анализ информационных рисков. Анализ информаци рисков. Практическая работа Анализ рисков информационной безопасности
 Скачать 31.48 Kb.
|
|
Практическая работа «Анализ рисков информационной безопасности» Цель работыОзнакомиться с алгоритмами оценки риска информационной безопасности. Цель процесса оценивания рисков состоит в определении характеристик рисков по отношению к информационной системе (ИС) и ее ресурсам (активам). На основе полученных данных могут быть выбраны необходимые средства защиты. При оценивании рисков учитываются многие факторы: ценность ресурсов, оценки значимости угроз и уязвимостей, эффективность существующих и планируемых средств защиты и многое другое. Базовый уровень безопасности (baseline security) – обязательный минимальный уровень защищенности для ИС. В ряде стран существуют критерии для определения этого уровня. В качестве примера приведем критерии Великобритании – CCTA Baseline Security Survey, определяющие минимальные требования в области ИБ для государственных учреждений этой страны. В Германии эти критерии изложены в стандарте BSI. Существуют критерии ряда организаций – NASA, X/Open, ISACA и другие. В нашей стране это может быть класс защищенности в соответствии с требованиями ФСТЭК России, профиль защиты, разработанный в соответствии со стандартом ISO-15408, или какой-либо другой набор требований. Тогда критерий достижения базового уровня безопасности – это выполнение заданного набора требований. Зачем нужно исследовать риски в сфере информационной безопасности (ИБ) и что это может дать при разработке системы обеспечения ИБ для информационной системы (ИС)? Для любого проекта, требующего финансовых затрат на его реализацию, весьма желательно уже на начальной стадии определить, что мы будет считать признаком завершения работы и как будем оценивать результаты проекта. Для задач, связанных с обеспечением ИБ это более чем актуально. Ведь затраты на обеспечение высокого уровня безопасности могут быть неоправданными.  Краткие теоретические сведения Риск ИБ – потенциальная возможностьиспользования определенной угрозойуязвимостей актива или группы активов для причинения вреда организации. Уязвимость - слабость в системе защиты, делающая возможной реализацию угрозы. Угроза ИБ - совокупность условий и факторов, которые могут стать причиной нарушений целостности, доступности, конфиденциальности информации. Информационный актив – это материальный или нематериальный объект, который: является информацией или содержит информацию, служит для обработки, хранения или передачи информации, имеет ценность для организации. Задание Загрузите ГОСТ Р ИСО/МЭК 27005—2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» Ознакомьтесь с Приложениями'>Приложениями C, D и Е ГОСТа. Выберите три различных информационных актива организации (см. вариант). Из Приложения D ГОСТа подберите три конкретных уязвимости системы защиты указанных информационных активов. Пользуясь Приложением С ГОСТа напишите три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости. Пользуясь одним из методов (см. вариант) предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности. Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы. 4. Содержание отчетаТитульный лист Содержание Задание Обоснование выбора информационных активов организации Оценка ценности информационных активов Уязвимости системы защиты информации Угрозы ИБ Оценка рисков Выводы 5. ВариантыВариант – номер по списку в журнале.
|