Файл: Практическая работа 1 Оценка риска информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 30.11.2023
Просмотров: 54
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
МИНИСТЕРСТВО связи и МАССОВЫх КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
государственное образовательное учреждение
высшего профессионального образования
«САНКТ-ПЕТЕРБУГРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ им. проф. М.А. БОНЧ-БРУЕВИЧА»
Факультет Информационных систем и технологий
Кафедра Информационных управляющих систем
РАБОТА
ЗАЩИЩЕНА С ОЦЕНКОЙ
ПРЕПОДАВАТЕЛЬ
проф., д.т.н. | | | | Н.Н. Мошак |
должность, уч. степень, звание | | подпись, дата | | инициалы, фамилия |
ПРАКТИЧЕСКАЯ РАБОТА № 1 | ||||
«Оценка риска информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей» | ||||
по курсу: Безопасность информационных технологий и систем | ||||
| ||||
|
РАБОТУ ВЫПОЛНИЛ(А)
СТУДЕНТ(КА) ГР. | | | | | |
| | | подпись, дата | | инициалы, фамилия |
Санкт-Петербург
2023
Цель работы: рассчитать риск информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей
Исходные данные:
-
ресурсы (сервер закрытого контура, сервер открытого контура, МЭ открытого контура, СКЗИ закрытого контура, однонаправленный шлюз, оборудование ЛВС закрытого контура, оборудование ЛВС открытого контура); -
критичность ресурса: оборудования, ПО, информационного обеспечения (задать самостоятельно); -
отделы, к которым относятся ресурсы (закрытого и открытого контура); -
угрозы, действующие на ресурсы (сформулировать самостоятельно с учетом лекционного материала); -
уязвимости, через которые реализуются угрозы (сформулировать самостоятельно с учетом лекционного материала); -
задать вероятность реализации угрозы через данную уязвимость (на основе полученной модели проводится анализ вероятности реализации угроз информационной безопасности на каждый ресурс); -
критичность реализации угрозы через данную уязвимость (задать самостоятельно).
-
Постановка задачи
Анализ информационных рисков позволяет эффективно управлять информационной безопасностью автоматизированной системой обработки информации или корпоративной информационной системой организации. Для этого в начале работ по анализу рисков необходимо определить, что именно подлежит защите на предприятии и воздействию каких угроз оно подвержено, а затем выработать рекомендации по практике защиты. Такой анализ производится исходя из непосредственных целей и задач по защите конкретного вида информации. Анализ риска можно проводить согласно методике по следующему сценарию. Каждый из шести этапов анализа риска должен быть конкретизирован.
На первом и втором этапах выявляются сведения, составляющие для предприятия тайну, которые предстоит защищать. Понятно, что такие сведения хранятся в установленных местах и на конкретных носителях, передаются по каналам связи и обрабатываются в соответствии с принятым регламентом. При этом основным фактором в технологии обращения с информацией является архитектура ИС, от которой во многом зависит защищенность информационных ресурсов предприятия.
Третий этап анализа риска - построение схем каналов доступа, утечки или воздействия на информационные ресурсы основных узлов ИС. Каждый канал доступа характеризуется множеством точек, с которых можно «снять» информацию. Именно они представляют собой уязвимости и требуют применения средств недопущения нежелательных воздействий на информацию.
Анализ способов защиты всех возможных точек атак соответствует целям защиты, и его результатом должна быть характеристика возможных брешей в обороне, в том числе за счет неблагоприятного стечения обстоятельств (четвертый этап).
На пятом этапе исходя из известных на данный момент способов и средств преодоления оборонительных рубежей находятся вероятности реализации угроз по каждой из возможных точек
атак.
На заключительном этапе производится оценка ущерба организации в случае реализации каждой из атак. Эти данные вместе с оценками уязвимости позволяют получить ранжированный список угроз информационным ресурсам.
Результаты работы представляются в виде, удобном для их восприятия и выработки решений о коррекции существующей системы защиты информации. При этом важно, что каждый информационный ресурс может быть подвержен воздействию нескольких потенциальных угроз. Принципиальное же значение имеет суммарная вероятность доступа к информационным ресурсам, которая складывается из элементарных вероятностей доступа к отдельным точкам прохождения информации.
Величина информационного риска по каждому ресурсу - это произведение вероятности нападения на ресурс, вероятности реализации угрозы и ущерба от информационного вторжения. В данном произведении могут быть использованы различные способы взвешивания составляющих.
Объединение рисков по всем ресурсам дает общую величину риска при принятой архитектуре ИС и внедренной в нее системы защиты информации.
Таким образом, варьируя варианты построения системы защиты информации и архитектуры ИС, можно (за счет изменения вероятности реализации угроз) представить и рассмотреть различные значения риска. Здесь весьма важным шагом является выбор одного из вариантов в соответствии с заданным критерием принятия решения. Таким критерием может быть допустимая величина риска или отношение затрат на обеспечение информационной безопасности к остаточному риску.
При построении систем обеспечения информационной безопасности также нужно определить стратегию управления рисками на предприятии.
На сегодня известно несколько подходов к управлению рисками. Один из наиболее распространенных - уменьшение риска путем принятиякомплекснойсистемы контрмер, включающей программно-технические и организационные меры защиты. Близким является подход, связанный с уклонением от риска
. От некоторых классов рисков можно уклониться, например: вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов.
Наконец, в ряде случаев допустимо принятие риска. В этой ситуации важно определиться со следующей дилеммой: что для предприятия выгоднее - бороться с рисками или же с их последствиями. Здесь приходится решать оптимизационную задачу.
После того как стратегия управления рисками выбрана, проводится окончательная оценка мероприятий по обеспечению информационной безопасности с подготовкой экспертного заключения о защищенности информационных ресурсов. В экспертное заключение входят все материалы анализа рисков и рекомендации по их снижению.
Отметим, что выполнение анализа рисков и оценки потерь требует глубоких системных знаний и аналитического мышления во многих областях, смежных с проблемой защиты информации.
-
Методы оценивания информационных рисков
В настоящее время используются различные методы оценки информационных рисков отечественных компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:
-
идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса; -
оценивание возможных угроз; -
оценивание существующих уязвимостей; -
оценивание эффективности средств обеспечения информационной безопасности.
Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от:
-
показателей ценности информационных ресурсов; -
вероятности реализации угроз для ресурсов; -
эффективности существующих или планируемых средств обеспечения информационной безопасности.
Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть установлены как количественными методами (например, при нахождении стоимостных характеристик), так и качественными, скажем, с учетом штатных или чрезвычайно опасных нештатных воздействий внешней среды.
Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:
-
привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека); -
возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека); -
техническими возможностями реализации угрозы при умышленном воздействии со стороны человека; -
степенью легкости, с которой уязвимость может быть использована.
-
Основные понятия и допущения модели
Базовые угрозы информационной безопасности – нарушение конфиденциальности, нарушение целостности и отказ в обслуживании.
Ресурс – любой контейнер, предназначенный для хранения информации, подверженный угрозам информационной безопасности (сервер, рабочая станция, переносной компьютер).
Свойствами ресурса являются: перечень угроз, воздействующих на него, и критичность ресурса.
Угроза– действие, которое потенциально может привести к нарушению безопасности.
Свойством угрозы является перечень уязвимостей, при помощи которых может быть реализована