Файловый архив студентов. Файловый архив студентов.
1314 вуза, 5319 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный университет Львовская политехника
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
!_Практична_робота_No.5.docx
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
927.91 Кб
Скачать
►Содержание►

2. Метод coras

CORAS – це метод для проведення аналізу ризиків інформаційної безпеки. Даний метод характеризується розробленою мовою моделювання загроз та ризиків, яка використовується для збору і моделювання відповідної інформації на різних етапах аналізу захищеності. Для документування проміжних результатів, а також для представлення спільних висновків використовуються спеціальні CORAS діаграми. Метод CORAS реалізований у вигляді програмного забезпечення, яке призначене для підтримки документування, збереження та аналізу результатів звітності протягом моделювання ризиків.

Метод CORAS передбачає такі основні етапи:

Етап 1. Початкова підготовка до аналізу ризиків ІБ. Основною метою даного етапу є отримання загального розуміння того, що повинно бути метою і якою буде область такого аналізу.

Етап 2. На другому етапі проводиться ознайомча зустріч з клієнтом, від імені якого проводиться аналіз. Основним пунктом порядку денного для цієї зустрічі є формулювання основних цілей аналізу та окреслення цільового об’єкту.

Етап 3. Третій етап спрямований на забезпечення загального розуміння мети аналізу, в тому числі діяльності, масштабів і основних засобів. Група з аналізу ризиків окреслює своє розуміння ситуації, про яку вони дізналися на першому засіданні та від вивчення документації, яка була надана їм замовником. На основі взаємодії з замовником, група з аналізу ризиків також визначає основні активи, що підлягають захисту. Крім цього, група з аналізу ризиків проводить виявлення основних сценаріїв загроз, вразливостей та ризиків ІБ, які повинні стати предметом подальшого аналізу.

Етап 4. На четвертому етапі здійснюється затвердження критеріїв оцінки ризику для кожного активу.

Етап 5. Ідентифікації ризиків ІБ. Для виявлення ризиків, CORAS використовує підхід мозкового штурму. Виявлення ризиків включає в себе систематичне виявлення загроз, небажаних інцидентів, сценаріїв загроз та уразливостей щодо виявлених активів. Результати документуються за допомогою діаграм загроз CORAS.

Етап 6. Шостий етап спрямований на визначення рівня ризику виявлених небажаних інцидентів ІБ. Небажані інциденти ІБ були зафіксовані в діаграмах загроз на етапі 5 і ці графіки є основою для оцінки ризику.

Етап 7. Сьомий етап спрямований на вирішення того, які з виявлених ризиків ІБ є прийнятними, а які ризики ІБ мають бути оцінені для подальшого оброблення. Так чи інакше, ризики ІБ визначаються прийнятними на основі вже встановлених критеріїв оцінки ризиків і результатів оцінки.

Етап 8. Восьмий етап пов’язаний з виявлення й аналізом процедур. Ризики ІБ, які будуть визнані неприйнятними підлягають обробленню. Оброблення ризиків має сприяти зниженню ймовірності і/або наслідків небажаних інцидентів.

3. Програмне забезпечення coras

Програмне забезпечення CORAS – це редактор діаграм. Даний програмний засіб призначений для підтримки моделювання усіх видів діаграм CORAS. Він містить шість основних частин, які наведені на рис. 1. Даний інструментарій доступний для вільного користування та може бути завантажений із офіційного сайту методу.

Рис. 1. Робоча область програмного забезпечення CORAS

  • Випадаюче меню: стандартні функції, наприклад: відкриття, збереження, копіювання, вирізати, вставити, роздрукувати тощо.

  • Панель інструментів: пропонує легкий доступ до стандартних функцій випадаючого меню.

  • Палітра: містить всі моделі елементів та зв’язків для створення діаграм CORAS.

  • Область малювання: площа або полотно для створення діаграм CORAS.

  • Вікно властивостей: список властивостей вибраних елементів; може бути використаний для редагування значень властивостей.

  • Схема: представляє проект і його діаграми у вигляді дерева.

Діаграми CORAS містять такі компоненти:

Сторона – організація, компанія, особа, група або будь-який інший індивід, від чийого імені проводиться аналіз ризиків ІБ.

Прямий актив

Непрямий актив

Актив – щось цінне для сторони і, що відповідно повинне бути захищене.

Небажаний інцидент – подія, яка шкодить або зменшує цінність активу.

Уразливість – слабкість або недолік, які можуть бути використані загрозою з метою заподіяння шкоди активу або зменшення його цінності.

Загроза – це потенційна причина небажаного інциденту.

Сценарій загроз – ряд подій, що ініціюються загрозами та можуть зумовити небажані інциденти.

Ризик – ймовірність небажаного інциденту та його наслідків для конкретного активу.

Захист – заходи щодо зниження рівня ризику.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности