ПЗ по ОЗИ. ПЗ по ОЗИ №2-3. Практическое задание 23 анализ рисков информационной безопасности цель
Скачать 62.32 Kb.
|
1 2 2.2.1 Задание 1. Провести оценку необходимости защиты конфиденциальной информации в компании, созданной при выполнении ПЗ №1, в соответствии с качественной методикой оценки рисков информационной безопасности COBRA. Сделать вывод о необходимости защиты информации в компании. 2. Оценить ожидаемые затраты на обеспечение безопасности компании. 2.3 «Количественная оценка и управление рисками информационной безопасности» Вторую группу методик управления рисками составляют количественные методики. Суть количественных методик оценки информационных рисков и управления ими сводится к поиску единственного оптимального решения из множества существующих. Наиболее популярной качественной методикой оценки информационных рисков и управления ими является методика CRAMM (от англ. CCTA Risk Analysis and Managment Method; CCTA – аббревиатура от англоязычного названия британской организации-разработчика методики: Computer and Telecommunications Agency). Методика CRAMM включает в себя 5 этапов: 1. Инициализация (Initialization). На этом этапе необходимо определить границы исследуемой информационной системы компании, состав и структуру ее основных физических и информационных активов и транзакций. Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками. 2. Идентификация и оценка ресурсов (Identification and Valuation of Assets). На этом этапе необходимо идентифицировать информационные активы и рассчитать их стоимость. Расчет стоимости информационных активов необходим для того, чтобы определить необходимость и достаточность используемых средств и систем защиты информации. 3. Оценка угроз и уязвимостей (Threat and Vulnerability Assessment). На этом этапе необходимо идентифицировать и оценить угрозы и уязвимости информационных активов. 4. Анализ рисков (Risk Analysis). На этом этапе необходимо выполнить расчеты следующих параметров: – величина риска; – критичность реализации каждой угрозы; – вероятность реализации каждой угрозы через каждую из уязвимостей; – уровень угрозы по каждой из уязвимостей. Величина риска (R) вычисляется в соответствии с одной из следующих формул:
где Pущ – вероятность ущерба, Cущ – цена ущерба, Pугр – вероятность реализации угрозы, Pуязв – вероятность возникновения уязвимости. Если информационная система подвержена нескольким (N) угрозам, то совокупный Rобщ вычисляется в соответствии со следующей формулой:
Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс, т.е. как сильно повлияет угроза на работу ресурса. Вероятность реализации угрозы через данную уязвимость (P(V)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях. Исходя из данных двух параметров, определяется уровень угрозы по уязвимости (Th):
На основании значений уровней угроз по уязвимости осуществляется расчет по всем уязвимостям, по которым реализуется данная угроза (CTh):
5. Управление рисками (Risk management). На этом этапе необходимо предложить меры и средства уменьшения рисков информационной безопасности. 2.3.1 Задание Пусть в результате реализации этапов 1, 2 методики CRAMM было определено, следующее. 1. Количество основных информационных активов организации – 5. Стоимость актива 1 – 1000,00 рублей, актива 2 – 5000,00 рублей, актива 3 – 32000,00 рублей, актива 4 – 100000,00 рублей, актива 5 – 200000,00 рублей. 2. Основными угрозами информационной безопасности организации являются: – проникновение из сети Интернет в информационную систему организации вредоносного программного обеспечения (угроза 1); – несанкционированный доступ к информационным активам сотрудника организации (угроза 2). Вероятность реализации угрозы 1 – 60 %, а угрозы 2 – 40 %. В результате реализации угрозы 1 наступает последствие «Финансовые потери, связанные с восстановлением ресурсов» (последствие связано с воздействием угрозы 1 на уязвимость 1 информационной системы организации). За прошедший год эта угроза была реализована 5 раз и в результате ее реализации были в полном объеме повреждены активы 1, 2 и 3 и на 30 % был поврежден актив 4. Актив 5 был защищен резервным копированием, в связи с этим его повреждение не повлекло за собой существенных последствий. Кроме того, в результате реализации угрозы 1 наступает последствие «Дезорганизация деятельности компании» (последствие связано с воздействием угрозы 1 на уязвимость 2 информационной системы организации). Цена ущерба, связанного с этим последствием, составляет 20000,00 рублей. В результате реализации угрозы 2 наступают следующие последствия: – «Финансовые потери от получения информации конкурентами» (цена ущерба, связанного с этим последствием, составляет 50000,00. руб.); – «Ущерб репутации организации» (цена ущерба, связанного с этим последствием, составляет 70000,00. руб.). Первое из указанных последствий связано с воздействием угрозы 2 на уязвимость 1 информационной системы организации, второй – с воздействием угрозы 2 на уязвимость 2 информационной системы организации. Задание 2.3.1.1 Найти цену ущерба по угрозам 1 и 2. Задание 2.3.1.2 Определить величину общего информационного риска. Задание 2.3.1.3 Оценить (в процентах) эффективность мер, принятых для парирования угроз (E), если известно, что в результате их использования удалось уменьшить цену ущерба от реализации угрозы 1 в 1,5 раза, а цену ущерба от реализации угрозы 2 – в 2 раза. Задание 2.3.1.4 Найти критичность реализации угрозы 1 через уязвимость 1. Определить для всех выявленных угроз и уязвимостей Th и CTh, если критичность реализации угрозы 1 через уязвимость 2 составляет 20 %; угрозы 2 через уязвимость 1 – 40 %; угрозы 2 через уязвимость 2 – 30 %. Задание 2.3.1.5 Установить, чем обусловлены уязвимость 1 и уязвимость 2 информационной системы организации. Предложить подходы по устранению этих уязвимостей (по сути, меры для парирования угроз, воздействующих на эти уязвимости). Контрольные вопросы 1. Что такое информационный риск? 2. В чем заключается задача управления информационными рисками? 3. Какие существуют методики оценки рисков и управления ими? 4. Какие этапы включает в себя методика оценки информационных рисков COBRA? 5. Как определяются общие ожидаемые затраты на ЗИ техническими средствами: 6. Что такое критичность реализации угрозы? 7. Какие этапы включает в себя методика CRAMM оценки информационных рисков? 1 2 |