- •Введение
- •1. Цель и задачи работы
- •2. Теоретическая часть
- •2.2. Классификация угроз DSECCT
- •2.3. ГРИФ
- •При изучении методики для наглядности будем рассматривать пример расчета риска для ИС из двух ресурсов: сервера и рабочей станции (рис. 3).
- •Риск рассчитываем для связей «информация – группа пользователей».
- •Расчет рисков по угрозам конфиденциальность и целостность:
- •2.3.2 Работа с моделью информационных потоков. Рабочее поле программы состоит из нескольких окон (рис. 7):
- •Расчет рисков по угрозе ИБ:
- •2.3.4. Работа с моделью угроз и уязвимостей. Моделирование системы происходит, как и при использовании алгоритма «Анализ модели информационных потоков», но добавляются новые элементы ИС: угрозы и уязвимости.
- •2.4. КОНДОР
- •3. Описание лабораторного оборудования
- •4. Порядок выполнения работы
- •5. Контрольные вопросы
- •6. Требования к содержанию и оформлению отчета
- •7. Критерии результативности выполнения работы
- •Список литературы
3. Описание лабораторного оборудования
Проведение лабораторных работ ставит целью закрепление знаний, полученных при изучении теоретической части курса. Занятия проводятся в дисплейном классе на компьютерах не хуже Celeron 2800, ОЗУ –512 Мб (на серверах – 2048 Мб), винчестер – 300 Gb. В дисплейном классе должны быть установлены операционные системы, Windows 7 или Windows XP и система управления информационной безопасностью Digital Security Office.
4.Порядок выполнения работы
1.Получите общее представление о ГРИФ, изучите алгоритмы анализа модели информационных потоков и модели угроз и уязвимостей.
2.Разработайте модель ИС по примеру рис. 3, риск для которой по двум моделям Вы будете рассчитывать в данной лабораторной работе.
3.Для изучаемой ИС создайте новый проект на основе алгоритма анализа модели информационных потоков.
4.Задайте и проанализируйте свойства созданного Вами проекта
иотразите их в отчёте.
5.Ознакомьтесь с функцией управления проектами.
6.Познакомьтесь с элементами ИС.
7.Добавьте в ИС отделы и ресурсы, указав необходимые данные, в том числе критичность ресурса.
8.Исходя из модели ИС, добавьте в модель необходимые сетевые устройства, виды информации. Рассмотрите и отразите в отчёте шаги добавления новых элементов и их параметры.
9.При создании групп пользователей укажите их класс, число пользователей, выберете необходимые средства защиты рабочего места группы пользователей.
10.Ознакомьтесь с элементом «Бизнес-процессы» и элементом «Расходы на информационную безопасность», установите затраты на обслуживание.
11.Познакомьтесь с разделом «Связи» и определите отношения между видами информации, ресурсами и группами пользователей.
34
12. Познакомьтесь с разделом «Политика безопасности» и ответьте на вопросы, учитывающие организационные меры обеспечения ИБ.
13. Познакомьтесь с возможностью создания и конфигурирования отчета. Изучите его состав и отразите его в Вашем отчёте.
14. Проведите расчеты риска ИС по модели информационных потоков. Сравните результаты расчетов с результатами, полученными в отчетах.
15. Рассмотрите, как работает функция управления рисками, Познакомьтесь с контрмерами, единицами измерения риска и эффективности комплекса контрмер.
16. Практически ознакомьтесь с алгоритмом анализа угроз и уязвимостей. Проведите анализ уровня риска исследуемой ИС на основе данного алгоритма.
17. Познакомьтесь с элементом «Угрозы», и добавьте несколько из них в свою ИС, дав описание Вашим угрозам, а если необходимо и комментарии к ним. Подробно отразите в Вашем отчёте процесс создании новой угрозы.
18.Познакомьтесь с элементом «Уязвимости», и добавьте несколько из них в свою ИС, дав описание уязвимостям, а если необходимо и комментарии к ним.
19.Получите общее представление о КОНДОР и алгоритме его
работы.
20.Создайте новый проект.
21.Познакомьтесь с элементом «Организационные меры» и ответьте на предлагаемые вопросы.
22.Познакомьтесь с элементом «Контроль доступа» и ответьте на предлагаемые вопросы.
23.Проанализируйте свойства проекта, отразите их в отчёте. Измените весовые коэффициенты отдельных вопросов и проведите повторный анализ риска.
24.Сформируйте конфигурацию отчёта и создайте сам отчет, отразите его в Вашем отчёте.
35
5. Контрольные вопросы
1.Что включает в себя Digital Security Office?
2.За счет чего Digital Security Office обеспечивает аудит ИБ?
3.Раскройте систему классификации угроз DSECCT?
4.Для чего используется система анализа и управлениями рисками информационной системы компании ГРИФ?
5.Какие методики оценки рисков ИБ используются в системе
ГРИФ?
6.Расскажите об основных понятиях системы ГРИФ, воспользовавшись Вашим отчётом
7.Что необходимо задать в начале анализа модели информационных потоков?
8.По каким основным угрозам оценивается риск?
9.Какова методика оценки риска в модели информационных по-
токов?
10.Как оценивается риск по угрозам конфиденциальности и целостности в модели информационных потоков
11.Как оценивается риск по угрозе отказов в обслуживании в модели информационных потоков?
12.Что задается для группы пользователей в модели информационных потоков и как эти данные используется дальше
13.Как определяется эффективность средств защиты ресурса, информации и рабочего места группы пользователей при локальном и удаленном доступе к информации?
14.Как в модели информационных потоков учитывается наличие
упользователей выхода в Интернет и использование при удаленном доступе VPN?
15.Как оценивается итоговый коэффициент целостности?
16.Как определяется вероятность реализации угрозы для связи «информация-группа пользователей»
17.Как оценивается итоговая вероятность для информации в модели информационных потоков?
18.Что являются исходными данными при расчете рисков по угрозе отказ в обслуживания?
19.Как определяется коэффициент защищенности для угрозы отказ в обслуживании?
20.Как определяется итоговое время простоя для угрозы отказ в обслуживании
36
21.Зачем нужен раздел «Связи» и как он связан с разделом «Моделирование системы»?
22.Назовите разделы политики безопасности.
23.Как задаются контрмеры?
24.Как определяется эффективность комплекса контрмер?
25.Для чего используется модуль управления рисками?
26.Что включает в себя отчет системы ГРИФ?
27.Для чего создаются сетевые группы?
28.Какие типы ресурсов выделяются в системе ГРИФ?
29.Для чего нужны сетевые устройства, и какие их типы используются в ГРИФ?
30.Что подразумевается под видами информации и группами пользователей?
31.Какие классы групп пользователей Вы знаете?
32.Что подразумевается под бизнес-процессами, как они влияют на составление отчёта в ГРИФ 2005?
33.Как в Digital Security Office связаны уязвимости и угрозы?
34.Расскажите, какие средства защиты , учитываются в системе ГРИФ и как показатели для них задаются?
35.Какие имеются режима работы алгоритма «Анализ угроз и уязвимостей?
36.Раскройте методику анализа риска в модели угроз и уязвимо-
стей?
37.Как оценивается уровень угрозы по конкретной уязвимости?
38.Как оценивается уровень угрозы по всем уязвимостям?
39.Как оценивается уровень угрозы по ресурсу?
40.Как оценивается критичность ресурса при рассмотрении угрозы отказ в обслуживании в модели угроз и уязвимостей?
41.Как оценивается риск по ИС в модели угроз и уязвимостей?
42.Что позволяет делать элемент «Управление периодами»?
43.В каких единицах оценивается риск в Digital Security Office?
Ответы на вопросы должны иллюстрироваться примерами
на основе своего отчета.
6. Требования к содержанию и оформлению отчета
Отчет должен оформляться в электронном и печатном виде на листах формата А4 в соответствие с требованиями ЕСКД и содержать:
• цель работы;
37