Файл: Практическая работа 1 Анализ рисков информационной безопасности.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.02.2024
Просмотров: 127
Скачиваний: 12
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Тема: Практическая работа № 1 «Анализ рисков информационной безопасности»
Дисциплина: Анализ рисков информационной безопасности
2023г.
Содержание
Оглавление
Задание 2
Обоснования выбора информационных активов 3
Оценка ценности информационных активов/Уязвимости системы защиты информации 5
Угрозы ИБ 6
Оценка рисков 7
Вывод 9
Задание
1. Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий».
2. Ознакомьтесь с Приложениями C, D и Е ГОСТа.
3. Выберите три различных информационных актива организации (см.
вариант).
4. Из Приложения D ГОСТа подберите три конкретных уязвимости системы
защиты указанных информационных активов.
5. Пользуясь Приложением С ГОСТа напишите три угрозы, реализация
которых возможна пока в системе не устранены названные в пункте 4 уязвимости.
6. Пользуясь одним из методов (см. вариант) предложенных в Приложении Е
ГОСТа произведите оценку рисков информационной безопасности.
7. Оценку ценности информационного актива производить на основании
возможных потерь для организации в случае реализации угрозы.
Обоснование выбора информационных активов организации
Информационный актив банка – это информация:
-
с реквизитами, позволяющими её идентифицировать; -
имеющая ценность для самого банка; -
находящаяся в распоряжении и представленная на любом материальном носителе в форме, пригодной для её обработки, хранения или передачи.
Описание и детализация информационных активов может быть различной. В банках к типам информационных активов относится информация, содержащая банковскую тайну (далее – БТ), коммерческую тайну (далее – КТ), персональные данные и открытую информацию. Банковская и коммерческая тайна могут одновременно являться инсайдерской информацией (далее – ИИ).
В отделение коммерческого банка можно выделить ряд информационных активов. В данном случае мы возьмем:
-
Документация бухгалтерского учета – совокупность материальных носителей информации, составляемая экономическим субъектом по установленным требованиям в ходе ведения им бухгалтерского учета и включающая в себя:-
первичные учетные документы; -
сводные учетные документы; -
регистры бухгалтерского учета; -
данные внутренней бухгалтерской отчетности.
-
-
Клиентская база - это особый вид базы данных, в которой содержатся сведения о каждом клиенте компании, хоть раз совершавшим с ней сделку. В некоторых клиентских базах помимо этой информации также содержатся данные о вероятных заказчиках и клиентах. -
Сетевой диск (сетевой драйвер)- назначенный логический диск (папка), который служит для хранения, передачи значительными объемами информации между сотрудниками.
Я выбрала данные информационные активы организации, поскольку они являются необходимыми и основными для функционирования, реализации сети.
Когда выделены и сформированы информационные активы предприятия, встает вопрос их правильной классификации с последующим обеспечением безопасности.
Дело в том, что с помощью классификации можно оформить ключевые метрики для используемой информации – ее ценность, сила влияния на предприятие защите и тому подобное. Во многом от этого зависит, как данные будут обрабатываться и защищаться.
Классификационные модели:
-
Однофакторная классификация. Базируется на степени ущерба. Рассмотрим небольшой пример. Активы информационной системы распределяются на четыре блока в зависимости от степени вероятного нанесения ущерба при утечке данных. Как пример – минимальный, затем — средний, высокий и напоследок – критический. -
Многофакторная модель классификации. Базируется на трех классических параметрах. В данном случае вся информация представляет интерес с точки зрения конфиденциальности, доступности и целостности. По каждой позиции требования проставляются отдельно – высокие, средние, низкие. По совокупности они оцениваются, к примеру, как критической или базовой важности.
Параметр/значение | Критичность информации | ||
Ценность вида информации | Критичная (3 балла) | Существенная (2 балла) | Незначи-тельная (1 балл) |
Строго конфиденциальная (4 балла) | 7 | 6 | 5 |
Конфиденциальная (3 балла) | 6 | 5 | 4 |
Для внутреннего пользования (2 балла) | 5 | 4 | 3 |
Открытая (1 балл) | 4 | 3 | 2 |
Оценка ценности информационных активов
-
Документация бухгалтерского учета
-
Ценность вида информации-строго конфиденциальная (4 балла), критичность информации-критичная (3 балла) => 7 балл.
-
Клиентская база
-
Ценность вида информации-конфиденциальная (3 балла), критичность информации –существенная (2 балла) => 6 балл.
-
Сетевой драйвер
-
Ценность вида информации- для внутреннего пользователя (2 балла), критичность информации- критичная (3 балла) => 5 балл.
Уязвимости системы защиты информации
Программное обеспечение
-
Отсутствие механизмов идентификации и аутентификации, например, аутентификации пользователей (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей).
Коммуникации
-
Незащищенные линии связи (возможна, например, угроза перехвата информации).
Документы
-
Хранение в незащищенных местах (возможна, например, угроза хищения).
Угрозы ИБ
Перечень типичных видов угроз
Угрозы, обусловленные преднамеренными действиями, обозначены в перечне буквой D, угрозы, обусловленные случайными действиями, — A и угрозы, обусловленные естественными причинами, — E. Таким образом, буквой D обозначают все преднамеренные действия, объектами которых являются активы информационных технологий, буквой A — все совершаемые людьми действия, которые могут случайно нанести вред активам информационных технологий, буквой E — инциденты, не основанные на действиях, совершаемых людьми.
Затопление-D, A, E
Пожар- D, A,
Землетрясение- E
Потери | Вероятности реализации угроз | ||
Несущественная <1% | Существенная от 1% до 10% | Высокая свыше 10% | |
Незначительные (меньше 1% стоимости предприятия) | 1 | 2 | 2 |
Значительные (от 1% до 10%) | 2 | 2 | 2 |
Критически высокие(свыше 10%) | 2 | 3а* | 3б* |
Затопление -потери-критически высокие свыше 10%, вероятность реализации угрозы – несущественная <1% => 2. Не подлежит восстановлению, утеря данных.
Пожар-потери значительные от 1% до 10% вероятность реализации угрозы-высокая свыше 10% => 2. Выход их строя рабочих компьютеров.
Землетрясение- потери значительные от 1% до 10%, вероятность реализации угрозы –несущественная <1% => 2. Зависит от масштаба землетрясения.
Оценка рисков
Оценку рисков будем проводить по третьему примеру ГОСТа Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий» Приложение Е
Информационный актив / ценность актива | Уязвимость/ уровень уязвимости | Угроза/ уровень угрозы | Оценка риска |
4 | 3 | 2 | 19 |
3 | 2 | 3 | 16 |
2 | 3 | 2 | 13 |
Активы:
· А1 - бухгалтерская документация, ценность актива – 4;
· А2 - ценность актива информационная база клиентов, ценность актива – 3;
· А3 - сетевой диск, ценность актива– 2.
Угрозы:
· Т1 – Затопление-2;
· Т2 –Пожар-3;
· Т3 – Землетрясение-2.
Актив А1.
Оценка сочетания актива А1 и угрозы Т1 равна 6.
Оценка сочетания актива А1 и угрозы Т2 равна 7.
Оценка сочетания актива А1 и угрозы Т3 равна 6.
А1Т=А1Т1+А1Т2+А1Т3=6+6+7=19
2. Актив А2.
Оценка сочетания актива А2 и угрозы Т1 равна 5.
Оценка сочетания актива А2 и угрозы Т2 равна 6.
Оценка сочетания актива А2 и угрозы Т3 равна 5.
А2Т=А2Т1+А2Т2+А2Т3=5+5+6=16
3. Актив А3.
Оценка сочетания актива А3 и угрозы Т1 равна 4.
Оценка сочетания актива А3 и угрозы Т2 равна 5.
Оценка сочетания актива А3 и угрозы Т3 равна 4.
А3Т=А3Т1+А3Т2+А3Т3=4+5+6=13
ST=А1Т+ А2Т+ А3Т=19+16+13=48
ST=48 - это высокая оценка рисков, нужно снижать ее до минимальной, как только это возможно.
Вывод
Экспериментальная проверка разработанной методики и оценки важности информационных активов проведена на примере организации – отделение коммерческого банка. Мы выявили, что риск угрозы информационным активам немал для безопасности, нужно позаботиться о бухгалтерской документации. Увеличение расходов для безопасности, уменьшат риски угроз. Результаты оценки важности могут быть использованы при оценки и обработки рисков для указанной организации. Таким образом, цель работы была достигнута, задание выполнено.