Файл: Государственное образовательное учреждение высшего профессионального образования санктпетербургский государственный университет телекоммуникаций.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 17.03.2024

Просмотров: 102

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Учет наличия доступа через VPN, средств резервирования и контроля «целостности»

Расчеты производятся аналогично расчету рисков по угрозе нарушение «доступности», однако сейчас рассматриваются средства, которые закрывают данный тип угрозы (угрозы целостности).

Информационный поток

НК

Вес VPN-соединения

Веса средств резервирования и контроля целостности

РК

Администрация организации –

Сервер закрытого контура

135

-

159

294

Администрация организации –

Сервер открытого контура

135

-

120

255

Удаленные сотрудники – Сервер закрытого контура

90

60

132

282

Удаленные сотрудники – Сервер открытого контура

84

60

105

249

Технический отдел – Сервер закрытого контура

96

-

144

240

Технический отдел – Сервер открытого контура

78

-

114

192

Финансовый отдел – Сервер закрытого контура

114

-

105

219

Финансовый отдел – Сервер открытого контура

60

-

90

150

Расчеты итогового коэффициента защищенности

Расчеты производятся аналогично расчету рисков по угрозе нарушение «доступности», однако сейчас рассматриваются средства, которые закрывают данный тип угрозы (угрозы целостности). При наличии резервного копирования происходит следующее: если на ресурсе происходит резервное копирование информации, то вес резервного копирования прибавляется к коэффициенту защищенности. Если же резервное копирование не осуществляется, а также в группе пользователей, которые имеют доступ к информации, разрешены запись или удаление, то итоговый коэффициент увеличивается в 4 раза.


Информационный поток

Результирующий коэффициент защищенности

Количество человек в группе

Наличие интернет соединения

Итоговый коэффициент защищенности

Администрация организации –

Сервер закрытого контура

294

7

Есть

(2N/РК)

0,048

Администрация организации –

Сервер открытого контура

255

0,055

Удаленные сотрудники – Сервер закрытого контура

282

9

Есть

(2N/РК)

0,064

Удаленные сотрудники – Сервер открытого контура

249

0,072

Технический отдел – Сервер закрытого контура

240

15

Есть

(2N/РК)

0,125

Технический отдел – Сервер открытого контура

192

0,156

Финансовый отдел – Сервер закрытого контура

219

20

Нет

(N/РК)

0,091

Финансовый отдел – Сервер открытого контура

150

0,133

Расчет итоговой вероятности

Расчеты производятся аналогично расчету рисков по угрозе нарушение «доступности», однако сейчас рассматриваются средства, которые закрывают данный тип угрозы (угрозы целостности).

Информационный поток

БВ

ИБВ

ИК

ПВ

ИВ

Администрация организации – Сервер закрытого контура

0,02

0,14

0,0136

0,014

0,076

Технический отдел – Сервер закрытого контура

0,03

0,14

0,111

0,016

Финансовый отдел – Сервер закрытого контура

0,02

0,14

0,18

0,025

Удаленные сотрудники – Сервер закрытого контура

0,01

0,14

0,171

0,024

Администрация организации – Сервер открытого контура

0,02

0,15

0,217

0,033

0,116

Технический отдел – Сервер открытого контура

0,03

0,15

0,233

0,035

Финансовый отдел – Сервер открытого контура

0,02

0,15

0,175

0,026

Удаленные сотрудники – Сервер открытого контура

0,01

0,15

0,185

0,028


Расчет риска по угрозе «целостности» каждого вида информации

Риск по угрозе нарушения «целостности» для каждой информации рассчитывается как произведение итоговой вероятности на ущерб.

Информационный поток

ИВ

Ущерб

Значение риска

Администрация организации – Сервер закрытого контура

0,076

250

19

Технический отдел – Сервер закрытого контура

400

30

Финансовый отдел – Сервер закрытого контура

400

30

Удаленные сотрудники – Сервер закрытого контура

90

6,8

Администрация организации – Сервер открытого контура

0,116

200

23,2

Технический отдел – Сервер открытого контура

100

11,6

Финансовый отдел – Сервер открытого контура

350

40,6

Удаленные сотрудники – Сервер открытого контура

50

5,8

Расчет риска по угрозам нарушения «целостности» ресурса

Риска для ресурса, на котором хранится несколько видов информации, равен сумме рисков по всем видам информации. Так как основными ресурсами в организации являются сервер «закрытого» и «открытого» контуров, то риски для данных ресурсов рассчитываются как сумма рисков по всем информационным потокам к этому ресурсу.

Информационный поток

Значение риска

Значение риска для ресурса

Администрация организации – Сервер закрытого контура

19

85,8

Технический отдел – Сервер закрытого контура

30

Финансовый отдел – Сервер закрытого контура

30

Удаленные сотрудники – Сервер закрытого контура

6,8

Администрация организации – Сервер открытого контура

23,2

81,2

Технический отдел – Сервер открытого контура

11,6

Финансовый отдел – Сервер открытого контура

40,6

Удаленные сотрудники – Сервер открытого контура

5,8


На этом расчет рисков по угрозе нарушение «целостности» закончен.

Выводы по практической работе

В ходе выполнения практической работы были рассчитаны риски информационной системы на основе модели информационных потоков. Данные расчеты были выполнены для достижения поставленной цели.

Что в итоге было для этого сделано:

  • была разработана структурно-функциональная схема информационной системы с отображение физических и логических ресурсов, а также типы информационных потоков;

  • были определены веса средств защиты каждого аппаратного ресурса, каждого вида информационного ресурса, хранящегося и\или обрабатывающегося на нем;

  • были указаны виды и права доступа для каждой группы пользователей (и отдельных пользователей), а также наличие соединения через VPN;

  • было определено количество человек в группе для каждого информационного потока;

  • было указано наличие у пользователей доступа в Интернет;

  • был определен ущерб организации от реализации каждого вида угроз информационной безопасности для каждого информационного потока;

  • был произведен расчет рисков информационной системы на основе модели информационных потоков по угрозам нарушение «конфиденциальности», «доступности» и «целостности».

В ходе выполнения расчетов была получена итоговая вероятность реализации угрозы «конфиденциальность»: 8% - для «закрытого» контура и 16% - для «открытого» контура. Значение риска ресурсов при этом равняется 432 и 532,65 для серверов «закрытого» и «открытого» контуров.

Поскольку предполагаемый риск меньше, чем допустимый ущерб конфиденциальности в год (1250 у.е. и 838 у.е.), то можно сделать вывод, что информационная система организации достаточно хорошо защищена от угрозы, типа «конфиденциальность». В то же время, если возникнет необходимость в повышении безопасности данной информационной системы, то в этом случае рекомендуется принять дополнительные меры либо усилить уже имеющиеся.

Для угрозы нарушения «доступность» итоговая вероятность реализации: 7% - для «закрытого» контура и 34% для «открытого» контура. Значение риска для ресурсов при этом равняется 80,5 у.е. и 187 у.е. (для «закрытого» и «открытого» контуров соответственно). Для «закрытого» сервера предполагаемый риск меньше, а для открытого – больше, чем допустимый ущерб доступности (288 у.е. и 138 у.е.). Отсюда можно сделать вывод, что информационная система организации слабо защищена от угрозы типа «доступность» по «открытому» контуру. Для «открытого» контура вероятность реализации довольно высока. Соответственно, для уменьшения риска реализации угрозы в данном контуре и повышении безопасности информационной системы необходимо усилить имеющиеся средства защиты на сервере открытого контура.


Итоговая вероятность реализации угрозы нарушения «целостности»: 8% и 12% для серверов «закрытого» и «открытого» контуров. Значение риска для ресурсов при этом равняется 85,8 у.е. и 81,2 у.е. для серверов «закрытого» и «открытого» контуров. Допустимый ущерб «целостности» в среднем 285 у.е. и 175 у.е. Отсюда видно, что предполагаемый риск сильно меньше, чем допустимый ущерб. Таким образом делаем вывод, что информационная система хорошо защищена от угрозы типа «целостность».