Файл: Практическая работа 1 Оценка риска информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей по курсу Безопасность информационных технологий и систем.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 11.01.2024
Просмотров: 273
Скачиваний: 16
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
На 3 этапе рассчитывается общий уровень угроз, действующих на ресурс.
| Угроза/Уязвимость | Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза (%), СTh  | Общий уровень угроз по ресурсу (%), CThR  |
| Угроза 1/Уязвимость 1 | 0,6228 | 0,83 |
| Угроза 1/Уязвимость 2 | ||
| Угроза 2/Уязвимость 1 | 0,289 | |
| Угроза 2/Уязвимость 2 | ||
| Угроза 3/Уязвимость 1 | 0,3676 | |
| Угроза 3/Уязвимость 2 | ||
| Угроза 1/Уязвимость 1 | 0,467 | 0,467 |
| Угроза 1/Уязвимость 2 | ||
| Угроза 1/Уязвимость 1 | 0,652 | 0,875 |
| Угроза 1/Уязвимость 2 | ||
| Угроза 2/Уязвимость 1 | 0,2784 | |
| Угроза 2/Уязвимость 2 | ||
| Угроза 3/Уязвимость 1 | 0,5036 | |
| Угроза 3/Уязвимость 2 | ||
| Угроза 1/Уязвимость 1 | 0,616 | 0,81 |
| Угроза 1/Уязвимость 2 | ||
| Угроза 2/Уязвимость 1 | 0,506 | |
| Угроза 2/Уязвимость 2 |
На 4 этапе Рассчитывается риск по ресурсу R
Риск по ресурсу R рассчитывается следующим образом:
Для режима с одной базовой угрозой:
1) Кабель
Для режима с тремя базовыми угрозами:
2) Сервер
3) ПО
Для режима с двумя базовыми угрозами:
4) Информационное обеспечение
На 5 этапе расчитывается риск по информационной системе CR
Риск по информационной системе CR рассчитывается по формуле:
На 6 этапе задаются контрмеры
| Ресурс | Угрозы | Уязвимости | Введённые контромеры |
| Сервер (критичность ресурса 100 у.е.) | Угроза 1 Неавторизованное проникновение нарушителя на сервер | Уязвимость 1 Нестабильная электросеть | Контрмера 1 Приобретение дополнительного источника электропитания |
| Уязвимость 2 Отсутствие системы наблюдения за объектом | Контрмера 2 Установка дополнительных видеокамер | ||
| Угроза 2 Неавторизованная модификация и хищение информации в системе электронной почты, хранящейся на данном ресурсе | Уязвимость 1 Отсутствие авторизации для внесения изменений в систему электронной почты | Контрмера 1 Внесение дополнительных изменений в электронную почту, например: дополнительный пароль. | |
| Уязвимость 2 Отсутствие регламента работы с системой криптографической защиты информации | Контрмера 2 Разработка регламента работы СКЗИ | ||
| Угроза 3 Разглашение конфиденциальной информации сотрудниками организации | Уязвимость 1 Отсутствие соглашений о конфиденциальности | Контрмера 1 Разработка соглашения о конфиденциальности | |
| Уязвимость 2 Распределение атрибутов безопасности (ключи доступа, шифрования) между несколькими доверенными сотрудниками | Контрмера 2 Передача всех ключей шифрования администратору | ||
| Интернет-кабель (критичность ресурса 90 у.е.) | Угроза 1 Обрыв кабеля | Уязвимость 1 Неизвестное местонахождение кабеля в земле | Контрмера 1 Необходимость согласования во время проведения землеройных работ |
| Уязвимость 2 Обрыв кабеля по вине строителей во время ремонта колледжа или при земляных работах. | Контрмера 2 Установка штрафных санкций при проведении ремонта | ||
| ПО (критичность ресурса 50 у.е.) | Угроза 1 Компьютерные вирусы | Уязвимость 1 Не обновлённая версия антивирусной программы | Контрмера 1 Поручение администратору регулировать обновление антивирусных программ |
| Уязвимость 2 Несанкционированный доступ к usb-порту (флешки) | Контрмера 2 Запрет пользования флешками и другими внешними носителями | ||
| Угроза 2 DDOS-атаки | Уязвимость 1 Отсутствие защитных фильтров. | Контрмера 1 Установка защитных фильтров | |
| Уязвимость 2 Слабая мощность сервера | Контрмера 2 Приобретение дополнительного сервера | ||
| Угроза 3 Неквалифицированные пользователи | Уязвимость 1 | Контрмера 1 Усиление аутентификации и идентификации паролей | |
| Слабая защита аккаунтов. | | ||
| Уязвимость 2 Отсутствие резервных копий | Контрмера 2 Ежедневное копирование пользовательской информации | ||
| Информационное обеспечение (критичность ресурса 60 у.е.) | Угроза 1 Спам | Уязвимость 1 Не установлена фильтрация на спам | Контрмера 1 Установка фильтрации на спам |
| Уязвимость 2 В спам попадают важные сообщения электронной почты | Контрмера 2 Установка необходимых параметров безопасности, чтобы избежать попадание важных сообщений в спам. | ||
| Угроза 2 Вирусы по электронной почте | Уязвимость 1 Низкая информационная гигиена пользователя | Контрмера 1 Повышение уровня информационной безопасности пользователя | |
| Уязвимость 2 В почте отсутствует антивирусная программа | Контрмера 2 Установка антивирусного ПО |
Проверим насколько изменились вероятности угроз и рисков после введённых контрмер:
| Угроза/Уязвимость | Вероятность реализации угрозы через данную уязвимость в течение года (%), P(V) | Критичность реализации угрозы через уязвимость (%), ER |
| Угроза 1/Уязвимость 1 | 15 | 21 |
| Угроза 1/Уязвимость 2 | 8 | 17 |
| Угроза 2/Уязвимость 1 | 4 | 22 |
| Угроза 2/Уязвимость 2 | 9 | 25 |
| Угроза 3/Уязвимость 1 | 13 | 27 |
| Угроза 3/Уязвимость 2 | 3 | 13 |
| Угроза 1/Уязвимость 1 | 9 | 16 |
| Угроза 1/Уязвимость 2 | 12 | 18 |
| Угроза 1/Уязвимость 1 | 15 | 22 |
| Угроза 1/Уязвимость 2 | 6 | 19 |
| Угроза 2/Уязвимость 1 | 8 | 23 |
| Угроза 2/Уязвимость 2 | 10 | 20 |
| Угроза 3/Уязвимость 1 | 7 | 24 |
| Угроза 3/Уязвимость 2 | 5 | 14 |
| Угроза 1/Уязвимость 1 | 11 | 18 |
| Угроза 1/Уязвимость 2 | 4 | 26 |
| Угроза 2/Уязвимость 1 | 9 | 21 |
| Угроза 2/Уязвимость 2 | 14 | 25 |
| Угроза/Уязвимость | Уровень угрозы (%), Th  | Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза (%), СTh |
| Угроза 1/Уязвимость 1 | 0,0315 | 0,045 |
| Угроза 1/Уязвимость 2 | 0,0136 | |
| Угроза 2/Уязвимость 1 | 0,0088 | 0,031 |
| Угроза 2/Уязвимость 2 | 0,0225 | |
| Угроза 3/Уязвимость 1 | 0,0351 | 0,039 |
| Угроза 3/Уязвимость 2 | 0,0039 | |
| Угроза 1/Уязвимость 1 | 0,0144 | 0,036 |
| Угроза 1/Уязвимость 2 | 0,0216 | |
| Угроза 1/Уязвимость 1 | 0,033 | 0,044 |
| Угроза 1/Уязвимость 2 | 0,0114 | |
| Угроза 2/Уязвимость 1 | 0,0184 | 0,038 |
| Угроза 2/Уязвимость 2 | 0,02 | |
| Угроза 3/Уязвимость 1 | 0,0168 | 0,024 |
| Угроза 3/Уязвимость 2 | 0,007 | |
| Угроза 1/Уязвимость 1 | 0,0198 | 0,03 |
| Угроза 1/Уязвимость 2 | 0,0104 | |
| Угроза 2/Уязвимость 1 | 0,0189 | 0,053 |
| Угроза 2/Уязвимость 2 | 0,035 |
| Угроза/Уязвимость | Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза (%), СTh | Общий уровень угроз по ресурсу (%), CThR  |
| Угроза 1/Уязвимость 1 | 0,045 | 0,111 |
| Угроза 1/Уязвимость 2 | ||
| Угроза 2/Уязвимость 1 | 0,031 | |
| Угроза 2/Уязвимость 2 | ||
| Угроза 3/Уязвимость 1 | 0,039 | |
| Угроза 3/Уязвимость 2 | ||
| Угроза 1/Уязвимость 1 | 0,036 | 0,036 |
| Угроза 1/Уязвимость 2 | ||
| Угроза 1/Уязвимость 1 | 0,044 | 0,102 |
| Угроза 1/Уязвимость 2 | ||
| Угроза 2/Уязвимость 1 | 0,038 | |
| Угроза 2/Уязвимость 2 | ||
| Угроза 3/Уязвимость 1 | 0,024 | |
| Угроза 3/Уязвимость 2 | ||
| Угроза 1/Уязвимость 1 | 0,03 | 0,081 |
| Угроза 1/Уязвимость 2 | ||
| Угроза 2/Уязвимость 1 | 0,053 | |
| Угроза 2/Уязвимость 2 |
Для режима с одной базовой угрозой:
1) Кабель
Для режима с тремя базовыми угрозами:
2) Сервер
3) ПО
Для режима с двумя базовыми угрозами:
4) Информационное обеспечение
Риск по информационной системе CR рассчитывается по формуле:
Эффективность введения контрмеры рассчитывается по следующей формуле (E):
Выводы:
Благодаря введённым контрмерам уровень риска снизился и значение эффективности повысилось и стало ближе к единице (100%).