Лаб3. Лабораторный практикум 3
 Скачать 36.27 Kb.
|
|
Лабораторный практикум 3 Задание 1 Проведите оценку угроз активам. Данные представить в виде отчета. Группа угроз/ Содержание угроз Актив 1 Актив 2 Актив 3 … Актив N 1. Угрозы, обусловленные преднамеренными действиями Угрозы, обусловленные случайными действиями 3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы) Оценка уязвимости может быть выполнена по отношению ко многим объектам, не только компьютерным системам/сетям. Например, физические здания могут быть подвергнуты оценке, по результатам которой будет понятно, какие части здания имеют изъяны. Если взломщик может обойти охранника у парадной двери и проникнуть внутрь здания через заднюю дверь – это, определённо, уязвимость. Если он на самом деле сделает это – это эксплойт. Физическая безопасность – один из наиболее важных аспектов, которым нужно придавать значение. Поскольку если сервер украден, атакующему не нужно обходить IDS (система обнаружения вторжений), не нужно обходить IPS (система предотвращения вторжений), не нужно думать над способом, с помощью которого можно передать 10 ТБ данных, – они уже здесь, на сервере. Полное шифрование диска может помочь, но обычно его не используют на серверах. В качестве объектов защиты выступают следующие виды информационных ресурсов предприятия: информация (данные, телефонные переговоры и факсы) передаваемая по каналам связи; информация, хранимая в базах данных, на файловых серверах и рабочих станциях, на серверах каталогов, в почтовых ящиках пользователей корпоративной сети и т.п.; конфигурационная информация и протоколы работы сетевых устройств, программных систем и комплексов. Таблица Сопоставление физических угроз и уязвимостей автоматизированной системы ООО «Facilicom»
Оценка угроз активам Рассмотрим перечень возможных угроз для информации и активов:
Задание 2 Проведите оценку рисков информационной безопасности Данные представьте в виде таблиц оценки «штрафных баллов» и результатов оценки рисков ИБ. Oцeнивaниe риcкoв прoизвoдитcя экcпeртным путeм нa ocнoвe aнaлизa цeннocти aктивoв, вoзмoжнocти примeнeния угрoз и иcпoльзoвaния уязвимocтeй, oпрeдeлeнных в прeдыдущих заданиях. Для oцeнивaния используется тaблицa c зaрaнee прeдoпрeдeлeнными «штрaфными бaллaми» для кaждoй кoмбинaции цeннocти aктивoв, урoвня угрoз и уязвимocтeй Приведите пример оценки урoвeнь угрoз и уязвимocтeй («штрафных баллов») Активы, имеющие ценность и характеризующиеся определенной степенью уязвимости, всякий раз подвергаются риску в присутствии угроз. Задача анализа риска состоит в определении и оценке рисков, которым подвергается система информационных технологий и ее активы, с целью определения и выбора целесообразных и обоснованных средств обеспечения безопасности. Для оценки рисков выбран метод, который предлагает использование таблицы «штрафных баллов» для каждой комбинации ценности активов, уровня угроз и уязвимостей (таблица 1.8). Таблица 1.8 Таблица «штрафных баллов»
Ценности активов, а также уровни угроз и уязвимости, соответствующие каждому типу воздействия вводят в матрицу для определения каждого сочетания соответствующих мер риска по шкале от 1 до 8. Значения величин размещают в матрице в структурированной форме в соответствии с таблицей 1.8. Для каждого актива рассматривают уязвимые места и соответствующие им угрозы. Если имеются уязвимые места без соответствующей угрозы или угрозы без соответствующего уязвимого места, то считают, что в данное время риск отсутствует. Затем идентифицируют соответствующий ряд матрицы по ценности актива, а соответствующую колонку – по степени угрозы и уязвимости. Ценность настоящего метода состоит в ранжировании соответствующих рисков (таблица 1.9). Таблица 1.9 Результаты оценки рисков информационным активам организации
Данная таблица содержит содержать риски наиболее ценным информационным активам, ранжированные в порядке убывания. Результаты оценки рисков являются основанием для выбора и формулировки задач по обеспечению информационной безопасности предприятия, и выбора защитных мер. Еще одним методом оценки угроз информационной безопасности является оценка защищенности отдельных объектов защиты. К ним на предприятии относятся: АРМ сотрудников; сервер локальной сети; конфиденциальная информация (документы); кабельные линии; кабинеты с конфиденциальной документацией; базы данных предприятия. Для каждого объекта необходимо рассчитать информационные риски. При расчетах используются следующие понятия. Критичность ресурса (D) – степень значимости ресурса. Отражает влияние реализации угрозы на работу информационной системы. Определяется на основе экспертных оценок специалистов предприятия. Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс, задается в %. Определяется на основе статистических данных, доступных на порталах фирм – интеграторов. Вероятность реализации угрозы через данную уязвимость в течении года (P(v)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях, указывается в %. Объект защиты – автоматизированное рабочее место (АРМ) сотрудника. В организации имеется 170 автоматизированных рабочих мест сотрудников. Доступ в помещение посторонним лицам запрещен (система именных пластиковых карт), на каждом компьютере имеется свой пароль, однако пользователи могут оставить свой компьютер включенным, если им необходимо отойти от рабочего места, и информация будет доступна другим сотрудникам. Пароли практически никогда не меняются, случаются ситуации, что пользователи записывают их на листочках и оставляют у компьютера. Антивирус установлен только на сервере, т.к. вся информация проходит через него, однако usb-порты не отключены, и у пользователей есть возможность подключать флеш-устройства. Кроме того, у пользователей имеется выход в Интернет. Запрещен выход на сайты социальных сетей, однако другие пути почти не контролируются и размер трафика не ограничивается, что является причиной заражения вирусами. Отправка и получение электронной почты производится через сервер, где отслеживаются все входящие и исходящие письма, поэтому отправка писем по личным вопросам или на неразрешенные адреса невозможна. Все бланки документов хранятся на сервере, а сами документы – на рабочих компьютерах пользователя. Критерий критичности (D) равен 48 337 рублей. Проведем анализ основных угроз, характерныых для выбранного объекта и уязвимостей, через которые эти угрозы могут быть реализованы (таблица 1.10). Таблица 1.10. Таблица угроз и уязвимостей.
Таблица вероятности реализации данной угрозы через уязвимость в течение года(P(V)) и критичности реализации угрозы (ER). Таблица 1.11. Таблица вероятности реализации угрозы
Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh). Таблица 1.12. Таблица уровня угрозы
Th=P(V)/100*ER/100 CTh=1-П(1-Th) Рассчитаем общий уровень угроз по ресурсу: CThR=1-П(1-CTh)=0,740 Рассчитаем риск по ресурсу: R= CThR*D=0,740*48 337 = 35 750, 36 (руб.), с одного автоматизированного рабочего места => 170*35 750, 36 = 6 077 561 91 Таким образом, уровень риска, связанного с использованием АРМ служащего, достаточно велик – 74% и потери в денежном эквиваленте составляют 35 750, 36 руб. Причем основными проблемами являются: отсутствие антивируса на локальных компьютерах отсутствие политики паролей халатность пользователей Объект защиты – сервер локальной сети. Критерий критичности (D) равен 1 030 400 рублей. Выделенный сервер находится в специальном помещении, доступ к которому запрещен посторонним лицам. На сервере хранятся общие ресурсы, которые доступны работникам с их пользовательских мест. Это всевозможные бланки документов, которые периодически обновляются, чтобы все пользователи работали с утвержденными формами документов. Доступ организован так, что все документы доступны всем пользователям сети. Это и определяет наличие таких угроз, как угрозы разглашения и изменения конфиденциальной информации, однако вероятность возникновения таких угроз достаточно мала, т.к. все сотрудники заинтересованы в нормальном функционировании предприятия. В своем большинстве, это непреднамеренные угрозы (по невнимательности или незнанию). Также возникают сбои в работе сервера, но достаточно редко. На сервере установлен сервер электронной почты, который осуществляет прием и отправку всех почтовых сообщений, что позволяет отслеживать адресатов и отправителей сообщений. Также установлен прокси-сервер, контролирующий выход в Интернет. Политика работы в Интернете такова – запрещен выход на определенные сайты, однако размер трафика практически не контролируется, что вызывает иногда перегрузку сети и выход сервера из строя. Кроме того, для некоторых категорий работников имеется удаленный доступ к документам, что дает возможность утечки и порчи информации на сервере. Проведем анализ основных угроз, характерныых для выбранного объекта и уязвимостей, через которые эти угрозы могут быть реализованы (таблица 1.13). Таблица 1.13. Таблица угроз и уязвимостей.
Таблица вероятности реализации данной угрозы через уязвимость в течение года(P(V) и критичности реализации угрозы (ER). Таблица 1.14 Таблица вероятности реализации угрозы
Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh). Таблица 1.15 Таблица уровня угрозы по определённой уязвимости
Th=P(V)/100*ER/100 CTh=1-П(1-Th) Рассчитаем общий уровень угроз по ресурсу: CThR=1-П(1-CTh)= 0,151 Рассчитаем риск по ресурсу: R=CTh*D=0,151*1 030 400=155 613, 15 (руб.). Можно сделать вывод, что риск по этому ресурсу достаточно невелик по сравнению с АРМ – всего 15,1 % и потери – 155 613,15 руб. Однако следует обратить внимание на такие угрозы, как наличие удаленного доступа, отсутствие разграничений действий пользователя. Объект защиты – Конфиденциальная документация. Конфиденциальная документация хранится, как в электронном, так и в бумажном виде. Большая часть конфиденциальных документов хранится в сейфах, хотя часть информации хранится прямо на рабочих столах компьютера. Из-за того, что сотрудникам приходится работать с большим количеством бумаг, иногда возникают ситуации потери отдельных документов. Сами сотрудники предупреждены об ответственности за разглашение конфиденциальной информации, однако из-за нечеткой организации конфиденциального документооборота и большого объема работы, имеется возможность кражи документов другими сотрудниками. Таблица 1.16 Таблица угроз и уязвимостей.
Конфиденциальная информация предприятия оценена службой безопасности 300 000 р., эта сумма не точная и может колебаться в большую и меньшую стороны. Критерий критичности (D) равен 300 000 рублей. Таблица вероятности реализации данной угрозы через уязвимость в течение года(P(V) и критичности реализации угрозы (ER). Таблица 1.17 Таблица вероятности реализации угрозы
Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh). Таблица 1.18 Таблица уровня угрозы по определённой уязвимости
Th=P(V)/100*ER/100 CTh=1-П(1-Th) Рассчитаем общий уровень угроз по ресурсу: CThR=1-П(1-CTh)= 0,124 Рассчитаем риск по ресурсу: R=CTh*D=0,124*300 000=37 347, 46 (руб.). Риск по этому ресурсу также невелик – всего 12,4 % и потери – 37 347,46 руб. Главной проблемой является неорганизованность служащих. Объект защиты – кабинеты с конфиденциальной информацией и кабельные системы. Так как доступ на предприятие ограничен и по пропускам, и по именным картам, то проникнуть на территорию предприятия, а также в офисные помещения посторонним лицам невозможно. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||