Читать книгу Комплексная защита телекоммуникационных систем. Учебное пособие - Виталий Владимирович Грызунов - Страница 5
2 Оценка рисков информационной безопасности
Оглавление2.1 Цель занятия
Целью лабораторного занятия является формирование представления о процессе оценки рисков информационной безопасности.
2.2 Методические указания студенту
Лабораторному занятию предшествует целевая самоподготовка, на которой необходимо изучить:
– инструменты моделирования бизнес-процессов;
– способы нормирования величин.
В результате выполнения лабораторной работы каждый студент должен уметь:
– моделировать бизнес-процессы компании;
– рассчитывать риски ИБ.
2.3 Теоретическая часть
Расчёту рисков предшествует построение бизнес-модели компании. Существует множество инструментов для моделирования бизнес-процессов. В настоящей работе в приложении Б приведено описание бизнес-процесса в нотации IDEF0.
2.3.1 Бизнес-модель информационной безопасности ISACA
При описании факторов и возможных уязвимостей удобно использовать бизнес-модель информационной безопасности, разработанную ISACA. Модель представлена на рис. 2.1.
Перечень возможных активов:
1. Данные о заказах клиентов;
2. Данные о клиентах компании;
3. Данные о технологиях компании (knowhow/ коммерческая тайна).
Пример описания проблемы, факторов и возможных уязвимостей по узлу People модели ISACA.
1. Проблема. Воровство запасных частей:
1.1. Фактор риска. Ребро Emergence. Возможность несанкционированного изменения ТЗ на закупки (нарушение целостности).
1.1.1. Уязвимость. Слабые механизмы аутентификации администратора информационной системы. Частота использования уязвимости – 54.
1.1.2. Уязвимость. Отсутствует механизм журналирования. Частота – 13.
1.1.3. Уязвимость. Нет разграничения доступа пользователей к базе данных с ТЗ. Частота – 33.
1.2. Фактор риска. Ребро Culture. На поставлен жёсткий учёт запасных частей (нарушение целостности).
1.2.1. Уязвимость. Нет маркировки на каждой запасной части. Частота – 42.
1.2.2. Уязвимость. Отсутствует фиксация актов выдачи запасной части. Частота – 32.
1.2.3. Уязвимость. Возможность изменить записи о приёме готового изделия. Частота – 15.
1.3. Фактор риска. Ребро Human Factors. Возможность отключения системы контроля и учёта (нарушение доступности).
1.3.1. Уязвимость. Неконтролируемый физический доступ к системе управления электропитанием. Частота – 24.
1.3.2. Уязвимость. Возможность выдать сигнал на отключение системы с каждой рабочей станции. Частота – 26.
1.3.3. Уязвимость. В случае одновременного доступа к системе нескольких пользователей система блокирует всех. Частота – 45.
2. Проблема. Срыв сроков сборки
2.1. Фактор риска. Ребро Emergence. Нарушение связи между этапами сборки (нарушение целостности).
2.2. Фактор риска. Ребро Culture. Отсутствует контроль времени выполнения этапов сборки (нарушение доступности).
2.3. Фактор риска. Ребро Human Factors. Повреждение базы данных, содержащей сведения о заказе (нарушение доступности).
Рисунок 2.1. Бизнес-модель информационной безопасности ISACA
2.3.2 Расчёт рисков информационной безопасности
Чтобы получить вероятности использования каждой уязвимости, занормируем частоты использования (сложим все числа и разделим каждое на сумму).
Вероятности использования уязвимостей будут, соответственно:
0,19; 0,04; 0,12; 0,15; 0,11; 0,05; 0,08; 0,10; 0,16.
Уязвимость 1.1.1 может быть нейтрализована с помощью изменения механизма аутентификации, например, на аутентификацию с использованием электронной подписи. Если задействовать штатные механизмы операционной системы, то дополнительные траты возникнут только на покупку ключевого носителя. Стоимость ключевого носителя 600 рублей. Если в компании на участке сборки работает 10 человек, то общая сумма трат – 6000 рублей.
Уязвимость 1.2.1. может быть закрыта с помощью штрих-кодов. Затраты составят: 15000 рублей за присвоение самих кодов и 70000 оборудование по обработке штрих-кодов и настройку информационной системы. Общая сумма – 85000 рублей.
Итого затраты на обеспечение безопасности компании составят:
10*600 + (15000+70000) = 91000 рублей.
Суммарная вероятность использования угроз 1.1.1 и 1.2.1 будет равна 0,19 + 0,15 = 0,34;
Выразив из нижеприведённых формул ALE и подставив полученные численные значения получим, что для ROI 1,5 и стоимости защитных мер 91000 рублей. Уменьшение среднегодовых потерь (ALE) должно быть 1,5 * 91 000 + 91 000 = 227 500 рублей.
Из (2) получаем, что ALE = 227 500 / (1- (0,19 + 0,15)) = 344 697 рублей.
Возврат инвестиций (ROI) =
(Уменьшение ALE – Стоимость защитных мер) / Стоимость защитных мер (1)
Уменьшение среднегодовых потерь
ALE = Годовые потери (ALE) * (1-Вероятность использования угрозы). (2)
Таким образом, чтобы применение найденных защитных мер было оправдано с заданным ROI, величины рассмотренных рисков должны быть больше, чем
для уязвимости 1.1.1 -> 0,19 * 344 697 = 65 492 рубля.
для уязвимости 1.2.1 -> 0,15 * 344 697 = 51 705 рублей.
Величина риска = Вероятность использования угрозы * Размер ущерба (ALE)
2.4 Порядок выполнения работы
1. Получить индивидуальное задание у преподавателя.
2. Проанализировать свой фрагмент бизнес-процессов компании.
3. Составить перечень активов компании (минимум три).
4. Составить перечень возможных факторов риска (минимум три) для своего элемента бизнес-процесса, используя узел модели ISACA из индивидуального задания.
5. Составить перечень возможных уязвимостей (минимум три) для описанных факторов риска.
6. Рассчитать вероятности использования каждой уязвимости.
7. Выбрать СЗИ, нейтрализующие использование уязвимости (минимум два).
8. Рассчитать величину годовых потерь компании (Annual Loss Expectancy – ALE), для которой будет верным указанный в индивидуальном задании коэффициент возврата инвестиций (ROI) для предложенных вами средств защиты информации (СЗИ).
9. Рассчитать величины рисков.
10. Оформить отчет, защитить работу преподавателю.
2.5 Варианты индивидуальных заданий
В работе используется описание IDEF0 для информационной системы (ИС) из Приложения Б, либо для ИС из выпускной квалификационной работы, либо для ИС, описанной в формате IDEF0 при выполнении других лабораторных работ. В последних двух случаях необходимо уточнить у преподавателя изучаемый блок диаграммы.
1) A1. Узел People. Частоты использования уязвимостей в год по порядку: 21, 33, 12, 56, 78, 7, 23, 11, 67. Окупаемость СЗИ (ROI) 1,8.
2) A2. Узел Process. Частоты использования уязвимостей в год по порядку: 31, 31, 22, 56, 60, 7, 23, 11, 67. Окупаемость СЗИ (ROI) 1,2.
3) A3. Узел Technology. Частоты использования уязвимостей в год по порядку: 42, 33, 34, 56, 56, 7, 23, 11, 67. Окупаемость СЗИ (ROI) 1,3.