Файл: Н. Н. Мошак должность, уч степень, звание подпись, дата инициалы, фамилия.pdf

МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ
ФЕДЕРАЦИИ
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУГРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТЕЛЕКОММУНИКАЦИЙ им. проф. М.А. БОНЧ-БРУЕВИЧА»
Факультет Информационных систем и технологий
Кафедра Информационных управляющих систем
РАБОТА
ЗАЩИЩЕНА С ОЦЕНКОЙ
ПРЕПОДАВАТЕЛЬ проф., д.т.н.
Н.Н. Мошак должность, уч. степень, звание подпись, дата инициалы, фамилия
ПРАКТИЧЕСКАЯ РАБОТА № 1
«Оценка риска информационной безопасности корпоративной информационной
системы на основе модели угроз и уязвимостей»
по курсу: Безопасность информационных технологий и систем
РАБОТУ ВЫПОЛНИЛ(А)
СТУДЕНТ(КА) ГР. подпись, дата инициалы, фамилия
Санкт-Петербург
2020

2
Цель работы: рассчитать риск информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей
Исходные данные:
· ресурсы (сервер закрытого контура, сервер открытого контура, МЭ открытого контура,
СКЗИ закрытого контура, однонаправленный шлюз, оборудование ЛВС закрытого контура, оборудование ЛВС открытого контура);
· критичность ресурса: оборудования, ПО, информационного обеспечения (задать самостоятельно);
· отделы, к которым относятся ресурсы (закрытого и открытого контура);
· угрозы, действующие на ресурсы (сформулировать самостоятельно с учетом лекционного материала);
· уязвимости, через которые реализуются угрозы (сформулировать самостоятельно с учетом лекционного материала);
· задать вероятность реализации угрозы через данную уязвимость (на основе полученной модели проводится анализ вероятности реализации угроз информационной безопасности на каждый ресурс);
· критичность реализации угрозы через данную уязвимость (задать самостоятельно).
1. Постановка задачи
Анализ информационных рисков позволяет эффективно управлять информационной безопасностью автоматизированной системой обработки информации или корпоративной информационной системой организации. Для этого в начале работ по анализу рисков необходимо определить, что именно подлежит защите на предприятии и воздействию каких угроз оно подвержено, а затем выработать рекомендации по практике защиты. Такой анализ производится исходя из непосредственных целей и задач по защите конкретного вида информации. Анализ риска можно проводить согласно методике по следующему сценарию. Каждый из шести этапов анализа риска должен быть конкретизирован.
На первом и втором этапах выявляются сведения, составляющие для предприятия тайну, которые предстоит защищать. Понятно, что такие сведения хранятся в установленных местах и на конкретных носителях, передаются по каналам связи и обрабатываются в соответствии с принятым регламентом. При этом основным фактором в технологии обращения с информацией является архитектура ИС, от которой во многом зависит защищенность информационных ресурсов предприятия.
Третий этап анализа риска - построение схем каналов доступа, утечки или воздействия на информационные ресурсы основных узлов ИС. Каждый канал доступа характеризуется множеством точек, с которых можно «снять» информацию. Именно они представляют собой уязвимости и требуют применения средств недопущения нежелательных воздействий на информацию.
Анализ способов защиты всех возможных точек атак соответствует целям защиты, и его результатом должна быть характеристика возможных брешей в обороне, в том числе за счет неблагоприятного стечения обстоятельств (четвертый этап).
На пятом этапе исходя из известных на данный момент способов и средств преодоления оборонительных рубежей находятся вероятности реализации угроз по каждой из возможных точек атак.

3
На заключительном этапе производится оценка ущерба организации в случае реализации каждой из атак. Эти данные вместе с оценками уязвимости позволяют получить ранжированный список угроз информационным ресурсам.
Результаты работы представляются в виде, удобном для их восприятия и выработки решений о коррекции существующей системы защиты информации. При этом важно, что каждый информационный ресурс может быть подвержен воздействию нескольких потенциальных угроз. Принципиальное же значение имеет суммарная
вероятность доступа к информационным ресурсам, которая складывается из элементарных вероятностей доступа к отдельным точкам прохождения информации.
Величина информационного риска по каждому ресурсу - это произведение вероятности нападения на ресурс, вероятности реализации угрозы и ущерба от информационного вторжения. В данном произведении могут быть использованы различные способы взвешивания составляющих.
Объединение рисков по всем ресурсам дает общую величину риска при принятой архитектуре ИС и внедренной в нее системы защиты информации.
Таким образом, варьируя варианты построения системы защиты информации и архитектуры ИС, можно (за счет изменения вероятности реализации угроз) представить
и рассмотреть различные значения риска. Здесь весьма важным шагом является выбор одного из вариантов в соответствии с заданным критерием принятия решения.
Таким критерием может быть допустимая величина риска или отношение затрат на обеспечение информационной безопасности к остаточному риску.
При построении систем обеспечения информационной безопасности также нужно определить стратегию управления рисками на предприятии.
На сегодня известно несколько подходов к управлению рисками. Один из наиболее распространенных
- уменьшение риска путем принятия комплексной системы
контрмер
, включающей программно-технические и организационные меры защиты.
Близким является подход, связанный
с уклонением от риска
. От некоторых классов рисков можно уклониться, например: вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов.
Наконец, в ряде случаев допустимо
принятие риска
. В этой ситуации важно определиться со следующей дилеммой: что для предприятия выгоднее - бороться с рисками или же с их последствиями. Здесь приходится решать оптимизационную задачу.
После того как стратегия управления рисками выбрана, проводится окончательная оценка мероприятий по обеспечению информационной безопасности с подготовкой экспертного заключения о защищенности информационных ресурсов. В экспертное заключение входят все материалы анализа рисков и рекомендации по их снижению.
Отметим, что выполнение анализа рисков и оценки потерь требует глубоких системных знаний и аналитического мышления во многих областях, смежных с проблемой защиты информации.
2.
Методы оценивания информационных рисков
В настоящее время используются различные методы оценки информационных

4 рисков отечественных компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:
1) идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;
2) оценивание возможных угроз;
3) оценивание существующих уязвимостей;
4) оценивание эффективности средств обеспечения информационной безопасности.
Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от:
– показателей ценности информационных ресурсов;
– вероятности реализации угроз для ресурсов;
– эффективности существующих или планируемых средств обеспечения информационной безопасности.
Цель оценивания рисков
состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть установлены как количественными методами (например, при нахождении стоимостных характеристик), так и качественными, скажем, с учетом штатных или чрезвычайно опасных нештатных воздействий внешней среды.
Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:
– привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);
– возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);
– техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;
– степенью легкости, с которой уязвимость может быть использована.
3.
Основные понятия и допущения модели
Базовые угрозы информационной безопасности – нарушение конфиденциальности, нарушение целостности и отказ в обслуживании.
Ресурс – любой контейнер, предназначенный для хранения информации, подверженный угрозам информационной безопасности (сервер, рабочая станция, переносной компьютер).
Свойствами ресурса являются: перечень угроз, воздействующих на него, и критичность ресурса.
Угроза – действие, которое потенциально может привести к нарушению безопасности.

5
Свойством угрозы является перечень уязвимостей, при помощи которых может быть реализована угроза.
Уязвимость – это слабое место в информационной системе, которое может привести к нарушению безопасности путем реализации некоторой угрозы. Свойствами уязвимости являются: вероятность (простота) реализации угрозы через данную уязвимость и критичность реализации угрозы через данную уязвимость.
Критичность ресурса (D) – ущерб, который понесет компания от потери ресурса.
Задается в уровнях (количество уровней может быть в диапазоне от 2 до или в деньгах.
В зависимости от выбранного режима работы, может состоять из критичности ресурса по конфиденциальности, целостности и доступности (Dс, Di, Da).
Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс, т.е. как сильно реализация угрозы повлияет на работу ресурса. Задается в процентах.
Состоит из критичности реализации угрозы по конфиденциальности, целостности и доступности (ERc, ERi, ERa).
Вероятность реализации угрозы через данную уязвимость в течение года (P(V)) –
степень возможности реализации угрозы через данную уязвимость в тех или иных условиях. Указывается в процентах.
Максимальное критичное время простоя (Tmax) – значение времени простоя, которое является критичным для организации. Т.е. ущерб, нанесенный организации при простаивании ресурса в течение критичного времени простоя, максимальный. При простаивании ресурса в течение времени, превышающего критичное, ущерб, нанесенный организации, не увеличивается.
Принцип работы алгоритма
Исходные данные:
· Ресурсы;
· Критичность ресурса;
· Отделы, к которым относятся ресурсы;
· Угрозы, действующие на ресурсы;
· Уязвимости, через которые реализуются угрозы;
· Вероятность реализации угрозы через данную уязвимость;
· Критичность реализации угрозы через данную уязвимость.
С точки зрения базовых угроз информационной безопасности существует два режима работы алгоритма:
· Одна базовая угроза (суммарная);
· Три базовые угрозы.
4.
Расчет рисков по угрозе информационной безопасности
4.1.
На первом этапе рассчитывается уровень угрозы по уязвимости Th на основе критичности и вероятности реализации угрозы через данную уязвимость. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации

6
Вычисляется одно или три значения в зависимости от количества базовых угроз.
Получается значение уровня угрозы по уязвимости в интервале от 0 до 1.
4.2.
Для расчета уровня угрозы по всем уязвимостям CTh, через которые возможна реализация данной угрозы на ресурсе, суммируются полученные уровни угроз через конкретные уязвимости по следующей формуле:
Для режима с одной базовой угрозой:
Для режима с тремя базовыми угрозами:
Значения уровня угрозы по всем уязвимостям получаются в интервале от 0 до 1.
4.3.
Аналогично рассчитывается общий уровень угроз по ресурсу CThR (учитывая все угрозы, действующие на ресурс):
Для режима с одной базовой угрозой:
Для режима с тремя базовыми угрозами:
Значение общего уровня угрозы получается в интервале от 0 до 1.
4.4.
Риск по ресурсу R рассчитывается следующим образом:

7
Для режима с одной базовой угрозой: где D – критичность ресурса. Задается в деньгах или уровнях.
В случае угрозы доступность (отказ в обслуживании) критичность ресурса в год вычисляется по следующей формуле:
Для остальных угроз критичность ресурса задается в год. Для режима с тремя базовыми угрозами:
Таким образом, получается значение риска по ресурсу в уровнях (заданных пользователем) или деньгах.
4.5.
Риск по информационной системе CR рассчитывается по формуле:
Для режима с одной базовой угрозой (в деньгах):
Для режима с одной базовой угрозой (в уровнях):
Для режима работы с тремя угрозами (
в деньгах):

8
- риск по системе по каждому виду угроз
- риск по системе суммарно по трем видам угроз
- для режима работы в уровнях:
4.6.
Задание контрмер
Для расчета эффективности введенной контрмеры необходимо пройти последовательно по всему алгоритму с учетом заданной контрмеры. Т.е. на выходе пользователь получает значение двух рисков – риска без учета контрмеры (Rold) и риск с учетом заданной контрмеры (Rnew) (или с учетом того, что уязвимость закрыта).
Эффективность введения контрмеры рассчитывается по следующей формуле (E):
В результате работы алгоритма пользователь системы получает следующие
данные:
• Риск по трем базовым угрозам (или по одной суммарной угрозе) для ресурса;
• Риск суммарно по всем угрозам для ресурса;
•Риск по трем базовым угрозам (или по одной суммарной угрозе) для информационной
системы;
• Риск по всем угрозам для информационной системы;
• Риск по всем угрозам для информационной системы после задания контрмер;
• Эффективность контрмеры;
• Эффективность комплекса контрмер.
Содержание отчета