Тема: Практическая работа № 1 «Анализ рисков информационной безопасности»

Дисциплина: Анализ рисков информационной безопасности

2023г.

Содержание

Оглавление

Задание 2

Обоснования выбора информационных активов 3

Оценка ценности информационных активов/Уязвимости системы защиты информации 5

Угрозы ИБ 6

Оценка рисков 7

Вывод 9

Задание

1. Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА

ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий».

2. Ознакомьтесь с Приложениями C, D и Е ГОСТа.

3. Выберите три различных информационных актива организации (см.

вариант).

4. Из Приложения D ГОСТа подберите три конкретных уязвимости системы

защиты указанных информационных активов.

5. Пользуясь Приложением С ГОСТа напишите три угрозы, реализация

которых возможна пока в системе не устранены названные в пункте 4 уязвимости.

6. Пользуясь одним из методов (см. вариант) предложенных в Приложении Е

ГОСТа произведите оценку рисков информационной безопасности.

7. Оценку ценности информационного актива производить на основании

возможных потерь для организации в случае реализации угрозы.

Обоснование выбора информационных активов организации

Информационный актив банка – это информация:

• 
  с реквизитами, позволяющими её идентифицировать;
  
• 
  имеющая ценность для самого банка;
  
• 
  находящаяся в распоряжении и представленная на любом материальном носителе в форме, пригодной для её обработки, хранения или передачи.
  

Описание и детализация информационных активов может быть различной. В банках к типам информационных активов относится информация, содержащая банковскую тайну (далее – БТ), коммерческую тайну (далее – КТ), персональные данные и открытую информацию. Банковская и коммерческая тайна могут одновременно являться инсайдерской информацией (далее – ИИ).

В отделение коммерческого банка можно выделить ряд информационных активов. В данном случае мы возьмем:

---

1. 
   Документация бухгалтерского учета – совокупность материальных носителей информации, составляемая экономическим субъектом по установленным требованиям в ходе ведения им бухгалтерского учета и включающая в себя:
   
   1. 
      первичные учетные документы;
      
   2. 
      сводные учетные документы;
      
   3. 
      регистры бухгалтерского учета;
      
   4. 
      данные внутренней бухгалтерской отчетности.
      
2. 
   Клиентская база - это особый вид базы данных, в которой содержатся сведения о каждом клиенте компании, хоть раз совершавшим с ней сделку. В некоторых клиентских базах помимо этой информации также содержатся данные о вероятных заказчиках и клиентах.
   
3. 
   Сетевой диск (сетевой драйвер)- назначенный логический диск (папка), который служит для хранения, передачи значительными объемами информации между сотрудниками.
   

Я выбрала данные информационные активы организации, поскольку они являются необходимыми и основными для функционирования, реализации сети.

Когда выделены и сформированы информационные активы предприятия, встает вопрос их правильной классификации с последующим обеспечением безопасности.

Дело в том, что с помощью классификации можно оформить ключевые метрики для используемой информации – ее ценность, сила влияния на предприятие защите и тому подобное. Во многом от этого зависит, как данные будут обрабатываться и защищаться.

Классификационные модели:

1. 
   Однофакторная классификация. Базируется на степени ущерба. Рассмотрим небольшой пример. Активы информационной системы распределяются на четыре блока в зависимости от степени вероятного нанесения ущерба при утечке данных. Как пример – минимальный, затем — средний, высокий и напоследок – критический.
   
2. 
   Многофакторная модель классификации. Базируется на трех классических параметрах. В данном случае вся информация представляет интерес с точки зрения конфиденциальности, доступности и целостности. По каждой позиции требования проставляются отдельно – высокие, средние, низкие. По совокупности они оцениваются, к примеру, как критической или базовой важности.
   

---

Параметр/значение	Критичность информации
Ценность вида информации	Критичная (3 балла)	Существенная (2 балла)	Незначи-тельная (1 балл)
Строго конфиденциальная (4 балла)	7	6	5
Конфиденциальная (3 балла)	6	5	4
Для внутреннего пользования (2 балла)	5	4	3
Открытая (1 балл)	4	3	2

Оценка ценности информационных активов

1. 
   Документация бухгалтерского учета
   

• 
  Ценность вида информации-строго конфиденциальная (4 балла), критичность информации-критичная (3 балла) => 7 балл.
  

2. 
   Клиентская база
   

• 
  Ценность вида информации-конфиденциальная (3 балла), критичность информации –существенная (2 балла) => 6 балл.
  

3. 
   Сетевой драйвер
   

• 
  Ценность вида информации- для внутреннего пользователя (2 балла), критичность информации- критичная (3 балла) => 5 балл.
  

Уязвимости системы защиты информации

Программное обеспечение

• 
  Отсутствие механизмов идентификации и аутентификации, например, аутентификации пользователей (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей).
  

Коммуникации

• 
  Незащищенные линии связи (возможна, например, угроза перехвата информации).
  

Документы

• 
  Хранение в незащищенных местах (возможна, например, угроза хищения).
  

Угрозы ИБ

Перечень типичных видов угроз

Угрозы, обусловленные преднамеренными действиями, обозначены в перечне буквой D, угрозы, обусловленные случайными действиями, — A и угрозы, обусловленные естественными причинами, — E. Таким образом, буквой D обозначают все преднамеренные действия, объектами которых являются активы информационных технологий, буквой A — все совершаемые людьми действия, которые могут случайно нанести вред активам информационных технологий, буквой E — инциденты, не основанные на действиях, совершаемых людьми.

---

Затопление-D, A, E

Пожар- D, A,

Землетрясение- E

Потери	Вероятности реализации угроз
	Несущественная <1%	Существенная от 1% до 10%	Высокая свыше 10%
Незначительные (меньше 1% стоимости предприятия)	1	2	2
Значительные (от 1% до 10%)	2	2	2
Критически высокие(свыше 10%)	2	3а*	3б*

Затопление -потери-критически высокие свыше 10%, вероятность реализации угрозы – несущественная <1% => 2. Не подлежит восстановлению, утеря данных.

Пожар-потери значительные от 1% до 10% вероятность реализации угрозы-высокая свыше 10% => 2. Выход их строя рабочих компьютеров.

Землетрясение- потери значительные от 1% до 10%, вероятность реализации угрозы –несущественная <1% => 2. Зависит от масштаба землетрясения.

Оценка рисков

Оценку рисков будем проводить по третьему примеру ГОСТа Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий» Приложение Е

Информационный актив / ценность актива	Уязвимость/ уровень уязвимости	Угроза/ уровень угрозы	Оценка риска
4	3	2	19
3	2	3	16
2	3	2	13

Активы:

· А1 - бухгалтерская документация, ценность актива – 4;

· А2 - ценность актива информационная база клиентов, ценность актива – 3;

· А3 - сетевой диск, ценность актива– 2.

Угрозы:

· Т1 – Затопление-2;

---

· Т2 –Пожар-3;

· Т3 – Землетрясение-2.

Актив А1.

Оценка сочетания актива А1 и угрозы Т1 равна 6.

Оценка сочетания актива А1 и угрозы Т2 равна 7.

Оценка сочетания актива А1 и угрозы Т3 равна 6.

А1Т=А1Т1+А1Т2+А1Т3=6+6+7=19

2. Актив А2.

Оценка сочетания актива А2 и угрозы Т1 равна 5.

Оценка сочетания актива А2 и угрозы Т2 равна 6.

Оценка сочетания актива А2 и угрозы Т3 равна 5.

А2Т=А2Т1+А2Т2+А2Т3=5+5+6=16

3. Актив А3.

Оценка сочетания актива А3 и угрозы Т1 равна 4.

Оценка сочетания актива А3 и угрозы Т2 равна 5.

Оценка сочетания актива А3 и угрозы Т3 равна 4.

А3Т=А3Т1+А3Т2+А3Т3=4+5+6=13

ST=А1Т+ А2Т+ А3Т=19+16+13=48

ST=48 - это высокая оценка рисков, нужно снижать ее до минимальной, как только это возможно.

Вывод

Экспериментальная проверка разработанной методики и оценки важности информационных активов проведена на примере организации – отделение коммерческого банка. Мы выявили, что риск угрозы информационным активам немал для безопасности, нужно позаботиться о бухгалтерской документации. Увеличение расходов для безопасности, уменьшат риски угроз. Результаты оценки важности могут быть использованы при оценки и обработки рисков для указанной организации. Таким образом, цель работы была достигнута, задание выполнено.

---

Смотрите также файлы

• Планконспект проведения занятий с группой личного состава 21 псч 2 псо фпс гпс главного управления.docx

• Контрольная работа по дисциплине Юридический практикум.docx

• Отработка норматива по физической подготовке. Кросс на 3 км.docx

• Задача Необходимо рассчитать размеры поперечного сечения выработки Исходные данные Марка электровоза.docx

• Задание к теме 2 Оцените действия, отметив правильные (П) и неправильные (НП) рекомендации. Для расследования несчастного случая на производстве необходимо.doc