s
Sesiya.ru

Анализ и управление информационными рисками

Информация о работе

Тема
Анализ и управление информационными рисками
Тип Лабораторная работа
Предмет Компьютерные сети
Количество страниц 7
Язык работы Русский язык
Дата загрузки 2015-02-24 17:50:23
Размер файла 85.8 кб
Количество скачиваний 25
Скидка 15%

Поможем подготовить работу любой сложности

Заполнение заявки не обязывает Вас к заказу


Скачать файл с работой

Помогла работа? Поделись ссылкой

Министерство образования и науки Российской Федерации
Калужский филиал федерального государственного бюджетного образовательного учреждения высшего профессионального образования
«Московский государственный технический университет
имени Н.Э. Баумана»
(КФ МГТУ им. Н.Э. Баумана)


ФАКУЛЬТЕТ «Электроники информатики и управления»
КАФЕДРА «Компьютерные системы и сети»


О Т Ч Е Т

ЛАБОРАТОРНАЯ РАБОТА №3

ДИСЦИПЛИНА: «Защита информации в компьютерных системах»
ТЕМА: «Анализ и управление информационными рисками»





Выполнили: студенты гр. ЭВМ-111 _________________

Проверил: _________________















Калуга, 2014 г.
Цель лабораторной работы: ознакомление с различными методиками анализа рисков в компьютерных системах предприятия; приобретение навыков применения подобных методик.

Задачи
1. Изучить основной теоретический материал лабораторной работы.
2. Изучить методику оценки рисков Digital Security.
3. Реализовать алгоритм расчета рисков.
4. Провести апробирование программы на примере, приведенном в лабораторной работе.
5. Произвести расчет рисков для компьютерной системы в соответствии с вариантом.


















Теория
Одной из наиболее авторитетных организаций, занимающихся разработкой программных средств для анализа и расчета информационных рисков, в России является Digital Security (Санкт-Петербург).
Для оценки рисков информационной безопасности информационной системы организации по методике от Digital Security защищенность каждого ценного ресурса определяется при помощи анализа угроз, действующих на конкретный ресурс, и уязвимостей, через которые данные угрозы могут быть реализованы. Оценивая вероятность реализации актуальных для ценного ресурса угроз и степень влияния реализации угрозы на ресурсы, анализируются информационные риски ресурсов организации.
В результате работы алгоритма оценки рисков по методике от Digital Security определяются следующие характеристики ИС:
1. Список информационных ресурсов (ИР).
2. Значения риска для каждого ценного ИР организации.
3. Значения риска для ИР после задания контрмер (остаточный риск).
4. Эффективность контрмер.
Для того чтобы оценить риск информационного ресурса, необходимо проанализировать все угрозы, действующие на ИС, и уязвимости, через которые возможна реализация угроз. Исходя из полученных от владельца ИС данных, можно построить модель актуальных угроз и уязвимостей для конкретной организации. На основе модели будет проведен анализ вероятности реализации угроз информационной безопасности на каждый ресурс и, исходя из этого, рассчитаны риски ИБ.
Входные данные алгоритма:
• информационные ресурсы;
• критичность ресурсов;
• угрозы, действующие на ресурсы;
• уязвимости, через которые реализуются угрозы;
• вероятность реализации угрозы через данную уязвимость;
• критичность реализации угрозы через данную уязвимость.
С точки зрения базовых угроз ИБ существует два режима работы алгоритма:
1. Одна базовая угроза (суммарная).
2. Три базовые угрозы.
При работе с алгоритмом используется числовая шкала от 0 до 100%. Шкалу разбивают максимум на 100 уровней. При разбиении шкалы на меньшее число уровней, каждый уровень занимает определенный интервал на шкале (рис. 1, рис. 2).

Рис. 1. Равномерное разбиения шкалы оценки риска алгоритмом Digital Security

Рис. 2. Равномерное разбиения шкалы оценки риска алгоритмом Digital Security
















Реализация алоритма Digital Security
1. Входные данные по всем ресурсам КС.
Ресурс Угрозы Уязвимости
Система - Научно-производственная фирма (Критичность ресурса D=70 y.e.) 1. Неавторизованное проникновение злоумышленника внутрь охраняемого периметра 1. Отсутствие регламента доступа в помещения с ресурсами, содержащими ценную информацию.
2. Отсутствие системы наблюдения за ресурсом.
2. Неавторизованная модификация информации в системе, хранящейся на ресурсе 1. Отсутствует авторизация на внесение изменений в систему.
2. Отстутствие регламента работы с системой криптографической защиты.
3. Разглошение кондифициальной информации - ключей доступа к ресурсу - сотрудниками организации 1. Отсутствие соглашений о сохранений конфиденциальности ключевой информации.
2. Распределение ключевой информации между несколькими сотрудниками
Подсистема - База данных работников (Критичность ресурса D=30 y.e.) 1. Неполадки в работе подсистемы 1. Отсутствие соединения с сервером
2. Вирусная атака
2. Разглошение кондифициальной информации - ключей доступа к ресурсам - сотрудниками больницы 1. Отсутствие соглашений о сохранении конфиденциальности ключевой информации
2. Отсутствие системы наблюдения за действиями сотрудников
3. Проникновение в БД по защищенному каналу 1. Отсутствие сертификата безопасности, подтверждающего защищенность канала
2. Отсутствие отслеживания всех действий, производимых в рамках защищенного канала
4. Отказ системы информирования операторов рабочих станций об изменении данных 1. Отсутствие связи с сервером
2. Отсутствие связи ПО с БД
2. Входные данные по парам ресурс/угроза для каждого ресурса КС.

Уязвимости P(V), % ER, %
угроза 1/уязвимость 1 10 30
угроза 1/уязвимость 2 40 60
угроза 2/уязвимость 1 50 50
угроза 2/уязвимость 2 70 70
угроза 3/уязвимость 1 20 40
угроза 3/уязвимость 2 30 50
угроза 1/уязвимость 1 20 60
угроза 1/уязвимость 2 50 50
угроза 2/уязвимость 1 30 60
угроза 2/уязвимость 2 80 80
угроза 3/уязвимость 1 10 40
угроза 3/уязвимость 2 30 70
угроза 4/уязвимость 1 50 50
угроза 4/уязвимость 2 10 80
3. Расчет уровней угрозы по каждой (Th) и по всем (CTh) уязвимостям для каждого ресурса КС.
Уязвимости Th, % CTh, %
угроза 1/уязвимость 1 0,03 0,9928
угроза 1/уязвимость 2 0,24
угроза 2/уязвимость 1 0,25 0,8775
угроза 2/уязвимость 2 0,49
угроза 3/уязвимость 1 0,08 0,988
угроза 3/уязвимость 2 0,15
угроза 1/уязвимость 1 0,12 0,97
угроза 1/уязвимость 2 0,25
угроза 2/уязвимость 1 0,18 0,8848
угроза 2/уязвимость 2 0,64
угроза 3/уязвимость 1 0,04 0,9916
угроза 3/уязвимость 2 0,21
угроза 4/уязвимость 1 0,25 0,98
угроза 4/уязвимость 2 0,08
4. Расчет общего уровня угроз (CThR) действующего на ресурс для каждого ресурса КС.
Уязвимости CTh, % CThR,%
угроза 1/уязвимость 1 0,9928 0,139272
угроза 1/уязвимость 2
угроза 2/уязвимость 1 0,8775
угроза 2/уязвимость 2
угроза 3/уязвимость 1 0,988
угроза 3/уязвимость 2
угроза 1/уязвимость 1 0,97 0,165974
угроза 1/уязвимость 2
угроза 2/уязвимость 1 0,8848
угроза 2/уязвимость 2
угроза 3/уязвимость 1 0,9916
угроза 3/уязвимость 2
угроза 4/уязвимость 1 0,98
угроза 4/уязвимость 2
5. Общий риск по информационной системе (CR).
Уязвимости R CR
угроза 1/уязвимость 1 9,749053 14,72828
угроза 1/уязвимость 2
угроза 2/уязвимость 1
угроза 2/уязвимость 2
угроза 3/уязвимость 1
угроза 3/уязвимость 2
угроза 1/уязвимость 1 4,979229
угроза 1/уязвимость 2
угроза 2/уязвимость 1
угроза 2/уязвимость 2
угроза 3/уязвимость 1
угроза 3/уязвимость 2
угроза 4/уязвимость 1
угроза 4/уязвимость 2

© Copyright 2012-2020, Все права защищены.