МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра информационной безопасности
практическая работа № 15
по дисциплине «Основы информационной безопасности»
Тема: Разработка и оценка вариантов СЗИ соответственно профилю риска
Студент гр. |
|
|
Преподаватель |
|
|
Санкт-Петербург
2022
ПОСТАНОВКА ЗАДАЧИ
Выбрать область на основе собранных материалов по конкретному предприятию, организации или компании. Провести разработку списка контрмер, дать дополнительные рекомендации по проекту защиты.
Карта предприятия
Комплекс контрмер
Рассмотрим комплекс составленных ПО РискМенеджер - Анализ v3.5. контрмер:
|
|
|
|
|
|
||||||||||||
|
КМ3 по внедрению политики безопасности |
|
|
|
|
||||||||||||
|
|
|
|
|
|
||||||||||||
|
КМ2 по развитию инфраструктуры управления ИБ |
|
|
|
|
||||||||||||
|
|
|
|
|
|
||||||||||||
|
КМ1 по внедрению средств защиты |
|
|
|
|
||||||||||||
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
||||||||||||
|
Модель: ООО «Авито» |
|
|
|
|||||||||||||
|
Комплекс мер: КМ3 по внедрению политики безопасности |
|
|
|
|||||||||||||
|
Потенциал снижения риска: 50,00 |
Экспертная оценка стоимости: 35,00 |
|
|
|
||||||||||||
|
Расчетная стоимость: 47,00 |
Экспертно-расчетная оценка стоимости: 40,00 |
|
|
|
||||||||||||
|
|
Мера: М.09. Планирование бесперебойной работы организации |
|
|
|||||||||||||
|
|
Регион: Организация в целом |
|
|
|||||||||||||
|
|
ЛС: Организация в целом |
|
|
|||||||||||||
|
|
ПС: Организация в целом |
|
|
|||||||||||||
|
|
Объект: АИС |
|
|
|||||||||||||
|
|
Потенциал снижения риска: 13,45 |
Расчетная стоимость: 0,00 |
Экспертная оценка стоимости: 0,00 |
Код упорядочивания: |
|
|
||||||||||
|
|
Мера: М.03.02. Классификация информации по уровням секретности |
|
|
|||||||||||||
|
|
Регион: Организация в целом |
|
|
|||||||||||||
|
|
ЛС: Организация в целом |
|
|
|||||||||||||
|
|
ПС: Организация в целом |
|
|
|||||||||||||
|
|
Объект: АИС |
|
|
|||||||||||||
|
|
Потенциал снижения риска: 10,00 |
Расчетная стоимость: 17,00 |
Экспертная оценка стоимости: 0,00 |
Код упорядочивания: |
|
|
||||||||||
|
|
Мера: М.03.01. Обеспечение ответственности за информационные ресурсы |
|
|
|||||||||||||
|
|
Регион: Организация в целом |
|
|
|||||||||||||
|
|
ЛС: Организация в целом |
|
|
|||||||||||||
|
|
ПС: Организация в целом |
|
|
|||||||||||||
|
|
Объект: АИС |
|
|
|||||||||||||
|
|
Потенциал снижения риска: 14,45 |
Расчетная стоимость: 9,00 |
Экспертная оценка стоимости: 25,00 |
Код упорядочивания: 2 |
|
|
||||||||||
|
|
Мера: М.02.01 Создание инфраструктуры управления информационной безопасностью |
|
|
|||||||||||||
|
|
Регион: Организация в целом |
|
|
|||||||||||||
|
|
ЛС: Организация в целом |
|
|
|||||||||||||
|
|
ПС: Организация в целом |
|
|
|||||||||||||
|
|
Объект: АИС |
|
|
|||||||||||||
|
|
Потенциал снижения риска: 5,10 |
Расчетная стоимость: 11,00 |
Экспертная оценка стоимости: 0,00 |
Код упорядочивания: |
|
|
||||||||||
|
|
Мера: М.01.01. Разработка, внедрение и поддержка политики безопасности |
|
|
|||||||||||||
|
|
Регион: Организация в целом |
|
|
|||||||||||||
|
|
ЛС: Организация в целом |
|
|
|||||||||||||
|
|
ПС: Организация в целом |
|
|
|||||||||||||
|
|
Объект: АИС |
|
|
|||||||||||||
|
|
Потенциал снижения риска: 7,00 |
Расчетная стоимость: 10,00 |
Экспертная оценка стоимости: 10,00 |
Код упорядочивания: 1 |
|
|
||||||||||
|
|
Комплекс мер: КМ2 по развитию инфраструктуры управления ИБ |
|
||||||||||||||
|
|
Потенциал снижения риска: 50,00 |
Экспертная оценка стоимости: 47,00 |
|
|||||||||||||
|
|
Расчетная стоимость: 40,00 |
Экспертно-расчетная оценка стоимости: 38,00 |
|
|||||||||||||
|
|
Мера: М.02.01 Создание инфраструктуры управления информационной безопасностью |
|
|
|||||||||||||
|
|
Регион: Организация в целом |
|
|
|||||||||||||
|
|
ЛС: Организация в целом |
|
|
|||||||||||||
|
|
ПС: Организация в целом |
|
|
|||||||||||||
|
|
Объект: АИС |
|
|
|||||||||||||
|
|
Потенциал снижения риска: 31,00 |
Расчетная стоимость: 29,00 |
Экспертная оценка стоимости: 27,00 |
Код упорядочивания: 1 |
|
|
||||||||||
|
|
Мера: М.01.01. Разработка, внедрение и поддержка политики безопасности |
|
|
|||||||||||||
|
|
Регион: Организация в целом |
|
|
|||||||||||||
|
|
ЛС: Организация в целом |
|
|
|||||||||||||
|
|
ПС: Организация в целом |
|
|
|||||||||||||
|
|
Объект: АИС |
|
|
|||||||||||||
|
|
Потенциал снижения риска: 19,00 |
Расчетная стоимость: 11,00 |
Экспертная оценка стоимости: 20,00 |
Код упорядочивания: 2 |
|
|
||||||||||
|
|
Комплекс мер: КМ1 по внедрению средств защиты |
|||||||||||||||
|
|
Потенциал снижения риска: 50,00 |
Экспертная оценка стоимости: 11,00 |
||||||||||||||
|
|
Расчетная стоимость: 36,00 |
Экспертно-расчетная оценка стоимости: 20,00 |
||||||||||||||
|
|
Мера: Внедрение системы защиты от скачков напряжения |
|
|
|||||||||||||
|
|
Регион: Организация в целом |
|
|
|||||||||||||
|
|
ЛС: Организация в целом |
|
|
|||||||||||||
|
|
ПС: Организация в целом |
|
|
|||||||||||||
|
|
Объект: Система бесперебойного питания |
|
|
|||||||||||||
|
|
Потенциал снижения риска: 25,50 |
Расчетная стоимость: 18,00 |
Экспертная оценка стоимости: 5,60 |
Код упорядочивания: |
|
|
||||||||||
|
|
Мера: Планирование необходимого роста потребности в криптографических ключах |
|
|
|||||||||||||
|
|
Регион: Организация в целом |
|
|
|||||||||||||
|
|
ЛС: Организация в целом |
|
|
|||||||||||||
|
|
ПС: Система безопасности |
|
|
|||||||||||||
|
|
Объект: Криптосервер |
|
|
|||||||||||||
|
|
Потенциал снижения риска: 24,50 |
Расчетная стоимость: 18,00 |
Экспертная оценка стоимости: 5,40 |
Код упорядочивания: |
|
|
||||||||||
|
|
|
|
|
|||||||||||||
Лучшим комплексом мер является комплекс мер 1 по внедрению средств защиты, так как стоимость минимальная.
Выбор комплекса контрмер
В связи с тем, что приемлемым остаточным риском считается риск ниже 750,5 руб., следует выбрать сформированный комплект мер, так как он соответствует требованиям.
750,5 Рублей – приемлемый уровень риска
|
|||||
|
|
||||
|
КМ по внедрению средств защиты
|
||||
|
|
||||
|
|
||||
|
|
Остаточный риск |
Уменьшение риска |
|
|
|
Модель: ООО"Авито" |
Риск до принятия мер: 2425,83 |
|
||
|
КМ по внедрению политики безопасности |
600,00 |
1825,83 |
|
|
|
Регион: Организация в целом |
Риск до принятия мер: 1772,50 |
|
||
|
КМ по внедрению политики безопасности |
0,00 |
1772,50 |
|
|
|
ЛС: Организация в целом |
Риск до принятия мер: 1772,50 |
|
||
|
КМ по внедрению политики безопасности |
0,00 |
1772,50 |
|
|
|
ПС: Организация в целом |
Риск до принятия мер: 1772,50 |
|
||
|
КМ по внедрению политики безопасности |
0,00 |
1772,50 |
|
|
|
Объект: Организация с АИС |
Риск до принятия мер: 1572,50 |
|
||
|
КМ по внедрению политики безопасности |
0,00 |
1572,50 |
|
|
|
Объект: Ключевые серверы обработки информации |
Риск до принятия мер: 200,00 |
|
||
|
КМ по внедрению политики безопасности |
0,00 |
200,00 |
|
|
|
Регион: г. Москва |
Риск до принятия мер: 653,33 |
|
||
|
КМ по внедрению политики безопасности |
600,00 |
53,33 |
|
|
|
ЛС: ГВЦ |
Риск до принятия мер: 653,33 |
|
||
|
КМ по внедрению политики безопасности |
600,00 |
53,33 |
|
|
|
ПС: Базовые сервисы безопасности |
Риск до принятия мер: 600,00 |
|
||
|
КМ по внедрению политики безопасности |
600,00 |
0,00 |
|
|
|
Объект: Идентификация и аутентификация |
Риск до принятия мер: 100,00 |
|
||
|
КМ по внедрению политики безопасности |
100,00 |
0,00 |
|
|
|
Объект: Межсетевое экранирование |
Риск до принятия мер: 500,00 |
|
||
|
КМ по внедрению политики безопасности |
500,00 |
0,00 |
|
|
|
Объект: Шифрование |
Риск до принятия мер: 0,00 |
|
||
|
КМ по внедрению политики безопасности |
20 |
10 |
|
|
|
ПС: Система криптографической защиты |
Риск до принятия мер: 53,33 |
|
||
|
КМ по внедрению политики безопасности |
63 |
53,33 |
|
|
|
Объект: Криптосервер |
Риск до принятия мер: 53,33 |
|
||
|
КМ по внедрению политики безопасности |
120 |
53,33 |
|
|
|
Объект: АРМ Администратора безопасности |
Риск до принятия мер: 0,00 |
|
||
|
КМ по внедрению политики безопасности |
20 |
18 |
|
|
|
ПС: ПО системы криптозащиты |
Риск до принятия мер: 0,00 |
|
||
|
КМ по внедрению политики безопасности |
17 |
15 |
|
|
|
Объект: Криптоменеджер |
Риск до принятия мер: 0,00 |
|
||
|
КМ по внедрению политики безопасности |
0,00 |
0,00 |
|
|
