практическая. Практическая работа 1 Анализ рисков информационной безопасности
 Скачать 34.75 Kb.
|
|
Санкт-Петербургское государственное бюджетное профессиональное образовательное учреждение «Политехнический колледж городского хозяйства» Тема: Практическая работа № 1 «Анализ рисков информационной безопасности» Дисциплина: Анализ рисков информационной безопасности Специальность 09.02.03 Группа ИП-18-3 Выполнила студентка: Акулова М.А. Проверил преподаватель: 2020г. Содержание ОглавлениеЗадание 2 Обоснования выбора информационных активов 3 Оценка ценности информационных активов/Уязвимости системы защиты информации 5 Угрозы ИБ 6 Оценка рисков 7 Вывод 9 Задание 1. Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий». 2. Ознакомьтесь с Приложениями C, D и Е ГОСТа. 3. Выберите три различных информационных актива организации (см. вариант). 4. Из Приложения D ГОСТа подберите три конкретных уязвимости системы защиты указанных информационных активов. 5. Пользуясь Приложением С ГОСТа напишите три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости. 6. Пользуясь одним из методов (см. вариант) предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности. 7. Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы. Обоснование выбора информационных активов организации Информационный актив банка – это информация: с реквизитами, позволяющими её идентифицировать; имеющая ценность для самого банка; находящаяся в распоряжении и представленная на любом материальном носителе в форме, пригодной для её обработки, хранения или передачи. Описание и детализация информационных активов может быть различной. В банках к типам информационных активов относится информация, содержащая банковскую тайну (далее – БТ), коммерческую тайну (далее – КТ), персональные данные и открытую информацию. Банковская и коммерческая тайна могут одновременно являться инсайдерской информацией (далее – ИИ). В отделение коммерческого банка можно выделить ряд информационных активов. В данном случае мы возьмем: Документация бухгалтерского учета – совокупность материальных носителей информации, составляемая экономическим субъектом по установленным требованиям в ходе ведения им бухгалтерского учета и включающая в себя: первичные учетные документы; сводные учетные документы; регистры бухгалтерского учета; данные внутренней бухгалтерской отчетности. Клиентская база - это особый вид базы данных, в которой содержатся сведения о каждом клиенте компании, хоть раз совершавшим с ней сделку. В некоторых клиентских базах помимо этой информации также содержатся данные о вероятных заказчиках и клиентах. Сетевой диск (сетевой драйвер)- назначенный логический диск (папка), который служит для хранения, передачи значительными объемами информации между сотрудниками. Я выбрала данные информационные активы организации, поскольку они являются необходимыми и основными для функционирования, реализации сети. Когда выделены и сформированы информационные активы предприятия, встает вопрос их правильной классификации с последующим обеспечением безопасности. Дело в том, что с помощью классификации можно оформить ключевые метрики для используемой информации – ее ценность, сила влияния на предприятие защите и тому подобное. Во многом от этого зависит, как данные будут обрабатываться и защищаться. Классификационные модели: Однофакторная классификация. Базируется на степени ущерба. Рассмотрим небольшой пример. Активы информационной системы распределяются на четыре блока в зависимости от степени вероятного нанесения ущерба при утечке данных. Как пример – минимальный, затем — средний, высокий и напоследок – критический. Многофакторная модель классификации. Базируется на трех классических параметрах. В данном случае вся информация представляет интерес с точки зрения конфиденциальности, доступности и целостности. По каждой позиции требования проставляются отдельно – высокие, средние, низкие. По совокупности они оцениваются, к примеру, как критической или базовой важности.
Оценка ценности информационных активов Документация бухгалтерского учета Ценность вида информации-строго конфиденциальная (4 балла), критичность информации-критичная (3 балла) => 7 балл. Клиентская база Ценность вида информации-конфиденциальная (3 балла), критичность информации –существенная (2 балла) => 6 балл. Сетевой драйвер Ценность вида информации- для внутреннего пользователя (2 балла), критичность информации- критичная (3 балла) => 5 балл. Уязвимости системы защиты информации Программное обеспечение Отсутствие механизмов идентификации и аутентификации, например, аутентификации пользователей (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей). Коммуникации Незащищенные линии связи (возможна, например, угроза перехвата информации). Документы Хранение в незащищенных местах (возможна, например, угроза хищения). Угрозы ИБ Перечень типичных видов угроз Угрозы, обусловленные преднамеренными действиями, обозначены в перечне буквой D, угрозы, обусловленные случайными действиями, — A и угрозы, обусловленные естественными причинами, — E. Таким образом, буквой D обозначают все преднамеренные действия, объектами которых являются активы информационных технологий, буквой A — все совершаемые людьми действия, которые могут случайно нанести вред активам информационных технологий, буквой E — инциденты, не основанные на действиях, совершаемых людьми. Затопление-D, A, E Пожар- D, A, Землетрясение- E
Затопление -потери-критически высокие свыше 10%, вероятность реализации угрозы – несущественная <1% => 2. Не подлежит восстановлению, утеря данных. Пожар-потери значительные от 1% до 10% вероятность реализации угрозы-высокая свыше 10% => 2. Выход их строя рабочих компьютеров. Землетрясение- потери значительные от 1% до 10%, вероятность реализации угрозы –несущественная <1% => 2. Зависит от масштаба землетрясения. Оценка рисков Оценку рисков будем проводить по третьему примеру ГОСТа Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий» Приложение Е
Активы: · А1 - бухгалтерская документация, ценность актива – 4; · А2 - ценность актива информационная база клиентов, ценность актива – 3; · А3 - сетевой диск, ценность актива– 2. Угрозы: · Т1 – Затопление-2; · Т2 –Пожар-3; · Т3 – Землетрясение-2. Актив А1. Оценка сочетания актива А1 и угрозы Т1 равна 6. Оценка сочетания актива А1 и угрозы Т2 равна 7. Оценка сочетания актива А1 и угрозы Т3 равна 6. А1Т=А1Т1+А1Т2+А1Т3=6+6+7=19 2. Актив А2. Оценка сочетания актива А2 и угрозы Т1 равна 5. Оценка сочетания актива А2 и угрозы Т2 равна 6. Оценка сочетания актива А2 и угрозы Т3 равна 5. А2Т=А2Т1+А2Т2+А2Т3=5+5+6=16 3. Актив А3. Оценка сочетания актива А3 и угрозы Т1 равна 4. Оценка сочетания актива А3 и угрозы Т2 равна 5. Оценка сочетания актива А3 и угрозы Т3 равна 4. А3Т=А3Т1+А3Т2+А3Т3=4+5+6=13 ST=А1Т+ А2Т+ А3Т=19+16+13=48 ST=48 - это высокая оценка рисков, нужно снижать ее до минимальной, как только это возможно. Вывод Экспериментальная проверка разработанной методики и оценки важности информационных активов проведена на примере организации – отделение коммерческого банка. Мы выявили, что риск угрозы информационным активам немал для безопасности, нужно позаботиться о бухгалтерской документации. Увеличение расходов для безопасности, уменьшат риски угроз. Результаты оценки важности могут быть использованы при оценки и обработки рисков для указанной организации. Таким образом, цель работы была достигнута, задание выполнено. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||