UIK6-73_TOIBAS_DZ2
.docxЦель работы: закрепить навыки анализа состояния автоматизированной системы и расчета рисков информационной безопасности для заданной АС.
Задачи: выполнить анализ конфигурации и периметра безопасности рассматриваемого объекта обеспечения информационной безопасности. Выявить факторы, которые потенциально могут оказывать вредоносное воздействие на информационную безопасность рассматриваемого объекта. Оценить вероятность реализации выявленных угроз и уязвимостей. Рассчитать риски информационной безопасности для заданной автоматизированной системы в соответствии с вариантом. Реализовать алгоритм расчета рисков на одном из языков программирования.
Автоматизированная система: частное малое предприятие по сборке сигнализаций.
ВЫПОЛНЕНИЕ РАБОТЫ
РАСЧЕТ РИСКОВ ДЛЯ КОМПЬЮТЕРНОЙ СИСТЕМЫ
Проведем расчет рисков для сервера компьютерной системы (далее – КС) частного малого предприятия по сборке сигнализаций.
Входные данные по всем ресурсам КС
В таблице 1 представлены входные данные:
Таблица 1 – Входные данные по всем ресурсам КС
Ресурс |
Угрозы |
Уязвимости |
Ресурс 1. Сервер (Критичность ресурса D = 100 у.е) |
Угроза 1. Осуществление несанкционированного ознакомления, модификации, блокировки целевой информации. |
Уязвимость 1. Недостатки механизмов разграничения доступа и организационных мероприятий, связанные с возможностью осуществления несанкционированного доступа к защищаемой информации. |
Уязвимость 2. недостатки мер физической защиты, связанные с возможностью хищения элементов НПФ, носителей информации, производственных отходов и последующего их несанкционированного анализа |
||
Угроза 2. Осуществление несанкционированного ознакомления с конфигурационными файлами и настройками средств защиты информации. |
Уязвимость 1. недостатки механизмов разграничения доступа, связанные с возможностью маскировки под уполномоченного администратора |
|
Уязвимость 2. недостатки реализации необходимых организационных мероприятий на объектах НПФ, связанные с возможностью несанкционированного визуального просмотра технологической информации на средствах отображения (экранах мониторов), а также несанкционированного ознакомления с распечатываемыми документами, содержащими защищаемую информацию. |
||
Угроза 3. Превышение полномочий непривилегированных пользователей. |
Уязвимость 1. Уязвимость кода, ее эксплуатация позволяет авторизованному злоумышленнику с доступом к решению через общую лицензию просматривать конфиденциальную информацию о других пользователях, их активах, и их процессы, даже если они принадлежат к другой организации. |
|
Уязвимость 2. Уязвимость кода, удаленный злоумышленник может получить доступ к конфиденциальной информации путем отправки специально сформированного XML-кода. |
Входные данные по парам ресурс/угроза для каждого ресурса компьютерной системы.
ERc,i,a – критичность реализации угрозы, %.
P(V)c,i,a – вероятность реализации угрозы через данную уязвимость, %.
В таблице 2 представлены входные данные.
Таблица 2 – Входные данные по парам ресурс/угроза
Ресурс 1. Сервер |
||
Угроза/уязвимость |
Вероятность реализации угрозы через данную уязвимость в течение года %, P(V) |
Критичность реализации угрозы через данную уязвимость %, ER |
Угроза 1/уязвимость 1 |
80 |
80 |
Угроза 1/уязвимость 2 |
60 |
40 |
Угроза 2/уязвимость 1 |
50 |
60 |
Угроза 2/уязвимость 2 |
20 |
60 |
Угроза 3/уязвимость 1 |
10 |
80 |
Угроза 3/уязвимость 2 |
10 |
40 |
Расчет уровней угрозы по каждой (Th) и по всем (CTh) уязвимостям каждого ресурса КС.
Уровень угрозы по каждой уязвимости рассчитывается по формуле 1:
|
(1) |
Уровень угрозы по всем уязвимостям, через которые она может быть реализована, вычисляется по формуле 2:
|
(2) |
Выполним расчеты по указанным выше формулам 1 и 2:
В таблице 3 представлены результаты расчетов.
Таблица 3 – Результаты расчетов
Ресурс 1. Сервер |
||
Угроза/уязвимость |
Уровень угрозы по каждой уязвимости %, Th |
Уровень угрозы по всем уязвимостям, через которые она может быть реализована %, CTh |
Угроза 1/уязвимость 1 |
|
|
Угроза 1/уязвимость 2 |
|
|
Угроза 2/уязвимость 1 |
|
|
Угроза 2/уязвимость 2 |
|
|
Угроза 3/уязвимость 1 |
|
|
Угроза 3/уязвимость 2 |
|
|
Расчет общего уровня угроз (CThR), действующего на ресурс для каждого ресурса КС.
Общий уровень угроз по ресурсу высчитывается по формуле 3:
|
(3) |
|
|
В таблице 4 представлены результаты расчетов.
Таблица 4 – Результаты расчетов общего уровня угроз
Ресурс 1. Сервер |
||
Угроза/уязвимость |
Уровень угрозы по всем уязвимостям %, CTh |
Общий уровень угроз по ресурсу %, CThR |
Угроза 1/уязвимость 1 |
|
|
Угроза 1/уязвимость 2 |
||
Угроза 2/уязвимость 1 |
|
|
Угроза 2/уязвимость 2 |
||
Угроза 3/уязвимость 1 |
|
|
Угроза 3/уязвимость 2 |
||
Расчет итогового риска по ресурсу (R) для всех ресурсов КС:
В таблице 5 представлены результаты расчетов итогового риска по ресурсу.
Таблица 5– Результаты расчетов итогового уровня риска
Ресурс 1. Сервер |
||
Угроза/уязвимость |
Общий уровень угроз по всем уязвимостям %, CThr |
Риск по ресурсу у.е., R R = CThR*D |
Угроза 1/уязвимость 1 |
0,85 |
85 |
Угроза 1/уязвимость 2 |
||
Угроза 2/уязвимость 1 |
||
Угроза 2/уязвимость 2 |
||
Угроза 3/уязвимость 1 |
||
Угроза 3/уязвимость 2 |
||
Расчет общего риска по информационной системе.
Расчет общего риска по информационной системе производится по формуле 4:
|
(4) |
Поскольку мы описали лишь один ресурс, то CR = 85.
РЕАЛИЗАЦИЯ АЛГОРИТМА РАСЧЕТА РИСКОВ НА ЛЮБОМ ДОСТУПНОМ ЯЗЫКЕ ПРОГРАММИРОВАНИЯ
Листинг программы на языке С#:
using System;
namespace TOIBAS_DZ2_ConsoleApp3
{
class Program
{
static void Main(string[] args)
{
Console.WriteLine("Number of elements: ");
string n_for1;
n_for1 = Console.ReadLine();
int n1 = Convert.ToInt32(n_for1);
Console.WriteLine("Enter P(V)'s: ");
int[] ArrPV_ = new int[n1];
for (int i = 0; i < n1; i++)
{
string t = Console.ReadLine();
ArrPV_[i] = Convert.ToInt32(t);
}
Console.WriteLine(" ");
Console.WriteLine("Enter ER's: ");
int[] ArrER_ = new int[n1];
for (int i = 0; i < n1; i++)
{
string t = Console.ReadLine();
ArrER_[i] = Convert.ToInt32(t);
}
for (int i = 0; i < n1; i++)
{
Console.Write(ArrPV_[i] + " ");
}
for (int i = 0; i < n1; i++)
{
Console.Write(ArrER_[i] + " ");
}
Console.WriteLine(" ");
Console.WriteLine("На каждую угрозу приходится два параметра уязвимости.");
Console.WriteLine("P(V) /// ER");
for (int i = 0; i < n1; i++)
{
Console.WriteLine(ArrPV_[i] + " /// " + ArrER_[i]);
}
Console.Write("Th's: ");
int[] res_Th = new int[3];
for (int i = 0; i < n1; i++)
{
int k1 = Convert.ToInt32(ArrER_[i]);
int k2 = Convert.ToInt32(ArrPV_[i]);
int resres = (k1 / 100) * (k2 / 100);
res_Th[i] += resres;
Console.WriteLine(resres + " ");
}
Console.WriteLine(" ");
Console.Write("CTh's: ");
int[] res_CTh = new int[3];
for (int i = 0; i < n1 + 1; i++)
{
int resres = 1 - ((1 - res_Th[i]) * (1 - res_Th[i + 1]));
res_CTh[i] += resres;
Console.WriteLine(resres + " ");
}
Console.WriteLine(" ");
Console.Write("CThR's: ");
int res_CThR = (1 - res_Th[0]) * (1 - res_Th[1]) * (1 - res_Th[1]);
int CR = res_CThR * 100;
}
}
}
Результат работы программы представлен на рисунке 1:
Рисунок 1 – Результат работы программы
Выводы: в ходе выполнения работы осуществлен анализ конфигурации и периметра безопасности рассматриваемого объекта обеспечения информационной безопасности. Выявлены факторы, которые потенциально могут оказывать вредоносное воздействие на информационную безопасность рассматриваемого объекта. Оценена вероятность реализации выявленных угроз и уязвимостей. Рассчитаны риски информационной безопасности для заданной автоматизированной системы. Реализовать алгоритм расчета рисков на языке C#.