Категории:
ДомЗдоровьеЗоологияИнформатикаИскусствоИскусствоКомпьютерыКулинарияМаркетингМатематикаМедицинаМенеджментОбразованиеПедагогикаПитомцыПрограммированиеПроизводствоПромышленностьПсихологияРазноеРелигияСоциологияСпортСтатистикаТранспортФизикаФилософияФинансыХимияХоббиЭкологияЭкономикаЭлектроника
Расчет рисков информационной безопасности
1. На первом этапе рассчитывается уровень угрозы по уязвимости (Th) на основе критичности и вероятности реализации угрозы через данную уязвимость. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации.
,
,
где ERc,i,a – критичность реализации угрозы (указывается в %), P(V)c,i,a – вероятность реализации угрозы через данную уязвимость по конфиденциальности, целостности и доступности (указывается в %).
Здесь вычисляется одно (Th) или три значения (Thc, Thi, Tha) в зависимости от количества базовых угроз. Значение уровня угрозы по уязвимости лежит в отрезке [0, 1].
2. Чтобы рассчитать уровень угрозы по всем уязвимостям (CTh), через которые возможна реализация данной угрозы на ресурс, просуммируем полученные уровни угроз через конкретные уязвимости по следующим формулам.
Для режима с одной базовой угрозой:
.
Для режима с тремя базовыми угрозами:
,
,
.
Значение уровня угрозы по всем уязвимостям лежит в отрезке [0, 1].
3. Далее рассчитывается общий уровень угроз по ресурсу (CThR) с учетом всех угроз, действующих на ресурс.
Для режима с одной базовой угрозой:
.
Для режима с тремя базовыми угрозами:
,
,
.
Значение общего уровня угрозы лежит в отрезке [0, 1].
4. Итоговый риск по ресурсу (R), характеризующий возможные потери собственника ИС, связанные с реализацией некоторой угрозы через любую уязвимость, рассчитывается следующим образом.
Для режима с одной базовой угрозой:
,
где D – критичность ресурса. Для угроз нарушения целостности или доступности определяется заранее (в деньгах или уровнях в год), а в случае угрозы нарушения доступности ресурса (DoS – отказ в обслуживании) критичность ресурса в год рассчитывается по формуле:
,
где Da / час – критичность простоя ресурса в час, T – общее время простоя.
Для режима с тремя базовыми угрозами:
,
,
где Dc,i,a – критичность ресурса по каждой из трех угроз заданная в деньгах или уровнях в год.
5. Общий риск по информационной системе (CR) рассчитывается по следующим формулам.
Для режима с одной базовой угрозой:
– для случая оценки в деньгах;
– для случая оценки в уровнях.
Для режима с тремя базовыми угрозами:
,
– для случая оценки в деньгах;
,
– для случая оценки в уровнях. В обоих режимах подразумевается Ri – риск i‑го ресурса, CRc,i,a – риск по ИС для каждого вида угроз.
6. Для расчета эффективности введенной контрмеры (E) необходимо заново пройти шаги 1-5 с учетом заданной контрмеры и определить значение двух рисков – риска без учета контрмеры (Rold) и риск с учетом заданной контрмеры (Rnew) или с учетом того, что уязвимость закрыта.
Эффективность введения контрмеры рассчитывается по формуле:
.
В результате работы алгоритма пользователь получает следующие данные:
1. Риск реализации по трем базовым угрозам (или по одной суммарной угрозе) для ресурса.
2. Риск реализации суммарно по всем угрозам для ресурса.
3. Риск реализации по трем базовым угрозам (или по одной суммарной угрозе) для ИС.
4. Риск реализации по всем угрозам для ИС.
5. Риск реализации по всем угрозам для ИС после задания контрмер.
6. Эффективность контрмеры.
Пример расчета рисков ИБ на основе модели угроз и уязвимостей
Рассмотрим расчет рисков только для одного ресурса ИС – сервера, т.к. для остальных ресурсов риск рассчитывается аналогично.
1. Входные данные по всем ресурсам ИС.
| Ресурс | Угрозы | Уязвимости |
| Ресурс 1 Сервер (Критичность ресурса D = 100 у.е.) | Угроза 1. Неавторизованное проникновение злоумышленника внутрь охраняемого периметра. | Уязвимость 1. Отсутствие регламента доступа в помещения с ресурсами, содержащими ценную информацию. |
| Уязвимость 2. Отсутствие системы наблюдения за ресурсом. | ||
| Угроза 2. Неавторизованная модификация информации в системе электронной почты, хранящейся на ресурсе. | Уязвимость 1. Отсутствует авторизация на внесение изменений в систему электронной почты. | |
| Уязвимость 2. Отсутствие регламента работы с системой криптографической защиты электронной почты. | ||
| Угроза 3. Разглашение конфиденциальной информации – ключей доступа к ресурсу – сотрудниками организации. | Уязвимость 1. Отсутствие соглашений о сохранении конфиденциальности ключевой информации. | |
| Уязвимость 2. Распределение ключевой информации между несколькими сотрудниками. |
2. Входные данные по парам ресурс/угроза для каждого ресурса ИС.
| Ресурс 1. Сервер | ||
| Угроза/уязвимость | Вероятность реализации угрозы через данную уязвимость в течении года %, P(V) | Критичность реализации угрозы через данную уязвимость %, ER |
| Угроза 1/уязвимость 1 | ||
| Угроза 1/уязвимость 2 | ||
| Угроза 2/уязвимость 1 | ||
| Угроза 2/уязвимость 2 | ||
| Угроза 3/уязвимость 1 | ||
| Угроза 3/уязвимость 2 |
3. Расчет уровней угрозы по каждой (Th) и по всем (CTh) уязвимостям для каждого ресурса ИС.
| Ресурс 1. Сервер | ||
| Угроза/уязвимость | Уровень угрозы по каждой уязвимости
%, Th
| Уровень угрозы по всем уязвимостям, через которые она может быть реализована
%, CTh
|
| Угроза 1/уязвимость 1 | 0.3 | 0.384 |
| Угроза 1/уязвимость 2 | 0.12 | |
| Угроза 2/уязвимость 1 | 0.24 | 0.27 |
| Угроза 2/уязвимость 2 | 0.04 | |
| Угроза 3/уязвимость 1 | 0.08 | 0.669 |
| Угроза 3/уязвимость 2 | 0.64 |
4. Расчет общего уровня угроз (CThR) действующего на ресурс для каждого ресурса ИС.
| Ресурс 1. Сервер | ||
| Угроза/уязвимость | Уровень угрозы по всем уязвимостям %, CTh | Общий уровень угроз по ресурсу
%, CThR
|
| Угроза 1/уязвимость 1 | 0.384 | 0.8511 |
| Угроза 1/уязвимость 2 | ||
| Угроза 2/уязвимость 1 | 0.27 | |
| Угроза 2/уязвимость 2 | ||
| Угроза 3/уязвимость 1 | 0.669 | |
| Угроза 3/уязвимость 2 |
5. Расчет итогового риска по ресурсу (R) для всех ресурсов ИС.
| Ресурс 1. Сервер | ||
| Угроза/уязвимость | Общий уровень угроз по ресурсу %, CThR | Риск по ресурсу
у.е., R
|
| Угроза 1/уязвимость 1 | 0.8511 | 85.11 |
| Угроза 1/уязвимость 2 | ||
| Угроза 2/уязвимость 1 | ||
| Угроза 2/уязвимость 2 | ||
| Угроза 3/уязвимость 1 | ||
| Угроза 3/уязвимость 2 |
6. Расчет общего риска по информационной системе (CR).
Для нашего примера (режима с одной базовой угрозой и случая оценки в деньгах) необходимо просуммировать все риски (R) по каждому ресурсу ИС:
.
Но так как мы описали здесь лишь один ресурс, то CR = 85.11 у.е.
КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Что такое информационная система?
2. Что понимают под информацией и информационными ресурсами?
3. Назовите и охарактеризуйте основные свойства ИР.
4. Что такое угроза ИБ?
5. Что такое уязвимость?
6. Что такое риск ИБ?
7. Что понимают под оценкой, анализом и управлением рисками ИБ?
8. Что характеризует показатель критичности ИР?
9. Что характеризует показатель критичности реализации угрозы ИБ?
10. Что характеризует показатель вероятности реализации угрозы через данную уязвимость?
11. Что характеризует показатель максимального критичного времени простоя?
12. Охарактеризуйте методику оценки рисков от Digital Security. Какие данные в ней используются? Каковы основные результаты применения методики? Как проводится расчет риска по данной методике? Какие показатели при этом используются? Как рассчитывается эффективность введенных контрмер?
ЗАДАНИЕ НА ЛАБОРАТОРНУЮ РАБОТУ № 3
Название работы
Расчет рисков информационной безопасности.
Задание (не забудьте оформить отчет)
1. Изучить основной теоретический материал лабораторной работы.
2. Изучить методику оценки рисков от Digital Security.
3. Внести структурную схему и описание вашей ИС в отчет (Структура и описание ИС из лаб. работы №1).
4. Составить и внести в отчет перечни типов угроз ИБ и информационные ресурсы, присутствующие в данной ИС.
5. По описанной выше методике от Digital Security выполнить оценку риска ИБ для каждого информационного ресурса вашей ИС. Внесите расчеты в отчет.
6. Для упрощения вычислений реализуйте алгоритм расчета рисков на любом доступном языке программирования или в MS Excel. Внесите листинг программы в отчет.
7. Дополнительно попробуйте «реализовать» (описать) контрмеры против некоторых из имеющихся уязвимостей и рассчитать эффективность введенных контрмер.
8. Внести ответы на контрольные вопросы в отчет.
Последнее изменение этой страницы: 2016-07-23
lectmania.ru. Все права принадлежат авторам данных материалов. В случае нарушения авторского права напишите нам сюда...