Главная страница
Навигация по странице:

  • 2.3 «Количественная оценка и управление рисками информационной безопасности»

  • 2.3.1 Задание

  • Задание 2.3.1.1

  • Задание 2.3 .1. 4

  • Задание 2.3 .1. 5

  • Контрольные вопросы

  • ПЗ по ОЗИ. ПЗ по ОЗИ №2-3. Практическое задание 23 анализ рисков информационной безопасности цель


    Скачать 62.32 Kb.
    НазваниеПрактическое задание 23 анализ рисков информационной безопасности цель
    АнкорПЗ по ОЗИ
    Дата06.10.2021
    Размер62.32 Kb.
    Формат файлаdocx
    Имя файлаПЗ по ОЗИ №2-3.docx
    ТипДокументы
    #242097
    страница2 из 2
    1   2

    2.2.1 Задание

    1. Провести оценку необходимости защиты конфиденциальной информации в компании, созданной при выполнении ПЗ №1, в соответствии с качественной методикой оценки рисков информационной безопасности COBRA. Сделать вывод о необходимости защиты информации в компании.

    2. Оценить ожидаемые затраты на обеспечение безопасности компании.
    2.3 «Количественная оценка и управление рисками информационной безопасности»

    Вторую группу методик управления рисками составляют количественные методики. Суть количественных методик оценки информационных рисков и управления ими сводится к поиску единственного оптимального решения из множества существующих. Наиболее популярной качественной методикой оценки информационных рисков и управления ими является методика CRAMM (от англ. CCTA Risk Analysis and Managment Method; CCTA – аббревиатура от англоязычного названия британской организации-разработчика методики: Computer and Telecommunications Agency).

    Методика CRAMM включает в себя 5 этапов:

    1. Инициализация (Initialization). На этом этапе необходимо определить границы исследуемой информационной системы компании, состав и структуру ее основных физических и информационных активов и транзакций. Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками.

    2. Идентификация и оценка ресурсов (Identification and Valuation of Assets). На этом этапе необходимо идентифицировать информационные активы и рассчитать их стоимость. Расчет стоимости информационных активов необходим для того, чтобы определить необходимость и достаточность используемых средств и систем защиты информации.

    3. Оценка угроз и уязвимостей (Threat and Vulnerability Assessment). На этом этапе необходимо идентифицировать и оценить угрозы и уязвимости информационных активов.

    4. Анализ рисков (Risk Analysis). На этом этапе необходимо выполнить расчеты следующих параметров:

    – величина риска;

    – критичность реализации каждой угрозы;

    – вероятность реализации каждой угрозы через каждую из уязвимостей;

    – уровень угрозы по каждой из уязвимостей.

    Величина риска (R) вычисляется в соответствии с одной из следующих формул:





    (2.3.1)

    где Pущ – вероятность ущерба, Cущ – цена ущерба, Pугр – вероятность реализации угрозы, Pуязв – вероятность возникновения уязвимости.

    Если информационная система подвержена нескольким (N) угрозам, то совокупный Rобщ вычисляется в соответствии со следующей формулой:





    (2.3.2)

    Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс, т.е. как сильно повлияет угроза на работу ресурса.

    Вероятность реализации угрозы через данную уязвимость (P(V)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях.

    Исходя из данных двух параметров, определяется уровень угрозы по уязвимости (Th):




    (2.3.3)


    На основании значений уровней угроз по уязвимости осуществляется расчет по всем уязвимостям, по которым реализуется данная угроза (CTh):




    (2.3.4)


    5. Управление рисками (Risk management). На этом этапе необходимо предложить меры и средства уменьшения рисков информационной безопасности.
    2.3.1 Задание

    Пусть в результате реализации этапов 1, 2 методики CRAMM было определено, следующее.

    1. Количество основных информационных активов организации – 5. Стоимость актива 1 – 1000,00 рублей, актива 2 – 5000,00 рублей, актива 3 – 32000,00 рублей, актива 4 – 100000,00 рублей, актива 5 – 200000,00 рублей.

    2. Основными угрозами информационной безопасности организации являются:

    – проникновение из сети Интернет в информационную систему организации вредоносного программного обеспечения (угроза 1);

    – несанкционированный доступ к информационным активам сотрудника организации (угроза 2).

    Вероятность реализации угрозы 1 – 60 %, а угрозы 2 – 40 %.

    В результате реализации угрозы 1 наступает последствие «Финансовые потери, связанные с восстановлением ресурсов» (последствие связано с воздействием угрозы 1 на уязвимость 1 информационной системы организации). За прошедший год эта угроза была реализована 5 раз и в результате ее реализации были в полном объеме повреждены активы 1, 2 и 3 и на 30 % был поврежден актив 4. Актив 5 был защищен резервным копированием, в связи с этим его повреждение не повлекло за собой существенных последствий. Кроме того, в результате реализации угрозы 1 наступает последствие «Дезорганизация деятельности компании» (последствие связано с воздействием угрозы 1 на уязвимость 2 информационной системы организации). Цена ущерба, связанного с этим последствием, составляет 20000,00 рублей.

    В результате реализации угрозы 2 наступают следующие последствия:

    – «Финансовые потери от получения информации конкурентами» (цена ущерба, связанного с этим последствием, составляет 50000,00. руб.);

    – «Ущерб репутации организации» (цена ущерба, связанного с этим последствием, составляет 70000,00. руб.).

    Первое из указанных последствий связано с воздействием угрозы 2 на уязвимость 1 информационной системы организации, второй – с воздействием угрозы 2 на уязвимость 2 информационной системы организации.

    Задание 2.3.1.1 Найти цену ущерба по угрозам 1 и 2.

    Задание 2.3.1.2 Определить величину общего информационного риска.

    Задание 2.3.1.3 Оценить (в процентах) эффективность мер, принятых для парирования угроз (E), если известно, что в результате их использования удалось уменьшить цену ущерба от реализации угрозы 1 в 1,5 раза, а цену ущерба от реализации угрозы 2 – в 2 раза.

    Задание 2.3.1.Найти критичность реализации угрозы 1 через уязвимость 1. Определить для всех выявленных угроз и уязвимостей Th и CTh, если критичность реализации угрозы 1 через уязвимость 2 составляет 20 %; угрозы 2 через уязвимость 1 – 40 %; угрозы 2 через уязвимость 2 – 30 %.

    Задание 2.3.1.5 Установить, чем обусловлены уязвимость 1 и уязвимость 2 информационной системы организации. Предложить подходы по устранению этих уязвимостей (по сути, меры для парирования угроз, воздействующих на эти уязвимости).

    Контрольные вопросы

    1. Что такое информационный риск?

    2. В чем заключается задача управления информационными рисками?

    3. Какие существуют методики оценки рисков и управления ими?

    4. Какие этапы включает в себя методика оценки информационных рисков COBRA?

    5. Как определяются общие ожидаемые затраты на ЗИ техническими средствами:

    6. Что такое критичность реализации угрозы?

    7. Какие этапы включает в себя методика CRAMM оценки информационных рисков?

    1   2


    написать администратору сайта