Неверно что к ключевым элементам octave относится
Методики и программные продукты для оценки рисков
Методика OCTAVE
OCTAVE предполагает три фазы анализа:
Профиль угрозы включает в себя указания на актив ( asset ), тип доступа к активу (access), источник угрозы ( actor ), тип нарушения или мотив (motive), результат ( outcome ) и ссылки на описания угрозы в общедоступных каталогах. По типу источника, угрозы в OCTAVE делятся на:
Результат может быть раскрытие (disclosure), изменение ( modification ), потеря или разрушение ( loss / destruction ) информационного ресурса или разрыв подключения. Отказ в обслуживании (interruption).
| Ресурс (Asset) | БД отдела кадров (HR Database) |
| Тип доступа (Access) | Через сеть передачи данных (Network) |
| Источник угрозы ( Actor ) | Внутренний (Inside) |
| Тип нарушения (Motive) | Преднамеренное (Deliberate) |
| Уязвимость (Vulnerability) | — |
| Результат ( Outcome ) | Раскрытие данных (Disclosure) |
| Ссылка на каталог уязвимостей (Catalog reference) | — |
Для каждого компонента определяется:
Далее, разрабатывают планы снижения рисков нескольких типов:
Для определения мер противодействия угрозам в методике предлагаются каталоги средств.
Хотелось бы еще раз подчеркнуть, что в отличие от прочих методик, OCTAVE не предполагает привлечения для исследования безопасности ИС сторонних экспертов, а вся документация по OCTAVE общедоступна и бесплатна, что делает методику особенно привлекательной для предприятий с жестко ограниченным бюджетом, выделяемым на цели обеспечения ИБ.
Методологии управления ИТ-рисками
Высокие технологии позволяют не только повысить эффективность бизнес-процессов, но и могут стать источником колоссального ущерба. Поэтому ИТ-рисками необходимо управлять также, как и традиционными бизнес-рисками. Управление ИТ-рисками состоит из их периодической оценки и выполнения мероприятий по снижению выявленных рисков до приемлемого уровня. При этом величины выявленных рисков используются для определения размеров разумных инвестиций в информационную безопасность.
Управление ИТ-рисками состоит из их периодической оценки и выполнения мероприятий по снижению выявленных рисков до приемлемого уровня. При этом величины выявленных рисков используются для определения размеров разумных инвестиций в информационную безопасность. На Западе законодательство предписывает компаниям управлять ИТ-рисками, к примеру, в США этого требует закон Сарбейнса-Оксли, принятый в 2002 году. Стандарты в области информационной безопасности, которые должны соблюдать и отечественные предприятия, например ISO17799, BS7799, ISO27001, также предусматривают механизмы управления ИТ-рисками. Оценка последних позволяет компании определить оптимальный объем расходов на обеспечение информационной безопасности и разумно спланировать мероприятия по ее поддержке.
К сожалению, не существует очевидных правил, утверждающих, в каком конкретном случае следует применять ту или иную методологию управления ИТ-рисками, например CORAS [1], OCTAVE (www.cert.org/octave) или CRAMM (www.cramm.com). В российских компаниях ситуация осложняется ограничениями отечественных программных продуктов, предназначенных для оценки и управления ИТ-рисками. Большинство из них, увы, базируются не на методологиях управления ИТ-рисками, а на стандартах информационной безопасности, например BS7799 или ISO17799, а потому позволяют определить не уровень ИТ-рисков, а степень соответствия тому или иному стандарту. Кроме того, обычно они не учитывают мнения владельцев информационных активов при определении величин потенциального ущерба.
Методологии управления ИТ-рисками
coras. Методология CORAS [1] разработана в рамках программы Information Society Technologies. Ее суть состоит в адаптации, уточнении и комбинировании таких методов проведения анализа рисков, как Event-Tree-Analysis, цепи Маркова, HazOp и FMECA [1].
CORAS использует технологию UML и базируется на австралийском/новозеландском стандарте AS/NZS 4360: 1999 Risk Management и ISO/IEC 17799-1: 2000 Code of Practiсe for Information Security Management. В этом стандарте учтены рекомендации, изложенные в документах ISO/IEC TR 13335-1: 2001 Guidelines for the Management of IT Security и IEC 61508: 2000 Functional Safety of Electrical/Electronic/Programmable Safety Related.
В соответствии с CORAS информационные системы рассматриваются не только с точки зрения используемых технологий, но с нескольких сторон, а именно как сложный комплекс, в котором учтен и человеческий фактор. Правила данной методологии реализованы в виде Windows- и Java-приложений [6].
OCTAVE. Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) была разработана в Институте программной инженерии при Университете Карнеги—Меллона и предусматривает активное вовлечение владельцев информации в процесс определения критичных информационных активов и ассоциированных с ними рисков. Ключевые элементы OCTAVE:
OCTAVE предусматривает высокую степень гибкости, достигаемую путем выбора критериев, которые предприятие может использовать при адаптации методологии под собственные нужды. Методология разработана для применения в крупных компаниях, а ее растущая популярность привела к созданию версии OCTAVE-S для небольших предприятий. Имеются коммерческие программные продукты, реализующие положения OCTAVE.
CRAMM. Методология CRAMM (CCTA Risk Analysis and Management Method) разработана британским Центральным компьютерным и телекоммуникационным агентством в 1985 году и применяется как для крупных, так и для небольших организаций правительственного и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, различаются своими базами знаний, или «профилями».
CRAMM предполагает использование технологий оценки угроз и уязвимостей по косвенным факторам с возможностью проверки результатов. В нее заложен механизм моделирования информационных систем с позиции безопасности с помощью обширной базы данных по контрмерам. CRAMM нацелен на детальную оценку рисков и эффективности предполагаемых к использованию комбинаций различных контрмер. Имеются коммерческие программные продукты, реализующие положения CRAMM. В частности, компания Siemens предлагает продукты CRAMM Expert и CRAMM Express.
Оценка методол огий
До принятия решения о внедрении той или иной методологии управления ИТ-рисками следует убедиться, что она достаточно полно учитывает бизнес-потребности компании, ее масштабы, а также соответствует лучшим мировым практикам и имеет достаточно подробное описание процессов и требуемых действий. В качестве критериев оценки при сравнении методологий управления ИТ-рисками целесообразно воспользоваться стандартом COBIT (www.isaca.org/cobit).
Аббревиатура COBIT (Control Objectives for Information and Related Technologies) подразумевает под собой набор документов, в которых изложены принципы управления и ИТ-аудита, основанные на лучших мировых практиках. В качестве критериев оценки методологий управления ИТ-рисками можно использовать инструкции COBIT по аудиту ИТ-процесса «Оценка рисков».
Используя COBIT для анализа методологий управления ИТ-рисками, следует учитывать, что существуют некоторые ограничения. Например, методология OCTAVE предусматривает адаптацию к конкретным условиям применения, а COBIT нет. При выборе методологии управления рисками не последнюю роль играют стоимость и время внедрения. Эти параметры не включены в оценку, так как они субьективны и могут сильно варьироваться в разных компаниях. Метод сравнительного анализа не учитывает объем, в котором компания планирует внедрение методологии, то есть, организация может поставить своей целью только выявление и оценку величины рисков без управления ими или без мониторинга. Согласно стандарту COBIT, концепция управления рисками подразумевает обход риска, его снижение или принятие. Такой способ управления рисками, как их перенос (т.е. страхование), не рассматривается. Перенос риска обычно используется в тех случаях, когда вероятность наступления нежелательного события мала, а потенциальный ущерб относительно высок.
 |
| Сравнение методолгий управления ИТ-рисками |
Методологии оценивались (см. таблицу) согласно рекомендациям COBIT по аудиту ИТ-процесса «Оценка рисков».
Оценка CORAS
При оценке степени соответствия методологии CORAS выбранным критериям CobiT выяснилось [1, 4, 6], что она не предусматривает такой эффективной меры по управлению ИТ-рисками, как «Программа повышения информированности сотрудников в области информационной безопасности». Такая программа позволяет снизить ИТ-риски, связанные с нарушениями режима информационной безопасности сотрудниками компании по причине их неосведомленности в отношении корпоративных требований в этой области и правил безопасного использования информационных систем. Также в CORAS не предусмотрена периодичность проведения оценки ИТ-рисков и обновление их величин, что свидетельствует о том, что методология пригодна для выполнения разовых оценок и не годится для регулярного использования.
Несмотря на то, что в CORAS заложена возможность разработки рекомендаций для выбора тех или иных мер по снижению рисков, она не позволяет оценить эффективность инвестиций, вложенных во внедрение мер безопасности, так же как не дает возможности найти правильный баланс между мерами, направленными на предотвращение, выявление, исправление или восстановление информационных активов. Кроме того, в CORAS не предусмотрены механизмы оценки эффективности способов управления и отсутствует формализованная процедура принятия остаточных рисков.
Положительной стороной CORAS является то, что программный продукт, реализующий эту методологию, распространяется бесплатно и не требует значительных ресурсов для установки и применения.
Оценка OCTAVE
Мониторинг рисков не является сильной стороной OCTAVE [2, 3], несмотря на то что так же, как и две другие методологии, полностью отвечает критериям категории «Риски». OCTAVE предусматривает регулярное проведение оценки ИТ-рисков и обновление их величин как части процесса оценки рисков. В случае когда стратегия управления рисками определена, OCTAVE предполагает использование в качестве способов снижения рисков только его снижение и принятие. Такой способ управления рисками, как обход (исключение), не используется.
OCTAVE подразумевает адаптацию методологии к конкретным условиям применения, например к размеру компании, виду бизнеса, требованиям законодательства и тех или иных стандартов и пр.
OCTAVE не дает количественной оценки рисков, однако качественная оценка может быть использована в определении количественной шкалы их ранжирования. В оценку могут включаться различные области рисков, которые, за исключением технических рисков и рисков нарушения законодательства, напрямую не включены в методологию. Таковые учитываются косвенно, в ходе проведения интервью с владельцами информационных активов, во время которых выясняется, какие последствия могут наступить в случае реализации угроз.
Данная методология не дает четких инструкций по организации мониторинга состояния рисков, но подчеркивает важность его наличия. Методология полностью удовлетворяет требованиям по оценке эффективности мер по снижению рисков и структурированному подходу к управлению рисками.
Оценка CRAMM
Эта методология не учитывает, например, наличие или отсутствие «программ по повышению информированности сотрудников в области информационной безопасности», сопроводительной документации, такой как описание бизнес-процессов или отчетов по проведенным оценкам ИТ-рисков [5]. В отношении стратегии работы с рисками CRAMM предполагает использование только методов их снижения. Такие способы управления рисками, как «обход» или «принятие», не рассматриваются.
Сильная сторона методологии — идентификация элементов риска: материальных и нематериальных активов и их ценности, угроз, мер безопасности, величины потенциального ущерба и вероятности реализации угрозы. Методология CRAMM использует количественные и качественные способы оценки ИТ-рисков, однако не определяет условий, при которых последние могут быть приняты компанией, и не включает в себя расчет возврата инвестиций на внедрение мер безопасности, несмотря на то, что принятие решения о применении той или иной меры должно базироваться не только на величине риска, но и на стоимости ее реализации и владения.
Методология CRAMM имеет существенные недостатки. В ней отсутствуют: процесс интеграции способов управления и описании назначения того или иного способа; мониторинг эффективности используемых способов управления и способов управления остаточными рисками; перерасчет максимально допустимых величин рисков; процесс реагирования на инциденты.
Практическое применение CRAMM сопряжено с необходимостью привлечения специалистов высокой квалификации; трудоемкостью и длительностью процесса оценки рисков, который может потребовать многих месяцев непрерывной работы высококвалифицированных специалистов; необходимостью обработки вручную сотен страниц отчетной документации, генерируемых программным инструментарием CRAMM; проблемой русификации программного обеспечения и выходных форм. Кроме того, следует отметить высокую стоимость лицензии.
Рассмотренные методологии хорошо соответствуют требованиям групп «Риски» и «Менеджмент», но все они имеют недостатки в соответствии с разделами «Мониторинг» и «Управление». Все три метода не предполагают расчета оптимального баланса различных способов управления, не имеют средств интеграции способов управления и не дают механизмов управления рисками остаточного уровня. Так же во всех трех методологиях не производится оценка качества процесса реагирования на инциденты в области информационной безопасности.
Ни одна из методологий не дает подробных рекомендаций по поводу составления расписания проведения повторных оценок ИТ-рисков, и в двух методологиях совершенно упущено из виду обновление величин рисков.
В случае если требуется выполнить только разовую оценку уровня ИТ-рисков в компании любого размера, целесообразно применять методологию CORAS. Для управления ИТ-рисками на базе периодических оценок на техническом уровне лучше всего подходит CRAMM. Методология OCTAVE предпочтительна для использования в крупных компаниях, где предполагается внедрение управления ИТ-рисками на базе регулярных оценок на уровне не ниже организационного и требуется разработка обоснованного плана мероприятий по их снижению.
Построение системы управления ИТ-рисками является более сложной задачей, нежели выбор методологии, и требует не только хороших теоретических знаний, но и практического опыта внедрения. Следует заранее предпринять действия, чтобы не допустить типичных ошибок, которые состоят в отсутствии доверия к полученным результатам оценки ИТ-рисков со стороны руководства, недостаточной обоснованности расходов на снижение ИТ-рисков, а также в сопротивлении внедрению мер снижения ИТ-рисков в бизнес-подразделениях и технических службах.
На практике заказчик всегда хочет получить не только результаты первоначальной оценки ИТ-рисков и рекомендации по их снижению, но и простой в использовании инструмент такой оценки. Большое внимание он уделяет ясности получаемых результатов оценки ИТ-рисков и их связи с рекомендуемыми действиями по снижению последних. Инструмент оценки ИТ-рисков должен позволять отследить связи между выявленными рисками и причинами, которые ведут к ним. По моему мнению, этим требованиям лучше всего отвечает OCTAVE.
Литература
Алексей Пастоев (apastoev@kerberus.ru) — генеральный директор, компания «Керберус» (Москва).
Терминология COBIT
Риски
Руководство рисками
Идентификация
Меры оценки
Способы управления
Мониторинг
Поделитесь материалом с коллегами и друзьями
Синтаксис языка GNU Octave
Материал из Xgu.ru
 |
| Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. |
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.
Содержание
[править] Константы
Как таковых констант, в привычном понимании (переменных, не изменяющих своего значения), Octave не имеет. Есть лишь несколько зарезервированных слов, используемых в типовых расчетах:
| ans | — содержит результат вычислений |
| pi | — число 3.1415. |
| I или J | — мнимая единица |
| Inf | — используется для проверки деления на ноль |
| eps | — погрешность операций над числами с плавающей точкой |
| realmin | — минимально допустимое число, которое может быть использовано в расчетах |
| realmax | — максимально допустимое число, которое может быть использовано в расчетах |
[править] Переменные
Поскольку GNU Octave считается языком высокого уровня, к определению переменных выставляются определенные требования:
Как и в обычных языках программирования, переменные Octave подразделяются на глобальные (определенные в файлах-сценариях) и локальные (определенные в файлах-функциях). Рассмотрим следующий пример. Пусть результаты расчетов (в данном случае, присваивание значений переменным а и b) «главной» программы Script1 передаются в подпрограмму Script2, а та, в свою очередь, выполняет над ними какие-то действия и вызывает функцю function MyFunction().
#Файл Script2.m
a = 2;
b = 2;
MyFunction();
#Файл MyFunction.m
function MyFunction()
a = 3;
b = 3;
endfunction
[править] Global декларация переменных
Как было указано выше, пространства переменных скриптов и функций не пересекаются между собой. Однако существует возможность из функции обратиться к глобальной переменной для использования ее значения (как чтения, так и изменения). Реализуется такая возможность посредством ключевого слова global.
# объявляем глобальную переменную (данное объявление должно быть выполнено до вызова соответствующей функции)
global N;
# выполняем какие-то действия (вычисления, присваивания и т.п.)
N = 2;
# функция может быть описана и в отдельном файле
function y = f()
# указываем, что использоваться будет глобальная переменная N, а не создаваться локальная «копия-однофамилец»
global N;
# изменяем ее значение
N = 3;
# используем значения N для расчетов
y = N^3;
endfunction
# вызываем функцию: ans = 27
f() # проверяем значение: N = 3 N
[править] Persistent декларация переменных
[править] Структуры данных
Пример 3. Определение межосевого расстояния зубчатой передачи
Gear1.m = 1.5; # модуль зубчатого колеса №1
Gear1.z = 20; # число зубьев зубчатого колеса №1
Gear2.m = 1.5; # модуль зубчатого колеса №2
Gear2.z = 50; # число зубьев зубчатого колеса №2
function d = Diam(Gear) # расчет делительного диаметра
d = Gear.m * Gear.z;
endfunction
a = (Diam(Gear1) + Diam(Gear2))/2 # межосевое расстояние: ans = 52.5
В Octave также предусмотрены ряд функций getfield, rmfield, isfield, isstruct, fieldnames, struct, cellstr, iscellstr,setfield, subsref,subsasgn (см. help).
[править] Формат вывода значений
Очевидно, что в разных случаях необходимо выводить результаты вычислений с различной точностью. Для этих целей служит команда format.
где может принимать одно из значений:
| bank | — 2 знака после запятой |
| short | — 5 знаков после запятой (используется по умолчанию) |
| short e или E | — то же, но в инженерном формате с соответствующей буквой |
| short g или G | — автоматический выбор между short и short е/Е |
| long | — 15 знаков после запятой |
| long e или E | — то же, но в инженерном формате с соответствующей буквой |
| long g или G | — автоматический выбор между long и long е/Е |
| bit | — представление числа в двоичной системе исчисления (в 32- или 64-битном представлении, смотря какая машина) |
| hex | — представление числа в шестнадцатеричной системе исчисления (в 32- или 64-битном представлении, смотря какая машина) |
| free | — свободный формат |
[править] Операторы
[править] Логические
=
[править] Арифметические
Высшая математика командной строки — GNU Octave
Как я и обещал, перехожу от обзора программ замены калькулятора к более серьезным инструментам. Если помните схему из предыдущего поста, то во второй категории находились табличные: OpenOffice / LibreOffice сотоварищи. Эту партию мы можем смело пропустить, так как к командной строке она не относится, к тому же, среди читателей Хабра трудно найти человека, который бы в них не разбирался. Поэтому перехожу сразу к третьей категории.
Специализированные математические программы, уровень студент+
Но сначала немного исторического контекста, чтобы понять, как закалялись математические программы с открытыми исходниками.
Догнать и перегнать MATLAB
Так сложилось, что коммерческие программы прибежали и первыми застолбили поляну математических вычислений. Уже с конца 1970-х гг. создатель языка программирования Клив Моулер распространяет MATLAB в университетах США, а в 1984-м вместе с двумя компаньонами переписывают его с Фортрана на Си и создают компанию The MathWorks. Примечательно, что ранние версии распространялись с открытым исходным кодом.
С большим опозданием в игру включаются программы с открытыми исходниками. Только в 1990-х появляются математические пакеты GNU Octave, Scilab и вступают в конкуренцию с лидером вычислительного программирования.
Основной миссией Octave была, и в обозримом будущем скорее всего так и останется, быть годной заменой MATLAB так же, как OpenOffice/LibreOffice замещает MS Office для тех, кто умеет считать копейку. Собственно, для этого Octave имеет совместимый с MATLAB синтаксис и набор функций. Более того, несовместимость с MATLAB считается багом, однако софтверная Фемида уже имеет подобный прецедент, и это не считается нарушением копирайта. В этой связи, можно считать Octave программным клоном. Правда о полной совместимости пока говорить не приходится, но работа в этом направлении не прекращается.
Установка
Установка Octave в Linux ничем не отличается от установки других программ. На Gentoo Linux запускаем:
Для SUSE и Arch тоже все очень просто, а вот пользователям Красной Шапки и CentOS придется чуток повозиться. Попытка установить Octave легким движением кисти завершается ошибкой, пакет в репозитариях не найден.
Благо, есть обходной путь. Нужно сперва установить пакет epel-release.
И только после этого yum install octave сработает.
Наконец, все готово и программа установлена.
Операции с матрицами
Сперва простое транспонирование матрицы:
Попробуем решить систему линейных уравнений:
Вбиваем матрицу A, вектор b и решаем уравнение Ax = b в матричном виде
Находим детерминант и собственные значения матрицы.
Комплексные числа тоже поддерживаются в вычислениях.
Функции и переменные
В Octave переменные и функции создавать гораздо проще, чем, к примеру, в Java или C. На примере матриц, мы уже видели как объявлять переменные. Создания новой функции имеет следующий синтаксис
Напишем функцию для решения квадратичного уравнения ax² + bx + c = 0
Графический интерфейс
Что-же дальше?
Может возникнуть вопрос: а зачем вообще нужны открытые математические пакеты? Офисные приложения нужны всем, но ведь далеко не каждому необходимо сидя дома решать уравнения Пуассона, с помощью преобразования Лапласа. Для ВУЗ-ов MATLAB стоит значительно дешевле, нежели для физических лиц и коммерческих организаций. Коммерческие организации, если будет нужно, найдут денежные средства, а обычные люди пусть занимаются математикой в университетах или считают столбиком.
Конечно же, это ошибочное мнение. Научные расчеты, выполненные с использованием открытого ПО имеют дополнительный «уровень защиты», ведь при желании любой может повторить прогнать те же самые расчеты и проверить валидность результатов. Те же самые вычисления, выполненные на дорогущем ПО, частично отсекают возможность проверки результатов. Проблема на самом деле гораздо шире (английский текст) и дело не только в открытых или проприетарных математических программах. Не секрет, что научные журналы как правило не требуют от авторов предоставить данные и методику, достаточные для гарантированного повтора результатов эксперимента, проверки модели. Особенно часто этим грешат экономисты и финансисты, попросту засекречивая свои данные. Проверка расчетов и выводов среди выборки из массива статей с «засекреченными» данными дала неожиданные результаты (английский текст). Наука, как и софт, должна быть открытой, вот почему открытые математические пакеты имеют ценность для всего общества.
Рекомендуется к прочтению
Кроме последней книги, остальные материалы, использованные в статье, можно без труда найти в интернете. Половина из приведенных выше ссылок ведут на английские страницы. Буду рад вкратце сообщить о чем идет там речь или помочь с переводом.