Добавил:

Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Брянский государственный технический университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Методичка КСЗИ(кр).doc

Скачиваний:

Добавлен:

16.11.2019

Размер:

416.26 Кб

Скачать

☆

<<< < Предыдущая 12 / 42 3 4 > Следующая >>>

3. Требования к оформлению курсового проекта

Расчетно-пояснительная записка и графическая часть курсового проекта должны быть оформлены в строгом соответствии с нижеизложенными требованиями.

Курсовой проект представляется комплектом графических и текстовых документов, разработанных в соответствии с заданием на курсовой проект и настоящими методическими указаниями. Номенклатура и комплектность документов частей курсового проекта определяются в соответствии со специализацией группы и с учетом задания на курсовой проект.

3.1. Оформление текстовых документов курсового проекта

Расчетно-пояснительная записка разделяется по составным разделам (главам) курсового проекта.

Переносы слов в заголовках не допускаются. Точка в конце заголовка не ставится. Если заголовок состоит из двух предложений, их разделяют точкой. Заголовки следует писать жирным шрифтом прописными буквами и выравнивать по центру. Расстояние между заголовком и последующим текстом должно быть в 1,5 раза, а между заголовком и предыдущим - в 2 раза больше расстояния между строками текста. Расстояние между строками заголовка такое же, как и в тексте.

Текстовые документы выполняются печатным способом на принтере. Тест должен быть набран шрифтом Times New Roman 14 пт, межстрочный интервал – полуторный, выравнивание основного текста – по ширине. Поля страницы: верхнее – 1,5 см, нижнее – 1,5 см, правое – 1 см, левое – 2,5 см.

Нумерация всех листов текстовых документов проставляется в правом верхнем углу (сквозная нумерация листов папки). Внизу в соответствующей графе (в правом нижнем углу) проставляется нумерация листов частей проекта, кроме первого листа «Содержание», который имеет только сквозную нумерацию.

Если в курсовом проекте какие-либо документы отсутствуют, то они автоматически исключаются из состава текстовых документов при сохранении их общего расположения.

При необходимости допускается изменять состав и последовательность текстовых документов по согласованию с руководителем курсового проекта.

Текстовая часть в основной надписи должна иметь шифр.

В состав папки текстовых документов входят титульный лист, задание, аннотация, введение, расчетно-пояснительная записка и техническая документация. Текстовые документы собираются в одну папку и к защите представляются в переплетенном виде.

Титульный лист выполняется по установленной форме (прил. А).
Задание на курсового проекта оформляется на бланке установленной формы (прил. Б).
В содержание курсового проекта записываются все документы, разработанные в соответствии с заданием. Запись документов выполняется по частям курсового проекта в последовательности, соответствующей структуре пояснительной записки.

Аннотация должна давать краткую описательную характеристику курсового проекта по основным вопросам в целом и по его частям с указанием, что существенное сделано и каким образом, какие элементы являются новыми, какие получены конкретные результаты и где они могут быть использованы.
В разделе Предварительное обследование аттестуемого объекта информатизации проводится анализ и оценка исходных данных и документации по защите информации на аттестуемом объекте.

Для этого анализируются и оцениваются исходные данные и документация по защите информации на объекте информатизации, проводится оценка правильности категорирования выделенных помещений и объектов информатизации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации. Исходные данные по аттестуемому объекту информатизации сводятся в таблицу В.1.

Для проведения испытаний необходимы следующие исходные данные и документация:

приемо-сдаточную документацию на объект информатизации;
акты категорирования выделенных помещений и объектов информатизации;
инструкции по эксплуатации средств защиты информации;
технический паспорт на аттестуемый объект.

Определяется состав комплекса технических средств и средств защиты.

Состав основных технических средств и систем (ОТСС) прил. Г.1.
Состав вспомогательных технических средств и систем (ВТСС) прил. Г.2.
Состав средств защиты информации прил. Г.3.
Перечень разрешенного к использованию программного обеспечения таблица Г.4.
Перечень установленных СЗИ от НСД таблица Г.5.

Необходимо определить правила доступа к защищаемым ресурсам

Перечень защищаемых информационных ресурсов таблица Г.6.
Перечень пользователей, допущенных к обработке информации таблица Г.7.
Матрица доступа к защищаемым информационным ресурсам таблица Г.8.

Если имеются, то к документации на объект прилагаются:

протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин (если они проводились);
протоколы измерения величины сопротивления заземления;
протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки;
данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;

В разделе «Подготовка объекта информатизации к аттестационным испытаниям» проводится разработка необходимой организационно-распорядительной документации по защите коммерческой тайны и технической документации на объект информатизации.

В разделе «Аттестационные испытания» выполняются следующие виды работ:

для выделенных помещений:

проверка состояния организации работ и выполнения организационно-технических требований по защите информации;
изучаются условия расположения аттестуемого объекта и определяется граница контролируемой зоны;
устанавливаются места расположения трансформаторной подстанции, электрощитовой, распределительных щитов. Измеряется длина линий электропитания от защищаемых объектов до возможных мест подключения средств перехвата информации (распределительных щитов, помещений и т.п.), находящихся за пределами контролируемой зоны;
определяются помещения, смежные с защищаемыми и находящиеся за пределами контролируемой зоны;
определяются соединительные линии вспомогательных технических средств и систем (линии телефонной связи, оповещения, систем охранной и пожарной сигнализации, часофикации и т.п.), выходящие за пределы контролируемой зоны, места расположения их распределительных коробок. Измеряется длина линий от защищаемых объектов до мест возможного подключения средств перехвата информации за пределами контролируемой зоны;
определяются инженерные коммуникации и посторонние проводники, выходящие за пределы контролируемой зоны, измеряется их длина от защищаемых объектов до мест возможного подключения средств перехвата информации;
устанавливается местоположение заземлителя, к которому подключен контур заземления защищаемого объекта.
проверка защищенности информации от утечки по акустическому каналу
проверка защищенности информации от утечки по виброакустическому и оптико-электронному каналам
проверка защищенности информации от утечки по каналу акусто-электрических преобразований

для объектов вычислительной техники:

проверка технологического процесса обработки и хранения информации и определение состава используемых средств вычислительной техники
проверка состояния организации работ и выполнения организационно-технических требований по защите информации
проверяется соответствие реального состава ТСОИ, ВТСС и средств защиты указанному в техническом паспорте на аттестуемый объект, сертификатах соответствия (предписаниях на эксплуатацию) и представленных исходных данных;
проверяется состояние и сохранность печатей на технических средствах, выявляются ТСОИ, ВТСС и средства защиты информации, подвергшиеся несанкционированному вскрытию;
проверка защищенности автоматизированной системы от утечки информации за счет побочных электромагнитных излучений;
проверка защищенности автоматизированной системы от утечки информации за счет наводок на линии электропитания и заземления;
испытания автоматизированной системы обработки информации на соответствие требованиям по защите информации от ее утечки за счет несанкционированного доступа.

Все выявленные нарушения и недостатки, отступления от проектных решений включаются в заключение по результатам аттестационных испытаний.

В разделе Оценка результатов аттестационных испытаний и подготовка отчетной документации выполняется оценка результатов аттестационных мероприятий, дается заключение аттестационной комиссии, проводится оформление и согласование отчетной документации в соответствии с требованиями ФСТЭК России.

Весь процесс процедуры аттестации был основан на детальном рассмотрении и анализе следующих видов информации:

существующей на данный момент в законодательстве Российской Федерации нормативно-правовой документации;
руководящей и методической технической документации, утвержденной ФСТЭК России (Гостехкомиссией России);
исходных данных и характеристики объекта информатизации

Анализ нормативно-правовой документации заключался в рассмотрении как основных понятий и определений сведений, составляющих коммерческую тайну, так и возможных угроз, в число которых входят технические каналы утечки конфиденциальной информации, обрабатываемой на средствах вычислительной техники.

На основании полученных после анализа исходных данных, результатов измерительных работ, рекомендациям и требованиям нормативной базы должны быть описано содержание аттестационных испытаний:

Испытание отдельных средств и систем ЗИ на аттестуемом ОИ с помощью специальной контрольной аппаратуры и тестовых средств.
Комплексные аттестационные испытания ОИ в реальных условиях эксплуатации.
Были проанализированы результаты экспертного обследования и комплексных аттестационных испытаний ОИ и оформлены аттестационные документы. По результатам аттестации было сделано заключение с прилагаемым к нему протоколом аттестационных испытаний и принято решение о выдаче Аттестата соответствия АРМ. Прил. 17

9. Расчет информационных рисков.

Расчет информационных рисков включает:

1. Анализ информации, циркулирующей в организации.

2. Оценка угроз информационной безопасности.

3. Выработка мер по нейтрализации угроз.

4. Анализ эффективности принятых мер.

Количественная величина риска определяется в зависимости от:

– величины потерь;

– вероятности воздействия УБИ;

– вероятности проявления уязвимости.

Оценка рисков проводится экспертной группой, в работе которой должны принимать участие:

1. Специалист (или группа специалистов) по защите информации.

2. Владельцы информации – владельцы или руководство организации.

3. Экономические органы предприятия, т.е. финансовый директор, главный бухгалтер, экономист и т.д.

В данном курсовом проекте в место экспертов выступают студенты и самостоятельно определяют показатели.

Методика работы экспертной группы выбирается исходя из реальных условий. В настоящее время методы экспертных оценок являются отдельным научным направлением и здесь не рассматриваются. Основным условием работы группы является получение наиболее точных и объективных значений величин, от которых зависит риск безопасности информации.

Анализ информации циркулирующей на предприятии основывается на рассмотрении:

1. Идентификации и оценки информационных активов (ИА).

2. Идентификации и оценки информационных ресурсов (ИР).

Основной целью этапа идентификации и оценки ИА является получение количественных значений вероятного ущерба при воздействии УБИ и минимально допустимых значений информационных рисков. Наибольшее негативное влияние может оказать нарушение целостности, конфиденциальности и доступности информационным активам.

Активами предприятия называется всё, что имеет для него ценность [8]. Соответственно информационными активами называется та информация, которая имеет ценность для предприятия. Овеществление информационных активов происходит в информационных ресурсах. Информационный ресурс – это отдельные документы и отдельные массивы документов, документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, информационных системах других видов) [7]. Между активами и ресурсами существует жесткая связь. Например, ценовая политика предприятия является информационным активом. Она зависит от многих условий: спроса на товар, его качества, себестоимости, покупательной способности и т.д. А закрепляется в конкретном документе – прайсе. Другим примером может служить механизм парольной защиты информации. Это – актив. Он тоже формироваться на основе множества правил. Но закрепляется в конкретном документе – политике информационной безопасности или в соответствующей инструкции. Это – документ, т.е. ресурс. С точки зрения защиты информации, связь между активом и ресурсом состоит в том, что опасность угрожает активам, а защищаются ресурсы. Деление на ресурсы и активы чисто условное. Применяется оно для облегчения работы эксперта – идентифицировать активы и опасности, угрожающие им, легче.

На первом шаге выполнения данного этапа необходимо получить полный перечень информационных активов. В данном перечне необходимо учесть всю полезную для предприятия информацию.

Вторым шагом является оценка информационных активов по их роли в прибыли предприятия. Для коммерческих и некоммерческих предприятий данная оценка отличается. В этом случае под некоммерческим предприятием понимается такое предприятие или организация, которые не производят прибыли в процессе своей деятельности. Примером таких предприятий могут служить государственные или общественные организации.

Для некоммерческих организаций оценка информационных активов производится группой экспертов и основывается на том, какой вред может принести воздействие УБИ на данный актив. При оценке необходимо руководствоваться требованиями нормативных и ведомственных документов. Количественно вред необходимо выразить в той сумме денег, которая потребуется для устранения последствий воздействия каждой УБИ. Поскольку вероятность воздействия сразу нескольких угроз мала, в качестве результата оценки достаточно использовать максимальную сумму. Эта сумма является стоимостью информационного актива (S_ИА).

Для коммерческих предприятий оценка роли ИА несколько сложней и состоит в следующем:

1. Составляется перечень всех активов приносящих прибыль предприятию, в том числе и не информационных.

2. Каждый актив оценивается по его участию в производстве прибыли. Результатом оценки должна стать денежная сумма, которую ИА вносит в прибыль. Данная оценка может быть сложной. Поэтому предлагается следующая методика.

1) Каждый актив, в том числе и неинформационный, оценивается по его “участию в прибыли” (O_у). Для выставления оценки выбираются значения лингвистических переменных, например:

– малая степень участия 1

– средняя степень участия 3

– большая степень участия 5

– очень большая степень участия 7

2) Рассчитывается “коэффициент участия” (K_у):

, (1)

где i – порядковый номер актива.

в) Рассчитывается сумма участия актива в прибыли (S_у).

, (2)

где S – сумма прибыли предприятия.

Расчеты в пунктах 1) и 2) можно проводить только для информационных ресурсов.

Анализ ИА представляется в виде таблицы, форма которой представлена в таблице 1. Прежде чем формировать таблицу, необходимо указать сумму прибыли предприятия.

Таблица 1

Анализ информационных активов

№ п.п.

Наименование актива

Оценка участия (O_у)

Коэф. участия (K_у)

Сумма участия

(S_у)

В графе 2 “Наименование актива” необходимо представить перечень всех активов объекта защиты. Поскольку данный список очень объёмный, допускается представление неинформационных активов одной строкой: “Неинформационные активы”. При составлении перечня информационных активов, рекомендуется их обобщать.

В графе 3 “Оценка участи” необходимо представить оценку участия актива в создании прибыли. Оценка участия представляется в виде числового значения лингвистической переменной. Ниже таблицы по тексту необходимо дать пояснения лингвистическим переменным и представить их значения.

В графе 4 “Коэф. участия” необходимо представить значения участия актива в прибыли. Данный коэффициент рассчитывается по формуле (1).

В графе 5 “Сумма участия” необходимо представить сумму участия актива в создании прибыли предприятия. Она рассчитывается по формуле (2).

Для неинформационных активов данный анализ не проводится. В последней строке таблицы необходимо указать сумму прибыли, получаемую за счет информационных активов (S_ПИА). Она рассчитывается, как сумма затрат на использование информационных активов (4).

Для некоммерческих предприятий данный анализ не проводится.

3. Выяснив степень участия информационных активов в прибыли, их необходимо оценить по важности. В принципе степень участия актива в прибыли уже отражает его важность. Но в некоторых случаях такая оценка может быть не совсем объективной. Например, если предприятие выпускает секретную военную технику, то участие в прибыли такого ИА, как её технологическая документация, будет пропорционально количеству выпущенной техники. Но разглашение этой информации повлечёт крупные штрафы для предприятия и уголовное преследование его работников. Поэтому важность данного ИА может быть гораздо больше, чем его участие в прибыли.

Для оценки важности необходимо выполнить следующие расчеты:

а) Определить сумму прибыли, получаемую за счет информационных активов – прибыльной стоимости информации (S_ПИА). Она важна потому, что показывает то количество средств, которое предприятие может использовать для покрытия убытков в результате воздействия УБИ.

(3)

где Sy – стоимость информационных активов.

б) Далее следует оценить важность каждого ИА. Оценка производится экспертами аналогично оценке участия актива в прибыли. В результате каждому активу должен быть присвоен “коэффициент важности”, который должен удовлетворять двум условиям:

; (4)

где n – порядковый номер информационного актива.

4. Расчет стоимости каждого ИА производится, как произведение прибыльной стоимости информации и коэффициента важности.

. (5)

Стоимость информационного актива определяет минимально допустимое значением информационных рисков для него.

Анализ важности ИА представляется в виде таблицы, формат которой представлен в таблице 2.

Таблица 2

Анализ стоимости информационных активов

№ п.п.

Наименование актива

Коэф. важности (K)

Стоимость актива

( )

В графе 3 “Коэф. важности” необходимо представить коэффициент важности актива. Его можно получить аналогично коэффициенту участия. В таблицу необходимо заносить числовые значения коэффициентов. Активы можно оценить сразу без расчетов. В этом случае они должны удовлетворять условиям (4).

В графе 4 “Стоимость актива” необходимо внести стоимость информационного актива, рассчитанную по формуле (5). Для некоммерческих организаций в данную графу заносится сумма возможных потерь. В этом случае графа 3 не заполняется и в таблицу не вносится.

Основной задачей при идентификации и оценке ИР является получение полной стоимости каждого ресурса (S_ИР), которая будет равна значению ущерба при воздействии УБИ. Полная стоимость ИР складывается из его стоимости (S_ИРз) и стоимости содержащейся в нём информации (S_ИРа). Эти параметры объективны и вполне материальны. Их величину, как правило, можно узнать из бухгалтерских документов.

Для объективной оценки ИР необходимо определить их полный перечень. При определении перечня информационных ресурсов необходимо учитывать состав и свойства носителей информации, а так же порядок работы с ИР. Например, для отдельных документов, подшитых в папку и сложенных в сейф для хранения, ресурсом является сам сейф. Для базы данных, хранящейся на сервере, ресурсом необходимо считать сервер и т.д.

Для примера можно рассмотреть следующую ситуацию. В качестве объекта защиты выбрано помещение, в котором производится обработка информации на бумажных и электронных носителях. Часть этой информации необходимо защитить. В помещении оборудованы АРМ, подключенные к ЛВС. Имеются шкафы и стеллажи для хранения документов.

Такой объект защиты можно считать типичным. Это может быть учебный класс, кабинет в государственной организации, торговый зал коммерческого предприятия и т.п. Структура информационных ресурсов рассматриваемого предприятия должна быть представлена в виде схем на (рис. 1.)

П ри рассматриваются следующий состав информационных ресурсов:

1. Бумажные документы, оформляемые при совершении стандартных операций. Это могут быть накладные, счет-фактуры, счета на предоплату, договора, прайсы и т.п.

2. Архивы документов по работе предприятия.

3. Аналитические отчеты.

4. Техническая или технологическая документация (инструкции, книги и т.п.), для проведения сервисного обслуживания клиентов, полученная от производителей или разработанная на предприятии.

5. Электронные документы, находящиеся на АРМ пользователей. Письма, договора, факсы и т.д. подготовка которых проводилась на ПК пользователей.

6. Коммуникационный сервер (шлюз), использующийся для принятия и передачи электронных сообщений и работы в Internet.

7. Сервер с каталогом базы данных.

Стоимость ИР определяется как сумма всех фактических расходов на приобретение, приведение и поддержании их в состоянии, в пригодном для использования в запланированных целях. Пример таких расчетов для предприятия, описанного выше, приведён в таблице 3.

Таблица 3.

Пример расчетов стоимости информационных ресурсов

№ ресурса	Наименование параметра	Единица измерения	Значение
1.	Заработная плата сотрудникам за месяц	руб.	12 000
	Расход бумаги (затраты на бумагу)	руб.	500
	Расход тонера	руб.	300
	Прочие расходы (аренда помещения, оплата за отопление, электроэнергию и т.п.)	руб.	2 500
	Итого (S_ИРз1)	руб.	15 300
2.*	Расходы на хранение (то же, что и прочие расходы) (S_ИРз2)	руб.	500
3.**	Заработная плата	руб.	8 000
	Расход бумаги	руб.	80
	Расход тонера	руб.	40
	Прочие расходы	руб.	2 000
	Итого (S_ИРз3)	руб.	10 120
4.	Стоимость книги (S_ИРз4)	руб.	200
5.	Заработная плата сотрудникам за месяц	руб.	12 000
	Обслуживание ЭВМ	руб.	4 000
	Прочие расходы	руб.	2 500
	Итого (S_ИРз5)	руб.	18 500
6.	Оплата Internet	руб.	2 500
	Обслуживание ЭВМ	руб.	4 000
	Прочие расходы	руб.	2 500
	Итого (S_ИРз6)	руб.	9 000
7.	Обслуживание ЭВМ	руб.	4 000
	Прочие расходы	руб.	2 500
	Итого (S_ИРз7)	руб.	6 500

* – для ресурса 2 характерны те же расходы, что и для ресурсов 1, но потраченные в прошлые периоды. В текущем периоде, характерны только “прочие расходы”.

** – для ресурса 3 характерны те же расходы, что и для 1, но данные документы издаются другими людьми.

В первой графе, данной таблицы, необходимо указать номер ресурса, а затем номера каждого параметра через точку, например 1.1, 1.2, 1.3 и т.д. Оценка каждого ИР начинается со строки с названием ресурса, который помещается в графу 2, и заканчивается строкой “Итого”.

Далее необходимо провести оценку стоимости информации, содержащейся в ИР. Под стоимостью информации содержащеёся в ИР понимается часть стоимости ИА. Как отмечалось выше, ИР является материальным воплощением ИА. Причем каждый актив может быть реализован несколькими ресурсами. В то же время каждый ресурс может содержать информацию нескольких активов. Поэтому в полную стоимость ИР необходимо включить часть стоимости актива, пропорциональную количеству информации этого актива в ресурсе.

Данная оценка проводится группой экспертов по следующей методике:

1. Необходимо определить перечень ИР, которые реализуют каждый актив.

2. Определяются коэффициенты участия каждого ИР в реализации каждого ИА. Значения коэффициентов должны быть в пределе [0,1]. А сумма коэффициентов по каждому ИА должна быть равна 1, т.е. коэффициенты должны соответствовать условиям (4).

Для облегчения работы экспертов рекомендуется составить матрицу информационных ресурсов. В столбцах матрицы располагаются активы. А в строках матрицы – ресурсы. На пересечении записывается значение коэффициента. Пример такой оценочной матрицы представлен в таблице 4. Нулевое значение коэффициента означает, что данный ресурс не участвует в реализации данного актива. Сумма значений коэффициентов в столбцах матрицы должна быть равна 1.

Таблица 4.

Пример оценочной матрицы ИР

	Актив 1	Актив 2	…	Актив n
Ресурс 1	0	1	…	0.1
Ресурс 2	0.25	0	…	0.03
…	…	…	…	…
Ресурс i	0.3	0	…	0.4
	1	1	1	1

3. Для определения части стоимости актива, входящую в ресурс, необходимо стоимость актива (S_ИА) умножить на коэффициент. Т.е. в оценочной матрице необходимо заменить значения коэффициентов их произведением на стоимость актива.

4. Стоимость информации ИР (S_ИРа) определяется, как сумма частей стоимости активов, которые он реализует. Это соответствует сумме значений оценочной матрицы по строкам.

Полная стоимость ИР (S_ИР) слагается из суммы затрат на него (S_ИРз) и стоимости информации (S_ИРа), т.е.

(6)

Эта стоимость является величиной потерь при воздействии УБИ. Стоимость информации содержащейся в информационном ресурсе (S_ИРа), в свою очередь, является минимально допустимым значением риска для данного ИР.

Для оформления оценки стоимости информации в ИР необходимо заполнить матрицу информационных ресурсов. Её пример представлен в таблице, пример которой представлен в таблице 4. Допускается вместо наименования актива проставлять его номер, который должен соответствовать номеру в таблице 2. Вместо наименования ИР, так же допускается проставлять его номер, соответствующий номеру ИР в таблице оценки стоимости ИР (таблица 3). В ячейках таблицы, на пересечении строк и столбцов необходимо выставить коэффициент участия ИР в реализации данного актива.

После составления матрицы ИР необходимо составить таблицу частных сумм информации ИР. Она аналогична матрице ИР, но вместо коэффициентов необходимо в ячейках таблицы проставить соответствующие суммы. В крайнем правом столбце необходимо проставить сумму по строке. Эта сумма соответствует стоимости информации, содержащейся в ресурсе. Эта же сумма является максимально допустимым уровнем риска для данного ресурса.

Результатом анализа информации является перечень информационных ресурсов с полной стоимостью и величиной максимального риска. Он представляется в виде таблицы, форма которой представлена в таблице 5.

Таблица 5

Анализ информации защищаемого объекта

№ п.п.	Наименование ресурса	Полная стоимость ресурса	Максимальный риск
1	2	3	4

Анализ угроз информационной безопасности состоит из двух частей:

1. Анализ угроз безопасности информации(УБИ).

2. Анализ уязвимостей.

Трудности при определении значения вероятности воздействия угроз определяются тем, что УБИ – это потенциальная опасность. Т.е. объективные параметры, по которым можно оценить вероятность фактически отсутствуют. В этом случае существует только один метод – метод экспертных оценок.

В настоящее время в научной литературе широко описаны множество методик оценки УБИ. Поэтому в данной методике они не рассматриваются. Однако следует оговорить несколько условий и рекомендаций, по выбору методики и порядку организации работы экспертов.

Во-первых, выбранная методика оценки угроз в качестве конечного результата должна предоставлять числовые значения вероятности воздействия угроз информационной безопасности.

Во-вторых, в работе экспертной группы должны принимать участие владельцы информации, поскольку только они могут определить важность своей информации.

В-третьих, необходимо помнить, что угрозы угрожают активам, а риск рассчитывается для ресурса. Поэтому все угрозы, которые угрожают активам, реализуемым ресурсом, угрожают и ему.

Простейший метод оценки угроз может состоять в следующем:

1. Необходимо определить список всех информационных ресурсов организации. Такой список определялся при оценке стоимости ИР. Он вполне подходит и в данном случае.

2. Необходимо определить список активов, которые реализует каждый ИР. Данная процедура так же производилась на предыдущем этапе. Её результаты необходимо использовать и на этом.

3. Для каждого ИА определяется список УБИ. Предварительно угрозы необходимо классифицировать. Это облегчает их идентификацию.

Примерным списком угроз для описанного выше объекта защиты может служить следующий:

I. Угрозы физической целостности, логической структуры и содержания информационных ресурсов:

1. Сбой, отказы в работе аппаратуры;

2. Ошибки в работе ПО (недокументированные возможности);

3. Воздействие вредоносного ПО (вирусов);

4. Стихийные бедствия и техногенные катастрофы (пожар, разрушение здания, затопление помещения);

5. Ошибки персонала, вследствие недостаточной квалификации;

II. Угрозы конфиденциальности:

1. Несанкционированный доступ к традиционным (бумажным) информационным ресурсам в помещении офиса.

2. Несанкционированный доступ к бумажным документам при их транспортировке из одного офиса в другой.

3. Несанкционированное ознакомление с информацией путём подглядывания, подслушивания, выделение информации с ПЭМИН.

4. Несанкционированный доступ к электронным информационным ресурсам вследствие целенаправленной атаки на ИС.

5. Несанкционированное ознакомление с информацией при её передаче по техническим каналам связи.

III. Угрозы права собственности.

1. Изменение налоговой и отчётной информации при её передаче через Internet.

2. Производится оценка угроз по степени их опасности. При проведении оценки можно использовать лингвистические переменные. Например:

– не опасно 0;

– опасно 2;

– очень опасно 4.

Для получения более объективных значений можно использовать другие параметры оценки. Например – частоту проявления УБИ. Такой подход был развит специалистами фирмы IBM. Способ оценки угроз, предложенный IBM подробно описан в [3].

3. После получения оценки УБИ, значения необходимо нормализовать, т.е. каждое значение оценки разделить на максимальное. Полученный результат используется в качестве значения вероятности воздействия угрозы.

Оценка угроз безопасности предприятия представляется в виде таблицы, форма которой представлена в таблице 6.

Таблица 6

Оценка угроз безопасности информации предприятия

№ п.п.	Наименование угрозы	Лингвистическая оценка	Вероятность
1	2	3	4

В графе 2 таблицы “Наименование угрозы” необходимо перечислить выявленные угрозы. В графе 3 “Лингвистическая оценка” необходимо указать значение лингвистической вероятности угрозы, например: “очень вероятно”, “вероятно”, “мало вероятно” и т.д. В графе 4 “Вероятность” необходимо указать числовое значение вероятности реализации угрозы.

Анализ уязвимостей является подэтапом II этапа. Однако эти работы очень объёмны и сложны. Поэтому анализ уязвимостей рассматривается отдельно.

Исходя из определения уязвимости, любая угроза может быть реализована только через неё. Это значит, что каждой угрозе, если она актуальна для данного объекта защиты, соответствует одна или несколько уязвимостей. Если на объекте нет уязвимостей, через которые можно реализовать угрозу, то угроза для объекта не актуальна.

Результатом данного этапа анализа рисков является перечень уязвимостей, через которые реализуются угрозы и значения вероятности их проявления (P_уз).

Особенностью уязвимости является то, что через одну уязвимость может быть реализовано несколько угроз. В свою очередь, УБИ могут быть реализованы через несколько уязвимостей.

Часть угроз и уязвимостей для объекта приведённого выше в качестве примера, представлена в таблице 7.

Таблица 7.

Пример угроз и уязвимостей объекта.

№ п.п.	Угрозы	Уязвимости
1.	Сбой, отказы в работе аппаратуры	Низкая надёжность отдельных узлов аппаратуры: микропроцессоров, материнских плат, жестких дисков, видеоадаптеров, сетевых карт, коммутаторов
		Нестабильность электропитания
		Неправильные действия обслуживающего персонала
2.	Ошибки в работе ПО (недокументированные возможности)	Наличие недокументированных возможностей ПО (ошибки разработчиков)
		Несовместимость отдельных программных пакетов, работающих одновременно
		Ошибки при настройке ПО
		Неправильные действия пользователей
3.	Воздействие вредоносного ПО (вирусов)	Нестойкость алгоритмов перед воздействием вредоносного ПО
3.	Воздействие вредоносного ПО (вирусов)	Неправильные действия пользователей

Таким образом, можно выявить уязвимости и для всех остальных угроз.

Любая уязвимость может проявиться только в том случае, когда проявляются три фактора: пространственный, временной и энергетический. Эти факторы называются прямыми.

Пространственный фактор (P_s) – это условие того, что информация находится в том пространстве, в котором проявляется уязвимость. Здесь необходимо учитывать, что под пространством понимается не только реальное, географическое, пространство, но и виртуальное. Например, если существуют недокументированные особенности базы данных, которые приводят к сбоям в её работе, то уязвимость может быть опасной только для той информации, которая в ней хранится.

Временной фактор (P_t) – это условие того, что уязвимость проявится в то время, когда будет существовать информация.

Энергетический фактор (P_p) можно определить, как условие достаточного количества энергии для проявления уязвимости. Однако, в некоторых случаях ситуация может быть противоположной. Т.е. может не хватить энергии для нормальной работы системы, и информация будет утеряна.

Количественной характеристикой влияния прямых факторов на проявление угрозы является их вероятность. Поскольку уязвимость проявляется при наличии сразу трёх факторов, то вероятность проявления уязвимости является прямое произведение вероятностей этих факторов.

. (7)

Проявление самих факторов, так же зависит от множества условий, которые называются косвенными факторами уязвимости. Проявление косвенных факторов приводит к проявлению прямых. Т.е. вероятность проявления прямых факторов зависит от вероятности проявления косвенных.

Вероятность проявление косвенных факторов необходимо рассчитывать исходя из значений конкретных параметров функционирования объекта защиты или информационной системы. Такими параметрами могут быть: напряжение электропитания, наличие недокументированных возможностей программного обеспечения, недостаточная облученность персонала и т.д.

Как уже отмечалось выше, косвенные факторы уязвимости являются условиями проявления прямых факторов. В свою очередь эти условия могут быть необходимыми и достаточными.

Достаточным условием проявления прямого фактора уязвимости информационной безопасности является такой косвенный фактор, проявление которого напрямую приводит к проявлению прямого. Например, если звукоизоляция стен недостаточная и через них можно разобрать разговор (угроза конфиденциальности), то это приведёт непосредственно к проявлению уязвимости.

Необходимым условием является такой фактор, который приводит к проявлению прямого в сочетании с другими. При этом если косвенный фактор не проявился, то и прямой не проявится. В данном случае другие косвенные факторы так же являются необходимыми. Необходимые косвенные факторы возникают в том случае, когда проявление прямого фактора зависит от нескольких условий.

В качестве примера можно привести ситуацию с недостаточным сечением провода системы электроснабжения. Данный фактор начнёт проявляться в том случае, когда блоки питания компьютеров не смогут сгладить перепад напряжения, к одной линии будут подключены много компьютеров и т.д.

Расчет вероятности проявления прямых факторов уязвимости информационной безопасности производится следующим образом.

Прежде всего, необходимо рассчитать вероятность каждого косвенного фактора уязвимости (P_кф_i). Косвенные факторы необходимо подбирать так, что бы они зависели только от одного параметра. Расчет вероятности косвенного фактора ведется исходя из значений этого параметра.

Затем необходимо рассчитать совокупную вероятность необходимых условий (P_sj). Она равна произведению вероятностей тех факторов, которые её составляют.

Множество значений вероятностей достаточных условий и совокупных вероятностей необходимых условий Q(P_кф_i, P_sj) является основой для оценки проявления прямого фактора. Для предварительной оценки достаточно выбрать максимум из этого множества, т.е. P_пф = max(Q), где P_пф – вероятность проявления одного из прямых факторов. Для более точной оценки необходимо сложить вероятностные значения множества Q, тогда

, (8)

где, P_j – значения из множества Q, т.е. либо вероятность достаточного фактора (P_к.ф_.), либо совокупная вероятность необходимых условий (P_s),

n – мощность множества Q, т.е. количество входящих в него элементов,

i,j – порядковые номера 1,2,3, …

Приведём пример расчетов на основе предприятия описанного выше. Поскольку в примере используется гипотетическое предприятие, то значения параметров приводятся условно.

Вероятность угрозы принимается равной 1.

Анализ вероятностей уязвимостей, через которые реализуется угроза, представлен в таблице 8.

Анализ и оценка уязвимостей представляется в таблице, пример которой представлен в таблице 9. Номер угрозы в соответствующей графе должен совпадать с номером графы 1 таблицы 8.

Таблица 8

Пример анализа вероятности уязвимости

№ уг-ро-зы	Наименование уязвимости и значение её вероятности	Значение вероят. прямого фактора	Косвенный фактор и параметр		Значение парам.
№ уг-ро-зы	Наименование уязвимости и значение её вероятности	Значение вероят. прямого фактора	Наименование	P	Значение парам.
1 1.1	Низкая надёжность отдельных узлов аппаратуры P = 0.7	P_s = 1	Все узлы сервера участвуют в обработке информации
		P_t = 0.7	Вероятность выхода из строя*	≈ 0.7	≈ 0.7
		P_p = 1	При выходе из строя любого узла – сервер выйдет из строя
1.2	Нестабильность электропитания P = 0	P_s = 1	Сервер подключен к данной линии электропитания
		P_t = 1	Сервер работает круглосуточно
		P_p = 0	Площадь поперечного сечения алюминиевого провода**	0	8 мм²
1.3	Неправильные действия обслуживающего персонала P = 0.02	P_s = 1	Все действия выполняются на сервере
		P_t = 0.02	Частота ошибок системного администратора; Процент ошибочных действий от их общего числа	0.02	2 %
		P_p = 1	Любая ошибка может привести к выходу сервера из строя

*Данная величина может быть получена из технической документации, информации производителя, обзоров в прессе или мнения эксперта и равна вероятности выхода из строя, в соответствии с графиком распределения. В данном примере вероятность определена экспертом, следующим образом:

для микропроцессора - 0.1
для материнской платы - 0.1
для жесткого диска - 0.6
сетевого адаптера - 0.3

Выход из строя любого устройства, приведёт к выходу из строя сервера. Соответственно данные факторы относятся к достаточным. Совокупная вероятность вычисляется по формуле (8):

= 0.1 + 0.1 + 0.6 + 0.3 - (0.1∙0.1) - (0.1∙0.6) -… + (0.1∙0.1∙0.6) + (0.1∙0.1∙0.3) … -(0.1∙0.1∙0.6∙0.3) = 0.6952

**Сервер подключен к отдельной ветке сети электроснабжения. Необходимая площадь сечения( при пиковых нагрузках до 750 Вт*, должна быть менее 0.0125 мм².

Анализ и оценка уязвимостей представляется в таблице, пример которой представлен в таблице 4. Номер угрозы в соответствующей графе должен совпадать с номером графы 1 таблицы 6.

Разработка мероприятий по защите информации и подбор технических средств необходимо начать с анализа информационных рисков. Он состоит из:

1. Расчета рисков.

2. Перекрёстного анализа.

Расчет рисков ведётся по материалам анализа информации и анализа УБИ. Он представляется в таблице, форма которой представления в таблице 9.

Таблица 9

Расчет информационных рисков

№ ИР	Наименование угрозы	Наименование уязвимости	Риск	Мкас. возможный риск
1	2	3	4	5

В первой графе таблицы необходимо указать номер информационного ресурса, который должен соответствовать графе 1 таблицы 5. В графу 2 “Наименование угрозы” необходимо внести угрозы, угрожающие информации соответствующего ресурса. Допускается вместо наименования угрозы вносить её номер, соответствующий графе 1 таблицы 6. В графу 3 вносятся те уязвимости, через которые может быть реализована данная угроза. Угроз и уязвимости вносятся вместе со значениями их вероятности.

В графе 4 “Риск” указывается значение информационного риска, рассчитанные по соответствующим данным. В графе 5 указывается максимально допустимый информационный риск для данного ИР. Он соответствует стоимости информации в ИР и был указан в графе 4 таблицы 5.

Для разработки организационно-технических мероприятий необходимо провести перекрёстную оценку всех уязвимостей системы. Результаты оценки должны быть представлены в таблице 10.

Таблица 10

Совокупная оценка уязвимости информационной системы

№ п.п.

Уязвимость

№№ ИР

Метод предотвращения

Снижаемый показатель

(P_s, P_t, P_p)

В графе 2 таблицы, “Уязвимость”, необходимо указать уязвимость так, как она указана в таблице 10. В графе 3 указываются номера ИР, которым соответствует данная уязвимость. В графе 4 описывается метод предотвращения (или снижения до приемлемого уровня) уязвимости. Поскольку уязвимость предотвращается (снижается) уменьшением одного из основных факторов уязвимости, то в графе 5 необходимо указать этот фактор.

После проведения анализа уязвимостей необходимо произвести подбор технических средств защиты.

10. Разработка политики информационной безопасности.

Результатом выполнения работы должен стать проект политики информационной безопасности (ПИБ) на предприятии.

При разработке ПИБ должны быть решены следующие вопросы:

1. Определяется перечень информации подлежащей защите.

2. Определяется тип ПИБ (избирательный или мандатный).

3. Определеняется категории пользователей, доступные им ресурсы ИС и порядок доступа к этим ресурсам.

4. Разработывается порядок применения ТС.

Перечни информации подлежащей защиты формируются с учетом законодательства РФ и реальной необходимости. Основой для них должен послужить анализ информации циркулирующей на объекте защиты.

Категории пользователей и тип ПИБ определяются исходя из структуры предприятия, должностных обязанностей работников, порядка доступа к ресурсам и методов защиты информации, представленных в таблице 10. Порядок применения ТС разрабатывается на основе методов защиты информации (таблица 10), назначения и функциональных возможностей выбранных ТС. Необходимо, так же, представить план их размещения.

Поскольку в курсе дисциплины “Инженерно-техническая защита информации” студентами выполняется курсовой проект, то вопросы инженерно-технической защиты информации в данном КП не рассматриваются, но учитываются.

<<< < Предыдущая 12 / 42 3 4 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
16.05.201512.5 Кб44Методичка Банковское дело (1).docx
#
14.11.2019612.35 Кб8Методичка ДМ.doc
#
16.05.2015225.08 Кб14Методичка заоч МЛ_ ИВТ_2евысш2015.pdf
#
30.08.2019179.71 Кб3методичка к курсачу.doc
#
16.05.2015431.1 Кб57Методичка КР по ТЯП.doc
#
16.11.2019416.26 Кб2Методичка КСЗИ(кр).doc
#
18.11.2019623.62 Кб4Методичка опп_2.doc
#
24.08.2019433.15 Кб3Методичка по кр.doc
#
16.05.2015292.86 Кб24Методичка по курсовой.doc
#
15.11.2019850.43 Кб3Методичка по лаб. работам.doc
#
16.05.20154.6 Mб175методичка ргр.doc