МИНИСТЕРСТВО связи и МАССОВЫх КОММУНИКАЦИЙ
РОССИЙСКОЙ ФЕДЕРАЦИИ
государственное образовательное учреждение
высшего профессионального образования
«САНКТ-ПЕТЕРБУГРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ им. проф. М.А. БОНЧ-БРУЕВИЧА»
Факультет Информационных систем и технологий
Кафедра Информационных управляющих систем
РАБОТА
ЗАЩИЩЕНА С ОЦЕНКОЙ
ПРЕПОДАВАТЕЛЬ
проф., д.т.н. |
|
|
|
Н.Н. Мошак |
должность, уч. степень, звание |
|
подпись, дата |
|
инициалы, фамилия |
ПРАКТИЧЕСКАЯ РАБОТА № 1 |
||||
«Оценка риска информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей» |
||||
по курсу: Безопасность информационных технологий и систем |
||||
|
||||
|
||||
РАБОТУ ВЫПОЛНИЛ
СТУДЕНТ ГР. |
ИСТ-114 |
|
|
|
Д.Г.Горохов |
|
|
|
подпись, дата |
|
инициалы, фамилия |
Санкт-Петербург
2023
Оглавление
1. Цель работы 3
2.1 Исходные данные: 5
2.2 Постановка задачи 6
2.3 Методы оценивания информационных рисков 9
2.4 Основные понятия и допущения модели 10
2.5 Принцип работы алгоритма 12
2.6 Расчет рисков по угрозе информационной безопасности 12
3. Ход работы: 17
3.1 Структурно-функциональная ИС организации 17
1. Цель работы
Необходимо произвести расчет риска информационной безопасности корпоративной информационной системы на основании модели угроз и уязвимостей и оценить эффективность предлагаемых контрмер на примере информационной системы типа 2А в соответствии с нормативными документами ФСТЭК, такими как "Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации" и "Руководящий документ "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации".
При настройке политик безопасности будут учитываться требования информационной безопасности, предъявляемые соответствующим типом ИС (2А):
Требования защищенности АС:
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему;
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ;
к программам;
к томам, каталогам, файлам, записям, полям записей.
1.2. Управление потоками информации
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа/выхода субъектов доступа в/из системы (узла сети)
выдачи печатных (графических) выходных документов;
запуска/завершения программ и процессов (заданий, задач);
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
создаваемых защищаемых объектов доступа.
2.2. Учет носителей информации.
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации.
3.3. Использование аттестованных (сертифицированных) криптографических средств.
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации.
4.2. Физическая охрана средств вычислительной техники и носителей информации.
4.3. Наличие администратора (службы защиты) информации в АС.
4.4. Периодическое тестирование СЗИ НСД.
4.5. Наличие средств восстановления СЗИ НСД.
4.6. Использование сертифицированных средств защиты.
2. Теоретическое положение
Базовые угрозы информационной безопасности – нарушение конфиденциальности, нарушение целостности и отказ в обслуживании.
Ресурс – любой контейнер, предназначенный для хранения информации, подверженный угрозам информационной безопасности (сервер, рабочая станция, переносной компьютер).
Свойствами ресурса являются: перечень угроз, воздействующих на него, и критичность ресурса.
Угроза – действие, которое потенциально может привести к нарушению безопасности.
Свойством угрозы является перечень уязвимостей, при помощи которых может быть реализована угроза.
Уязвимость – это слабое место в информационной системе, которое может привести к нарушению безопасности путем реализации некоторой угрозы. Свойствами уязвимости являются: вероятность (простота) реализации угрозы через данную уязвимость и критичность реализации угрозы через данную уязвимость.
Критичность
ресурса
(D)
–
ущерб,
который
понесет
компания
от
потери
ресурса.
Задается в уровнях (количество уровней
может быть в диапазоне от 2
до 100 или
в деньгах. В зависимости от выбранного
режима работы, может
состоять
из критичности ресурса по конфиденциальности,
целостности и
доступности
(
).
Критичность
реализации угрозы (ER) –
степень влияния реализации
угрозы
на ресурс, т.е.
как сильно реализация угрозы
повлияет на работу ресурса.
Задается
в процентах. Состоит из критичности
реализации угрозы по
конфиденциальности,
целостности и доступности (
).
Вероятность реализации угрозы через данную уязвимость в течение года (P(V)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях. Указывается в процентах.
Максимальное
критичное время простоя (
)
– значение
времени
максимального простоя,
которое является критичным для
организации. Т.е. ущерб, нанесенный
организации
при простаивании ресурса в течение
критичного времени
простоя,
максимальный.
При простаивании ресурса в течение
времени,
превышающего
критичное,
ущерб, нанесенный организации, не
увеличивается.