Файл: Практическая работа 1 Оценка риска информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 30.11.2023

Просмотров: 55

Скачиваний: 4

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
угроза.

Уязвимость это слабое место в информационной системе, которое может привести к нарушению безопасности путем реализации некоторой угрозы. Свойствами уязвимости являются: вероятность (простота) реализации угрозы через данную уязвимость и критичность реализации угрозы через данную уязвимость.
Критичностьресурса(D) ущерб, который понесет компания от потери ресурса. Задается в уровнях (количество уровней может быть в диапазоне от 2 до или в деньгах. В зависимости от выбранного режима работы, может состоять из критичности ресурса по конфиденциальности, целостности и доступности (Dс, Di, Da).

Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс, т.е. как сильно реализация угрозы повлияет на работу ресурса. Задается в процентах. Состоит из критичности реализации угрозы по конфиденциальности, целостности и доступности (ERc, ERi, ERa).

Вероятность реализации угрозы через данную уязвимость в течениегода(P(V)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях. Указывается в процентах.

Максимальное критичное время простоя (Tmax) – значение времени простоя, которое является критичным для организации. Т.е. ущерб, нанесенный организации при простаивании ресурса в течение критичного времени простоя, максимальный. При простаивании ресурса в течение времени, превышающего критичное, ущерб, нанесенный организации, не увеличивается.
Принцип работы алгоритма

Исходныеданные:

  • Ресурсы;

  • Критичность ресурса;

  • Отделы, к которым относятся ресурсы;

  • Угрозы, действующие на ресурсы;

  • Уязвимости, через которые реализуются угрозы;

  • Вероятность реализации угрозы через данную уязвимость;

  • Критичность реализации угрозы через данную уязвимость.



С точки зрения базовых угроз информационной безопасности существует два режима работы алгоритма:

  • Одна базовая угроза (суммарная);

  • Три базовые угрозы.




  1. Расчет рисков по угрозе информационной безопасности

    1. На первом этапе рассчитывается уровень угрозы по уязвимости Th на основе критичности и вероятности реализации угрозы через данную уязвимость. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации



Вычисляется одно или три значения в зависимости от количества базовых угроз. Получается значение уровня угрозы по уязвимости в интервале от 0 до 1.


    1. Для расчета уровня угрозы по всем уязвимостям CTh, через которые возможна реализация данной угрозы на ресурсе, суммируются полученные уровни угроз через конкретные уязвимости по следующей формуле:

Для режима с одной базовой угрозой:



Для режима с тремя базовыми угрозами:



Значения уровня угрозы по всем уязвимостям получаются в интервале от 0 до 1.


    1. Аналогично рассчитывается общий уровень угроз по ресурсу CThR (учитывая все угрозы, действующие на ресурс):



Для режима с одной базовой угрозой:



Для режима с тремя базовыми угрозами:



Значение общего уровня угрозы получается в интервале от 0 до 1.


    1. Риск по ресурсу R рассчитывается следующим образом:


Для режима с одной базовой угрозой:



где D – критичность ресурса. Задается в деньгах или

уровнях.
В случае угрозы доступность (отказ в обслуживании) критичность ресурса в год вычисляется по следующей формуле:



Для остальных угроз критичность ресурса задается в год. Для режима с тремя базовыми угрозами:


Таким образом, получается значение риска по ресурсу в уровнях (заданных пользователем) или деньгах.


    1. Риск по информационной системе CR рассчитывается по формуле:


Для режима с одной базовой угрозой (в деньгах):



Для режима с одной базовой угрозой (в уровнях):



Для режима работы с тремя угрозами (вденьгах):

- риск по системе по каждому виду угроз

- риск по системе суммарно по трем видам угроз

- для режима работы вуровнях:




    1. Задание контрмер


Для расчета эффективности введенной контрмеры необходимо пройти последовательно по всему алгоритму с учетом заданной контрмеры. Т.е. на выходе пользователь получает значение двух рисков – риска без учета контрмеры (Rold) и риск с учетом заданной контрмеры (Rnew) (или с учетом того, что уязвимость закрыта).
Эффективность введения контрмеры рассчитывается по следующей формуле (E):



В результате работы алгоритма пользователь системы получает следующие данные:


Риск по трем базовым угрозам (или по одной суммарной угрозе) дляресурса;

Риск суммарно по всем угрозам дляресурса;

•Риск по трем базовым угрозам (или по одной суммарной угрозе) дляинформационнойсистемы;

Риск по всем угрозам для информационнойсистемы;

• Риск по всем угрозам для информационной системы после заданияконтрмер;

Эффективность контрмеры;

Эффективность комплекса контрмер.

Содержание отчета

1. Нарисовать вариант структурно-функциональной ИС организации с указанием оборудования и функциональных связей «закрытого» и «открытого» контуров.

2. Задать критичность ресурса: оборудования, ПО, информационного обеспечения

3. Описать угрозы/уязвимости (анализируются все угрозы, действующие на информационную систему, и уязвимости, через которые возможна реализация угроз (для каждого ресурса).

4. Исходя из введенных владельцем информационной системы данных, построить модель угроз и уязвимостей, актуальных для информационной системы);

5. Задать вероятность реализации угрозы через данную уязвимость и критичность реализации угрозы через данную уязвимость.

6. Привести расчеты: уровня угрозы; общий уровень угроз, действующий на ресурс; риск ресурса

7. Оценить введенные контрмеры. Если уровень риска превышает заданный, то необходимо усилить контрмеры и вычислить новый риск. Довести уровень риска до заданной величины
Выводы