3 Исходные данные

Компании требуется оценить проект по защите одного из сегментов сети своей информационной системы при помощи системы  анализа защищенности. Известна величина риска, исчисляемая в денежном выражении (205 000 р. за год), которая учитывает потери от реализации тех или иных атак и вероятности их осуществления. Также известно, что величина риска после внедрения разработанного программного комплекса сократится на 60%. Стоимость программного комплекса составляет 100 000,00 р. Подробнее потоки денежных средств по данному проекту представлены в таблице 2.

Таблица 2. Потоки денежных средств
Периоды	0	1	2	3
Первоначальные инвестиции	- 100 000, 00
Выгоды (размер риска)		205 000, 00	205 000, 00	205 000, 00
Размер остаточного риска		-82 000, 00	-82 000, 00	-82 000, 00
Стоимость годовой поддержки		-50 000, 00	-50 000, 00	-50 000, 00
Затраты на администрирование		-7500, 00	-7500, 00	-7500, 00
Итого:	- 100 000, 00	60 500, 00	60 500, 00	00, 00

4 Задание на выполнение

1. Определить чистую текущую стоимость NPV проекта (по годам и общую) и экономический результат

2. Определить индекс доходности

3. Определить срок окупаемости

Лабораторная работа 6

АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Цель работы: ознакомление с методикой оценки риска информационной безопасности

1. Теоретические сведения

Риск  - это вероятность причинения ущерба и возможные последствия. Управление информационными рисками (IRM - Information Risk Management) представляет собой процесс выявления и оценки рисков, снижения их до приемлемого уровня, а также внедрения адекватных механизмов для поддержания этого уровня. Стопроцентной защиты не существует. Каждая система имеет уязвимости и подвержена угрозам. Необходимо выявлять эти угрозы, оценивать вероятность их реализации и ущерб, к которому это может привести. Затем нужно предпринимать правильные шаги для снижения общего уровня риска всего окружения до уровня, считающегося в компании приемлемым. Риски могут иметь различные формы, не обязательно связанные с компьютерами. С точки зрения информационной безопасности, существует несколько видов рисков, которые компания должна понимать и учитывать. Ниже представлен список основных категорий:

• Физический ущерб. Пожар, затопление, вандализм, отсутствие электроэнергии, стихийные бедствия.

• Действия человека. Случайные или намеренные действия или бездействие, которые могут нарушить работу компании.

• Неисправность оборудования. Неработоспособность систем или периферийных устройств.

• Внутренние и внешние атаки. Хакинг, крекинг и проведение атак.

• Неправильное использование данных. Предоставление совместного доступа к конфиденциальной информации компании, мошенничество, шпионаж, кражи.

• Утрата данных. Преднамеренное или непреднамеренное уничтожение информации.

• Ошибки приложений. Ошибки в вычислениях, ошибки ввода информации, переполнения буфера.

Эти угрозы должны быть выявлены, категорированы, и оценены с точки зрения масштабов потенциальных потерь. Реальные риски очень трудно измерить, однако расставить приоритеты в списке потенциальных рисков и выбрать те, которыми следует заняться в первую очередь, вполне достижимо.

Анализ рисков является методом выявления уязвимостей и угроз, оценки возможного воздействия, что позволяет выбирать адекватные защитные меры именно для тех систем и процессов, в которых они необходимы. Анализ рисков позволяет сделать безопасность экономически эффективной, актуальной, своевременной и способной реагировать на угрозы. Он также помогает компании приоритезировать список рисков, определить и обосновать разумную стоимость защитных мер.

Анализ рисков имеет четыре основные цели:

• Идентификация активов и их ценности для компании

• Идентификация угроз и уязвимостей

• Количественная оценка вероятности и влияния на бизнес этих потенциальных угроз

• Обеспечение экономического баланса между ущербом от воздействия угроз и стоимостью контрмер

Анализ рисков позволяет сравнить годовую стоимость защитных мер с потенциальным ущербом. Годовая стоимость защитных мер не должна превышать потенциальный годовой ущерб.

Фактическая стоимость актива определяется на основании стоимости его приобретения, разработки и поддержки. Ценность актива определяется его значением, которое он имеет для владельцев, уполномоченных и неуполномоченных пользователей. Некоторая информация является важной для компании и ей присваивается гриф конфиденциальности.

Например, стоимость сервера составляет $4000, но это не является его ценностью, учитываемой при оценке рисков. Ценность определяется затратами на его замену или ремонт, потерями из-за снижения производительности, ущербом от повреждения или утраты хранящихся на нем данных. Именно это будет определять ущерб для компании в случае повреждения или утраты сервера по той или иной причине.

Уязвимость - это недостаток в программном обеспечении, оборудовании или процедуре, который может предоставить атакующему возможность доступа к компьютеру или сети и получения несанкционированного доступа к информационным ресурсам компании. Уязвимость - это отсутствие или слабость защитных мер. Уязвимостью может открытый порт на межсетевом экране, слабая физическая безопасность, позволяющая любому войти в серверную комнату, отсутствие управления паролями на серверах и рабочих станциях.

Угроза - это потенциальная опасность для информации или системы. Угрозой является, если кто-то или что-то выявит наличие определенной уязвимости и использует ее против компании или человека. Нечто, дающее возможность использования уязвимости, называется источником угрозы (threat agent). Источником угрозы может быть хакер, получивший доступ к сети через открытый на межсетевом экране порт; процесс, осуществляющий доступ к данным способом, нарушающим политику безопасности; торнадо, разрушившее здание; сотрудник, совершивший ошибку, которая может привести к утечке конфиденциальной информации или нарушению целостности файлов.

Риск - это вероятность того, что источник угрозы воспользуется уязвимостью, что приведет к негативному воздействию на бизнес.

Воздействие (exposure) - это нечто, приводящее к потерям в связи с действиями источника угрозы. Уязвимости воздействуют на компанию, приводя к возможности нанесения ей ущерба.

Контрмеры (или защитные меры) - это меры, внедрение которых позволяет снизить уровень потенциального риска. Контрмерами может быть настройка программного обеспечения, оборудования или процедур, устраняющая уязвимости или снижающая вероятность того, что источник угрозы сможет воспользоваться уязвимостью. Примером контрмер является строгое управление паролями.

Расчет рисков по угрозе информационной безопасности осуществляется на основании следующих исходных данных:

Критичность ресурса (D) – степень значимости ресурса. Отражает влияние реализации угрозы на работу информационной системы.

Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс. Задается в %.

Вероятность реализации угрозы через данную уязвимость в течении года (P(v)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях, указывается в %.

На первом этапе рассчитывается уровень i-той угрозы по j-той уязвимости Th на основе критичности и вероятности реализации угрозы через данную уязвимость. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации:

Значение уровня угрозы по уязвимости находится в интервале от 0 до 1.

Чтобы рассчитать уровень i-той угрозы по всем уязвимостям CTh, через которые возможна реализация данной угрозы на ресурсе, просуммируем полученные уровни угроз через конкретные уязвимости по следующей формуле:

n – количество уязвимостей. Значения уровня угрозы по всем уязвимостям 

получается в интервале от 0 до 1.

Общий уровень угроз по ресурсу ( в интервале от 0 до 1):

m – количество угроз.

Общий риск по ресурсу (руб):

Общий риск по всем ресурсам:

2. Задание на выполнение

Рассчитать общий риск для заданной модели угроз и уязвимостей:

Ресурс	Угроза	Уязвимость	P(v)	ER
Сервер локальной сети Критичность ресурса 15000 руб	Физический доступ нарушителя к серверу	1.Неорганизованность контрольно-пропуск-ного режима на предприятии
		2.Отсутствие видеонаблюдения
	2. Разглашение кон-фиденциальной информации, хра-нящейся на сервере	1.Отсутствие соглаше-ния о нераспространении КИ
		2.Нечеткое распределение ответственности между сотрудниками предприятия
Конфиденциальная документация Критерий критичности равен 3000 рублей.	1.Физический доступ нарушителя к документам	1.Неорганизованность контрольно-пропускного режима на предприятии
		2.Отсутствие видеонаблюдения
	2.Разглашение КИ, используемой в документах, вынос документов	1.Отсутствие соглашения о неразглашении КИ
		2. Нечеткое распре-деление ответствен-ности за документы между сотрудниками предприятия
	3.Несанкционированное копирование, печать и размножение КД	1.Нечеткая организация конфиденциального документооборота
		2. Неконтролируемый доступ сотрудников к копировальной и множительной технике

Самостоятельно задать параметры: критичность реализации угрозы (ER) и вероятность реализации угрозы  (P(v)) –в пределах 0-100%.

Рассчитать уровень угроз, риск по каждому ресурсу и общий риск.