Анализ рисков информационной безопасности

Содержание

51. Анализ рисков в области информационной безопасности

Анализ рисков информационной безопасности
» Информационные системы » Информационная безопасность и защита информации » 51. Анализ рисков в области информационной безопасности

Анализ рисков в области ИБ может быть качественным и количественным.

Количественный анализ точнее, он позволяет получить конкретные значения рисков, но он отнимает заметно больше времени, что не всегда оправданно. Чаще всего бывает достаточно быстрого качественного анализа, задача которого — распределение факторов риска по группам.

Шкала качественного анализа может различаться в разных методах оценки, но всё сводится к тому, чтобы выявить самые серьезные угрозы.

Важно различать понятия единичного и приведенного убытков. Единичный убыток — это расходы на один инцидент. Приведенный убыток учитывает количество конкретных инцидентов безопасности за некоторый промежуток времени, обычно за год. Если единичные и приведенные убытки путать, полученные результаты будут иметь мало общего с действительностью.

В задачи сотрудников подразделений ИБ входит оповещение руководства предприятий о существующих и потенциальных угрозах. Отчеты должны сопровождаться фактами, цифрами, аналитическими выкладками. Это наиболее эффективный способ довести информацию до глав организаций.

Топ-менеджеры гораздо лучше понимают бизнес-язык, поэтому сотрудникам подразделений ИБ надо научиться составлять элементарный бизнес-план.

На основе данных количественного анализа рисков следует определять возможные финансовые потери, расходы на приобретение и эксплуатацию системы безопасности, а затем рассчитывать экономический эффект мероприятий.

Лучше предоставлять несколько вариантов решений и составлять смету для каждого.

Качественный анализ

Существует несколько моделей качественного анализа. Все они достаточно просты. Варианты различаются лишь количеством градаций риска. Одна из самых распространенных моделей — трехступенчатая. Каждый фактор оценивается по шкале низкий — средний — высокий.

Противники данного способа считают, что трех ступеней для точного разделения рисков недостаточно, и предлагают пятиуровневую модель. Однако это не принципиально, ведь в целом любая модель анализа сводится к простейшему разделению угроз на критические и второстепенные. Трех-, пятиуровневые и прочие модели используются для наглядности.

При работе с моделями с большим числом градаций, например с пятью, у аналитиков могут возникнуть затруднения — отнести риск к пятой или к четвертой группе. Качественный анализ допускает подобные ошибки, поскольку является саморегулирующимся.

Не критично, если первоначально риск необоснованно отнесли к четвертой категорию вместо пятой. Качественный метод позволяет проводить анализ за считанные минуты. Предполагается, что такая оценка рисков будет осуществляться регулярно.

И уже на следующем шаге категории будут переназначены, фактор перейдет в пятую группу. Поэтому качественный анализ также называется итерационным методом.

Для примера качественного метода покажем, как работать с пятиуровневой моделью. Оцениваем все факторы риска и делим их на пять категорий. После этого исключаем из списка критические угрозы пятого уровня и анализируем оставшиеся факторы.

Таким образом, расширенная пятиступенчатая модель риска сохраняет быстроту качественного анализа, но позволяет точнее определить степень угрозы. Более того, можно сразу устранить либо снизить угрозы пятой категории как наиболее опасные.

А после этого заново провести анализ и опять начать работать с рисками пятой группы.

Количественный анализ

Количественный метод требует значительно больше времени, так как каждому фактору риска присваивается конкретное значение. Результаты количественного анализа могут быть более полезны для бизнес-планирования.

Однако в большинстве случаев дополнительная точность не требуется или просто не стоит лишних усилий.

Например, если для оценки фактора риска надо потратить четыре месяца, а решение проблемы займет только два, ресурсы используются неэффективно.

Также следует учитывать, что многие организации постоянно развиваются, изменяются. И за то время, что выполняется анализ, фактические значения рисков окажутся другими.

Перечисленные факторы говорят в пользу качественного анализа. Кроме того, эксперты считают, что, несмотря на всю свою простоту, качественный метод является весьма эффективным инструментом анализа.

Подсчет рисков

Говоря о практических аспектах анализа, нельзя не упомянуть расчет рисков. В его состав входят две величины — единичный и приведенный ущерб инцидента.

Единичный ущерб (ЕУ) определяют как произведение вероятности события и номинального убытка. ЕУ дает представление о величине потерь, однако спрогнозировать убытки на некоторое время вперед трудно.

Поэтому с практической точки зрения полезнее знать приведенную величину ущерба.

Приведенный ущерб (ПУ) — это произведение ЕУ и числа инцидентов за определенный период, который обычно принимают равным году. Исходя из годового прогноза, можно экстраполировать или интерполировать результат на другие промежутки времени.

Продемонстрируем разницу между ЕУ и ПУ на примере. Допустим, компания участвует в тендере из шести этапов стоимостью в 1 млн. долл. каждый и три этапа проиграла.

Анализ неудач показал, что конкуренты были знакомы с предложением фирмы, поэтому смогли выставить лучшие условия. Таким образом, налицо угроза инсайдеров. В данном примере компания может потерять 1 млн. долл.

Вероятность того, что инсайдеры сольют информацию, на основе исторической выборки (три случая из шести) составляет 50%. Таким образом, ЕУ равняется 500 тыс. долл.

Очевидно, фирма попытается предпринять какие-то шаги, чтобы повысить шансы на успех. При разработке контрмер необходимо точно знать ущерб. Если использовать неверное значение, результат будет некорректным. К примеру, в течение года компания участвует в шести тендерах с одинаковым призовым фондом, значит, число рисков равняется шести.

И действительное значение годовых потерь ПУ равняется произведению ЕУ и числа рисков, т. е. 3 млн. долл. Пусть, на снижение риска внутренних угроз необходимо потратить 400 тыс. долл. Отдавать 400 тыс., чтобы повысить вероятность заработать 500 тыс., не всегда рационально. Зато в течение года 400 тыс. инвестиций помогут заработать не 500 тыс.

, а 3 млн.

Оценивая рентабельность средств защиты, нужно помнить о совокупной стоимость владения (ССВ) ими. Вернемся к рассмотренному примеру.

Как мы отметили, в компании явно существует проблема утечки информации. Возможно, права доступа плохо разграничены, пользователи используют слабые пароли, контроль доступа не осуществляется. Допустим, стоимость новых серверов и ключей доступа для работников составляет 80 тыс. долл.

и 20 тыс. стоит ПО. На первый взгляд затраты на внедрение всей системы составят 100 тыс. долл., однако это только цена компонентов системы.

Когда начнут собирать компоненты, настраивать и запускать комплекс, расходы значительно вырастут, потому что каждый этап требует немало сил и рабочего времени сотрудников. Наверняка снизится эффективность труда, пока персонал будет приспосабливаться к новому порядку авторизации.

Кроме того, готовую систему требуется обслуживать. Поэтому общая стоимость владения новыми средствами защиты будет выше, чем цена их отдельных составляющих.

Друзья! Приглашаем вас к обсуждению. Если у вас есть своё мнение, напишите нам в комментарии.

Источник: https://it-iatu.ru/is/informacionnaya-bezopasnost-i-zaschita-informacii/analiz_riskov_v_oblasti_informacionnoy_bezopasnosti

Методы оценки рисков информационной безопасности

Анализ рисков информационной безопасности

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1.  Определить ценность информационных активов в денежном выражении. 

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска.

При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты.

Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

  • ценность активов в денежном выражении;
  • полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
  • частота реализации каждой угрозы;
  • потенциальный ущерб от каждой угрозы;
  • рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара.

Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера.

Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом. 

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Узнать больше

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Источник: https://kontur.ru/articles/1691

Особенности алгоритмов систем анализа информационных рисков

Анализ рисков информационной безопасности

Основные термины и определения:

  • Угроза безопасности — это возможное происшествие, которое может оказать воздействие на информацию в системе.
  • Уязвимость — это неудачная характеристика системы, которая делает возможным возникновение угрозы.
  • Атака — это действие по использованию уязвимости; атака — это реализация угрозы.
  • Угроза конфиденциальности — угроза раскрытия информации.
  • Угроза целостности — угроза изменения информации.
  • Угроза доступности — угроза нарушения работоспособности системы при доступе к информации.
  • Ущерб — это стоимость потерь, которые понесет компания в случае реализации угроз конфиденциальности, целостности, доступности по каждому виду ценной информации. Ущерб зависит только от стоимости информации, которая обрабатывается в автоматизированной системе. Ущерб является характеристикой информационной системы и не зависит от ее защищенности.
  • Риск — это вероятный ущерб, который зависит от защищенности системы. По определению риск всегда измеряется в деньгах.

Ни для кого не секрет, что анализ информационных рисков является актуальной задачей для современного бизнеса — последние годы в России на каждой конференции по информационной безопасности можно услышать серьезные доклады на данную тему. При этом часто ускользают сами основы: что именно представляет собой задача анализа рисков, какие существуют способы ее решения, а также, какие проблемы возникают при выборе метода решения.

Анализ информационных рисков — это процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков.

При этом риск — это вероятный ущерб, который зависит от защищенности системы.

Итак, из определения следует, что на выходе алгоритма анализа риска можно получить либо количественную оценку рисков (риск измеряется в деньгах), либо — качественную (уровни риска; обычно: высокий, средний, низкий).

Кроме того, анализ рисков также отличается по используемому подходу; обычно условно выделяют два уровня анализа рисков: базовый и полный.

Для базового анализа рисков достаточно проверить риск невыполнения требований общепринятого стандарта безопасности (обычно ISO 17799) с получением на выходе качественной оценки уровня рисков (высокий, средний, низкий).

Система КОНДОР является ярким примером реализации подобного подхода к анализу рисков.

О полном анализе информационных рисков мы поговорим подробно. Собственно, именно на нем скрещиваются копья большинства специалистов, так как с базовым анализом рисков больших вопросов обычно не возникает.

Почему же полный анализ рисков вызывает столь много вопросов и настолько неоднозначен в плане применяющихся подходов? Почему в мире существует так мало систем анализа и управления информационными рисками полного уровня? Попробуем найти ответы на данные вопросы.

Итак, основное отличие полного анализа рисков от базового состоит в необходимости построения полной модели анализируемой информационной системы. Модель должна включать: виды ценной информации, объекты ее хранения; группы пользователей и виды доступа к информации; средства защиты (включая политику безопасности), виды угроз.

Обратим внимание, что данное системное моделирование представляет существенную алгоритмическую сложность для разработчиков.

Далее, после моделирования необходимо перейти к этапу анализа защищенности построенной полной модели информационной системы. Здесь мы попадаем в целый пласт теоретических и практических проблем, с которыми сталкиваются разработчики алгоритмов полного анализа рисков.

Прежде всего, как алгоритмически (без эксперта) оценить защищенность информационной системы (заметим, что речь не идет о сканировании конкретных уязвимостей в конкретном применяемом программном обеспечении — таких систем анализа риска не существует)? Следующая проблема — как алгоритмически определить все классы уязвимостей в системе защиты анализируемой системы? Как оценить ущерб от всех существующих в системе угроз безопасности и как добиться адекватной оценки совокупного ущерба по всем классам угроз (необходимо избежать избыточного суммирования ущербов)? И самая сложная проблема: риск категория сугубо вероятностная — как оценить вероятность реализации множества угроз информационной системы?

Весь вышеуказанный комплекс проблем необходимо решать при создании современного алгоритма анализа рисков.

2. Особенности алгоритмов анализа информационных рисков на примере ГРИФ

В мире существует не так много алгоритмов полного анализа информационных рисков. На западе это британский CRAMM и американский RiskWatch; в России — это ГРИФ. О первых двух алгоритмах написано уже достаточно много, в этом материале мы более подробно рассмотрим специфику решения задачи анализа ИТ-рисков на примере алгоритма ГРИФ и сравним его с американским RiskWatch.

Отметим, что при разработке алгоритма ГРИФ стояла задача учесть недостатки существующих систем и сделать сам алгоритм удобным при работе пользователя в системе.

2.1. Алгоритмический анализ технологических особенностей защищенности ИС

Первая задача, решаемая уникальным алгоритмом ГРИФ: на основе построенной полной модели информационной системы оценить ее защищенность. При решении этой задачи активно применялся опыт экспертов. Отметим ряд некоторых особенностей алгоритма, основанных на практических аспектах анализа защищенности ИС.

Основными принципами, использующимися в алгоритме ГРИФ, являются следующие:

  • принцип передачи свойств объекта другим объектам данного множества;
  • принцип выбора уровня защищенности объектов одного множества по уровню наименее защищенного объекта множества;
  • принцип оценки уровня защищенности взаимодействия между субъектом и объектом по наименее защищенному:
    • при оценке уровня защищенности взаимодействия между субъектом (пользователем) и объектом (информация на объекте) выбирался наименее защищенный объект взаимодействия;
    • при оценке защищенности видов информации (объекта взаимодействия), расположенных на одном из объектов информационной системы, итоговый уровень защищенности каждого вида информации выбирается по наименее защищенному;
    • при оценке защищенности объектов взаимодействия, находящихся физически в одном сегменте, итоговый уровень защищенности выбирался по наименее защищенному объекту.

При этом на итоговую оценку защищенности информационной системы существенным образом влияют организационные аспекты: вопросы реализации требований политики безопасности согласно ISO 17799, что также учитывается алгоритмом ГРИФ.

2.2. Оценка ущерба от угроз безопасности

Одной из классических проблем алгоритмов анализа информационных рисков является выбор методики анализа и определения угроз безопасности информации.

Часть существующих алгоритмов, в частности американский RiskWatch, использует следующий подход: пользователь указывает полный список угроз безопасности, характерных для данной системы, а также оценку ущерба по каждому виду угроз.

Данный подход является алгоритмически тупиковым путем, так как конечный элемент защиты — это информация, и ущерб определяется именно по информации.

Определение ущерба по конкретным, специфичным для данной системы угрозам приводит к тому, что данный ущерб в итоге оценивается выше, чем реальный ущерб по видам информации, что неверно.

Дело в том, что на один и тот же вид информации может быть реально направлено сразу несколько угроз, что и приведет к тому, что суммарный ущерб, подсчитанный по угрозам, будет неадекватен реальному, подсчитанному по информации.

С учетом того, что как конечным элементом защиты, так и конечным элементом оценки ущерба является информация, алгоритм анализа рисков должен отталкиваться не от частных угроз и ущербов по ним, а от информации и от ущерба по информации.

Для решения этого алгоритмического противоречия в алгоритме ГРИФ применяется новый метод классического непересекающегося поля угроз информации: угроз конфиденциальности, целостности и доступности. Данный алгоритм требует от пользователя внести размер ущерба по всем трем видам угроз по каждому виду ценной информации.

Этот метод позволяет, во-первых, абстрагироваться на этапе моделирования системы от конкретных угроз безопасности (дело в том, что каждая конкретная угроза распадается на эти три классических непересекающихся вида угроз), во-вторых, избежать избыточного суммирования по ущербу, так как это поле непересекающихся угроз.

И, в-третьих, метод даёт возможность разбить процесс анализа защищенности информационной системы на множество элементарных ситуаций, когда алгоритм анализирует возможность реализации данных классических угроз безопасности по каждому виду информации на каждом ресурсе и не привязывается на этапе анализа к конкретным реализациям угроз.

2.3. Оценка вероятностей реализации обнаруженных угроз

Фундаментальной проблемой любого алгоритма анализа рисков является определение вероятности реализации специфичной для данной системы угрозы.

В случае применения подхода, аналогичного RiskWatch (условно, подхода от частных угроз), пользователю на этапе моделирования необходимо или ввести вероятность реализации конкретной угрозы (что превращает сам «алгоритм» в простую формулу: Вероятность*УЩЕРБ, тем самым, выхолащивая до нуля процесс анализа защищенности — его здесь просто нет) или оценить ее уровень. Алгоритм ГРИФ не предусматривает введения пользователем вероятности реализации угроз. В ГРИФ моделируются доступы всех групп пользователей ко всем видам информации, и в зависимости от вида доступа и вида ресурса рассматривается конечное множество очевидных элементарных ситуаций, где начальную вероятность реализации угрозы можно определить достаточно просто и точно. Далее анализируется множество опять же элементарных факторов (идет анализ комплексной защищенности объекта), которые так или иначе влияют на защищенность, и затем делается вывод об итоговых рисках. Таким образом, в алгоритме ГРИФ применяется типовой алгоритмический подход, когда решение большой сложной задачи разбивается на множество небольших простых задач.

3. Вывод

Анализ информационных рисков является, безусловно, труднейшей практической задачей. Подходы к ее реализации могут быть самыми разными: от достаточно простых, но удобных и мощных «риск калькуляторов» (RiskWatch) до очень сложных в работе систем (CRAMM).

Метод CRAMM, также как и RiskWatch, оперирует с конкретными видами угроз, но идет дальше, выстраивая сложную модель информационной системы. Метод ГРИФ, где применяется метод классических видов угроз безопасности, основывается на целом комплексе параметров, которые определяются, прежде всего, защищенностью исследуемого объекта.

Анализируются как технологические аспекты защищенности (включая учет требований стандартов Good Practice, ISO 15408 и др. и таких важных с точки зрения реального проникновения моментов, как нахождение в одном сегменте, действия хакера через наименее защищенный объект взаимодействия и т. д.

), так и вопросы комплексной безопасности, согласно ISO 17799 (организация, управление, администрирование, физ. безопасность и т. д.). При этом подход ГРИФ обладает универсальностью, гибкостью и удобством для пользователя.

Какой подход из вышеизложенных наиболее адекватно отражает существующую проблематику анализа ИТ-рисков? Какой подход выбрать пользователю? Все алгоритмы по-разному, но совершенно адекватно решают поставленную задачу в рамках, которые предусмотрел их разработчик.

Но мне кажется, что вопрос алгоритма представляет скорее научный интерес, так как на практике пользователь выбирает не алгоритм, а непосредственно продукт.

А потребительские качества продуктов анализа и управления ИТ-рисков, построенных на базе алгоритмов ГРИФ, CRAMM, RiskWatch, — это уже совсем другая тема.

Ознакомиться с продуктами и получить их демо-версии можно по следующим ссылкам:

Источник: https://www.ixbt.com/cm/total-it-risks092004.shtml

Практическая работа: Анализ рисков информационной безопасности

Анализ рисков информационной безопасности

Тема: Анализ рисков информационной безопасности

Раздел: Бесплатные рефераты по информационной безопасности

Тип: Практическая работа | Размер: 25.05K | Скачано: 103 | Добавлен 30.01.17 в 19:48 | : +2 | Еще Практические работы

Вуз: Стерлитамакский колледж строительства и профессиональных технологий

Год и город: Стерлитамак 2017

Задание. 3

Обоснование выбора информационных активов организации. 4

Уязвимости системы защиты информации. 6

Угрозы ИБ.. 7

Оценка рисков. 8

Вывод. 10

Задание

  1. Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий»
  2. Ознакомьтесь с Приложениями C, D и Е ГОСТа.

  3. Выберите три различных информационных актива организации (см. вариант).
  4. Из Приложения D ГОСТа подберите три конкретных уязвимости системы защиты указанных информационных активов.

  5. Пользуясь Приложением С ГОСТа напишите три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости.
  6. Пользуясь одним из методов (см.

    вариант) предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности.

  7. Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы.

Обоснование выбора информационных активов организации

  1. База сотрудников, хранящаяся на сервере –она нужна для издательства, так как на ней хранится информация о всех сотрудниках издательства.
  2. Хранилище на электронном носителе- содержит всю информацию нужную для издательства.

    Информация доступна только определённым лицам и не должна попасть в руки злоумышленников

  3. Бухгалтерская документация –информация затраты издательства, зарплата сотрудникам

Оценка ценности информационных активов

В этом издательстве мы выделили 3 важных актива и поставим ему оценку от 0 до 4.

  1. База сотрудников информация о сотрудниках. Оценка этого актива 2.

Возможный ущерб:

нарушение законов и/или подзаконных актов.

  1. Хранилище на электронном носителе оценивается тем что находится в нём. Оценка этого актива 3. Возможный ущерб: потеря престижа/негативное воздействие на репутацию
  2. Бухгалтерская документация самые цены сведенья. Оценка этого актива 4. Возможный ущерб: финансовые потери, нарушение конфиденциальности коммерческой информации, снижение эффективности бизнеса.

Уязвимости системы защиты информации

  1. Размещение в зонах возможного затопления (возможна, например, угроза затопления).

  2. Отсутствие механизмов идентификации и аутентификации, например, аутентификации пользователей (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей)
  3. Отсутствие необходимых знаний по вопросам безопасности (возможна, например, угроза ошибок пользователей).

Угрозы ИБ

  1. затопление. Размещение в зонах возможного затопления

В зависимости от того на сколько затоплено помещение, можно сказать высока ли угроза потери важнейшей информации. При затопленности, общего помещения, например, из-за наводнения, потери будут колоссальны. Вся информация будет уничтожена.

  1. Угроза нелегального проникновения злоумышленников под видом законных пользователей. Могут быть выкрадены очень важные документы для организации. И приведет к упадку Издательства.
  2. Угроза ошибок пользователей. Не значительна ошибка. Вызванная сотрудником Издательства.

Оценка рисков

Вопросы:

База сотрудников:

При угрозе затопление вероятность возникновения угрозы мала, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 2.

При угрозе нелегального проникновения злоумышленников под видом законных пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет среднее значение, то частота будет равна 3.

При угрозе ошибок пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 4.

Хранилище на электронном носителе:

При угрозе затопление вероятность возникновения угрозы мала, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 2.

При угрозе нелегального проникновения злоумышленников под видом законных пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет среднее значение, то частота будет равна 3.

При угрозе ошибок пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 4.

Бухгалтерская документация:

При угрозе затопление вероятность возникновения угрозы мала, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 2.

При угрозе нелегального проникновения злоумышленников под видом законных пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет среднее значение, то частота будет равна 3.

При угрозе ошибок пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 4.

Ценность актива

Уровень угрозы

Низкий

Средний

Высокий

Уровень уязвимости

Уровень уязвимости

Уровень уязвимости

Н

С

В

Н

С

В

Н

С

В

0

0

1

2

1

2

3

2

3

4

1

1

2

3

2

3

4

3

4

5

2

2

3

4

3

4

5

4

5

6

3

3

4

5

4

5

6

5

6

7

4

4

5

6

5

6

7

6

7

8

Обозначение: Н — низкий, С — средний, В — высокий.

Вывод

В результате проведенного исследования были рассмотрены и выявлены угрозы ИБ в сфере обороны, объекты, информационную безопасность которых необходимо обеспечивать, их уязвимости. Была проведен анализ отношений между угрозами, уязвимостями, объектами, реализациями угроз и их источниками.

 Для безопасности нужно позаботиться о службах, отвечающих за нее. Увеличение расходов на товары для безопасности, уменьшат риски угроз.

Чтобы избежать возникновение угроз нужно избавится от уязвимых мест.        

Сколько стоит заказать работу?

Бесплатная оценка

+2

Размер: 25.05K

Скачано: 103

Скачать бесплатно

Нажмите на кнопочку ниже. Вам не сложно, а нам приятно).

Чтобы скачать бесплатно Практические работы на максимальной скорости, зарегистрируйтесь или авторизуйтесь на сайте.

Важно! Все представленные Практические работы для бесплатного скачивания предназначены для составления плана или основы собственных научных трудов.

Друзья! У вас есть уникальная возможность помочь таким же студентам как и вы! Если наш сайт помог вам найти нужную работу, то вы, безусловно, понимаете как добавленная вами работа может облегчить труд другим.

Добавить работу

Если Практическая работа, по Вашему мнению, плохого качества, или эту работу Вы уже встречали, сообщите об этом нам.

Добавление отзыва к работе

могут только зарегистрированные пользователи.

Источник: https://studrb.ru/works/entry33112inYTmR

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.