Файл: Практическая работа 1 Оценка риска информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 30.11.2023
Просмотров: 55
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
угроза.
Уязвимость – это слабое место в информационной системе, которое может привести к нарушению безопасности путем реализации некоторой угрозы. Свойствами уязвимости являются: вероятность (простота) реализации угрозы через данную уязвимость и критичность реализации угрозы через данную уязвимость.
Критичностьресурса(D) – ущерб, который понесет компания от потери ресурса. Задается в уровнях (количество уровней может быть в диапазоне от 2 до или в деньгах. В зависимости от выбранного режима работы, может состоять из критичности ресурса по конфиденциальности, целостности и доступности (Dс, Di, Da).
Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс, т.е. как сильно реализация угрозы повлияет на работу ресурса. Задается в процентах. Состоит из критичности реализации угрозы по конфиденциальности, целостности и доступности (ERc, ERi, ERa).
Вероятность реализации угрозы через данную уязвимость в течениегода(P(V)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях. Указывается в процентах.
Максимальное критичное время простоя (Tmax) – значение времени простоя, которое является критичным для организации. Т.е. ущерб, нанесенный организации при простаивании ресурса в течение критичного времени простоя, максимальный. При простаивании ресурса в течение времени, превышающего критичное, ущерб, нанесенный организации, не увеличивается.
Принцип работы алгоритма
Исходныеданные:
С точки зрения базовых угроз информационной безопасности существует два режима работы алгоритма:
Вычисляется одно или три значения в зависимости от количества базовых угроз. Получается значение уровня угрозы по уязвимости в интервале от 0 до 1.
Для режима с одной базовой угрозой:
Для режима с тремя базовыми угрозами:
Значения уровня угрозы по всем уязвимостям получаются в интервале от 0 до 1.
Для режима с одной базовой угрозой:
Для режима с тремя базовыми угрозами:
Значение общего уровня угрозы получается в интервале от 0 до 1.
Для режима с одной базовой угрозой:
где D – критичность ресурса. Задается в деньгах или
уровнях.
В случае угрозы доступность (отказ в обслуживании) критичность ресурса в год вычисляется по следующей формуле:
Для остальных угроз критичность ресурса задается в год. Для режима с тремя базовыми угрозами:
Таким образом, получается значение риска по ресурсу в уровнях (заданных пользователем) или деньгах.
Для режима с одной базовой угрозой (в деньгах):
Для режима с одной базовой угрозой (в уровнях):
Для режима работы с тремя угрозами (вденьгах):
- риск по системе по каждому виду угроз
- риск по системе суммарно по трем видам угроз
- для режима работы вуровнях:
Для расчета эффективности введенной контрмеры необходимо пройти последовательно по всему алгоритму с учетом заданной контрмеры. Т.е. на выходе пользователь получает значение двух рисков – риска без учета контрмеры (Rold) и риск с учетом заданной контрмеры (Rnew) (или с учетом того, что уязвимость закрыта).
Эффективность введения контрмеры рассчитывается по следующей формуле (E):
В результате работы алгоритма пользователь системы получает следующие данные:
• Риск по трем базовым угрозам (или по одной суммарной угрозе) дляресурса;
• Риск суммарно по всем угрозам дляресурса;
•Риск по трем базовым угрозам (или по одной суммарной угрозе) дляинформационнойсистемы;
• Риск по всем угрозам для информационнойсистемы;
• Риск по всем угрозам для информационной системы после заданияконтрмер;
• Эффективность контрмеры;
• Эффективность комплекса контрмер.
Содержание отчета
1. Нарисовать вариант структурно-функциональной ИС организации с указанием оборудования и функциональных связей «закрытого» и «открытого» контуров.
2. Задать критичность ресурса: оборудования, ПО, информационного обеспечения
3. Описать угрозы/уязвимости (анализируются все угрозы, действующие на информационную систему, и уязвимости, через которые возможна реализация угроз (для каждого ресурса).
4. Исходя из введенных владельцем информационной системы данных, построить модель угроз и уязвимостей, актуальных для информационной системы);
5. Задать вероятность реализации угрозы через данную уязвимость и критичность реализации угрозы через данную уязвимость.
6. Привести расчеты: уровня угрозы; общий уровень угроз, действующий на ресурс; риск ресурса
7. Оценить введенные контрмеры. Если уровень риска превышает заданный, то необходимо усилить контрмеры и вычислить новый риск. Довести уровень риска до заданной величины
Выводы
Уязвимость – это слабое место в информационной системе, которое может привести к нарушению безопасности путем реализации некоторой угрозы. Свойствами уязвимости являются: вероятность (простота) реализации угрозы через данную уязвимость и критичность реализации угрозы через данную уязвимость.
Критичностьресурса(D) – ущерб, который понесет компания от потери ресурса. Задается в уровнях (количество уровней может быть в диапазоне от 2 до или в деньгах. В зависимости от выбранного режима работы, может состоять из критичности ресурса по конфиденциальности, целостности и доступности (Dс, Di, Da).
Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс, т.е. как сильно реализация угрозы повлияет на работу ресурса. Задается в процентах. Состоит из критичности реализации угрозы по конфиденциальности, целостности и доступности (ERc, ERi, ERa).
Вероятность реализации угрозы через данную уязвимость в течениегода(P(V)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях. Указывается в процентах.
Максимальное критичное время простоя (Tmax) – значение времени простоя, которое является критичным для организации. Т.е. ущерб, нанесенный организации при простаивании ресурса в течение критичного времени простоя, максимальный. При простаивании ресурса в течение времени, превышающего критичное, ущерб, нанесенный организации, не увеличивается.
Принцип работы алгоритма
Исходныеданные:
-
Ресурсы; -
Критичность ресурса; -
Отделы, к которым относятся ресурсы; -
Угрозы, действующие на ресурсы; -
Уязвимости, через которые реализуются угрозы; -
Вероятность реализации угрозы через данную уязвимость; -
Критичность реализации угрозы через данную уязвимость.
С точки зрения базовых угроз информационной безопасности существует два режима работы алгоритма:
-
Одна базовая угроза (суммарная); -
Три базовые угрозы.
-
Расчет рисков по угрозе информационной безопасности
-
На первом этапе рассчитывается уровень угрозы по уязвимости Th на основе критичности и вероятности реализации угрозы через данную уязвимость. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации
Вычисляется одно или три значения в зависимости от количества базовых угроз. Получается значение уровня угрозы по уязвимости в интервале от 0 до 1.
-
Для расчета уровня угрозы по всем уязвимостям CTh, через которые возможна реализация данной угрозы на ресурсе, суммируются полученные уровни угроз через конкретные уязвимости по следующей формуле:
Для режима с одной базовой угрозой:
Для режима с тремя базовыми угрозами:
Значения уровня угрозы по всем уязвимостям получаются в интервале от 0 до 1.
-
Аналогично рассчитывается общий уровень угроз по ресурсу CThR (учитывая все угрозы, действующие на ресурс):
Для режима с одной базовой угрозой:
Для режима с тремя базовыми угрозами:
Значение общего уровня угрозы получается в интервале от 0 до 1.
-
Риск по ресурсу R рассчитывается следующим образом:
Для режима с одной базовой угрозой:
где D – критичность ресурса. Задается в деньгах или
уровнях.
В случае угрозы доступность (отказ в обслуживании) критичность ресурса в год вычисляется по следующей формуле:
Для остальных угроз критичность ресурса задается в год. Для режима с тремя базовыми угрозами:
Таким образом, получается значение риска по ресурсу в уровнях (заданных пользователем) или деньгах.
-
Риск по информационной системе CR рассчитывается по формуле:
Для режима с одной базовой угрозой (в деньгах):
Для режима с одной базовой угрозой (в уровнях):
Для режима работы с тремя угрозами (вденьгах):
- риск по системе по каждому виду угроз
- риск по системе суммарно по трем видам угроз
- для режима работы вуровнях:
-
Задание контрмер
Для расчета эффективности введенной контрмеры необходимо пройти последовательно по всему алгоритму с учетом заданной контрмеры. Т.е. на выходе пользователь получает значение двух рисков – риска без учета контрмеры (Rold) и риск с учетом заданной контрмеры (Rnew) (или с учетом того, что уязвимость закрыта).
Эффективность введения контрмеры рассчитывается по следующей формуле (E):
В результате работы алгоритма пользователь системы получает следующие данные:
• Риск по трем базовым угрозам (или по одной суммарной угрозе) дляресурса;
• Риск суммарно по всем угрозам дляресурса;
•Риск по трем базовым угрозам (или по одной суммарной угрозе) дляинформационнойсистемы;
• Риск по всем угрозам для информационнойсистемы;
• Риск по всем угрозам для информационной системы после заданияконтрмер;
• Эффективность контрмеры;
• Эффективность комплекса контрмер.
Содержание отчета
1. Нарисовать вариант структурно-функциональной ИС организации с указанием оборудования и функциональных связей «закрытого» и «открытого» контуров.
2. Задать критичность ресурса: оборудования, ПО, информационного обеспечения
3. Описать угрозы/уязвимости (анализируются все угрозы, действующие на информационную систему, и уязвимости, через которые возможна реализация угроз (для каждого ресурса).
4. Исходя из введенных владельцем информационной системы данных, построить модель угроз и уязвимостей, актуальных для информационной системы);
5. Задать вероятность реализации угрозы через данную уязвимость и критичность реализации угрозы через данную уязвимость.
6. Привести расчеты: уровня угрозы; общий уровень угроз, действующий на ресурс; риск ресурса
7. Оценить введенные контрмеры. Если уровень риска превышает заданный, то необходимо усилить контрмеры и вычислить новый риск. Довести уровень риска до заданной величины
Выводы