Добавил:
rushevamar@mail.ru Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

komiku

.docx
Скачиваний:
2
Добавлен:
17.06.2021
Размер:
444.89 Кб
Скачать

Отчет

по практическому занятию № 1

на тему: «Анализ рисков информационной безопасности»

выполнил студент группы 972303

Рушева Маргарита Владиславовна

Вариант 22

Дата выдачи задания: 20.02.2021

Цель: изучение рисков информационной безопасности предприятия и методик ее оценки.

Краткие теоретические сведения:

Риск информационной безопасности (information security risk) – это возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб предприятию.

Риск ИБ измеряется, исходя из комбинации вероятности события и его последствия.

Коммуникация риска (risk communication) – это обмен информацией о риске или совместное использование этой информации лицом, принимающим решение, и другими причастными сторонами.

Количественная оценка риска (risk estimation) – это процесс присвоения значений вероятности и последствий риска.

Идентификация риска (risk identification) – это процесс нахождения, составления перечня и описания элементов риска.

Снижение риска (risk reduction) – это действия, предпринятые для уменьшения вероятности и негативных последствий, связанных с риском.

Сохранение риска (risk retention) – это принятие бремени потерь или выгод от конкретного риска.

Перенос риска (risk transfer) – это разделение с другой стороной бремени потерь или выгод от риска.

Для обработки риска имеется четыре варианта:

1 Снижение риска.

Следует отметить, что при реализации снижения риска должны учитываться различные ограничения:

– временные ограничения;

– финансовые ограничения;

– технические ограничения;

– операционные ограничения;

– культурные ограничения;

– этические ограничения;

– ограничения, связанные с окружающей средой;

– юридические ограничения;

– ограничения, связанные с простотой использования;

– кадровые ограничения;

– ограничения, касающиеся интеграции новых и существующих мер и средств контроля и управления.

2 Сохранение риска.

3 Предотвращение риска.

4 Перенос риска.

Задание: рассчитать риск нанесения злоумышленниками ущерба отдельным информационным объектам предприятия {О1, О2, …, О8}, а также общий риск, если при проведении экспертизы было установлено, что соответствующий вектор относительных ценностей этих объектов {V1, V2, …, V8} по шкале {1 < … < 20}, законы распределения времени до возникновения ущерба определяются в соответствии с данными из таблицы 1, причем при ущербе одному из объектов стоимость других не снижается, а цена объекта О1 составляет С1 ден. ед. Построить график зависимости общего риска нанесения злоумышленниками ущерба информационным объектам от времени работы предприятия t, когда t изменяется от 0 до 106 часов с шагом 105 часов.

Таблица 1 – Исходные данные к заданию (часть 1)

Вар

Законы распределения времени до возникновения ущерба

О1

О2

О3

О4

О5

О6

О7

О8

22

TN(73, 22)

Exp(43)

N(71, 24)

TN(58, 18)

W(8, 65)

R(38)

Г(11,72)

TN(73,24)

Примечание: О1 ÷ О8 – информационные объекты 1 ÷ 8 предприятия;

Exp(λ/10-8) – экспоненциальное распределение;

N(m/104, σ/104) – нормальное распределение;

TN(m0/104, σ0/104) – усеченное нормальное распределение;

W(α, β/104) – распределение Вейбулла;

R(λ/10-14) – распределение Рэлея; Г(α, β/103) – Гамма распределение

Таблица 2 – Исходные данные к заданию (часть 2)

Вар

Цена объекта О1, ден.ед.

Вектор ценностей объектов {V1, V2, …, V8}

О1

О2

О3

О4

О5

О6

О7

О8

22

36

12

1

3

4

16

6

7

17

Примечание: О1 ÷ О8 – информационные объекты 1 ÷ 8 предприятия

Расчеты

Расчеты усеченного нормального распределения:

Расчеты распределения Рэлея:

Расчеты экспоненциального распределения:

Расчеты Гамма распределения:

Расчеты нормального распределения

Расчеты распределения Вейбулла:

Расчет стоимостей объектов:

Построение графика зависимости общего риска нанесения злоумышленниками ущерба информационным объектам от времени работы предприятия:

C(t)=

Результаты

Данные по результатам расчетов представлены в таблицах 3 и 4.

Таблица 3 – Данные по результатам расчетов (часть 1)

Оцениваемый параметр

Момент времени работы системы t × 10–5, часов

0

1

2

3

4

5

6

7

8

9

10

Q1(t) × 104

0

16

75

249

664

1475

2770

4455

6247

7801

8901

Q2(t) × 104

0

421

824

1210

1580

1935

2274

2599

2911

3209

3495

Q3(t) × 104

15

55

168

438

982

1908

3234

4834

6462

7857

8865

Q4(t) × 104

0

32

168

593

1581

3279

5439

7473

8891

9623

9902

Q5(t) × 104

0

0

1

21

204

1154

4097

8362

9948

10000

10000

Q6(t) × 104

0

38

151

336

590

906

1279

1699

2159

2649

3161

Q7(t) × 104

0

0

2

38

269

946

2185

3823

5533

7029

8168

Q8(t) × 104

0

32

124

355

835

1680

2932

4496

6143

7603

8696

Примечание: значения округлять к ближайшему целому числу

Таблица 4 – Данные по результатам расчетов (часть 2)

Оцениваемый параметр

Момент времени работы системы t × 10–5, часов

0

1

2

3

4

5

6

7

8

9

10

С1(t)

0

0,022

0,27

0,896

2,390

5,31

9,972

16,038

22,489

28,084

32,044

С2(t)

0

0,126

0,247

0,363

0,474

0,581

0,682

0,780

0,873

0,963

1,059

С3(t)

0,014

0,050

0,151

0,394

0,884

1,717

2,911

4,351

5,816

7,071

7,979

С4(t)

0

0,038

0,202

0,712

1,900

3,935

6,527

8,968

10,670

11,548

11,882

С5(t)

0

0

0,005

0,101

0,979

5,539

19,666

40,138

47,750

48

48

С6(t)

0

0,068

0,272

0,605

1,062

1,631

2,302

3,058

3,886

4,768

5,690

С7(t)

0

0

0,004

0,080

0,565

1,987

4,589

9,4416

12,900

15,966

18,262

С8(t)

0

0,163

0,632

1,811

4,259

8,568

14,953

22,930

31,329

38,775

44,350

Собщ.(t)

0,014

0,467

1,783

4,962

12,434

29,268

61,602

105,705

135,713

155,175

169,266

Выводы

Выполнив данную работу и глядя на построенный график, можно сделать следующие выводы.

  1. Чем дольше остается неизменной защита информации тем проще злоумышленнику получить к ней доступ.

  2. Со временем ущерб увеличивается. Благодаря нашим расчетам можно рассчитать эффективную модель защиты информации и сделать ее наиболее выгодной и надежной.

Ответы на контрольные вопросы

1. Что называется риском информационной безопасности предприятия? Риск информационной безопасности – это возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб предприятию. 2. От чего зависит эффективность обработки риска информационной безопасности предприятия?

Эффективность обработки риска зависит от результатов оценки риска. Обработка риска может не обеспечить сразу же приемлемый уровень остаточного риска. В этой ситуации потребуется, если необходимо, еще одна итерация оценки риска с измененными параметрами конспекта, за которой последует очередная процедура обработки риска. 3. Какие критерии оценки рисков информационной безопасности должны учитываться на предприятии? Критерии оценки рисков разрабатывают с учетом: • Стратегической ценности разработки бизнес-информации; • Критичности затронутых информационных активов; • Законодательно-нормативных требований и договорных обязательств; • Оперативного значения и значения для бизнеса доступности, конфиденциальности и целостности; • Ожидания и реакции причастных сторон, а также негативных последствий для нематериальных активов и репутации. Кроме того, критерии оценки рисков могут использоваться для определения приоритетов при обработке рисков.

4. Какие ограничения должны учитываться на предприятии при реализации снижения риска информационной безопасности?

При реализации снижения риска должны учитываться различные ограничения:

-временные ограничения;

-финансовые ограничения;

-технические ограничения;

-операционные ограничения;

-этические ограничения;

-ограничения, связанные с окружающей средой;

-юридические ограничения;

-ограничения, связанные с простотой использования;

-кадровые ограничения;

-ограничения, касающиеся интеграции новых и существующих мер и средств контроля и управления.

5. В чем заключается аддитивная методика оценки ценности информации?

В рамках аддитивной модели оценка возможных потерь строится на основе полученных стоимостей компонентов исходя из прогноза возможных угроз этим компонентам. Возможности угроз оцениваются вероятностями соответствующих событий , а потери считываются как математическое ожидание потери компоненты данной стоимости по распределению возможных угроз.

Соседние файлы в предмете Основы защиты информации