Главная страница
Навигация по странице:

  • Итоговая вероятность

  • Средства защиты

  • Средства локальной

  • Средства корпоративной сетевой

  • Средства резервирования и контроля

  • Средства защиты рабочей

  • Средства персональной сетевой

    		•

    Оценка рисков информационной системы организации используя потоки. Мошак_БИТи С_ПР2_21. Практическая работа 2 Оценка риска информационной безопасности корпоративной информационной системы на основе модели информационных потоков


    Скачать 236.04 Kb.
    НазваниеПрактическая работа 2 Оценка риска информационной безопасности корпоративной информационной системы на основе модели информационных потоков
    АнкорОценка рисков информационной системы организации используя потоки
    Дата23.05.2023
    Размер236.04 Kb.
    Формат файлаdocx
    Имя файлаМошак_БИТи С_ПР2_21.docx
    ТипПрактическая работа
    #1152525
    страница3 из 3
    1   2   3

    Наличие резервного копирования учитывается следующим образом: если у информации на ресурсе осуществляется резервное копирование, то вес ре- зервного копирования (10) прибавляется к коэффициенту защищенности (п.2). Если резервное копирование не осуществляется, и в группе пользователей, имеющей доступ к информации, разрешены запись или удаление, то итоговый коэффициент увеличивается в 4 раза.

        1. Расчет итоговой вероятности

    Информаци- онный

    поток
    Базовая вероят- ность (БВ)
    Итоговая базовая вероят- ность (ИБВ)
    Итого- вый ко- эффици- ент

    (ИК)
    Промежу- точная ве- роятность
    Итоговая вероятность

    Главный бухгалтер – бухгалтер- ский отчет
    0,25
    0,7
    0,021
    0,0147

    0,7*0,021
    0,0147



    Бухгалтер

    0,1
    0,7
    0,016
    0,0112

    0,05619

    база клиен-

    тов Компа-
    0,7*0,016

    нии

    Финансовый

    0,7

    0,7

    0,065
    0,0455

    директор- -

    база клиен-
    0,7*0,065

    тов Компа-

    нии

    Бухгалтер-

    0,25

    0,7

    0,02
    0,014
    0,014

    база данных

    наименова-
    0,7*0,02

    ний товаров

    Компании

    Базовая вероятность определяется на основе метода экспертных оценок. Ее значения по данной угрозе целостность отличаются от значений в расчете по угрозе конфиденциальность. Группа экспертов, исходя из классов групп пользователей, получающих доступ к ресурсу, видов и прав их доступа к информации, рассчитывает базовую вероятность для каждой информации. Владелец информационной системы, при желании, может задать этот параметр самостоятельно.

    Итоговая базовая вероятность.Базовая вероятность реализации угрозы конфиденциальности для потока «Финансовый директор-база клиентов Компании» самая большая (0,7) и она распространяется на все информации, хранящиеся на всех ресурсах, входящих в локальную сеть (сетевую группу).

    Перемножив итоговую базовую вероятность и итоговый коэффициент защищенности, получим итоговую вероятность реализации угрозы. Напомним, что для каждой из трех угроз информационной безопасности мы отдельно рассчитываем вероятность реализации.Итоговая вероятностьпо второй информации:

    ИВ2=1-(1-ПВ21)*(1-ПВ22), как суммарная по двум группам пользователей.


        1. Расчет риска по угрозе целостность

    На завершающем этапе значение полученной итоговой вероятности умножаем на ущерб от реализации угрозы и получаем риск угрозы информационной безопасности для связи<вид информации - группа пользователей>.

    R1=ИВ1*D1=0,0147*100=1,47; R2=ИВ2*D2=0,05619*100=5,61; R3=ИВ3*D3=0,014*100=1,4.

    Чтобы получить риск для вида информации (с учетом всех групп пользователей, имеющих к ней доступ), необходимо сначала просуммировать итоговые вероятности реализации угрозы по следующей формуле:

    ,

    а затем полученную итоговую вероятность для информации умножаем на ущерб от реализации угрозы, получая, таким образом, риск от реализации угрозы для данной информации.

    Чтобы получить риск для аппаратного ресурса учетом всех видов информации, хранимой и обрабатываемой на ресурсе), необходимо просуммировать риски по всем видам информации.

    Содержание отчета

    Составить карту ИС (см. рис 1) на которой отобразить все указанные характеристики. Иными словами, необходимо

    1. Нарисовать структурно-функциональную схему ИС, на которойотобразить:

    - все ресурсы (сервер закрытого контура, сервер открытого контура, МЭ открытого контура, СКЗИ закрытого контура, однонаправленный шлюз, оборудование ЛВС закрытого контура, оборудование ЛВС открытого контура)

    - отделы, к которым относятся ресурсы;

    - сетевые группы (локальные сети), физические связи ресурсов между собой и их подключения к Интернет;

    - виды ценной информации, хранящейся на ресурсах;

    - пользователей (группы пользователей), имеющих доступ к ценной (конфиденциальной) информации.

    2. Описать в виде таблиц средства защиты каждого аппаратногоресурса,средства защиты каждого вида информации, хранящемся на нем суказанием веса каждого средства,например:


    Средства защиты сервера
    Вес

    Средства физическойзащиты

    Контроль доступа в помещение, где расположен ресурс (физическая охрана, дверь с замком, специальный пропускной режим в помещение)



    Средства локальнойзащиты

    Отсутствие дисководов и USB портов 10



    Средства корпоративной сетевойзащиты

    Межсетевой экран



    Обманная система



    Система антивирусной защиты на сервере



    Средства резервирования и контроляцелостности

    Аппаратная система контроля целостности



    Средства защиты информации (информация №1)
    Вес

    Средства локальнойзащиты

    Средства криптографической защиты (криптозащита данных на ПК)



    Средства резервирования и контроляцелостности

    Резервное копирование



    Программная система контроля целостности






    Средства защиты рабочей станции
    Вес

    Средство физическойзащиты

    Контроль доступа в помещение, где расположен ресурс (дверь с замком, видеонаблюдение)



    Средства локальнойзащиты

    Средства антивирусной защиты (антивирусный монитор)



    Отсутствие дисководов и USB портов



    Средства персональной сетевойзащиты

    Наличие персонального межсетевого экрана



    Система криптозащиты электронной почты




    3.Описать в виде таблицы вид доступа (локальный, удаленный) и права доступа (чтение, запись, удаление) для каждого пользователя (групп пользователей), а так же наличие соединения через VPN, количество человек в группе для каж- дого информационного потока:


    Информационный поток
    Вид доступа
    Права дос- тупа
    Наличие VPN-

    соединения
    Количество человек в группе

    (Наименование)
    (Локальный, удаленный)
    (Чтение, за- пись, удале- ние)

    (Да, нет)

    (1,2,….n)


    4.Указать наличие у пользователей выхода в Интернет

    Пользователь (группа пользова- телей.)
    Доступ в Интернет

    (Наименование)
    (Есть, нет, не анализируется)

    5.Указать ущерб компании от реализации угроз ИБ для каждого информационного потока:

    Информационный поток
    Конфиденциальность
    Целостность
    Доступность

    (Наименование)
    (у.е. в год)
    (у.е. в год)
    (у.е. в час)

    Ущерб определяется с участием владельца ИС, либо им самим непосредственно.

    На этом описание архитектуры ИС завершается.

    Далее производится расчет рисков для каждого вида ценной информации хранящейся в ИС по угрозе «нарушение конфиденциальности», «нарушение целостности» и «нарушение доступновсти» по методике, изложенной выше.
    P.S. Веса выбирать самостоятельно

    Выводы
    1   2   3

    написать администратору сайта