Расчет рисков информации в ис
Необходимо произвести расчет рисков для каждого вида ценной информации и ресурса в ИС, начиная с риска по угрозе конфиденциальности. Для этого необходимо использовать таблицу "Средства защиты от НСД для каждого аппаратного ресурса с указанием его веса", рассчитывая коэффициенты защищенности для каждого ресурса. Для информационных потоков с локальным доступом следует рассчитать коэффициент локальной защищенности информации, а для потоков с удаленным доступом - коэффициент удаленной защищенности информации и коэффициент локальной защищенности рабочего места. Из трех коэффициентов следует выбрать наименьший.
Информационный поток |
Коэффициент локальной защищенности информации |
Коэффициент удаленной защищенности |
Коэффициент локальной защищенности |
Наименьший коэффициент |
(Наименование) |
(Ф+Л) |
(СКСЗ) |
(Ф+Л+ПСЗ) |
(НК) min |
Manager- Products database |
113 |
- |
- |
113 |
Manager- Workers database |
- |
86 |
157 |
86 |
Manager- Providers databse |
- |
86 |
157 |
86 |
Supervisor- Finance database |
113 |
- |
- |
113 |
Supervisor- Providers databse |
- |
86 |
157 |
86 |
Supervisor- Workers database |
- |
86 |
157 |
86 |
Director Workers database |
133 |
- |
- |
113 |
Director Providers databse |
113 |
- |
- |
113 |
Необходимо проверить, существует ли VPN-соединение для каждого потока данных, определить его вес (20 или 0) и добавить его к наименьшему коэффициенту, чтобы получить итоговый коэффициент защищенности. VPN-соединение означает передачу данных по зашифрованному каналу и увеличивает уровень безопасности.
Информационный поток |
Коэффициент локальной защищенности информации |
Коэффициент удаленной защищенности |
Коэффициент локальной защищенности |
(Наименование) |
(НК) |
(20 либо 0) |
(РК) |
Manager- Products database |
113 |
0 |
113 |
Manager- Workers database |
86 |
20 |
106 |
Manager- Providers databse |
86 |
20 |
106 |
Supervisor- Finance database |
113 |
0
|
113 |
Supervisor- Providers databse |
86 |
20 |
106 |
Supervisor- Workers database |
86 |
20 |
106 |
Director Workers database |
113 |
0 |
113 |
Director Providers databse |
113 |
0 |
113 |
Переход к итоговому коэффициенту (PK) происходит после определения результирующего коэффициента. Чтобы вычислить итоговый коэффициент, необходимо узнать количество людей в группе и сколько из них имеют доступ в Интернет. Существует несколько правил, которые следует соблюдать здесь.
Если количество пользователей 1, и у группы нет доступа в Интернет, то:
ИК = 1/РК.
Учет количества человек N в группе пользователей:
ИК = N/РК.
Если группа пользователей имеет доступ в Интернет, то ИК увеличивается в 2 раза:
ИК = 2 N/РК.
Если при удаленном доступе Интернет-пользователей VPN-соединение не используется (Интернет заведен на компьютер, а не на сервер), то для них итоговый коэффициент защищенности (ИК) умножается на 4, в силу отсутствия зашиты шлюза:
ИК = (4 N)/РК
Информационный поток |
Результирующий коэффициент |
Количество человек |
Наличие Интернета |
Итоговый коэффициент |
|
(РК) |
(N) |
I=1,2 |
(ИК) |
Manager- Products database |
113 |
6 |
1 |
0,05 |
Manager- Workers database |
106 |
2 |
2 |
0,04 |
Manager- Providers databse |
106 |
4 |
2 |
0,08 |
Supervisor- Finance database |
113 |
2 |
1 |
0,02 |
Supervisor- Providers databse |
106 |
3 |
2 |
0,06 |
Supervisor- Workers database |
106 |
3 |
2 |
0,06 |
Director Workers database |
113 |
1 |
1 |
0,01 |
Director Providers databse |
113 |
1 |
1 |
0,01 |
Дальше от итогового коэффициента переходят к итоговой и промежуточной вероятности. ИВ=БВ·ИК. ПВ = ИБВ * ИК.
Информационный поток |
Базовая вероятность (БВ) |
Итоговая базовая вероятность (ИБВ) |
Итоговый коэффициент (ИК) |
Промежуточная вероятность (ПВ) |
Итоговая вероятность (ИВ) |
Manager- Products database |
0,3 |
0,5 |
0,05 |
0,025 |
0,025 |
Manager- Workers database |
0,4 |
0,5 |
0,04 |
0,02 |
0,054 |
Manager- Providers databse |
0,2 |
0,5 |
0,08 |
0,04 |
0,073 |
Supervisor- Finance database |
0,7 |
0,5 |
0,02 |
0,01 |
0,01 |
Supervisor- Providers databse |
0,5 |
0,5 |
0,06 |
0,03 |
- |
Supervisor- Workers database |
0,5 |
0,5 |
0,06 |
0,03 |
- |
Director Workers database |
0,6 |
0,5 |
0,01 |
0,005 |
- |
Director Providers databse |
0,7 |
0,5 |
0,01 |
0,005 |
- |
ИВ1 – Итоговая вероятность для Products database.
ИВ2 – Итоговая вероятность для Workers database.
ИВ3 – Итоговая вероятность для Providers databse.
ИВ4 – Итоговая вероятность для Finance database.
ИВ1 = 0,025
ИВ2 = 1 – (1 – 0,02) * (1 – 0,03) * (1 – 0,005) = 0,054
ИВ3 = 1 – (1 – 0,04) * (1 – 0,023) * (1 – 0,005) = 0,073
ИВ4 = 0,01
Необходимо рассчитать риск по угрозе «конфиденциальность» для каждого вида информации. Он представляет собой произведение итоговой вероятности на ущерб.
R1=ИВ1*D1=0,025*80 000 = 6 000 у.е.
R2=ИВ2*D2=0,54*780 000 = 52 538 у.е.
R3=ИВ3*D3=0,073*260 000 = 19 098 у.е.
R4=ИВ4*D4=0,01*90 000 = 900 у.е.
Рассчитывается риск по угрозе «конфиденциальность» для ресурса как сумма рисков по видам информации.
R (Сервер) = 13 538 + 19 098 = 32 636 у.е.
R (Рабочая станция издателя) = 2 500 у.е.
R (Рабочая станция бухгалтера) = 700 у.е.
Далее необходимо провести расчет рисков при нарушении целостности. Для этого можно использовать коэффициенты, полученные на предыдущих этапах. Чтобы учесть средства резервирования и контроля целостности, нужно определить наличие VPN-соединения и его вес, а также наличие соответствующих средств и их весовые категории, что является обязательным требованием для зоны защищенности 2А. Результативный коэффициент рассчитывается и заносится в таблицу.
Информационный поток |
Наименьший коэффициент (НК) |
Вес VPN- соединения |
Веса средств резервирования и контроля целостности |
Результирующий коэффициент (PK) |
Manager- Products database |
113 |
0 |
СРК-20 СКЦ-20 СПРК-30 70 |
183 |
Manager- Workers database |
86 |
20 |
СРК-20 СПРК-30 СУА-30 80 |
186 |
Manager- Providers databse |
86 |
20 |
СРК-20 СКЦ-20 СПРК-30 СУА-30 100 |
206 |
Supervisor- Finance database |
113 |
0 |
СРК-20 СПРК-30 СУА-30
80 |
193 |
Supervisor- Providers databse |
86 |
20 |
СРК-20 СПРК-30 СУА-30 80 |
186 |
Supervisor- Workers database |
86 |
20 |
СРК-20 СКЦ-20 СПРК-30 СУА-30 100 |
206 |
Director Workers database |
113 |
0 |
СРК-20 20 |
133 |
Director Providers databse |
113 |
0 |
СРК-20 СКЦ-20 СУА-30 70 |
183 |
Также необходимо учитывать количество пользователей в группе и их возможность выхода в Интернет при планировании защиты данных. Резервное копирование является неотъемлемой частью защиты, поскольку позволяет восстановить потерянные данные. В большинстве компаний и организаций резервное копирование находится в числе основных приоритетов и оказывает существенное влияние на общий уровень безопасности.
Есть несколько правил:
• Если у информации на ресурсе осуществляется резервное копирование, то вес резервного копирования (10) прибавляется к коэффициенту защищенности.
• Если резервное копирование не осуществляется, и в группе пользователей, имеющей доступ к информации, разрешены запись или удаление, то итоговый коэффициент увеличивается в 4 раза.
Информационный поток |
Результирующий коэффициент |
Наличие резервного копирования |
Количество человек |
Наличие Интернета |
Итоговый коэффициент |
|
(РК) |
(НРК) |
(N) |
I=1,2 |
(ИК) |
Manager- Products database |
183 |
1 |
6 |
1 |
0,03 |
Manager- Workers database |
186 |
1 |
2 |
2 |
0,02 |
Manager- Providers databse |
206 |
1 |
4 |
2 |
0,04 |
Supervisor- Finance database |
193 |
1 |
2 |
1 |
0,01 |
Supervisor- Providers databse |
186 |
1 |
3 |
2 |
0,03 |
Supervisor- Workers database |
206 |
1 |
3 |
2 |
0,03 |
Director Workers database |
133 |
1 |
1 |
1 |
0,01 |
Director Providers databse |
183 |
1 |
1 |
1 |
0,01 |
Итоговая и промежуточная вероятности вычисляются по аналогии с вероятностями по угрозе «безопасность».
Информационный поток |
Базовая вероятность (БВ) |
Итоговая базовая вероятность (ИБВ) |
Итоговый коэффициент (ИК) |
Промежуточная вероятность (ПВ) |
Итоговая вероятность (ИВ) |
Manager- Products database |
0,3 |
0,7 |
0,03 |
0,021 |
0,021 |
Manager- Workers database |
0,4 |
0,7 |
0,02 |
0,014 |
0,041 |
Manager- Providers databse |
0,2 |
0,7 |
0,04 |
0,028 |
0,055 |
Supervisor- Finance database |
0,7 |
0,7 |
0,01 |
0,007 |
0,007 |
Supervisor- Providers databse |
0,5 |
0,7 |
0,03 |
0,021 |
- |
Supervisor- Workers database |
0,5 |
0,7 |
0,03 |
0,021 |
- |
Director Workers database |
0,6 |
0,7 |
0,01 |
0,007 |
- |
Director Providers databse |
0,7 |
0,7 |
0,01 |
0,007 |
- |
ИВ1 – Итоговая вероятность для Products database.
ИВ2 – Итоговая вероятность для Workers database.
ИВ3 – Итоговая вероятность для Providers databse.
ИВ4 – Итоговая вероятность для Finance database.
ИВ1 = 0,021
ИВ2 = 1 – (1 – 0,014) * (1 – 0,021) * (1 – 0,007) = 0,041
ИВ3 = 1 – (1 – 0,028) * (1 – 0,021) * (1 – 0,007) = 0,055
ИВ4 = 0,007
Необходимо рассчитать риск по угрозе «целостность» для каждого вида информации. Он представляет собой произведение итоговой вероятности на ущерб.
R1=ИВ1*D1=0,021*80 000=1 680 у.е.
R2=ИВ2*D2=0,041*235 000=9 743 у.е.
R3=ИВ3*D3=0,055*215 000= 11 840 у.е.
R4=ИВ4*D4=0,007*65 000=455 у.е.
Рассчитывается риск по угрозе «целостность» для ресурса как сумма рисков по видам информации.
R (Сервер) = 9 743+ 11 840 = 21 584у.е.
R (Рабочая станция издателя) = 1 680 у.е.
R (Рабочая станция бухгалтера) = 455 у.е.
Далее необходимо провести оценку рисков, связанных с возможностью нарушения доступности. При анализе доступности оцениваются различные варианты резервирования, такие как кластеризация, резервное копирование и наличие резервного канала. Если обычным пользователям (не являющимся Интернет-пользователями) доступна только удаленная работа с информацией на ресурсе, то наличие резервного канала также учитывается.
|
Кластер |
Резервное копирование |
Резервный Канал |
|||||
|
есть |
нет |
есть |
нет |
Есть |
Нет |
||
Запись и удаление |
20 |
Const |
4 |
*5 |
5 |
Const |
||
Удаление |
20 |
Const |
4 |
*4 |
5 |
Const |
||
Запись |
20 |
Const |
4 |
*4 |
5 |
Const |
||
Чтение |
40 |
Const |
4 |
*2 |
5 |
Const |
||
Информационный поток |
Коэффициент защищенности |
Наличие Интернета |
Итоговый коэффициент |
|
|
I=1,2 |
(ИК) |
Manager- Products database |
4 |
1 |
4 |
Manager- Workers database |
2 |
2 |
4 |
Manager- Providers databse |
2 |
2 |
4 |
Supervisor- Finance database |
2 |
1 |
2 |
Supervisor- Providers databse |
0,25 |
2 |
0,5 |
Supervisor- Workers database |
0,25 |
2 |
0,5 |
Director Workers database |
2 |
1 |
2 |
Director Providers databse |
2 |
1 |
2 |
Расчет итогового времени простоя:
Информационный поток |
Базовое время простоя |
Время простоя сетевого оборудования |
Итоговое базовое время простоя |
Итоговый коэфф. |
Промежуточное время |
Итоговое время простоя |
Manager- Products database |
30 |
10 |
50 |
4 |
200 |
200 |
Manager- Workers database |
60 |
- |
70 |
4 |
280 |
112 |
Manager- Providers databse |
30 |
- |
40 |
4 |
160 |
113 |
Supervisor- Finance database |
60 |
10 |
80 |
2 |
160 |
160 |
Supervisor- Providers databse |
60 |
- |
70 |
0,5 |
35 |
- |
Supervisor- Workers database |
30 |
- |
40 |
0,5 |
20 |
- |
Director Workers database |
30 |
10 |
50 |
2 |
100 |
- |
Director Providers databse |
30 |
10 |
50 |
2 |
100 |
- |
При расчете рисков по угрозе доступность базовые времена простоя наследуются только в пределах ресурса. Время простоя сетевого оборудования добавляется к итоговому времени простоя. Если итоговое время простоя превышает максимально критичное (280 часов в год по базовым настройкам), оно приравнивается к максимально критичному времени простоя.
Для второй информации на сервере, к которой имеют доступ несколько групп пользователей, итоговое время простоя рассчитывается по следующей формуле:
|
Итоговое время простоя |
Ущерб от реализации (у. е.) |
Риск (у.е.) |
Products database |
200 |
700 |
140 000 |
Workers database |
112 |
1950 |
218 400 |
Providers databse |
113 |
2300 |
259 900 |
Finance database |
160 |
650 |
104 000 |
Ресурс |
Риск (у.е.) |
Сервер |
560 300 |
Рабочая станция 1 |
145 000 |
Рабочая станция 2 |
104 000 |
Вывод
В ходе выполнения практической работы был рассчитаны риски информационной системы на основе модели информационных потоков. Для достижения поставленной цели:
Была разработана схема информационной системы, которая включает в
себя физические и логические ресурсы, а также различные типы
информационных потоков.
Были определены веса средств защиты для каждого аппаратного и
информационного ресурса, который хранится или обрабатывается на
них.
Были указаны права доступа и вид доступа для каждого пользователя
или группы пользователей, а также указано количество людей в каждой
группе информационного потока. В наличии имеется VPN-соединение.
Было указано наличие возможности выхода в Интернет для
пользователей.
Был определен ущерб, который может быть причинен организации в
результате реализации угроз безопасности информации в каждом
информационном потоке.
Был произведен расчет рисков для информационной системы на
основе модели информационных потоков по угрозам нарушения
конфиденциальности, целостности и доступности.
Расчеты показали, что итоговая вероятность нарушения конфиденциальности на серверах "закрытого" и "открытого" контуров составляет около 4%. Однако, значение риска для ресурсов на серверах довольно не велики, по сравнению с общей стоимостью ресурсов. Значит, информационная система организации достаточно хорошо защищена от угрозы "конфиденциальности".
Итоговая вероятность нарушения доступности составляет около 2% зля "закрытого" контура. Это означает, что информационная система организации хорошо защищена от угрозы "доступность". Для повышения безопасности рекомендуется принять дополнительные меры и усилить уже имеющиеся средства защиты на сервере закрытого контура, а также возможно усилить средства защиты на сервере открытого контура.
Итоговая вероятность нарушения целостности составляет около 4% для серверов "закрытого" и "открытого" контуров. Это говорит о том, что информационная система организации хорошо защищена от угрозы "целостности".