Файл: Учебнометодическое пособие к практическим работам основная профессиональная образовательная программа.docx

3. 
   Расчет общего уровня угроз, действующих на ресурс и риск ресурса для режима с одной общей угрозой с учетом контрмер. Результаты приведены в табл.5.7.
   

Таблица5. 7

Угроза/Уязвимость	Общий уровень угроз по ресурсу (%),	Риск ресурса для режима с одной общей угрозой (%),
Сервер закрытого контура
Угроза1/Уязвимость 1	0,189	28,35
Угроза1/Уязвимость 2
Угроза2/Уязвимость 1
Угроза2/Уязвимость 2
Угроза3/Уязвимость 1
Угроза3/Уязвимость 2
Сервер открытого контура
Угроза1/Уязвимость 1	0,206	24,72
Угроза1/Уязвимость 2
Угроза2/Уязвимость 1
Угроза2/Уязвимость 2
Угроза3/Уязвимость 1
Угроза3/Уязвимость 2
МЭ открытого контура
Угроза1/Уязвимость 1	0,181	14,48
Угроза1/Уязвимость 2
Угроза2/Уязвимость 1
Угроза2/Уязвимость 2
Угроза3/Уязвимость 1
Угроза3/Уязвимость 2
СКЗИ закрытого контура
Угроза1/Уязвимость 1	0,148	7,4
Угроза1/Уязвимость 2
Угроза2/Уязвимость 1
Угроза2/Уязвимость 2
Угроза3/Уязвимость 1
Угроза3/Уязвимость 2
Однонаправленный шлюз
Угроза1/Уязвимость 1	0,163	11,899
Угроза1/Уязвимость 2
Угроза2/Уязвимость 1
Угроза2/Уязвимость 2
Угроза3/Уязвимость 1
Угроза3/Уязвимость 2
Оборудование ЛВС открытого контура
Угроза1/Уязвимость 1	0,136	13,464
Угроза1/Уязвимость 2
Угроза2/Уязвимость 1
Угроза2/Уязвимость 2
Угроза3/Уязвимость 1
Угроза3/Уязвимость 2
Оборудование ЛВС закрытого контура
Угроза1/Уязвимость 1	0,167	14,195
Угроза1/Уязвимость 2
Угроза2/Уязвимость 1
Угроза2/Уязвимость 2
Угроза3/Уязвимость 1
Угроза3/Уязвимость 2

---

3. 
   Расчет эффективности введения контрмер.
   

Результат представлен в табл.5.8.

Таблица 5.8

Ресурс	Эффективность
Сервер закрытого контура	0.844
Сервер открытого контура	0.753
МЭ открытого контура	0.784
СКЗИ закрытого контура	0.818
Однонаправленный шлюз	0.811
Оборудование ЛВС открытого контура	0.791
Оборудование ЛВС закрытого контура	0.826

---

Выводы

Построена модель угроз и нарушителя для аппаратного ресурса ИС. Проведена оценка риска по аппаратному ресурсу . После принятия контрмер уровень риска по аппаратному ресурсу заметно снизился. Однако заданный уровень эффективности снижения риска до приемлемого уровня 10% не достигнут. Необходимо усилить контрмеры и пересчитать значение нового риска

5. 
   Содержание отчета
   

1. 
   Цель работы
   
2. 
   Теоретические положения
   
3. 
   Структурная схема «закрытого» и «открытого» контура ИС, с указанием защищаемых ресурсов.
   
4. 
   Описание процесса выполнения работы
   
5. 
   Полученные результаты расчетов (по каждому виду ресурса)
   
   1. 
      Уровни угроз Th, CTh, CThR а) для режима с одной базовой угрозой; б) для режима работы с тремя угрозами
      
   2. 
      Риск ресурса а) для режима с одной базовой угрозой; б) для режима работы с тремя угрозами;
      
   3. 
      Риск ресурса с учетом заданных контрмер а) для режима с одной базовой угрозой; б) для режима работы с тремя угрозами
      
   4. 
      Рассчитать и оценить эффективность принятых контрмер E.
      
   5. 
      Риск по информационной системе CR с учетом рисков по всем N ресурсам: а) для режима с одной базовой угрозой; б) для режима работы с тремя угрозами;
      
6. 
   Выводы
   

5. 
   Контрольные вопросы
   

1. 
   Какие структурные элементы входят в объект защиты?
   
2. 
   Какая основная цель проведения анализа рисков в ИС?
   
3. 
   Какие активы определяют функциональность ИС и существенны с точки зрения обеспечения безопасности?
   
4. 
   Чем определяется важность (или стоимость) актива?
   
5. 
   Какие виды активов ИС вы знаете?
   
6. 
   Как оцениваются с точки зрения нанесения ущерба организации информационные активы, программное обеспечение, материальные ресурсы и сервисы, а также сотрудники организации (их квалификация и опыт) и нематериальные ресурсы (репутация и имидж организации)?
   
7. 
   Как определить вероятность реализации угрозы через уязвимость или хи актуальность?
   
8. 
   В чем заключается оценка информационных рисков? Приведите классическую формулу для оценки информационных рисков.
   
9. 
   Какие основные критерии обработки рисков вы знаете?
   
10. 
    Что описывает «Отчет об обработке информационных рисков организации»?
    
11. 
    Как рассчитать уровень угрозы по уязвимости с учетом критичности и вероятности реализации угрозы через данную уязвимость, а) для режима с одной базовой угрозой; б) для режима работы с тремя угрозами?
    
12. 
    Как рассчитать уровень угрозы по всем уязвимостям, через которые реализуется данная угроза а) для режима с одной базовой угрозой; б) для режима работы с тремя угрозами?
    
13. 
    Как рассчитать общий уровень угроз по ресурсу а) для режима с одной базовой угрозой; б) для режима работы с тремя угрозами?
    
14. 
    Как рассчитать риск ресурса а) для режима с одной базовой угрозой; б) для режима работы с тремя угрозами?
    
15. 
    Как рассчитать риск по информационной системе с учетом рисков по всем ресурсам а) для режима с одной базовой угрозой; б) для режима работы с тремя угрозами?
    
16. 
    Как задать контрмеры?
    
17. 
    Как оценить эффективность принятых контрмер ?
    

---

Практическая работа 2

Оценки рисков информационной системы на основе модели информационных потоков ("Методика оценки рисков информационной безопасности организации Digital Security")

1. 
   Цель работы. Рассчитать риск информационной системы (ИС) на основе модели информационных потоков.
   
2. 
   Задание к практической работе
   
   1. 
      Описать архитектуру ИС.
      
      1. 
         Составить структурно-функциональную схему ИС
         
      2. 
         Описать в виде таблиц средства защиты каждого аппаратного ресурса, средства защиты каждого вида информации, хранящемся на нем с указанием веса каждого средства.
         
      3. 
         Описать в виде таблицы вид доступа (локальный, удаленный) и права доступа (чтение, запись, удаление) для каждого пользователя (групп пользователей), а также наличие соединения через VPN, количество человек в группе для каждого информационного потока.
         
      4. 
         Указать наличие у пользователей выхода в Интернет.
         
      5. 
         Указать ущерб организации от реализации угроз ИБ для каждого информационного потока.
         
   2. 
      Рассчитать риски для каждого вида информации в ИС
      
      1. 
         Рассчитать риски для каждого вида информации по угрозе нарушение «конфиденциальности».
         
      2. 
         Рассчитать риски для каждого вида информации по угрозе нарушение «целостности».
         
      3. 
         Рассчитать риски для каждого вида информации по угрозе нарушение «доступности».
         
      4. 
         Оценить риски для каждого вида информации по угрозе нарушения «конфиденциальности», «целостности» и «доступности».
         

3. 
   Краткие теоретические сведения
   

Метод оценки рисков информационной системы на основе модели информационных потоков позволяет оценить защищенность каждого вида информации.

Метод оценки рисков базируется на построении модели ИС организации. Для этого необходимо проанализировать защищенность и архитектуру ИС. Специалист по ИБ, привлекая владельца (менеджера) ИС (используя вопросники, интервью, документацию, инструменты автоматического сканирования), должен подробно описать архитектуру сети:

– все аппаратные (компьютерные) ресурсы, на которых хранится ценная информация;

– сетевые группы, в которых находятся ресурсы системы (т.е. физические связи ресурсов друг с другом);

---

– отделы, к которым относятся ресурсы;

– виды ценной информации;

– ущерб для каждого вида ценной информации по трем видам угроз;

– бизнес-процессы, в которых обрабатывается информация;

–пользователей (группы пользователей), имеющих доступ к ценной информации;

– класс группы пользователей;

– доступ группы пользователей к информации;

– характеристики этого доступа (вид и права);

– средства защиты информации;

– средства защиты рабочего места группы пользователей.

Исходя из полученных данных строится полная модель ИС организации на основе которой проводится оценки рисков для каждого ресурса по угрозе нарушения «конфиденциальности», «целостности» и «доступности». Алгоритм оценки рисков позволяет получить следующие данные:

– реестр ресурсов;

– значения риска для каждого ценного ресурса организации;

– значения риска для ресурсов после задания контрмер (остаточный риск);

– эффективность контрмер;

– рекомендации экспертов.

4. 
   Последовательность выполнения практической работы
   
   1. 
      Построить архитектуру ИС
      
      1. 
         Составить структурно-функциональную схему ИС
         

На схеме необходимо отобразить (пример схемы приведен на рис.4.1):

- все ресурсы (сервер, АРМ, ПО, БД и т.д.) «закрытого» и «открытого» контура ИС;

- отделы, к которым относятся ресурсы «закрытого» и «открытого» контура ИС;

- сетевые группы «открытого» контура, физические связи ресурсов между собой и их подключения к Интернет и/или к мобильным сетям;

- виды ценной информации, хранящейся на ресурсах;

- пользователей (группы пользователей), имеющих доступ к ценной (конфиденциальной) информации.
Рис.4.1. Структурно-функциональная схема ИС

2. 
   Определить вес ресурса
   

Определить вес средств защиты каждого аппаратного ресурса, средств защиты каждого вида информации, хранящемся на нем, а также ПО с указанием веса каждого средства (табл. 4.1). Веса выбирать самостоятельно.

---