Файл: Практическая работа 1 Оценка риска информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 30.11.2023

Просмотров: 54

Скачиваний: 4

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

МИНИСТЕРСТВО связи и МАССОВЫх КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

государственное образовательное учреждение

высшего профессионального образования

«САНКТ-ПЕТЕРБУГРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ им. проф. М.А. БОНЧ-БРУЕВИЧА»
Факультет Информационных систем и технологий

Кафедра Информационных управляющих систем


РАБОТА

ЗАЩИЩЕНА С ОЦЕНКОЙ

ПРЕПОДАВАТЕЛЬ

проф., д.т.н.










Н.Н. Мошак

должность, уч. степень, звание




подпись, дата




инициалы, фамилия

ПРАКТИЧЕСКАЯ РАБОТА № 1

«Оценка риска информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей»

по курсу: Безопасность информационных технологий и систем









РАБОТУ ВЫПОЛНИЛ(А)

СТУДЕНТ(КА) ГР.

























подпись, дата




инициалы, фамилия

Санкт-Петербург

2023

Цель работы: рассчитать риск информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей

Исходные данные:

  • ресурсы (сервер закрытого контура, сервер открытого контура, МЭ открытого контура, СКЗИ закрытого контура, однонаправленный шлюз, оборудование ЛВС закрытого контура, оборудование ЛВС открытого контура);

  • критичность ресурса: оборудования, ПО, информационного обеспечения (задать самостоятельно);

  • отделы, к которым относятся ресурсы (закрытого и открытого контура);

  • угрозы, действующие на ресурсы (сформулировать самостоятельно с учетом лекционного материала);

  • уязвимости, через которые реализуются угрозы (сформулировать самостоятельно с учетом лекционного материала);

  • задать вероятность реализации угрозы через данную уязвимость (на основе полученной модели проводится анализ вероятности реализации угроз информационной безопасности на каждый ресурс);

  • критичность реализации угрозы через данную уязвимость (задать самостоятельно).




  1. Постановка задачи

Анализ информационных рисков позволяет эффективно управлять информационной безопасностью автоматизированной системой обработки информации или корпоративной информационной системой организации. Для этого в начале работ по анализу рисков необходимо определить, что именно подлежит защите на предприятии и воздействию каких угроз оно подвержено, а затем выработать рекомендации по практике защиты. Такой анализ производится исходя из непосредственных целей и задач по защите конкретного вида информации. Анализ риска можно проводить согласно методике по следующему сценарию. Каждый из шести этапов анализа риска должен быть конкретизирован.

На первом и втором этапах выявляются сведения, составляющие для предприятия тайну, которые предстоит защищать. Понятно, что такие сведения хранятся в установленных местах и на конкретных носителях, передаются по каналам связи и обрабатываются в соответствии с принятым регламентом. При этом основным фактором в технологии обращения с информацией является архитектура ИС, от которой во многом зависит защищенность информационных ресурсов предприятия.

Третий этап анализа риска - построение схем каналов доступа, утечки или воздействия на информационные ресурсы основных узлов ИС. Каждый канал доступа характеризуется множеством точек, с которых можно «снять» информацию. Именно они представляют собой уязвимости и требуют применения средств недопущения нежелательных воздействий на информацию.

Анализ способов защиты всех возможных точек атак соответствует целям защиты, и его результатом должна быть характеристика возможных брешей в обороне, в том числе за счет неблагоприятного стечения обстоятельств (четвертый этап).

На пятом этапе исходя из известных на данный момент способов и средств преодоления оборонительных рубежей находятся вероятности реализации угроз по каждой из возможных точек

атак.

На заключительном этапе производится оценка ущерба организации в случае реализации каждой из атак. Эти данные вместе с оценками уязвимости позволяют получить ранжированный список угроз информационным ресурсам.

Результаты работы представляются в виде, удобном для их восприятия и выработки решений о коррекции существующей системы защиты информации. При этом важно, что каждый информационный ресурс может быть подвержен воздействию нескольких потенциальных угроз. Принципиальное же значение имеет суммарная вероятность доступа к информационным ресурсам, которая складывается из элементарных вероятностей доступа к отдельным точкам прохождения информации.

Величина информационного риска по каждому ресурсу - это произведение вероятности нападения на ресурс, вероятности реализации угрозы и ущерба от информационного вторжения. В данном произведении могут быть использованы различные способы взвешивания составляющих.

Объединение рисков по всем ресурсам дает общую величину риска при принятой архитектуре ИС и внедренной в нее системы защиты информации.

Таким образом, варьируя варианты построения системы защиты информации и архитектуры ИС, можно (за счет изменения вероятности реализации угроз) представить и рассмотреть различные значения риска. Здесь весьма важным шагом является выбор одного из вариантов в соответствии с заданным критерием принятия решения. Таким критерием может быть допустимая величина риска или отношение затрат на обеспечение информационной безопасности к остаточному риску.

При построении систем обеспечения информационной безопасности также нужно определить стратегию управления рисками на предприятии.

На сегодня известно несколько подходов к управлению рисками. Один из наиболее распространенных - уменьшение риска путем принятиякомплекснойсистемы контрмер, включающей программно-технические и организационные меры защиты. Близким является подход, связанный с уклонением от риска
. От некоторых классов рисков можно уклониться, например: вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов.

Наконец, в ряде случаев допустимо принятие риска. В этой ситуации важно определиться со следующей дилеммой: что для предприятия выгоднее - бороться с рисками или же с их последствиями. Здесь приходится решать оптимизационную задачу.

После того как стратегия управления рисками выбрана, проводится окончательная оценка мероприятий по обеспечению информационной безопасности с подготовкой экспертного заключения о защищенности информационных ресурсов. В экспертное заключение входят все материалы анализа рисков и рекомендации по их снижению.

Отметим, что выполнение анализа рисков и оценки потерь требует глубоких системных знаний и аналитического мышления во многих областях, смежных с проблемой защиты информации.


  1. Методы оценивания информационных рисков

В настоящее время используются различные методы оценки информационных рисков отечественных компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:

  1. идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;

  2. оценивание возможных угроз;

  3. оценивание существующих уязвимостей;

  4. оценивание эффективности средств обеспечения информационной безопасности.

Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от:

  • показателей ценности информационных ресурсов;

  • вероятности реализации угроз для ресурсов;

  • эффективности существующих или планируемых средств обеспечения информационной безопасности.


Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть установлены как количественными методами (например, при нахождении стоимостных характеристик), так и качественными, скажем, с учетом штатных или чрезвычайно опасных нештатных воздействий внешней среды.

Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:

  • привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);

  • возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);

  • техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;

  • степенью легкости, с которой уязвимость может быть использована.




  1. Основные понятия и допущения модели


Базовые угрозы информационной безопасности – нарушение конфиденциальности, нарушение целостности и отказ в обслуживании.

Ресурс – любой контейнер, предназначенный для хранения информации, подверженный угрозам информационной безопасности (сервер, рабочая станция, переносной компьютер).

Свойствами ресурса являются: перечень угроз, воздействующих на него, и критичность ресурса.

Угроза действие, которое потенциально может привести к нарушению безопасности.

Свойством угрозы является перечень уязвимостей, при помощи которых может быть реализована