinance.uz/metodika-upravleniya-riskami-v-celom/ Посещая семинары и презентации различных систем и продуктов по информационной безопасности, порой можно увидеть следующую картину. Представитель компании, представляющий продукт, расписывает в ярких красках достоинства и особенности своей системы, из которых можно сделать вывод, что данная система — это все что необходимо для обеспечения безопасности организации (пусть даже отдельного направления ... http://www.microfinance.uz/chto-takoe-upravlenie-riskami/ После того, как злоумышленник научился обходить аутентификацию, основанную на сетевом адресе (путем подмены этого адреса в пакетах), вопрос обеспечения доверия к сеансу работы хоста с хостом переместился на более высокий уровень. Хост-сервер, например, может производить предварительную идентификацию и аутентификацию хоста-клиента, устанавливающего сеанс работы, и далее учитывать установленную сессию как доверенную. http://www.microfinance.uz/perexvat-sessii/ Возможность смены штатного маршрута движения информации может оказаться чрезвычайно необходимой злоумышленнику как при пассивных, так и при активных атаках. Достижимо это в сетях с динамической маршрутизацией пакетов (то есть направление дальнейшего следования для каждого очередного пришедшего пакета маршрутизатор выбирает, исходя не из своих настроек, а из сетевой обстановки). http://www.microfinance.uz/ataki-na-osnove-setevoj-marshrutizacii/ Данный вид атак — "Злоумышленник-посредник" (англ. man-in-the-middle) породил целое новое направление в электронном бизнесе, а именно, создание центров сертификации (СА — certification authority). Для понимания сущности атаки необходимо представление о функционировании криптографической системы с открытыми ключами. Подробные системы с открытыми ключами (или как они еще называются, асимметричные системы) описаны в ... http://www.microfinance.uz/ataka-zloumyshlennik-posrednik/ Атака повтором (англ. replay attack) возможна только в том случае, если в системе защиты пакетов отсутствуют или не включены механизмы обнаружения повторного приема одного и того же пакета. Сама атака заключается в том, что перехваченный и сохраненный злоумышленником пакет посылается повторно (возможно, несколько раз) в надежде на то, что он ... http://www.microfinance.uz/ataka-povtorom/