Файл: Практическая работа 2 Оценка риска информационной безопасности корпоративной информационной системы на основе модели информационных потоков.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 29.11.2023

Просмотров: 143

Скачиваний: 9

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Базовая вероятность определяется на основе метода экспертных оценок. Ее значения по данной угрозе целостность отличаются от значений в расчете по угрозе конфиденциальность. Группа экспертов, исходя из классов групп пользователей, получающих доступ к ресурсу, видов и прав их доступа к информации, рассчитывает базовую вероятность для каждой информации. Владелец информационной системы, при желании, может задать этот параметр самостоятельно.

Итоговая базовая вероятность.Базовая вероятность реализации угрозы конфиденциальности для потока «Финансовый директор-база клиентов Компании» самая большая (0,7) и она распространяется на все информации, хранящиеся на всех ресурсах, входящих в локальную сеть (сетевую группу).

Перемножив итоговую базовую вероятность и итоговый коэффициент защищенности, получим итоговую вероятность реализации угрозы. Напомним, что для каждой из трех угроз информационной безопасности мы отдельно рассчитываем вероятность реализации.Итоговая вероятностьпо второй информации:

ИВ2=1-(1-ПВ21)*(1-ПВ22), как суммарная по двум группам пользователей.


      1. Расчет риска по угрозе целостность

На завершающем этапе значение полученной итоговой вероятности умножаем на ущерб от реализации угрозы и получаем риск угрозы информационной безопасности для связи<вид информации - группа пользователей>.

R1=ИВ1*D1=0,0147*100=1,47; R2=ИВ2*D2=0,05619*100=5,61; R3=ИВ3*D3=0,014*100=1,4.

Чтобы получить риск для вида информации (с учетом всех групп пользователей, имеющих к ней доступ), необходимо сначала просуммировать итоговые вероятности реализации угрозы по следующей формуле:

,

а затем полученную итоговую вероятность для информации умножаем
на ущерб от реализации угрозы, получая, таким образом, риск от реализации угрозы для данной информации.

Чтобы получить риск для аппаратного ресурса учетом всех видов информации, хранимой и обрабатываемой на ресурсе), необходимо просуммировать риски по всем видам информации.

Содержание отчета

Составить карту ИС (см. рис 1) на которой отобразить все указанные характеристики. Иными словами, необходимо

1. Нарисовать структурно-функциональную схему ИС, на которойотобразить:

- все ресурсы (сервер закрытого контура, сервер открытого контура, МЭ открытого контура, СКЗИ закрытого контура, однонаправленный шлюз, оборудование ЛВС закрытого контура, оборудование ЛВС открытого контура)

- отделы, к которым относятся ресурсы;

- сетевые группы (локальные сети), физические связи ресурсов между собой и их подключения к Интернет;

- виды ценной информации, хранящейся на ресурсах;

- пользователей (группы пользователей), имеющих доступ к ценной (конфиденциальной) информации.

2. Описать в виде таблиц средства защиты каждого аппаратногоресурса,средства защиты каждого вида информации, хранящемся на нем суказанием веса каждого средства,например:


Средства защиты сервера

Вес

Средства физическойзащиты

Контроль доступа в помещение, где расположен ресурс (физическая охрана, дверь с замком, специальный пропускной режим в помещение)




Средства локальнойзащиты

Отсутствие дисководов и USB портов 10




Средства корпоративной сетевойзащиты

Межсетевой экран




Обманная система




Система антивирусной защиты на сервере




Средства резервирования и контроляцелостности

Аппаратная система контроля целостности




Средства защиты информации (информация №1)

Вес

Средства локальнойзащиты

Средства криптографической защиты (криптозащита данных на ПК)




Средства резервирования и контроляцелостности

Резервное копирование




Программная система контроля целостности








Средства защиты рабочей станции

Вес

Средство физическойзащиты

Контроль доступа в помещение, где расположен ресурс (дверь с замком, видеонаблюдение)




Средства локальнойзащиты

Средства антивирусной защиты (антивирусный монитор)




Отсутствие дисководов и USB портов




Средства персональной сетевойзащиты

Наличие персонального межсетевого экрана




Система криптозащиты электронной почты





3.Описать в виде таблицы вид доступа (локальный, удаленный) и права доступа (чтение, запись, удаление) для каждого пользователя (групп пользователей), а так же наличие соединения через VPN, количество человек в группе для каж- дого информационного потока:


Информационный поток

Вид доступа

Права дос- тупа

Наличие VPN-

соединения

Количество человек в группе

(Наименование)

(Локальный, удаленный)

(Чтение, за- пись, удале- ние)


(Да, нет)


(1,2,….n)


4.Указать наличие у пользователей выхода в Интернет

Пользователь (группа пользова- телей.)

Доступ в Интернет

(Наименование)

(Есть, нет, не анализируется)

5.Указать ущерб компании от реализации угроз ИБ для каждого информационного потока:


Информационный поток

Конфиденциальность

Целостность

Доступность

(Наименование)

(у.е. в год)

(у.е. в год)

(у.е. в час)

Ущерб определяется с участием владельца ИС, либо им самим непосредственно.

На этом описание архитектуры ИС завершается.

Далее производится расчет рисков для каждого вида ценной информации хранящейся в ИС по угрозе «нарушение конфиденциальности», «нарушение целостности» и «нарушение доступновсти» по методике, изложенной выше.
P.S. Веса выбирать самостоятельно

Выводы