Оценка рисков информационной безопасности.
Существует множество методик оценки риска информационной безопасности. Они позволяет точно и последовательно оценить угрозы информационной безопасности и рассчитать необходимое количество средств, требуемых для снижения угроз информационной безопасности. Благодаря таким методикам можно гибко комбинировать уровень угроз и уровень затрат на их снижение, с целью достижения оптимальной для предприятия картины.
В данном курсовом проекте будет применена методика оценки рисков от компании Microsoft.
3.1 Определение обобщенного риска
Вначале стоит определить активы и их ценность в порядке приоритета:
1.Возможный ущерб от нарушения конфиденциальности информации, обрабатываемой на компьютерах, стоящих на рабочих местах 1,2 и 3 (Рис. 1.1.1) составляет 1 000 000 грн.
2.Возможный ущерб от нарушения конфиденциальности информации, высвечиваемой на проекторе, составляет 150 000 грн.
3.Возможный ущерб от нарушения конфиденциальности информации, озвучиваемой в помещении, составляет 50 000 грн.
Для каждого актива оцениваем влияние на бизнес и список способов нарушения информационной безопасности. Экспертным способом оцениваем частоту возникновения и подверженность воздействию каждого из способов нарушения информационной безопасности по 3-х бальной шкале.
Исходя из значения класса актива и оценки подверженности актива воздействию, определяем уровень влияния. Обобщенный уровень риска определяется исходя из уровня влияния и оценки частоты возникновения риска.
Таблица 3.1.1 – Утечка информации, обрабатываемой на компьютерах.
Способы нарушения информационной безопасности |
Класс актива |
Подвержен-ность воздействию |
Частота возникновения |
Уровень влияния |
Обобщенный уровень риска |
Перехват ПЭМИ |
ВВБ |
С |
С |
С |
С |
Перехват наводок информационных сигналов |
ВВБ |
С |
С |
С |
С |
Таблица 3.1.2 – Утечка информации, высвечиваемой на проекторе.
Способы нарушения информационной безопасности |
Класс актива |
Подвержен-ность воздействию |
Частота возникновения |
Уровень влияния |
Обобщенный уровень риска |
Перехват ПЭМИ |
СВБ |
С |
С |
С |
С |
Перехват наводок информационных сигналов |
СВБ |
С |
С |
С |
С |
Таблица 3.1.3 – Утечка информации, озвучиваемой вслух.
Способы нарушения информационной безопасности |
Класс актива |
Подвержен-ность воздействию |
Частота возникновения |
Уровень влияния |
Обобщенный уровень риска |
Утечка через прямой акустический канал |
НВБ |
В |
В |
С |
В |
Утечка через виброакустический канал |
НВБ |
В |
В |
С |
В |
Утечка через акустооптический канал |
НВБ |
В |
С |
С |
С |
Утечка через акустоэлектрический канал |
ННБ |
В |
В |
С |
В |
3.2 Определение уровня риска.
Для детального изучения отбираются риски, отнесенные по результатам оценки на обобщенном уровне к высокому и среднему уровням. В данной ситуации все риски принадлежат к одному из этих уровней. Каждый риск получает класс влияния актива по 10 бальной шкале. Также определяем подверженность воздействию по 5 бальной шкале. Из этих двух значений получаем подверженность воздействию по 10 бальной шкале по формуле:
(3.1)
Определяем эффективность механизмов контроля и уровень вероятности по 5 бальной шкале, которые суммируем для получения уровня вероятности с контролем. Наконец, перемножив подверженность воздействию (10) и уровень вероятности с контролем, получаем уровень риска в процентах.
Таблица 3.2.1 - Утечка информации, обрабатываемой на компьютерах.
Способы нарушения информационной безопасности |
Подв. возд.(5) |
Подв. возд. (10) |
Механизмы контроля |
Ур. вер. |
Ур.вер. + контроль |
Уровень риска (100%) |
Перехват ПЭМИ |
2(40) |
4 |
5 |
2 |
7 |
28 |
Перехват наводок информационных сигналов |
3(60) |
6 |
5 |
2 |
7 |
42 |
Таблица 3.2.2 - Утечка информации, высвечиваемой на проекторе.
Способы нарушения информационной безопасности |
Подв. возд.(5) |
Подв. возд. (10) |
Механизмы контроля |
Ур.вер. |
Ур.вер. + контроль |
Уровень риска (100%) |
Перехват ПЭМИ |
2(40) |
4 |
5 |
2 |
7 |
28 |
Перехват наводок информационных сигналов |
3(60) |
6 |
5 |
2 |
7 |
42 |
Таблица 3.2.3 - Утечка информации, озвучиваемой вслух.
Способы нарушения информационной безопасности |
Подв. возд.(5) |
Подв. возд. (10) |
Механизмы контроля |
Ур. вер. |
Ур.вер. + контроль |
Уровень риска(100%) |
Утечка через прямой акустический канал |
5(100) |
10 |
5 |
5 |
10 |
100 |
Утечка через виброакустический канал |
5(100) |
10 |
5 |
4 |
9 |
90 |
Утечка через акустооптический канал |
5(100) |
10 |
5 |
1 |
6 |
60 |
Утечка через акустоэлектрический канал |
5(100) |
10 |
5 |
3 |
8 |
80 |
3.3 Определение ущерба.
Находим разовый ущерб по каждой угрозе:
(3.2)
Определив, частоту возникновения угрозы в диапазоне от 0 до 1 (ARO), находим годовой ущерб(ALE):
(3.3)
Таблица 3.3.1 - Утечка информации, обрабатываемой на компьютерах.
Способы нарушения информационной безопасности |
Значение актива |
Подв. возд.(5) |
Разовый ущерб |
Частота возникновения |
Годовой ущерб |
Перехват ПЭМИ |
1 000 000 |
2(40) |
400 000 |
0.4 |
160 000 |
Перехват наводок информационных сигналов |
1 000 000 |
3(60) |
600 000 |
0.4 |
240 000 |
Таблица 3.3.2 - Утечка информации, высвечиваемой на проекторе.
Способы нарушения информационной безопасности |
Значение актива |
Подв. возд.(5) |
Разовый ущерб |
Частота возникновения |
Годовой ущерб |
Перехват ПЭМИ |
150 000 |
2(40) |
60 000 |
0.4 |
24 000 |
Перехват наводок информационных сигналов |
150 000 |
3(60) |
90 000 |
0.4 |
36 000 |
Таблица 3.3.3 - Утечка информации, озвучиваемой вслух.
Способы нарушения информационной безопасности |
Значение актива |
Подв. возд.(5) |
Разовый ущерб |
Частота возникновения |
Годовой ущерб |
Утечка через прямой акустический канал |
50 000 |
5(100) |
50 000 |
0.9 |
45 000 |
Утечка через виброакустический канал |
50 000 |
5(100) |
50 000 |
0.8 |
40 000 |
Утечка через акустооптический канал |
50 000 |
5(100) |
50 000 |
0.3 |
15 000 |
Утечка через акустоэлектрический канал |
50 000 |
5(100) |
50 000 |
0.6 |
30 000 |
Итак, как видно из предыдущих расчетов, наибольший риск для предприятия составляет утечка информации, обрабатываемой компьютерами предприятия, через побочные электромагнитные излучения и наводки. Вследствие этого при выделении средств на обеспечение информационной безопасности, в первую очередь необходимо обеспечить перекрытие именно этого канала утечки информации.
3.4 Отбор самых существенных рисков.
Для отбора самых существенных рисков примем допустимый порог размера потерь от угроз. Выбираем этот порог равным 20 000 гривнам. Данному порогу удовлетворяют все каналы утечки информации кроме акустооптического канала утечки информации. В связи с этим нужно снизить уровень риска нарушения информационной безопасности по всем каналам, кроме акустооптического канала.