Оценка рисков информационной системы организации используя потоки. Мошак_БИТи С_ПР2_21. Практическая работа 2 Оценка риска информационной безопасности корпоративной информационной системы на основе модели информационных потоков
 Скачать 236.04 Kb.
|
|
2.2.Расчет рисков по угрозе конфиденциальность 2.2.1. Расчет коэффициентов защищенности. Для каждого информационного потока рассчитывается коэффициент локальной либо удаленной защищенности информации, хранящейся на ресурсе, в зависимости от типа доступа. Если доступ локальный, то рассчитывается только коэффициент локальной защищенности информации. Если доступ удаленный, то рассчитывается коэффициент удаленной защищенности информации, хранящейся на ресурсе и коэффициент локальной защищенности рабочего места пользователя. Коэффициент локальной защищенности информациирассчитывается, если доступ к информации в данном информационном потоке локальный. Он равен сумме весов средств физической и локальной защиты информации. Учитываются все средства физической защиты и средства локальной защиты информации, обеспечивающие защиту информации по угрозе конфиденциальность: средства физической защиты: охрана, замок, пропускной режим в помещение) (25); средства локальной защиты: отсутствие дисководов и USB портов (10); криптозащита данных на ПК (20). Коэффициент удаленной защищенности информации на ресурсерассчитывается, если доступ к информации в данном информационном потоке удаленный. Он необходим для того, чтобы учесть сетевые средства защиты, и равен сумме весов средств корпоративной сетевой защиты информации. Эти средства (межсетевой экран, серверная антивирусная защита) находятся на сервере. Коэффициент локальной защищенности рабочего местапользователя (группы пользователей) рассчитывается только при удаленном доступе к информации. Он равен сумме весов средств физической, локальной и персональной сетевой защитыинформации. Средства физической защиты – те же. Средствалокальнойзащиты: антивирус, отсутствие дисководов и USB-портов. Средства персональной сетевой защиты: межсетевой экран (брандмауэр), средства криптозащиты электронной почты. Эти средства (персональный межсетевой экран – брандмауэр, средства криптозащиты электронной почты) находятся на рабочей станции (на компьютере, подключенном к локальной сети). Этот коэффициент не определяется для анонимных и авторизованных Интернет-пользователей, т.к. рабочее место пользователя в данном случае не является частью ИС. Для дальнейших расчетов по каждому потоку из трех коэффициентов выбирается наименьший коэффициент защищенности(НК).
Учет наличия доступа при помощи VPN При локальном доступе VPN не учитывается, поскольку локальная сеть не используется для передачи информации. При удаленном доступе через VPN к наименьшему коэффициенту защищенности потока прибавляется вес VPN шлюза (20). Это сетевое устройство повышает защищенность информации. При этом от наименьшего коэффициента переходят к результирующему: РК=НК+20 (или +0)
Далее от результирующего коэффициента (РК) переходят к итоговому коэффициенту (ИК) защищенности Если количество пользователей 1, и у группы нет доступа в Интернет, то: ИК=1/РК. Учет количества человек N в группе пользователей: ИК=N/РК. Если группа пользователей имеет доступ в Интернет, то ИК увеличивает- ся в 2 раза: ИК=2 N/РК. Если при удаленном доступе Интернет-пользователей VPN-соединение не используется (Интернет заведен на компьютер, а не на сервер), то для них итоговыйкоэффициент защищенности (ИК) умножается на 4, всилуотсут-ствия зашиты шлюза ИК=(4 N)/РК
Результаты расчетов сводятся в таблицу. Расчет итоговой вероятности (ИВ) Чтобы получить ИВ, необходимо сначала определить базовую вероят- ность (БВ) реализации угрозы нарушения конфиденциальности и умножить ее на ИК: ИВ=БВ·ИК. БВ реализации угрозы «К» определяется на основе метода экспертных оценок. Группа экспертов определяет БВ для каждой информации (для каждого потока). БВ может задать владелец информации.
Итоговая базовая вероятность (ИБВ) одинакова для всех потоков, по- скольку к информации «база клиентов Компании» имеется доступ через Интер- нет (Финансовый директор имеет права «запись, чтение»). Базовая вероятность реализации угрозы конфиденциальности для потока «Финансовый директор – база клиентов Компании» самая большая (0,7) и она распространяется на все информации, хранящиеся на всех ресурсах, входящих в локальную сеть (сете- вую группу). Это так называемое наследование коэффициентов защищенности. Если на ресурсе расположены несколько видов информации, причем к некоторым из них осуществляется доступ через Интернет (группами анонимных, авторизованных или мобильных Интернет-пользователей), то угрозы, исходящие от этих групп пользователей могут повлиять и на другие виды информации. Следовательно, это необходимо учесть. Если на одном из ресурсов, находящемся в сетевой группе, хранится информация, к которой осуществляют доступ указанные группы пользователей, то это учитывается аналогично для всех видов информации, хранящихся на всех ресурсах, входящих в сетевую группу. В реальной информационной системе все ресурсы, взаимосвязанные между собой, оказывают друг на друга влияние. Т.е. злоумышленник, проникнув на один ресурс информационной системы (например, получив доступ к информации ресурса), может без труда получить доступ к ресурсам, физически связанным со взломанным. Промежуточная вероятность (ПВ) вычисляется, как: ПВ=ИБВ·ИК. Итоговая вероятность ИВ1=ПВ1; ИВ3=ПВ3. Итоговая вероятность ИВ2=1-(1-ПВ21) (1-ПВ22), как суммарная по двум группам пользователей. Расчет риска по угрозе конфиденциальность для каждой информации (1,2,3) Риск по угрозе конфиденциальность для каждой информации (1-бух. отчет, 2-база клиентов, 3-база наименований товаров) рассчитывается, как произведение итоговой вероятности на ущерб: R1=ИВ1*D1=0,018*100=1,8; R2=ИВ2*D2=0,024*100=2,4; R3=ИВ3*D3=0,0165*100=1,65. где У–ущерб от реализации угрозы. Расчет риска по угрозе конфиденциальность для ресурса Риск для ресурса, на котором хранится несколько видов информаций (несколько БД) равен сумме рисков по всем видам информации. 2.3. Расчет рисков по угрозе целостность 2.3.1. Расчет коэффициентов защищенности. Выполняется аналогично расчету по угрозе конфиденциальность. Фактически берутся наименьшие коэффициенты НК из предыдущего расчета. Учет средств резервирования и контроля целостности.
Учет резервного копирования, количества человек в группе пользователей и наличия у группы пользователей доступа в Интернет
|