Файл: Государственное образовательное учреждение высшего профессионального образования санктпетербугрский государственный университет телекоммуникаций.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 25.10.2023
Просмотров: 73
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Расчет рисков по угрозе нарушения «конфиденциальности»
Коэффициент локальной защищенности информации рассчитывается тогда, когда в данном информационном потоке существует локальный доступ. Данный коэффициент равен сумме весов средств физической и локальной защиты информации. В этой ситуации учитываются все средства физической и локальной защиты информации, которые обеспечивают защиту информации по угрозе «конфиденциальность».
Коэффициент удаленной защищенности информации рассчитывается, если доступ в информационном потоке удаленный. Необходим для того, чтоб учесть сетевые средства защиты и равен сумме весов средств корпоративной сетевой защиты информации.
Коэффициент локальной защищенности рабочего места пользователя (или группы пользователей) рассчитывается только при удаленном доступе к информации. Он равен сумме весов средств физической, локальной и персональной сетевой защиты информации.
Для расчетов по каждому потоку из трех коэффициентов выбирается наименьший коэффициент защищенности.
Учет наличия доступа через VPN
VPN работает только при удаленном доступе. При локальном доступе VPN не учитывается, так как локальная сеть не используется для передачи информации.
При удаленном доступе к наименьшему коэффициенту защищенности потока прибавляется вес VPN шлюза. Данное сетевое устройство повышает защищенность информации. При этом от наименьшего коэффициента переходят к результирующему: РК = НК + 60 (c VPN) или РК = НК + 0 (без VPN).
Расчет итогового коэффициента защищенности
От результирующего коэффициента переходим к итоговому коэффициенту защищенности. Рассчитывать его будем таким образом:
Если при удаленном доступе VPN не используется, то итоговый коэффициент защищенности умножается на 4, так как в такой ситуации отсутствует защита шлюза. Получаем ИК=4N/РК.
Расчет итоговой вероятности
Для того, чтобы рассчитать итоговую вероятность, необходимо для начала рассчитать базовую вероятность, а затем умножить ее на итоговый коэффициент защищенности: ИВ=БВ*ИК.
Базовая вероятность рассчитывается на основе метода экспертных оценок. Группа экспертов определяет базовую вероятность для каждой информации. Также базовую вероятность может задать владелец информации.
Промежуточная вероятность вычисляется как: ПВ=ИБВ*ИК.
Итоговая вероятность: ИВ=1-((1-ПВ1)(1-ПВ2)…(1-ПВN))., как суммарная по нескольким группам пользователей.
Итоговая базовая вероятность одинакова для всех потоков, так как к информации имеется доступ через Интернет. Если на ресурсе существует несколько видов информации и к некоторым из них осуществляется доступ через Интернет, то угрозы, которые исходят от этих групп пользователей, могут повлиять и на другие виды информации. Это нужно учитывать. Если на одном из ресурсов, который находится в сетевой группе, хранится информация, к которой осуществляют доступ указанные группы пользователей, то это учитывается для всех видов информации, хранящихся на всех ресурсах, которые входят в сетевую группу.
Расчет риска по угрозе нарушение «конфиденциальности» для каждой информации
Расчет риска по угрозе нарушение «конфиденциальности» для ресурса
Риск для ресурса, на котором хранится несколько видов информации, равен сумме рисков по всем видам информации. Так как основными ресурсами в организации являются сервер «закрытого» и «открытого» контуров, то риски для данных ресурсов рассчитываются как сумма рисков по всем информационным потокам к этому ресурсу.
На этом расчет рисков по угрозе нарушение «конфиденциальности» закончен.
Расчет рисков по угрозе нарушение «доступности»
Расчет коэффициентов защищенности
Расчеты производятся аналогично расчету рисков по угрозе нарушение «конфиденциальности», однако сейчас рассматриваются средства, которые закрывают данный тип угрозы (угрозы доступности).
Коэффициент локальной защищенности информации рассчитывается тогда, когда в данном информационном потоке существует локальный доступ. Данный коэффициент равен сумме весов средств физической и локальной защиты информации. В этой ситуации учитываются все средства физической и локальной защиты информации, которые обеспечивают защиту информации по угрозе «конфиденциальность».
Коэффициент удаленной защищенности информации рассчитывается, если доступ в информационном потоке удаленный. Необходим для того, чтоб учесть сетевые средства защиты и равен сумме весов средств корпоративной сетевой защиты информации.
Коэффициент локальной защищенности рабочего места пользователя (или группы пользователей) рассчитывается только при удаленном доступе к информации. Он равен сумме весов средств физической, локальной и персональной сетевой защиты информации.
Для расчетов по каждому потоку из трех коэффициентов выбирается наименьший коэффициент защищенности.
| Информационный поток | Коэффициент локальной защищенности информации | Коэффициент удаленной защищенности информации | Коэффициент локальной защищенности рабочего места | Наименьший коэффициент |
| Администрация организации – Сервер закрытого контура | 258 | - | 318 | 258 |
| Администрация организации – Сервер открытого контура | 204 | - | 264 | 204 |
| Удаленные сотрудники – Сервер закрытого контура | 150 | 84 | 102 | 84 |
| Удаленные сотрудники – Сервер открытого контура | 135 | 72 | 66 | 66 |
| Технический отдел – Сервер закрытого контура | 240 | - | 210 | 210 |
| Технический отдел – Сервер открытого контура | 180 | - | 186 | 180 |
| Финансовый отдел – Сервер закрытого контура | 246 | - | 228 | 228 |
| Финансовый отдел – Сервер открытого контура | 195 | - | 192 | 192 |
Учет наличия доступа через VPN
VPN работает только при удаленном доступе. При локальном доступе VPN не учитывается, так как локальная сеть не используется для передачи информации.
При удаленном доступе к наименьшему коэффициенту защищенности потока прибавляется вес VPN шлюза. Данное сетевое устройство повышает защищенность информации. При этом от наименьшего коэффициента переходят к результирующему: РК = НК + 60 (c VPN) или РК = НК + 0 (без VPN).
| Информационный поток | Наименьший коэффициент защищенности | Вес VPN-соединения | Результирующий коэффициент |
| Администрация организации – Сервер закрытого контура | 258 | - | 258 |
| Администрация организации – Сервер открытого контура | 204 | - | 204 |
| Удаленные сотрудники – Сервер закрытого контура | 84 | 60 | 144 |
| Удаленные сотрудники – Сервер открытого контура | 66 | 60 | 126 |
| Технический отдел – Сервер закрытого контура | 210 | - | 210 |
| Технический отдел – Сервер открытого контура | 180 | - | 180 |
| Финансовый отдел – Сервер закрытого контура | 228 | - | 228 |
| Финансовый отдел – Сервер открытого контура | 192 | - | 192 |
Расчет итогового коэффициента защищенности
От результирующего коэффициента переходим к итоговому коэффициенту защищенности. Рассчитывать его будем таким образом:
-
если количество пользователей 1 и у группы нет доступа в Интернет, то ИК = 1/РК; -
если количество пользователей N и у группы пользователей нет доступа в Интернет, то ИК=N/РК; -
если количество пользователей N и группа пользователей имеет доступ в Интернет, то ИК увеличивается в 2 раза: 2N/РК.
Если при удаленном доступе VPN не используется, то итоговый коэффициент защищенности умножается на 4, так как в такой ситуации отсутствует защита шлюза. Получаем ИК=4N/РК.
| Информационный поток | Результирующий коэффициент защищенности | Количество человек в группе | Наличие интернет соединения | Итоговый коэффициент защищенности |
| Администрация организации – Сервер закрытого контура | 258 | 7 | Есть (2N/РК) | 0,054 |
| Администрация организации – Сервер открытого контура | 204 | 0,069 | ||
| Удаленные сотрудники – Сервер закрытого контура | 144 | 9 | Есть (2N/РК) | 0,125 |
| Удаленные сотрудники – Сервер открытого контура | 126 | 0,143 | ||
| Технический отдел – Сервер закрытого контура | 210 | 15 | Есть (2N/РК) | 0,143 |
| Технический отдел – Сервер открытого контура | 180 | 0,167 | ||
| Финансовый отдел – Сервер закрытого контура | 228 | 20 | Нет (N/РК) | 0,088 |
| Финансовый отдел – Сервер открытого контура | 192 | 0,104 |
Расчет итоговой вероятности
Для того, чтобы рассчитать итоговую вероятность, необходимо для начала рассчитать базовую вероятность, а затем умножить ее на итоговый коэффициент защищенности: ИВ=БВ*ИК.
Базовая вероятность рассчитывается на основе метода экспертных оценок. Группа экспертов определяет базовую вероятность для каждой информации. Также базовую вероятность может задать владелец информации.
Промежуточная вероятность вычисляется как: ПВ=ИБВ*ИК.
Итоговая вероятность: ИВ=1-((1-ПВ1)(1-ПВ2)…(1-ПВN))., как суммарная по нескольким группам пользователей.
| Информационный поток | БВ | ИБВ | ИК | ПВ | ИВ |
| Администрация организации – Сервер закрытого контура | 0,04 | 0,2 | 0,054 | 0,0108 | 0,08 |
| Технический отдел – Сервер закрытого контура | 0,06 | 0,2 | 0,143 | 0,0286 | |
| Финансовый отдел – Сервер закрытого контура | 0,04 | 0,2 | 0,088 | 0,0176 | |
| Удаленные сотрудники – Сервер закрытого контура | 0,06 | 0,2 | 0,125 | 0,025 | |
| Администрация организации – Сервер открытого контура | 0,05 | 0,35 | 0,069 | 0,0242 | 0,159 |
| Технический отдел – Сервер открытого контура | 0,07 | 0,35 | 0,167 | 0,0585 | |
| Финансовый отдел – Сервер открытого контура | 0,05 | 0,35 | 0,104 | 0,0364 | |
| Удаленные сотрудники – Сервер открытого контура | 0,07 | 0,35 | 0,143 | 0,05 |
Итоговая базовая вероятность одинакова для всех потоков, так как к информации имеется доступ через Интернет. Если на ресурсе существует несколько видов информации и к некоторым из них осуществляется доступ через Интернет, то угрозы, которые исходят от этих групп пользователей, могут повлиять и на другие виды информации. Это нужно учитывать. Если на одном из ресурсов, который находится в сетевой группе, хранится информация, к которой осуществляют доступ указанные группы пользователей, то это учитывается для всех видов информации, хранящихся на всех ресурсах, которые входят в сетевую группу.
Расчет риска по угрозе нарушение «конфиденциальности» для каждой информации
| Информационный поток | ИВ | Ущерб | Значение риска |
| Администрация организации – Сервер закрытого контура | 0,08 | 1000 | 80 |
| Технический отдел – Сервер закрытого контура | 3000 | 240 | |
| Финансовый отдел – Сервер закрытого контура | 900 | 72 | |
| Удаленные сотрудники – Сервер закрытого контура | 500 | 40 | |
| Администрация организации – Сервер открытого контура | 0,159 | 500 | 79,5 |
| Технический отдел – Сервер открытого контура | 2000 | 318 | |
| Финансовый отдел – Сервер открытого контура | 500 | 79,5 | |
| Удаленные сотрудники – Сервер открытого контура | 350 | 55,65 |
Расчет риска по угрозе нарушение «конфиденциальности» для ресурса
Риск для ресурса, на котором хранится несколько видов информации, равен сумме рисков по всем видам информации. Так как основными ресурсами в организации являются сервер «закрытого» и «открытого» контуров, то риски для данных ресурсов рассчитываются как сумма рисков по всем информационным потокам к этому ресурсу.
| Информационный поток | Значение риска | Значение риска для ресурса |
| Администрация организации – Сервер закрытого контура | 80 | 432 |
| Технический отдел – Сервер закрытого контура | 240 | |
| Финансовый отдел – Сервер закрытого контура | 72 | |
| Удаленные сотрудники – Сервер закрытого контура | 40 | |
| Администрация организации – Сервер открытого контура | 79,5 | 532,65 |
| Технический отдел – Сервер открытого контура | 318 | |
| Финансовый отдел – Сервер открытого контура | 79,5 | |
| Удаленные сотрудники – Сервер открытого контура | 55,65 |
На этом расчет рисков по угрозе нарушение «конфиденциальности» закончен.
Расчет рисков по угрозе нарушение «доступности»
Расчет коэффициентов защищенности
Расчеты производятся аналогично расчету рисков по угрозе нарушение «конфиденциальности», однако сейчас рассматриваются средства, которые закрывают данный тип угрозы (угрозы доступности).
| Информационный поток | Коэффициент локальной защищенности информации | Коэффициент удаленной защищенности информации | Коэффициент локальной защищенности рабочего места | Наименьший коэффициент |
| Администрация организации – Сервер закрытого контура | 192 | - | 144 | 144 |
| Администрация организации – Сервер открытого контура | 174 | - | 126 | 126 |
| Удаленные сотрудники – Сервер закрытого контура | 132 | 40 | 60 | 40 |
| Удаленные сотрудники – Сервер открытого контура | 114 | 45 | 84 | 45 |
| Технический отдел – Сервер закрытого контура | 165 | - | 138 | 138 |
| Технический отдел – Сервер открытого контура | 129 | - | 135 | 129 |
| Финансовый отдел – Сервер закрытого контура | 150 | - | 114 | 114 |
| Финансовый отдел – Сервер открытого контура | 138 | - | 108 | 108 |