Министерство образования Республики Беларусь

Учреждение образования

«Белорусский государственный университет

информатики и радиоэлектроники»

Кафедра защиты информации

ОТЧЕТ

Практическое занятие №5

«Анализ рисков информационной безопасности»

Проверил:

Столер Д.В.

Минск 2024

ХОД ПРАКТИЧЕСКОЙ РАБОТЫ

Цель занятия: изучить методику анализа рисков информационной безопасности и получить практические навыки по ее применению.

1. Краткие теоретические сведения

Управление информационными рисками представляет собой одно из наиболее динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача – объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями нормативно–правовой базы (НПБ) в области защиты информации и собственной корпоративной политики безопасности.

Качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании. При этом основной НПБ являются британский стандарт BS 7799 «Практические правила управления информационной безопасностью (ИБ)» и германский стандарт BSI, на основе которых были приняты международные стандарты ISO 17799 и ISO 13335.

2. Исходные данные для расчета

1. Этап 1. Определение границ исследования.

Определим состав и структуру основных информационных активов системы. Пусть в данном случае информационными активами системы являются:

• Актив 1. Данные, поступившие за день в СУБД из Интернета.

• Актив 2. Данные, поступившие за день в СУБД из ВКС.

• Актив 3. Данные, поступившие за день в СУБД с РМ операторов.

• Актив 4. Программное обеспечение (ПО) информационной системы.

• Актив 5. Данные в СУБД.

2. Этап 2. Стоимость информационных активов.

Таблица 1 – Стоимость информационных активов

Актив	1	2	3	4	5
Стоимость, руб.	700	500	3200	9000	500000

3. Этап 3. Анализ угроз и уязвимостей.

Выберем основными угрозы с наиболее высокими приоритетами:

Угроза 1: Проникновение из Интернета в сеть организации вредоносного программного обеспечения.

Уязвимость 1.1: Недостаточная защита сетевых портов и служб на периметре сети, что может привести к эксплуатации уязвимостей в сетевых протоколах или сервисах.

Уязвимость 1.2: Отсутствие или неправильная конфигурация брандмауэров и других средств защиты, что увеличивает вероятность успешных атак извне.

Угроза 2: Несанкционированный доступ к информационным активам сотрудника компании, завербованного конкурентами и передающего им информацию.

Уязвимость 2.1: Недостаточная аутентификация и авторизация пользователей, позволяющая злоумышленникам получить доступ к конфиденциальной информации, используя украденные учетные данные сотрудников.

Уязвимость 2.2: Недостаточная защита конечных точек и устройств, которые могут быть скомпрометированы злоумышленниками для получения доступа к конфиденциальным данным сотрудников.

3. Результаты выполнения практического задания

1. Этап 4. Количественные оценки рисков.

Результаты расчета по заданиям 2.1-2.3, а именно:

Пусть в результате реализации угрозы 1 наступило первое последствие «Финансовые потери, связанные с восстановлением ресурсов», причём вредоносное ПО проникало в сеть организации 6 раз в год и каждый раз повреждало на 100 % активы 1-3 и на 20 % актив 4. Актив 5 был защищён резервным копированием и повреждением его можно пренебречь.

Кроме того, в результате реализации этой угрозы наступило второе последствие «Дезорганизация деятельности компании». За 6-кратное в течение года проникновение вредоносного ПО цена ущерба по этому последствию составила 2100 руб.

Цена ущерба по угрозе 1:

Ц₁ = 6 * ( 700 руб. + 500 руб. + 3200 руб. ) + 6 * 0,2 * 9000 руб. + 2100 руб. = 6 * 4400 руб. + 6 * 1800 руб. + 2100 руб. = 26400 руб. + 10800 руб. + 2100 руб. = 39300 руб.

Пусть в результате реализации угрозы 2 наступило первое последствие

«Финансовые потери от разглашения и передачи информации конкурентам».

Цена ущерба по этому последствию за год составила 17600 руб.

Кроме того, в результате реализации этой угрозы наступило второе последствие «Ущерб репутации организации». Цена ущерба по этому последствию за счёт уменьшения потока заказов и неприятностей со стороны государственных органов составила 33000 руб. за год.

Цена ущерба по угрозе 2:

Ц₂ = 17600 руб. + 33000 руб. = 50600 руб.

Общий риск:

R_общий = 39300 руб. * 0,6 + 0,4 * 50600 руб. = 23580 руб. + 20240 руб. = 43820 руб.

Вероятность ущерба для угрозы 1 составляет 60 %, а для угрозы 2 – 40 %.

2. Этап 5. Выбор методов парирования угроз. 

Результаты расчета по заданиям 2.4-2.6, а именно:

Рассмотрим 3 способа распределения средств бюджета (8000 руб.) на парирование угроз №1-2:

• на фаерволл – 8000 руб., тогда на систему назначения паролей остается – 0 руб.;

• на фаерволл – 7000 руб., тогда на систему назначения паролей – 1000 руб.;

• на фаерволл – 6000 руб., тогда на систему назначения паролей – 2000 руб.

Исходя из критерия «Как, оставаясь в рамках утвержденного годового бюджета на информационную безопасность достигнуть максимального уровня защищенности информационных активов компании (минимума риска)?» требуется оптимально распределить средства годового бюджета (8000 руб.) на парирование угрозы 1 и парирование угрозы 2, считая, что для рассматриваемой корпоративной информационной системы экспертным путём установлено, что:

– недостаток каждых х % средств от стоимости наилучшего фаерволла позволяет приобрести более дешёвый фаерволл, оставляющий, однако, риск угрозы 1 в размере:

X = (9000 руб. – 8000 руб.)/9000руб. = 1/9 = 11%

X = (9000 руб. – 7000 руб.)/9000руб. = 2/9 = 22%

X = (9000 руб. – 6000 руб.)/9000руб. = 1/3 = 33%

– недостаток каждых у % средств от стоимости наилучшей системы назначения паролей позволяет приобрести более дешёвую систему, оставляющую, однако, риск угрозы 2 в размере:

Y = (2000 руб. – 0 руб)/2000руб. = 1 = 100%

Y = (2000 руб. – 1000 руб)/2000руб. = ½ = 50%

Y = (2000 руб. – 2000 руб)/2000руб. = 0 = 0%

Подставив полученные значения в формулы (7)-(9) находят величину общего риска после внедрения мер:

Rобщ = 11/100 * 23580 руб. + 100/100 * 20240 руб. = 2593,8 руб. + 20240 руб. = 22833,8 руб.

Rобщ = 22/100 * 23580 руб. + 50/100 * 20240 руб. = 5187,6 руб.+ 10120 руб. = 15307,6 руб.

Rобщ = 33/100 * 23580 руб. + 0/100 * 20240 руб. = 7781,4 руб. + 0 руб. =7781,4 руб.

Общий риск угроз после внедрения мер должен быть минимально возможным:

Rобщ = 7781,4 руб.

Оптимальным вариантом распределения средств бюджета является способ №3

Эффективность принятых мер безопасности для парирования угроз для оптимального варианта распределения средств бюджета составила:

EF = 100 - 7781,4 * 100 / 43820 = 100 – 18 = 82%

Критичность реализации угрозы 1 через уязвимость 2 составляет 20 %; угрозы 2 через уязвимость 1 – 30 %; угрозы 2 через уязвимость 2 – 40 %. Вероятности реализации угроз через каждую из уязвимостей (P(V)) считать равновероятными, т.е. 50 %.

Критичность реализации угрозы 1 через уязвимость 1:

ER_1/1 = (100 + 100 + 100 + 20)/5 = 64%

Уровень угрозы 1 по уязвимости 1:

Th_1/1 = 64 * 50 / 10000 = 0,32

Уровень угрозы 1 по уязвимости 2:

Th_1/2 = 20 * 50 / 10000 = 0,1

Уровень угрозы 2 по уязвимости 1:

Th_2/1 = 30 * 50 / 10000 = 0,15

Уровень угрозы 2 по уязвимости 2:

Th_2/2 = 40 * 50 / 10000 = 0,2

Уровень угрозы 1 по двум уязвимостям:

CTh₁ =  1 – (1 – 0,32)*(1 – 0,1) = 0,39

Уровень угрозы 2 по двум уязвимостям:

CTh₂ = 1 – (1 – 0,15)*(1 - 0,2) = 0,32

3. Этап 6. Выводы.

Задание 2.7:

На основании полученных результатов можно сделать вывод о целесообразности проведения мер противодействия выявленным угрозам, и указать категории контрмер, к которым можно отнести предлагаемые методы парирования из пятого этапа.

На пятом этапе управления рисками – «Risk management» – предлагаются меры и средства уменьшения или уклонения от риска. Возможно проведение коррекции результатов или использование других методов оценки. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к заключительной стадии метода.

На заключительной стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиваются на группы и подгруппы по следующим категориям:

– обеспечение безопасности на сетевом уровне;

– обеспечение физической безопасности;

– обеспечение безопасности поддерживающей инфраструктуры;

– обеспечение безопасности на уровне системного администратора.

1