- •1. Цель работы
- •2. Теоретическое положение
- •2.1 Исходные данные:
- •2.2 Постановка задачи
- •2.3 Методы оценивания информационных рисков
- •2.4 Основные понятия и допущения модели
- •2.5 Принцип работы алгоритма
- •2.6 Расчет рисков по угрозе информационной безопасности
- •3. Ход работы:
- •3.1 Структурно-функциональная ис организации
МИНИСТЕРСТВО связи и МАССОВЫх КОММУНИКАЦИЙ
РОССИЙСКОЙ ФЕДЕРАЦИИ
государственное образовательное учреждение
высшего профессионального образования
«САНКТ-ПЕТЕРБУГРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ им. проф. М.А. БОНЧ-БРУЕВИЧА»
Факультет Информационных систем и технологий
Кафедра Информационных управляющих систем
РАБОТА
ЗАЩИЩЕНА С ОЦЕНКОЙ
ПРЕПОДАВАТЕЛЬ
проф., д.т.н. |
|
|
|
Н.Н. Мошак |
должность, уч. степень, звание |
|
подпись, дата |
|
инициалы, фамилия |
ПРАКТИЧЕСКАЯ РАБОТА № 1 |
||||
«Оценка риска информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей» |
||||
по курсу: Безопасность информационных технологий и систем |
||||
|
||||
|
РАБОТУ ВЫПОЛНИЛ
СТУДЕНТ ГР. |
ИСТ-114 |
|
|
|
Д.Г.Горохов |
|
|
|
подпись, дата |
|
инициалы, фамилия |
Санкт-Петербург
2023
Оглавление
1. Цель работы 3
2.1 Исходные данные: 5
2.2 Постановка задачи 6
2.3 Методы оценивания информационных рисков 9
2.4 Основные понятия и допущения модели 10
2.5 Принцип работы алгоритма 12
2.6 Расчет рисков по угрозе информационной безопасности 12
3. Ход работы: 17
3.1 Структурно-функциональная ИС организации 17
1. Цель работы
Необходимо произвести расчет риска информационной безопасности корпоративной информационной системы на основании модели угроз и уязвимостей и оценить эффективность предлагаемых контрмер на примере информационной системы типа 2А в соответствии с нормативными документами ФСТЭК, такими как "Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации" и "Руководящий документ "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации".
При настройке политик безопасности будут учитываться требования информационной безопасности, предъявляемые соответствующим типом ИС (2А):
Требования защищенности АС:
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему;
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ;
к программам;
к томам, каталогам, файлам, записям, полям записей.
1.2. Управление потоками информации
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа/выхода субъектов доступа в/из системы (узла сети)
выдачи печатных (графических) выходных документов;
запуска/завершения программ и процессов (заданий, задач);
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
создаваемых защищаемых объектов доступа.
2.2. Учет носителей информации.
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации.
3.3. Использование аттестованных (сертифицированных) криптографических средств.
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации.
4.2. Физическая охрана средств вычислительной техники и носителей информации.
4.3. Наличие администратора (службы защиты) информации в АС.
4.4. Периодическое тестирование СЗИ НСД.
4.5. Наличие средств восстановления СЗИ НСД.
4.6. Использование сертифицированных средств защиты.
2. Теоретическое положение
Базовые угрозы информационной безопасности – нарушение конфиденциальности, нарушение целостности и отказ в обслуживании.
Ресурс – любой контейнер, предназначенный для хранения информации, подверженный угрозам информационной безопасности (сервер, рабочая станция, переносной компьютер).
Свойствами ресурса являются: перечень угроз, воздействующих на него, и критичность ресурса.
Угроза – действие, которое потенциально может привести к нарушению безопасности.
Свойством угрозы является перечень уязвимостей, при помощи которых может быть реализована угроза.
Уязвимость – это слабое место в информационной системе, которое может привести к нарушению безопасности путем реализации некоторой угрозы. Свойствами уязвимости являются: вероятность (простота) реализации угрозы через данную уязвимость и критичность реализации угрозы через данную уязвимость.
Критичность ресурса (D) – ущерб, который понесет компания от потери ресурса. Задается в уровнях (количество уровней может быть в диапазоне от 2 до 100 или в деньгах. В зависимости от выбранного режима работы, может состоять из критичности ресурса по конфиденциальности, целостности и доступности ( ).
Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс, т.е. как сильно реализация угрозы повлияет на работу ресурса. Задается в процентах. Состоит из критичности реализации угрозы по конфиденциальности, целостности и доступности ( ).
Вероятность реализации угрозы через данную уязвимость в течение года (P(V)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях. Указывается в процентах.
Максимальное критичное время простоя ( ) – значение времени максимального простоя, которое является критичным для организации. Т.е. ущерб, нанесенный организации при простаивании ресурса в течение критичного времени простоя, максимальный. При простаивании ресурса в течение времени, превышающего критичное, ущерб, нанесенный организации, не увеличивается.