отчет 1 маша
.pdfОтчет по практическому занятию № 1
на тему: «Анализ рисков информационной безопасности» выполнил студент группы 972303
Кардаш Мария Дмитриевна Вариант 8
Дата выдачи задания: 20.02.2020
Цель
Целью практического занятия является изучение рисков информационной безопасности предприятия и методик для ее оценки.
Краткие теоретические сведения
Риск информационной безопасности – это возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб предприятию.
Риск ИБ измеряется, исходя из комбинации вероятности события и его последствия.
Коммуникация риска – это обмен информацией о риске или совместное использование этой информации лицом, принимающим решение, и другими причастными сторонами.
Количественная оценка риска – это процесс присвоения значений вероятности и последствий риска.
Идентификация риска – это процесс нахождения, составления перечня и описания элементов риска.
Снижение риска – это действия, предпринятые для уменьшения вероятности и негативных последствий, связанных с риском.
Сохранение риска – это принятие бремени потерь или выгод от конкретного риска.
Перенос риска – это разделение с другой стороной бремени потерь или выгод от риска.
Установление контекста включает определение основных критериев, необходимых для менеджмента риска ИБ.
Критерии оценки рисков разрабатывают с учетом:
–стратегической ценности обработки бизнес-информации;
–критичности затронутых информационных активов;
–законодательно-нормативных требований и договорных обязательств;
–оперативного значения и значения для бизнеса доступности, конфиденциальности и целостности;
–ожидания и реакции причастных сторон, а также негативных последствий для нематериальных активов и репутации.
Задание
Рассчитать риск нанесения злоумышленниками ущерба отдельным информационным объектам предприятия { О1, О2, …, О8}, а также общий риск, если при проведении экспертизы было установлено, что соответствующий вектор относительных ценностей этих объектов { V1, V2, …, V8} по шкале {1 < … < 20}, законы распределения времени до возникновения ущерба определяются в соответствии с данными из таблицы 1, причем при ущербе одному из объектов стоимость других не снижается, а цена объекта О1 составляет С’1 ден. ед. (см. таблицу 2). Построить график зависимости общего риска нанесения злоумышленниками ущерба информационным объектам от времени работы предприятия t, когда t изменяется от 0 до 10 6 часов с шагом 105 часов.
Таблица 1 – Исходные данные к заданию (часть 1)
Законы распределения времени до возникновения ущерба
О1 |
О2 |
О3 |
О4 |
О5 |
О6 |
О7 |
О8 |
TN(70,18 ) |
TN(61, 27) |
N(67,23 ) |
Г(3, 73) |
TN(56, 22) |
W(5,60) |
R(49) |
Exp( |
|
|
|
|
|
|
|
51) |
Примечание: О1 ÷ О8 – информационные объекты 1 ÷ 8 предприятия;
Exp(λ/10-8) – экспоненциальное распределение;
N(m/104, σ/104) – нормальное распределение;
TN(m0/104, σ0/104) – усеченное нормальное распределение;
W(α, β/104) – распределение Вейбулла;
R(λ/10-14) – распределение Рэлея; Г(α, β/103) – Гамма распределение
Таблица 2 – Исходные данные к заданию (часть 2)
Цена объекта |
|
Вектор ценностей объектов {V1, V2, …, V8} |
|
|||||
О1, ден.ед. |
О1 |
О2 |
О3 |
О4 |
О5 |
О6 |
О7 |
О8 |
|
||||||||
|
|
|
|
|
|
|
|
|
49 |
7 |
2 |
5 |
9 |
16 |
8 |
9 |
4 |
|
|
|
|
|
|
|
|
|
Примечание: О1 ÷ О8 – информационные объекты 1 ÷ 8 предприятия
Расчеты
Расчеты усеченного нормального распределения:
Расчеты распределения Рэлея:
Расчеты экспоненциального распределения:
Расчеты Гамма распределения:
Расчеты нормального распределения:
Расчеты распределения Вейбулла:
|
Расчет стоимостей объектов: |
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
О1 |
|
О2 |
О3 |
О4 |
О5 |
О6 |
О7 |
О8 |
Общая сумма |
|
|
|
|
|
|
|
|
|
|
49 |
|
14 |
35 |
63 |
112 |
56 |
63 |
28 |
420 |
|
|
|
|
|
|
|
|
|
|
Построение графика зависимости общего риска нанесения злоумышленниками ущерба информационным объектам от времени работы предприятия:
Результаты
Данные по результатам расчетов представлены в таблицах 3 и 4.
Таблица 3 – Данные по результатам расчетов (часть 1)
Оцениваемы |
|
|
Момент времени работы системы t × 10–5, часов |
|
|
||||||
й параметр |
0 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
Q1(t) × 104 |
0 |
4 |
27 |
131 |
477 |
1332 |
2892 |
5000 |
7107 |
8667 |
9522 |
Q2(t) × 104 |
0 |
177 |
531 |
1149 |
2089 |
3339 |
4790 |
6261 |
7563 |
8569 |
9248 |
Q3(t) × 104 |
18 |
66 |
205 |
538 |
1202 |
2299 |
3804 |
5519 |
7140 |
8413 |
9243 |
Q4(t) × 104 |
0 |
1593 |
5161 |
7775 |
9103 |
9668 |
9884 |
9961 |
9987 |
9996 |
9999 |
Q5(t) × 104 |
0 |
129 |
457 |
1138 |
2293 |
3892 |
5698 |
7363 |
8616 |
9385 |
9771 |
Q6(t) × 104 |
0 |
1 |
41 |
308 |
1234 |
3309 |
6321 |
8848 |
9852 |
9995 |
10000 |
Q7(t) × 104 |
0 |
49 |
194 |
431 |
754 |
1153 |
1617 |
2135 |
2692 |
3276 |
3874 |
Q8(t) × 104 |
0 |
497 |
970 |
1419 |
1845 |
2251 |
2636 |
3002 |
3350 |
3681 |
3995 |
Примечание: значения округлять к ближайшему целому числу
Таблица 4 – Данные по результатам расчетов (часть 2)
Оцениваемы |
|
|
Момент времени работы системы t × 10–5, часов |
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
й параметр |
0 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
С1(t) |
0 |
0,02 |
0,132 |
0,642 |
2,337 |
6,527 |
14,171 |
24,5 |
34,824 |
42,468 |
46,658 |
|
|
|
|
|
|
|
|
|
|
|
|
С2(t) |
0 |
0,248 |
0,743 |
1,609 |
2,925 |
4,675 |
6,706 |
8,765 |
10,588 |
11,997 |
12,947 |
|
|
|
|
|
|
|
|
|
|
|
|
С3(t) |
0,063 |
0,231 |
0,718 |
1,883 |
4,207 |
8,047 |
13,314 |
19,317 |
24,99 |
29,446 |
32,351 |
|
|
|
|
|
|
|
|
||||
С4(t) |
0 |
10,036 32,514 48,983 57,349 60,908 |
62,269 |
62,754 |
62,918 |
62,975 |
62,994 |
||||
|
|
|
|
|
|
|
|
|
|
|
|
С5(t) |
0 |
1,445 |
5,118 |
12,746 25,682 |
43,59 |
63,818 |
82,466 |
96,499 |
105,11 |
109,44 |
|
|
|
|
|
|
|
|
|
|
|
|
|
С6(t) |
0 |
0,006 |
0,23 |
1,725 |
6,91 |
18,53 |
35,398 |
49,549 |
55,171 |
55,972 |
56 |
|
|
|
|
|
|
|
|
|
|
|
|
С7(t) |
0 |
0,309 |
1,222 |
2,715 |
4,75 |
7,264 |
10,187 |
13,451 |
16,96 |
20,639 |
24,406 |
|
|
|
|
|
|
|
|
|
|
|
|
С8(t) |
0 |
1,392 |
2,716 |
3,973 |
5,166 |
6,303 |
7,381 |
8,406 |
9,38 |
10,307 |
11,186 |
Собщ.(t) 0,063 13,687 43,393 74,276 109,326155,844213,244269,208 311,33 338,914355,982
Выводы
Выполнив данную работу, глядя на график, можно сделать несколько выводов:
-чем дольше остается неизменной защита информации, тем проще злоумышленнику получить к ней доступ;
-со временем ущерб увеличивается. Благодаря нашим расчетам можно рассчитать эффективную модель защиты информации и сделать ее наиболее выгодной и надежной.
Ответы на контрольные вопросы
1.Риск информационной безопасности предприятия – возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и, тем самым, нанесет ущерб предприятию.
2.Эффективность обработки риска информационной безопасности предприятия зависит от результатов оценки риска. Обработка риска может не обеспечить приемлемый уровень остаточного риска. Тогда может понадобится еще одна итерация оценки риска с измененными параметрами, за которой последует очередная процедура обработки риска.
3. На предприятии должны учитываться следующие критерии оценки рисков:
-Стратегической ценности разработки бизнес-информации;
-Критичности затронутых информационных активов;
-Законодательно-нормативных требований и договорных обязательств;
-Оперативного значения и значения для бизнеса доступности, конфиденциальности и целостности;
-Ожидания и реакции причастных сторон, а также негативных последствий для нематериальных активов и репутации.
Кроме того, критерии оценки рисков могут использоваться для определения приоритетов при обработке рисков.
4.При реализации снижения риска должны учитываться следующие ограничения:
-Временные ограничения;
-Финансовые ограничения;
-Технические ограничения;
-Операционные ограничения;
-Этические ограничения;
-Ограничения, связанные с окружающей средой;
-Юридические ограничения;
-Ограничения, связанные с простотой использования;
-Кадровые ограничения;
-Ограничения, касающиеся интеграции новых и существующих мер и средств контроля и управления.
5.В рамках аддитивной модели оценка возможных потерь строится на основе полученных стоимостей компонентов исходя из прогноза возможных угроз этим компонентам. Возможности угроз оцениваются вероятностями соответствующих событий , а потери считываются как математическое ожидание потери компоненты данной стоимости по распределению возможных угроз.