Главная страница
Навигация по странице:

  • Пример расчета риска информационной безопасности на основе модели информационных потоков

  • Средства физической защиты

  • Средства локальной защиты

  • Средства корпоративной сетевой защиты

  • Средства персональной сетевой защиты

  • Пример расчета рисков по угрозе конфиденциальность

  • Влияние ответов политики безопасности на коэффициенты

  • Пример разработка модели политики информационной безопасности для предприятия


    Скачать 1.07 Mb.
    НазваниеПример разработка модели политики информационной безопасности для предприятия
    Дата07.06.2018
    Размер1.07 Mb.
    Формат файлаdoc
    Имя файла_razrabotka_modeli_politiki_ib_1.doc
    ТипДокументы
    #46317
    страница2 из 2
    1   2

    Tug,n – время простоя для связи «информация – группа пользователя».

    7. Ущерб для угрозы отказ в обслуживании задается в час. Перемножив итоговое время простоя и ущерб от реализации угрозы, получим риск реализации угрозы отказ в обслуживании для связи «информация - группа пользователей».

    Пользователь имеет возможность задавать контрмеры. Для расчета эффективности введенной контрмеры необходимо пройти последовательно по всему алгоритму с учетом заданной контрмеры. Т.е. на выходе пользователь получает значение двух рисков – риска без учета контрмеры (Rold) и риск с учетом заданной контрмеры (Rnew) (или с учетом того, что уязвимость закрыта).

    Эффективность введения контрмеры рассчитывается по следующей формуле (E):



    В результате работы алгоритма пользователь системы получает следующие данные:

    1. Риск реализации по трем базовым угрозам для вида информации;

    2. Риск реализации по трем базовым угрозам для ресурса;

    3. Риск реализации суммарно по всем угрозам для ресурса;

    4. Риск реализации по трем базовым угрозам для информационной системы;

    5. Риск реализации по всем угрозам для информационной системы после задания контрмер.


    Пример расчета риска информационной безопасности на основе модели информационных потоков

    1. Входные данные:

    Например, информационная система Компании состоит из двух ресурсов: сервера и рабочей станции, которые находятся в одной сетевой группе, т.е. физически связанны между собой. На сервере хранятся виды информации: бухгалтерский отчет и база клиентов Компании. На рабочей станции расположена база договоров.

    К серверу локальный доступ имеет группа пользователей (к первой информации – бухгалтерский отчет):

    • главный бухгалтер.

    К серверу удаленный доступ имеют группы пользователей (ко второй информации – база клиентов Компании):

    • Топ-менеджер (с рабочей станции);

    • исполнительный директор (через глобальную сеть Интернет).

    К рабочей станции локальный доступ имеет группа пользователей (к базе договоров):

    • Топ-менеджер

    По правилам работы модели топ-менеджер при удаленном доступе к серверу является группой обычных пользователей, а исполнительный директор – группой авторизованных пользователей. Причем, топ-менеджер имеет удаленный доступ к серверу через коммутатор.


    Средства защиты:

    1. Средства защиты сервера:

    Средство защиты

    Вес средства

    Средства физической защиты

    Контроль доступа в помещение, где расположен ресурс (физическая охрана, дверь с замком, специальный пропускной режим в помещение)

    25

    Средства локальной защиты

    Отсутствие дисководов и USB портов

    10

    Средства корпоративной сетевой защиты

    Межсетевой экран

    10

    Обманная система

    2

    Система антивирусной защиты на сервере

    10


    1.1.Средства защиты первой информации (бухгалтерский отчет):


    Средства локальной защиты




    Средства криптографической защиты (криптозащита данных на ПК)

    20

    Средства резервирования и контроля целостности

    Резервное копирование

    10

    Программная система контроля целостности

    10


    1.2.Средства защиты второй информации (база клиентов Компании):

    Средств защиты информации нет.
    2. Средства защиты рабочей станции:

    Средство защиты

    Вес

    Средства физической защиты

    Контроль доступа в помещение, где расположен ресурс (дверь с замком, видео наблюдение)

    10

    Средства локальной защиты

    Средства антивирусной защиты (антивирусный монитор)

    10

    Отсутствие дисководов и USB портов

    10

    Средства персональной сетевой защиты

    Персональный межсетевой экран

    3

    Система криптозащиты электронной почты

    10

    2.1.Средства защиты информации (база данных наименований товаров Компании с их описанием):



    3. Средства защиты клиентского места группы пользователей:

    3.1.Средства защиты клиентского места топ-менеджера (группа обычных пользователей):

    Средство защиты

    Вес

    Средства физической защиты

    Контроль доступа в помещение, где расположен ресурс (дверь с замком, видео наблюдение)

    10

    Средства локальной защиты

    Средства антивирусной защиты (антивирусный монитор)

    10

    Отсутствие дисководов и USB портов

    10

    Средства персональной сетевой защиты

    Персональный межсетевой экран

    3

    Система криптозащиты электронной почты

    10


    3.2. Средства защиты клиентского места главного бухгалтера (группа обычных пользователей)

    Средство защиты

    Вес

    Средства физической защиты

    Контроль доступа в помещение, где расположен ресурс (дверь с замком, видео наблюдение)

    10

    Средства локальной защиты

    Средства антивирусной защиты (антивирусный монитор)

    10

    Отсутствие дисководов и USB портов

    10

    Средства персональной сетевой защиты

    Персональный межсетевой экран

    3

    Система криптозащиты электронной почты

    10


    3.3. Средства защиты клиентского места финансового директора (группа авторизованных Интернет-пользователей):

    Средства защиты клиентского места групп авторизованных Интернет-пользователей невозможно оценить, т.к. неизвестно, откуда будут осуществлять доступ пользователи этой группы.




    Вид доступа

    Права доступа

    Наличие VPN-

    соединения

    Количество человек в группе

    Главный бухгалтер/бухгалтерский отчет

    локальный

    чтение, запись,

    удаление

    нет

    1

    Топ-менеджер / база клиентов

    удаленный


    чтение

    есть

    1

    Исполнительный директор / база клиентов

    удаленный

    чтение, запись

    есть

    1

    Топ-менеджер / база договоров

    локальный

    чтение, запись,

    удаление


    нет


    1


    Наличие у группы пользователей выхода в Интернет:

    Главный бухгалтер

    есть

    Топ-менеджер

    нет


    Оценка ущерба компании от реализации угроз информационной безопасности:




    Конфиденциальность

    (у.е. в год)

    Целостность (у.е. в год)

    Доступность (у.е. в час)

    Главный бухгалтер/ бухгалтерский отчет


    100 у.е.


    100 у.е.


    1 у.е.

    Топ-менеджер/база клиентов


    100 у.е.


    100 у.е.


    1 у.е.

    Исполнительный директор/база клиентов


    100 у.е.


    100 у.е.


    1 у.е.

    Топ-менеджер/ база договоров


    100 у.е.


    100 у.е.


    1 у.е.


    Наследование:

    Т.к. сервер и рабочая станция Компании находятся в одной сетевой группе, т.е. физически соединены между собой, необходимо распространить наименьший коэффициент защиты и наибольшую базовую вероятность группы Интернет-пользователей на все информации на всех ресурсах, входящих в сетевую группу.


    Пример расчета рисков по угрозе конфиденциальность

    1. Коэффициенты защищенности:

    При локальном доступе к информации на ресурсе необходимо найти коэффициент локальнойзащищенности информациинаресурсе, который состоит из суммы весов средств физической и локальной защиты.

    При удаленном доступе рассчитываем коэффициенты локальной защищенности рабочего места группы пользователей, имеющей доступ к информации, (сумма весов средств физической, локальной и персональной сетевой защиты) и удаленнойзащищенности информациинаресурсе(сумма весов средств корпоративной сетевой защиты). В дальнейших расчетах участвует наименьший коэффициент.

    При локальном и удаленном доступе находим все три коэффициента, из которых также выбираем наименьший.

    Расчет рисков по угрозе конфиденциальность:

    1. Коэффициенты защищенности:




    Коэффициент локальной защищенности информации

    Коэффициент удалённой защищенности информации

    Коэффициент локальной защищенности рабочего места

    Наименьший коэффициент

    Главный бухгалтер/ бухгалтерский отчет

    55

    -

    -

    55

    Топ-менеджер/база клиентов


    -

    22

    43

    22

    Исполнительный директор/база клиентов

    -

    22

    -

    22

    Топ-менеджер/ база договоров

    30

    -

    -

    30


    2. Учет наличия доступа при помощи VPN:

    При локальном доступе наличие VPN не анализируется. При удаленном доступе, при использовании VPN, к наименьшему коэффициенту защищенности прибавляется вес VPN шлюза (20). Если при удаленном доступе VPN-соединение не используется для групп Интернет-пользователе итоговый коэффициент защищенности умножается на 4, для групп обычных пользователей (не Интернет-пользователей) – остается неизменным.




    Наименьший коэффициент

    Вес VPN-соединения

    Результирующий коэффициент

    Главный бухгалтер/бухгалтерский отчет

    55

    -

    55

    Топ-менеджер/ база клиентов


    22

    20

    42

    Исполнительный директор/база клиентов

    Компании

    22

    20

    42

    Топ-менеджер/ база договоров

    30

    -

    30



    3. Учет количества человек в группе и наличия у группы пользователей доступа в Интернет:




    Результирующий коэффициент

    Количество человек в группе пользователей

    Наличие у группы пользователей доступа в Интернет

    Итоговый коэффициент

    Главный бухгалтер/бухгалтерский отчет

    55

    1

    2

    0,036

    Топ-менеджер / база клиентов

    42

    1

    1

    0,024

    Исполнительный директор/база клиентов


    42


    1


    -


    0,024

    Топ-менеджер/база договоров


    30


    1


    1


    0,033


    Если к информации имеет доступ группа пользователей, превышающая 50 человек, то это соответственно увеличивает итоговый коэффициент. Если группа пользователей имеет доступ в Интернет, то это увеличивает итоговый коэффициент в 2 раза.

    Пример расчета итогового коэффициента (для главного бухгалтера):


    4. Итоговая вероятность

    Чтобы получить итоговую вероятность, необходимо определить базовую вероятность и умножить ее на итоговый коэффициент.




    Базовая вероятность

    Итоговая базовая вероятность

    Итоговый коэффициент

    Промежуточная вероятность

    Итоговая вероятность

    Главный бухгалтер/ бухгалтерский отчет


    0,35


    0,7


    0,036


    0,0252


    0,0252

    Топ-менеджер/ база клиентов


    0,7


    0,7


    0,024


    0,0168

    0,0331

    Исполнительный директор/ база клиентов


    0,35


    0,7


    0,024


    0,0168

    Топ-менеджер/ база договоров

    0,35

    0,7

    0,033

    0,0231

    0,0231





    Т.к. к информации на ресурсе, находящейся в сетевой группе, имеют доступ группа Интернет-пользователей, их базовая вероятность распространяется на все информации. Итоговая вероятность для второй информации, к которой имеют доступ несколько групп пользователей, рассчитываем по формуле:



    5. Риск по угрозе конфиденциальность




    Итоговая вероятность

    Ущерб от реализации угрозы

    Риск

    Бухгалтерский отчет

    0,0252

    100

    2,52

    База клиентов

    0,0331

    100

    3,31

    База договоров

    0,0231

    100

    2,31


    Пример расчета рисков по угрозе целостность

    1. Первый пункт вычисляется аналогично расчету по угрозе конфиденциальность.

    2. Учет средств резервирования и контроля целостности




    Наименьший коэффициент

    Вес VPN- соединения

    Веса средств резервирования и контроля целостности

    Результирующий коэффициент

    Главный бухгалтер / бухгалтерский отчет

    55

    -

    40

    95

    Топ-менеджер / база клиентов

    22

    20

    20

    62

    Исполнительный директор / база клиентов

    22

    20

    20

    62

    Топ-менеджер / база договоров

    30

    -

    20

    50


    3. Учет наличия резервного копирования, количества человек в группе пользователей и наличия у группы пользователей доступа в Интернет:





    Результирующий коэффициент

    Наличие резервного копирования

    Количество человек в группе пользователей

    Наличие у группы пользователей доступа в Интернет

    Итоговый коэффициент

    Главный бухгалтер / бухгалтерский отчет

    95

    1

    1

    2

    0,021

    Топ-менеджер/ база клиентов

    62

    1

    1

    1

    0,016

    Исполнительный директор/ база клиентов

    62

    4

    1

    -

    0,065

    Топ-менеджер / база договоров

    50

    1

    1

    1

    0,02





    Наличие резервного копирования учитывается следующим образом: если у информации на ресурсе осуществляется резервное копирование, то вес резервного копирования (10) прибавляется к коэффициенту защищенности. Если у информации на ресурсе резервное копирование не осуществляется, и группе пользователей, имеющей доступ к информации, разрешены запись или удаление, то итоговый коэффициент увеличивается в 4 раза.

    1. Аналогично расчету по угрозе конфиденциальность получим итоговую вероятность:




    Базовая вероятность

    Итоговая базовая вероятность

    Итоговый коэффициент

    Промежуточная вероятность

    Итоговая вероятность

    Главный бухгалтер/ бухгалтерский отчет

    0,25

    0,7

    0,021

    0,0147

    0,0147

    Топ-менеджер/база клиентов Компании

    0,1

    0,7

    0,016

    0,0112

    0,05619

    Исполнительный директор/ база клиентов

    0,7

    0,7

    0,065

    0,0455

    Топ-менеджер /база договоров

    0,25

    0,7

    0,02

    0,014

    0,014




    1. Риск по угрозе целостность




      Итоговая вероятность

      Ущерб от реализации угрозы

      Риск

      Бухгалтерский отчет

      0,0147

      100

      1,47

      База клиентов

      Компании


      0,05619


      100


      5,61

      База договоров


      0,014


      100


      1,4







      Итоговая вероятность

      Ущерб от реализации угрозы

      Риск

      Бухгалтерский отчет

      0,0147

      100

      1,47

      База клиентов

      Компании


      0,05619


      100


      5,61

      База договоров


      0,014


      100


      1,4







      Итоговая вероятность

      Ущерб от реализации угрозы

      Риск

      Бухгалтерский отчет

      0,0147

      100

      1,47

      База клиентов

      Компании


      0,05619


      100


      5,61

      База договоров


      0,014


      100


      1,4







      Итоговая вероятность

      Ущерб от реализации угрозы

      Риск

      Бухгалтерский отчет

      0,0147

      100

      1,47

      База клиентов

      Компании


      0,05619


      100


      5,61

      База договоров


      0,014


      100


      1,4







      Итоговая вероятность

      Ущерб от реализации угрозы

      Риск

      Бухгалтерский отчет

      0,0147

      100

      1,47

      База клиентов

      Компании


      0,05619


      100


      5,61

      База договоров


      0,014


      100


      1,4







      Итоговая вероятность

      Ущерб от реализации угрозы

      Риск

      Бухгалтерский отчет

      0,0147

      100

      1,47

      База клиентов

      Компании


      0,05619


      100


      5,61

      База договоров


      0,014


      100


      1,4







      Итоговая вероятность

      Ущерб от реализации угрозы

      Риск

      Бухгалтерский отчет

      0,0147

      100

      1,47

      База клиентов

      Компании


      0,05619


      100


      5,61

      База договоров


      0,014


      100


      1,4







      Итоговая вероятность

      Ущерб от реализации угрозы

      Риск

      Бухгалтерский отчет

      0,0147

      100

      1,47

      База клиентов

      Компании


      0,05619


      100


      5,61

      База договоров


      0,014


      100


      1,4








    Итоговая вероятность

    Ущерб от реализации угрозы

    Риск

    Бухгалтерский отчет

    0,0147

    100

    1,47

    База клиентов

    0,05619

    100

    5,62

    База договоров

    0,014

    100

    1,4

    Пример расчета рисков по угрозе отказ в обслуживании

    Расчет рисков по угрозе доступность

    1. Расчет коэффициента защищенности по угрозе доступность

    При расчете рисков по угрозе доступность анализируются средства резервирования: кластер, резервное копирование и резервный канал. Влияние резервного канала учитывается в том случает, если группа обычных пользователей (не Интернет-пользователей) имеет только удаленный доступ к информации на ресурсе.





    Коэффициент защищенности

    Наличие у группы пользователей доступа в Интернет

    Итоговый коэффициент

    Главный бухгалтер / бухгалтерский отчет

    0,25

    2

    0,5

    Топ-менеджер / база клиентов

    2

    1

    2

    Исполнительный директор / база клиентов

    4

    -

    4

    Топ-менеджер / база договоров


    0,25

    1


    0,25


    2. Расчет итогового времени простоя





    Базовое tп

    Итоговое базовое tп

    tп сетевого оборудования

    Итоговый коэффициент


    Промежуточное tп


    Итоговое tп

    Главный бухгалтер/ бухгалтерский отчет



    40



    70



    -



    0,5



    35



    35

    Топ-менеджер/база клиентов


    70


    70


    -


    2


    140

    280

    Исполнительный директор/база клиентов



    40



    70



    10



    4



    280

    Топ-менеджер/база договоров



    40



    40



    -



    0,25



    10



    10

    При расчете рисков по угрозе доступность базовые времена простоя наследуются только в пределах ресурса. Время простоя сетевого оборудования добавляется к итоговому времени простоя. Если итоговое время простоя превышает максимально критичное (280 часов в год по базовым настройкам), оно приравнивается к максимально критичному времени простоя. Для второй информации на сервере, к которой имеют доступ несколько групп пользователей, итоговое время простоя рассчитывается по следующей формуле:



    3. Расчёт рисков


    Итоговое время простоя

    Ущерб от реализации угрозы

    Риск

    Бухгалтерский отчет


    35


    1


    35

    База клиентов


    280


    1


    280

    База договоров


    10


    1


    10


    Влияние ответов политики безопасности на коэффициенты

    Модель информационных потоков не может учесть организационные меры, вопросы, связанные с поведением сотрудников организации и некоторые другие аспекты. Для того, чтобы наиболее полно охватить все угрозы, действующие на информационные ресурсы организации, вводится раздел Политика безопасности, который содержит вопросы. Определенные ответы на вопросы Политики безопасности влияют на веса средств защиты и изменяют риск реализации угроз информационной безопасности.

    Разделы Политики безопасности:

    1. Организационные меры;

    2. Безопасность персонала;

    3. Физическая безопасность;

    4. Управление коммуникациями и процессами;

    5. Контроль доступа;

    6. Непрерывность ведения бизнеса;

    7. Соответствие системы требованиям;

    8. Разработка и сопровождение систем.

    Примеры вопросов:

    Вопрос 1: Существует ли вкомпании разработанная политика информационной безопасности, все положениякоторойнапрактикевнедреныв информационнуюсистему?
    Варианты ответов:

    Да

    Нет

    Положения политики внедрены частично
    Влияние ответов:

    Да – все веса средств защиты увеличиваются на 10%;

    Нет – все веса средств защиты уменьшаются на 10%;

    Положения политики внедрены частично – все веса средств защиты уменьшаются на 3%.
    Вопрос 2:
    Может ли раскрытие какой-либо информации принести существенную выгоду посторонним лицам, заинтересованным организациям и т. п.?
    Варианты ответов:

    Да

    Нет
    Влияние ответов:

    Да – все веса средств защиты по угрозе Конфиденциальность по ресурсам, к которым имеют доступ группы Интернет-пользователей, уменьшаются на 5%

    Нет – все веса средст защиты по угрозе Конфиденциальность по ресурсам, к которым имеют доступ группы Интернет-пользователей, увеличиваются на 2%
    Вопрос 3:
    Администраторы или офицеры безопасности администрируют систему удаленно через

    Интернет, не применяя средств криптозащиты трафика?
    Варианты ответов:

    Да

    Нет
    Влияние ответов:

    Да – все веса средств защиты уменьшаются на 50%. Все веса средств защиты ресурсов, к которым имеют доступ группы администраторов или офицеров безопасности, уменьшаются на 100%.

    Нет – ничего не меняется.
    1   2


    написать администратору сайта