Файл: Учебнометодическое пособие к практическим работам основная профессиональная образовательная программа.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 29.11.2023
Просмотров: 280
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
«Сектор нормативной документации». Текстовые и графические материалы оформляются в соответствии с действующими ГОСТами и требованиями, приведенными на сайте ГУАП (www.guap.ru) в разделе «Сектор нормативной документации».
Отчет о практической работе должен включать в себя: титульный лист, формулировку задания, теоретические положения, используемые при выполнении практической и/или лабораторной работы, описание процесса выполнения работы, полученные результаты и выводы.
Практическая работа 1
Оценка риска информационной системы на основе модели угроз и уязвимостей
Рассчитать риск информационной безопасности корпоративной информационной системы (ИС) на основе модели угроз и уязвимостей. Оценить эффективность предложенных контрмер.
Современные ИС строятся, как правило, на архитектуре «клиент-сервер» с применением технологии виртуальных серверов и предусматривают «закрытый» и «открытый» контуры обработки, хранения и передачи информации. В «закрытом» контуре, который может иметь различные классы защищенности, обрабатывается конфиденциальная информация с различным грифом секретности, а в «открытом» контуре - открытая информация. При этом сертифицированными средствами однонаправленной передачи информации (межсетевыми экранами (МЭ)) обеспечивается только односторонняя передача информации из «открытого» контура в «закрытый». Типовая схема организации взаимодействия контуров ИС приведена на рис.1. Вешнее взаимодействие «закрытых» контуров корпоративной ИС с осуществляется с применением сертифицированных средств криптографической защиты информации (СКЗИ) по арендованным каналам связи. Вешнее взаимодействие «открытых» контуров между собой и с другими ИС осуществляется с применением сертифицированных МЭ. Для этого могут быть использованы публичные сети общего пользования, в том числе Интернет, LTE и др. с организацией виртуальных частных сетей (Virtual Private Network, VPN).
В качестве базового сетевого протокола используется IP-протокол.
Рис. 1 - Обобщенная схема информационных потоков в ИС
В общем случае корпоративная ИС на технологии «клиент-сервер» включает в себя следующие функциональные компоненты:
Целью анализа рисков является оценка угроз и уязвимостей, возможного ущерба, учитывая уровень защищенности информационной системы. Анализ рисков — это то, с чего должно начинаться построение политики информационной безопасности (ИБ) ИС [9-11]. Он включает в себя мероприятия по обследованию безопасности ИС, целью которых является определение того, какие активы ИС и от каких угроз надо защищать, а также, в какой степени те или иные активы нуждаются в защите [10-21]. В процессе анализа рисков проводятся следующие работы:
– идентификация и определение ценности всех активов в рамках выбранной области деятельности;
– идентификация угроз и уязвимостей для идентифицированных активов;
– оценка рисков для возможных случаев успешной реализации угроз информационной безопасности в отношении идентифицированных активов;
– выбор критериев принятия рисков;
– подготовка плана обработки рисков.
Необходимо идентифицировать только те активы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности. Важность (или стоимость) актива определяется величиной ущерба, наносимого в случае нарушения его конфиденциальности, целостности или доступности. В ходе оценки стоимости активов определяется величина возможного ущерба для каждой его категории при успешном осуществлении угрозы. Существует ряд международных и национальных стандартов оценки ИБ и управления ею [22-31] и др. В отечественной практике одним из первых в этой области стал стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» РС БР ИББС-2.2-2009, методика оценки рисков нарушения информационной безопасности [31]. В ИС организации хранятся и обрабатываются различные виды открытой и служебной конфиденциальной информации. Прежде всего, следует определить, что являетсяценным активом организации с точки зрения информационной безопасности.
В процессе категорирования активов необходимо оценить их важность для бизнес-процессов организации или, другими словами, определить,
какой ущерб понесет компания в случае нарушения информационной безопасности активов. Данный процесс вызывает наибольшую сложность, так как ценность активов определяется на основе экспертных оценок их владельцев. В процессе данного этапа часто проводятся обсуждения между консультантами по разработке системы управления и владельцами активов. Это помогает последним понять, каким образом следует определять ценность активов с точки зрения информационной безопасности (как правило, процесс определения критичности активов является для владельца новым и нетривиальным). Следует определить, нарушение информационной безопасности каких активов может нанести ущерб организации. В этом случае актив будет считаться ценным, и его необходимо будет учитывать при оценке информационных рисков. Инвентаризация заключается в составлении перечня ценных активов организации. Как правило, данный процесс выполняют владельцы активов.
Кроме этого, для владельцев активов разрабатываются различные методики оценки. В частности, такие методики могут содержать конкретные критерии (актуальные для данной организации), которые следует учитывать при оценке критичности: конфиденциальность, целостность и доступность (следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов).
Оценку критичности активов можно выполнять в денежных единицах и в уровнях. Однако, учитывая тот факт, что для анализа информационных рисков необходимы значения в денежных единицах, в случае оценки критичности активов в уровнях, следует определить оценку каждого уровня в деньгах. Для базовой оценки рисков достаточно 3-уровневой шкалы оценки критичности: низкий, средний и высокий уровни. При выборе шкалы важно учитывать следующее:
– чем меньше количество уровней, тем ниже точность оценки;
– чем больше количество уровней, тем выше сложность оценки (сложно определить разницу между, скажем, 7-м и 8-м уровнем 10- уровневой шкалы).
Например, стандарт ISO 17799 [23], подробно описывающий процедуры системы управления ИБ, выделяет
Отчет о практической работе должен включать в себя: титульный лист, формулировку задания, теоретические положения, используемые при выполнении практической и/или лабораторной работы, описание процесса выполнения работы, полученные результаты и выводы.
Практическая работа 1
Оценка риска информационной системы на основе модели угроз и уязвимостей
-
Цель работы
Рассчитать риск информационной безопасности корпоративной информационной системы (ИС) на основе модели угроз и уязвимостей. Оценить эффективность предложенных контрмер.
-
Задание к практической работе-
Разработать структурную схему «закрытого» и «открытого» контура ИС, с указанием защищаемых ресурсов. -
Идентифицировать активы, которые определяют функциональность ИС. -
Определить отделы, к которым относятся ресурсы (закрытого и открытого контура) и задать уровень приоритетов базовых услуг информационной безопасности («конфиденциальность», «целостность» и «доступность»). -
Построить модель угроз и уязвимостей для информационной системы организации. Задать вероятность реализации угрозы через данную уязвимость. -
Задать критичность реализации угрозы через данную уязвимость. -
Задать уровень приемлемого риска. -
Рассчитать уровень угрозы по уязвимости Th с учетом критичности и вероятности реализации угрозы через данную уязвимость, а) для режима с одной базовой угрозой; б) для режима работы с тремя угрозами -
Рассчитать уровень угрозы по всем уязвимостям, через которые реализуется данная угроза
а) для режима с одной базовой угрозой; б) для режима работы с тремя угрозами; -
Рассчитать общий уровень угроз по ресурсу
а) для режима с одной базовой угрозой; б) для режима работы с тремя угрозами; -
Рассчитать риск ресурса
а) для режима с одной базовой угрозой; б) для режима работы с тремя угрозами; -
Рассчитать риск по информационной системе
с учетом рисков по всем 
ресурсам: а) для режима с одной базовой угрозой; б) для режима работы с тремя угрозами; -
Задать контрмеры; -
Выполнить цикл алгоритма п.4.10-п.4.14; -
Рассчитать и оценить эффективность принятых контрмер
. При необходимости усилить контрмеры и пересчитать риск ресурса 
-
-
Краткие теоретические сведения-
Описание объекта защиты
-
Современные ИС строятся, как правило, на архитектуре «клиент-сервер» с применением технологии виртуальных серверов и предусматривают «закрытый» и «открытый» контуры обработки, хранения и передачи информации. В «закрытом» контуре, который может иметь различные классы защищенности, обрабатывается конфиденциальная информация с различным грифом секретности, а в «открытом» контуре - открытая информация. При этом сертифицированными средствами однонаправленной передачи информации (межсетевыми экранами (МЭ)) обеспечивается только односторонняя передача информации из «открытого» контура в «закрытый». Типовая схема организации взаимодействия контуров ИС приведена на рис.1. Вешнее взаимодействие «закрытых» контуров корпоративной ИС с осуществляется с применением сертифицированных средств криптографической защиты информации (СКЗИ) по арендованным каналам связи. Вешнее взаимодействие «открытых» контуров между собой и с другими ИС осуществляется с применением сертифицированных МЭ. Для этого могут быть использованы публичные сети общего пользования, в том числе Интернет, LTE и др. с организацией виртуальных частных сетей (Virtual Private Network, VPN).
В качестве базового сетевого протокола используется IP-протокол.
Рис. 1 - Обобщенная схема информационных потоков в ИС
В общем случае корпоративная ИС на технологии «клиент-сервер» включает в себя следующие функциональные компоненты:
-
сервера СУБД и файл-сервера, осуществляющие обработку и хранение информации; -
автоматизированные рабочие места (АРМ) - оконечное абонентское оборудование ИС; -
корпоративная мультисервисная сеть связи на основе IP-QoS технологий, включающая в себя ЛВС центрального офиса организации и ее филиалов, «закрытую» WAN-компоненту, обеспечивающую связь территориально удаленных «закрытых» контуров ЛВС ИС организации. Связь территориально удаленных «открытых» контуров ЛВС ИС организации осуществляется по сетям общего пользования (Интернет, мобильные сети). Компоненты корпоративной сети включают в себя оборудование ЛВС, оборудование структурированной кабельной системы ЛВС, сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы, мультиплексоры, межсетевые экраны и т. д.), внешние арендованные каналы связи, а также системы и средства защиты информации.
-
Анализ рисков в ИС
Целью анализа рисков является оценка угроз и уязвимостей, возможного ущерба, учитывая уровень защищенности информационной системы. Анализ рисков — это то, с чего должно начинаться построение политики информационной безопасности (ИБ) ИС [9-11]. Он включает в себя мероприятия по обследованию безопасности ИС, целью которых является определение того, какие активы ИС и от каких угроз надо защищать, а также, в какой степени те или иные активы нуждаются в защите [10-21]. В процессе анализа рисков проводятся следующие работы:
– идентификация и определение ценности всех активов в рамках выбранной области деятельности;
– идентификация угроз и уязвимостей для идентифицированных активов;
– оценка рисков для возможных случаев успешной реализации угроз информационной безопасности в отношении идентифицированных активов;
– выбор критериев принятия рисков;
– подготовка плана обработки рисков.
-
Идентификация и определение ценности активов
Необходимо идентифицировать только те активы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности. Важность (или стоимость) актива определяется величиной ущерба, наносимого в случае нарушения его конфиденциальности, целостности или доступности. В ходе оценки стоимости активов определяется величина возможного ущерба для каждой его категории при успешном осуществлении угрозы. Существует ряд международных и национальных стандартов оценки ИБ и управления ею [22-31] и др. В отечественной практике одним из первых в этой области стал стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» РС БР ИББС-2.2-2009, методика оценки рисков нарушения информационной безопасности [31]. В ИС организации хранятся и обрабатываются различные виды открытой и служебной конфиденциальной информации. Прежде всего, следует определить, что являетсяценным активом организации с точки зрения информационной безопасности.
В процессе категорирования активов необходимо оценить их важность для бизнес-процессов организации или, другими словами, определить,
какой ущерб понесет компания в случае нарушения информационной безопасности активов. Данный процесс вызывает наибольшую сложность, так как ценность активов определяется на основе экспертных оценок их владельцев. В процессе данного этапа часто проводятся обсуждения между консультантами по разработке системы управления и владельцами активов. Это помогает последним понять, каким образом следует определять ценность активов с точки зрения информационной безопасности (как правило, процесс определения критичности активов является для владельца новым и нетривиальным). Следует определить, нарушение информационной безопасности каких активов может нанести ущерб организации. В этом случае актив будет считаться ценным, и его необходимо будет учитывать при оценке информационных рисков. Инвентаризация заключается в составлении перечня ценных активов организации. Как правило, данный процесс выполняют владельцы активов.
Кроме этого, для владельцев активов разрабатываются различные методики оценки. В частности, такие методики могут содержать конкретные критерии (актуальные для данной организации), которые следует учитывать при оценке критичности: конфиденциальность, целостность и доступность (следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов).
Оценку критичности активов можно выполнять в денежных единицах и в уровнях. Однако, учитывая тот факт, что для анализа информационных рисков необходимы значения в денежных единицах, в случае оценки критичности активов в уровнях, следует определить оценку каждого уровня в деньгах. Для базовой оценки рисков достаточно 3-уровневой шкалы оценки критичности: низкий, средний и высокий уровни. При выборе шкалы важно учитывать следующее:
– чем меньше количество уровней, тем ниже точность оценки;
– чем больше количество уровней, тем выше сложность оценки (сложно определить разницу между, скажем, 7-м и 8-м уровнем 10- уровневой шкалы).
Например, стандарт ISO 17799 [23], подробно описывающий процедуры системы управления ИБ, выделяет