Файл: Практическая работа Анализ источников, каналов распространения и каналов.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 23.11.2023
Просмотров: 360
Скачиваний: 11
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Эмпирический подход к оценке уязвимости информации.
Сущность эмпирического подхода заключается в том, что на основе длительного сбора и обработки данных о реальных проявлениях угроз информации и о размерах того ущерба, который при этом имел место, чисто эмпирическим путем устанавливаются зависимости между потенциально возможным ущербом и коэффициентами, характеризующими частоту проявления соответствующей угрозы и значения имевшего при ее проявлении размера ущерба. Наиболее характерным примером моделей рассматриваемой разновидности являются модели, разработанные специалистами американской фирмы IBM. Рассмотрим развиваемые этих моделях подходы.
Исходной посылкой при разработке моделей является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносит некоторый ущерб, с другой, обеспечение защиты информации сопряжено с расходованием средств. Полная ожидаемая стоимость защиты может быть выражена суммой расходов на защиту и на потерь от ее нарушения. Совершенно очевидно, что оптимальным решением было бы выделение на защиту информации средств в размере Сопт, поскольку при этом обеспечивается минимизация общей стоимости защиты информации.
Для того, чтобы воспользоваться данным подходом к решению проблемы, необходимо, во- первых, знать (или уметь определять) ожидаемые потери при нарушении защищенности информации, а во-вторых, в зависимость между уровнем защищенности и средствами, затрачиваемыми
на защиту информации.
Решение первого вопроса, т.е. оценки ожидаемых потерь при нарушении защищенности информации, принципиально может быть получено лишь тогда, когда речь идет о защите промышленной, коммерческой и им подобной тайны, хотя и здесь встречаются весьма серьезные трудности. Что касается оценки уровня потерь при нарушении статуса защищенности информации, содержащей государственную, военную и им подобную тайну, то здесь до настоящего времени строгие подходы к их получению не найдены. Данное обстоятельство существенно сужает возможную область использования моделей, основанных на рассматриваемых подходах.
Для определения уровня затрат, обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать, во-первых, полный перечень угроз информации, во-вторых, потенциальную опасность для информации для каждой из угроз и, в третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.
i
R 10(SiVi4)
Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. Специалистами фирмы IBM предложена следующая эмпирическая зависимость ожидаемых потерь от i-й угрозы информации:
Где Si — коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы; Vi — коэффициент, характеризующий значение возможного ущерба
при ее возникновении. Предложенные специалистами значения коэффициентов:
Значения коэффициента Si
Ожидаемая (возможная) частота появления угрозы | Предполагаемое значение Si |
Почти никогда | 0 |
1 раз в 1000 лет | 1 |
1 раз в 100 лет | 2 |
1 раз в 10 лет | 3 |
1 раз в год | 4 |
1 раз в месяц (примерно, 10 раз в год) | 5 |
12 раза в неделю (примерно 100 раз в год) | 6 |
3 раза в день (1000 раз в год) | 7 |
Возможные значения коэффициента Vi
Значение возможного ущерба при проявлении угрозы (доллары США) | Предполагаемое значение Vi |
1 | 0 |
10 | 1 |
100 | 2 |
1 000 | 3 |
10 000 | 4 |
100 000 | 5 |
1 000 000 | 6 |
10 000 000 | 7 |
Суммарная стоимость потерь определяется формулой
R Ri
i
Таким образом, если бы удалось собрать достаточное количество фактических данных о проявлениях угроз и их последствиях, то рассмотренную модель можно было бы использовать
для решения достаточно широкого круга задач защиты информации, причем, нетрудно видеть, что модель позволяет не только находить нужные решения, но и оценивать их точность. По России такая статистика в настоящее время практически отсутствует. В США же, например, сбору и обработке указанных данных большое внимание уделяет целый ряд учреждений (Стенфордский исследовательский институт и др.). В результате уже получены достаточно представительные данные по целому ряду угроз, которые могут быть положены в основу ориентировочных расчетов и для других стран.
Практическое задание
-
Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ.» -
Ознакомьтесь с Приложениями'>Приложениями C, D и Е ГОСТа. -
Выберите три различных информационных актива организации (см. вариант). -
Из Приложения D ГОСТа подберите три конкретных уязвимости системы защиты указанных информационных активов. -
Пользуясь Приложением С ГОСТа напишите три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости. -
Пользуясь одним из методов предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности. -
Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы.
Отчет
Отчет должен содержать:
-
наименование работы; -
цель работы; -
задание; -
последовательность выполнения работы; -
ответы на контрольные вопросы; -
вывод о проделанной работе.
Контрольные вопросы
Дайте определение понятиям:
-
Уязвимости системы защиты информации -
Угрозы ИБ -
Оценка рисков