Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5117 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича
Предмет:
Безопасность информационных технологий и систем
Файл:
БИТиС / УМП_практика_2020.docx
Скачиваний:
44
Добавлен:
05.09.2023
Размер:
378.37 Кб
Скачать
►Содержание►

  1. Последовательность выполнения работы

Основные понятия и допущения модели

Базовые угрозы информационной безопасности – нарушение конфиденциальности, нарушение целостности и отказ в обслуживании.

Ресурс – любой контейнер, предназначенный для хранения информации, подверженный угрозам информационной безопасности (сервер, рабочая станция, переносной компьютер).

Свойствами ресурса являются: перечень угроз, воздействующих на него, и критичность ресурса.

Угроза – действие, которое потенциально может привести к нарушению безопасности.

Свойством угрозы является перечень уязвимостей, при помощи которых может быть реализована угроза.

Уязвимость это слабое место в информационной системе, которое может привести к нарушению безопасности путем реализации некоторой угрозы. Свойствами уязвимости являются: вероятность (простота) реализации угрозы через данную уязвимость и критичность реализации угрозы через данную уязвимость.

Критичность ресурса (D) – ущерб, который понесет компания от потери ресурса. Задается в уровнях (количество уровней может быть в диапазоне от 2 до 100 или в деньгах. В зависимости от выбранного режима работы, может состоять из критичности ресурса по конфиденциальности, целостности и доступности ( ).

Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс, т.е. как сильно реализация угрозы повлияет на работу ресурса. Задается в процентах. Состоит из критичности реализации угрозы по конфиденциальности, целостности и доступности ( ).

Вероятность реализации угрозы через данную уязвимость в течение года (P(V)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях. Указывается в процентах.

Максимальное критичное время простоя ( ) – значение времени максимального простоя, которое является критичным для организации. Т.е. ущерб, нанесенный организации при простаивании ресурса в течение критичного времени простоя, максимальный. При простаивании ресурса в течение времени, превышающего критичное, ущерб, нанесенный организации, не увеличивается.

    1. Разработать структурную схему «закрытого» и «открытого» контура ИС, с указанием защищаемых ресурсов;

    2. Идентифицировать активы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности и определить их ценность

аппаратные ресурсы «закрытого» (сервер БД, СКЗИ, однонаправленный МЭ, оборудование ЛВС, АРМ пользователей) контура и «открытого» контура (сервер БД, Proxy-сервер, внешний МЭ, оборудование ЛВС, АРМ пользователей);

информационные ресурсы «закрытого» и «открытого» контура (БД);

программные ресурсы «закрытого» и «открытого» контура (ОС, СУБД, прикладное ПО);

людские ресурсы;

имидж организации.

    1. Определить отделы, к которым относятся ресурсы (закрытого и открытого контура).

    2. Задать уровень приоритетов базовых услуг информационной безопасности («конфиденциальность», «целостность» и «доступность» с учетом уровня конфиденциальности обрабатываемой информации в «закрытом» и «открытом» контуре. С точки зрения базовых угроз информационной безопасности существует два режима работы алгоритма, реализующего метод оценки рисков, основанный на модели угроз и уязвимостей

а) одна базовая угроза (суммарная);

б) три базовые угрозы.

    1. Задать критичность ресурса (величина ущерба D).

    2. Определить угрозы, действующие на ресурсы (сформулировать самостоятельно с учетом лекционного материала) и уязвимости, через которые реализуются угрозы (сформулировать самостоятельно с учетом лекционного материала); Построить модель угроз и уязвимостей для информационной системы организации (анализируются угрозы, действующие на каждый ресурс информационной системы, и уязвимости, через которые возможна реализация угроз).

    3. Задать вероятность реализации угрозы через данную уязвимость (на основе полученной модели проводится анализ вероятности реализации угроз информационной безопасности на каждый ресурс).

    4. Задать критичность реализации угрозы через данную уязвимость (задать самостоятельно).

    5. Задать уровень приемлемого риска (например, 10% от предполагаемого ущерба), которым оцениваются принятые контрмеры.

    6. Рассчитать уровень угрозы по уязвимости с учетом критичности и вероятности ее реализации через конкретную уязвимость. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации. Вычисляется одно значение (для суммарной угрозы). Получается значение уровня угрозы по уязвимости в интервале от 0 до 1.

а) для режима с одной базовой угрозой

где (%) - критичность реализации угрозы,

(%) – вероятность реализации угрозы через данную уязвимость

б) для режима с тремя базовыми угрозами:

где (%) - критичность реализации угрозы для каждой базовой услуги безопасности,

(%) – вероятность реализации угрозы через данную уязвимость для каждой базовой услуги безопасности.

    1. Рассчитать уровень угрозы по всем уязвимостям, через которые реализуется данная угроза

а) для режима с одной базовой угрозой

б) для режима с тремя базовыми угрозами (%)

Значения уровня угрозы по всем n уязвимостям (n=1,2,…,N) получаются в интервале от 0 до 1.

    1. Рассчитать общий уровень угроз по ресурсу

а) для режима с одной базовой угрозой

б) для режима с тремя базовыми угрозами (%)

Значение общего уровня угрозы по ресурсу получается в интервале от 0 до 1.

    1. Рассчитать риск ресурса

а) для режима с одной базовой угрозой

где D – критичность ресурса для одной базовой угрозы. Задается в деньгах или уровнях.

б) для режима с тремя базовыми угрозами

– суммарный риск по трем угрозам

– критичность ресурса по трем базовым угрозам. Задается в деньгах или уровнях. В случае угрозы доступность (отказ в обслуживании) критичность ресурса в год вычисляется по следующей формуле:

Для остальных угроз критичность ресурса задается в год.

    1. Рассчитать риск по информационной системе с учетом рисков по всем ресурсам

а) для режима с одной базовой угрозой:

- для режима работы в деньгах:

- для режима работы в уровнях:

б) для режима работы с тремя угрозами:

для режима работы в деньгах:

- риск по системе по каждому виду базовых угроз

- риск по системе суммарно по трем видам угроз

- для режима работы в уровнях:

    1. Задание контрмер для угроз и/или уязвимостей (пересмотреть модель угроз и уязвимостей).

    2. Для расчета эффективности введенной контрмеры необходимо пройти последовательно по всему алгоритму п.4.10-п.4.14 с учетом заданной контрмеры. Таким образом, на выходе пользователь получает значение двух рисков – значение риска без учета контрмеры ( ) и значение риска с учетом заданной контрмеры ( ) (т.е. с учетом того, что уязвимость или угроза закрыта).

    3. Рассчитать эффективность ( ) введения контрмеры рассчитывается по формуле:

    1. Принять или отклонить (если эффективность введенных контрмер недостаточна, т.е. рассчитанный уровень ущерба превышает заданный уровень (например, 10%), то необходимо усилить контрмеры и пересчитать ).

Соседние файлы в папке БИТиС
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности