1.8.Пример расчета риска информационной безопасности на основе модели угроз и
уязвимостей
Рассмотрим расчет рисков для одной угрозы информационной безопасности, т.к. для
остальных угроз риск рассчитывается аналогично. 1.Входные данные
| Ресурс
| Угрозы
| Уязвимости |
| Сервер (критичность ресурса 100 у.е.)
| Угроза 1 Неавторизованное проникновение нарушителя внутрь охраняемого периметра (одного из периметров)
| Уязвимость 1 Отсутствие регламента доступа в помещения с ресурсами, содержащими ценную информацию
|
| Уязвимость 2 Отсутствие системы наблюдения (видеонаблюдение, сенсоры и т.д.) за объектом (или существующая система наблюдения охватывает не все важные объекты)
| ||
| Угроза 2 Неавторизованная модификация информации в системе электронной почты, хранящейся на ресурсе
| Уязвимость 1 Отсутствие авторизации для внесения изменений в систему электронной почты
| |
| Уязвимость 2 Отсутствие регламента работы с системой криптографической защиты электронной корреспонденции
| ||
| Угроза 3 Разглашение конфиденциальной информации сотрудниками компании
| Уязвимость 1 Отсутствие соглашений о конфиденциальности
| |
| Уязвимость 2 Распределение атрибутов безопасности (ключи доступа, шифрования) между несколькими доверенными сотрудниками
|
3. Общий уровень угроз, действующих на ресурс
| Угроза/Уязвимость
| Угроза/Уязвимость Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза (%), СTh
| Общий уровень угроз по ресурсу (%), CThR
|
| Угроза 1/Уязвимость 1
|
0,384 |
0,8511 |
| Угроза 1/Уязвимость 2
| ||
| Угроза 2/Уязвимость 1
|
0,270
| |
| Угроза 2/Уязвимость 2
| ||
| Угроза 3/Уязвимость 1
|
0,669
| |
| Угроза 3/Уязвимость 2
|
4. Риск ресурса
Критичность ресурса (ущерб, который понесет Компания от потери ресурса) – 100 у.е.
Для угрозы доступность, критичность ресурса задается в час (а не в год, как для остальных
угроз). Поэтому, чтобы получить критичность ресурса в год, необходимо умножить
критичность ресурса в час на максимально критичное время простоя ресурса за год.
| Угроза/Уязвимость
| Общий уровень угроз по ресурсу (%), CThR
| Риск ресурса (у.е.), R
|
| Угроза 1/Уязвимость 1
|
0,8511
|
85,11
|
| Угроза 1/Уязвимость 2
| ||
| Угроза 2/Уязвимость 1
| ||
| Угроза 2/Уязвимость 2
| ||
| Угроза 3/Уязвимость 1
| ||
| Угроза 3/Уязвимость 2
|
Таким образом, получим риск ресурса, рассчитанный по модели угроз и уязвимостей.
- Федеральное агентство связи
- 1.1. Модель анализа угроз и уязвимостей
- 1.2.Основные понятия и особенности модели
- 1.3. Принцип расчета рисков:
- 1.4. Принципы разбиения шкалы на уровни
- 1.5. Расчет рисков по угрозе информационной безопасности
- 1.6.Задание контрмер
- 1.7. В результате работы алгоритма пользователь системы получает следующие данные:
- 1.8.Пример расчета риска информационной безопасности на основе модели угроз и
- 2.Общие положения об информационной безопасности телекоммуникационных систем
- 2.1. Методы, способы и средства защиты информации
- Методики защиты
- 3.Виртуальные защищенные сети: виды, характеристики и варианты реализации
- 3.1.Основные компоненты vpn
- 3.2.Состав программно-аппаратного комплекса ViPNet
- 4. Типовые схемы применения технологии ViPNet
- Типовая схема 2:
- Типовая схема 3:
- Незащищенная схема.
- Информация об исходной схеме сети.
- Требуемая защита.
- Комментарии к схеме защиты.
- Типовая схема 4:
- Незащищенная схема.
- Информация об исходной схеме сети.
- Требуемая защита.
- Комментарии к схеме защиты.
- Типовая схема 6:
- Незащищенная схема.
- Информация об исходной схеме сети.
- Требуемая защита.
- Комментарии к схеме защиты.
- Типовая схема 7:
- Комментарии к схеме защиты.
- Типовая схема 8:
- Незащищенная схема.
- Информация об исходной схеме сети.
- Требуемая защита.
- Комментарии к схеме защиты.
- Типовая схема 9:
- Комментарии к схеме защиты.
- Типовая схема 10:
- Типовая схема 11:
- Комментарии к схеме защиты.
- Типовая схема 12:
- 5.Задание на проект