- •Тема 1. Оценка ценности (полезности) информации на основе набора критериев.
- •Тема 2. Оценка рисков ис невыполнения требований стандарта информационной безопасности (иб)
- •Тема 3. Оценка риска объекта защиты на основе анализа локальных угроз и уязвимостей.
- •Тема 4. Выбор оптимального набора средств защиты информации от критических угроз и уязвимостей.
- •Тема 5. Оценка экономической эффективности мероприятий по защите информации.
Содержание
Тема 1. Оценка ценности (полезности) информации на основе набора критериев……………………………………………………………………… |
3 |
Тема 2. Оценка рисков ИС невыполнения требований стандарта информационной безопасности (ИБ)………………………………………. |
12 |
Тема 3. Оценка риска объекта защиты на основе анализа локальных угроз и уязвимостей…………………………………………………………. |
21 |
Тема 4. Выбор оптимального набора средств защиты информации от критических угроз и уязвимостей………………………………………….. |
29 |
Тема 5. Оценка экономической эффективности мероприятий по защите информации…………………………………………………………………… |
37 |
Тема 1. Оценка ценности (полезности) информации на основе набора критериев.
Цель занятия: закрепить теоретические навыки и получить практические навыки по количественной оценке ценности информационных ресурсов (ИР) организации, определения условия их критичности и необходимости в дополнительной защите от несанкционированного доступа.
Задание: в качестве объекта защиты рассматривается информационная система (ИС) предприятия, состоящая из нескольких сетевых групп, объединенных каналами связи. На основании исходных данных: характеристика ИС предприятия, сведения о ИР; градация косвенных критериев ценности ИР; характеристика бизнес-процессов и подсистем управления, реализуемых на предприятии. Требуется определить: 1) бальную оценку ценности информации, размещенной на физических ресурсах объекта защиты; 2) денежный эквивалент ценности и уровень критичности ИР; 3) допустимый уровень потерь и необходимость дополнительной защиты информации.
Выполнение работы.
1.На основании таблицы 1.4 (исходные данные) определим значимость критериев методом попарного сравнения.
Таблица 1.1.Оценка значимости методом попарных сравнений
Оценка Показатель |
Показатели |
Ki |
Ri |
||||||||||
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
|
|
|||
1.Ущерб репутации организации |
- |
0 |
0 |
0 |
0 |
1 |
1 |
1 |
1 |
4 |
0,111 |
||
2.Нарушение действующего законодательства |
1 |
- |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
8 |
0,222 |
||
3.Финансовые потери от разглашения информации |
1 |
0 |
- |
1 |
1 |
1 |
0 |
0 |
0 |
4 |
0,111 |
||
4.Ущерб, связанный с разглашением персональных данных отдельных лиц |
1 |
0 |
0 |
- |
0 |
1 |
1 |
0 |
0 |
3 |
0,083 |
||
5.Ослабление позиций на рынке |
1 |
0 |
0 |
1 |
- |
1 |
0 |
0 |
1 |
4 |
0,111 |
||
6.Финансовые потери, связанные с восстановлением ресурсов |
0 |
0 |
0 |
0 |
0 |
- |
0 |
1 |
1 |
2 |
0,055 |
||
7.Потери, связанные с восстановлением информации |
0 |
0 |
1 |
0 |
1 |
1 |
- |
0 |
0 |
3 |
0,083 |
||
8.Потери, связанные с невозможностью выполнения обязательств |
0 |
0 |
1 |
1 |
1 |
0 |
1 |
- |
0 |
4 |
0,111 |
||
9.Дезорганизация деятельности |
0 |
0 |
1 |
1 |
0 |
0 |
1 |
1 |
- |
4 |
0,111 |
Ri = Ki / ( ∑ Ki )
2. Определим бальную оценку информации, размещенную на физических ресурсах объекта защиты:
а) Выбираем по шкале критериев ценности (Таблица 1.4.) градацию и бальную оценку, соответствующую уровню критичности анализируемой информации (см. табл. 1.3.)
б) Определим интегральную ценность информации по набору критериев по формуле:
Таблица 1.2.Оценка ценности информации по набору критериев
Вид информации |
Бальная оценка по критериям |
Интегральная оценка информационного ресурса, Bi |
||||||||||||||||||||||||||||||||
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
||||||||||||||||||||||||||
Значимость критериев |
||||||||||||||||||||||||||||||||||
0,111 |
0,222 |
0,111 |
0,083 |
0,111 |
0,055 |
0,083 |
0,111 |
0,111 |
||||||||||||||||||||||||||
1.1.Служебная информация |
4 |
0,444 |
4 |
0,888 |
|
|
6 |
0,498 |
8 |
0,888 |
4 |
0,22 |
|
|
|
|
8 |
0,888 |
3,826 |
|||||||||||||||
1.2.Планы производства |
6 |
0,666 |
6 |
1,332 |
|
|
10 |
0,83 |
6 |
0,666 |
6 |
0,33 |
8 |
0,664 |
|
|
6 |
0,666 |
5,154 |
|||||||||||||||
1.3.Приказы, распоряжения |
2 |
0,222 |
4 |
0,888 |
|
|
2 |
0,166 |
2 |
0,222 |
2 |
0,11 |
|
|
|
|
4 |
0,444 |
2,052 |
|||||||||||||||
2.1.Основные средства (01) |
4 |
0,444 |
4 |
0,888 |
|
|
6 |
0,498 |
4 |
0,444 |
6 |
0,33 |
|
|
|
|
8 |
0,888 |
3,492 |
|||||||||||||||
2.2.Износ основных средств (02) |
4 |
0,444 |
4 |
0,888 |
|
|
6 |
0,498 |
4 |
0,444 |
6 |
0,33 |
|
|
|
|
8 |
0,888 |
3,492 |
|||||||||||||||
2.3.Материалы (10) |
4 |
0,444 |
4 |
0,888 |
|
|
6 |
0,498 |
4 |
0,444 |
6 |
0,33 |
|
|
|
|
8 |
0,888 |
3,492 |
|||||||||||||||
2.4.Сведения о прибылях и убытках |
6 |
0,666 |
6 |
1,332 |
|
|
8 |
0,664 |
6 |
0,666 |
6 |
0,33 |
|
|
|
|
4 |
0,444 |
4,102 |
|||||||||||||||
2.5.Бухгалтерский отчет |
6 |
0,666 |
6 |
1,332 |
|
|
8 |
0,664 |
6 |
0,666 |
6 |
0,33 |
|
|
|
|
4 |
0,444 |
4,102 |
|||||||||||||||
2.6.Себестоимость продукции |
4 |
0,444 |
4 |
0,888 |
|
|
8 |
0,664 |
2 |
0,222 |
6 |
0,33 |
8 |
0,664 |
|
|
2 |
0,222 |
3,434 |
|||||||||||||||
2.7.Реализация продукции |
4 |
0,444 |
4 |
0,888 |
|
|
8 |
0,664 |
2 |
0,222 |
6 |
0,33 |
8 |
0,664 |
|
|
2 |
0,222 |
3,434 |
|||||||||||||||
2.8.Расчеты с персоналом по оплате труда |
6 |
0,666 |
2 |
0,444 |
4 |
0,444 |
2 |
0,166 |
|
|
2 |
0,11 |
|
|
8 |
0,888 |
8 |
0,888 |
3,606 |
|||||||||||||||
4.1. База данных о составе изделия |
2 |
0,222 |
4 |
0,888 |
|
|
6 |
0,498 |
4 |
0,444 |
6 |
0,33 |
6 |
0,498 |
|
|
6 |
0,666 |
3,546 |
|||||||||||||||
4.2.База данных о нормах расхода материалов |
2 |
0,222 |
4 |
0,888 |
|
|
6 |
0,498 |
4 |
0,444 |
6 |
0,33 |
6 |
0,498 |
|
|
6 |
0,666 |
3,546 |
|||||||||||||||
4.3.Документы, описывающие процессы производства |
4 |
0,444 |
6 |
1,332 |
|
|
8 |
0,664 |
2 |
0,222 |
6 |
0,33 |
8 |
0,664 |
|
|
8 |
0,888 |
4,544 |
|||||||||||||||
4.4.Технологические процессы |
4 |
0,444 |
6 |
1,332 |
|
|
8 |
0,664 |
2 |
0,222 |
6 |
0,33 |
8 |
0,664 |
|
|
8 |
0,888 |
4,544 |
|||||||||||||||
4.5.Данные о технологическом оснащении и инструменте |
4 |
0,444 |
4 |
0,888 |
|
|
4 |
0,332 |
4 |
0,444 |
4 |
0,22 |
6 |
0,498 |
|
|
8 |
0,888 |
4,158 |
|||||||||||||||
4.6.Нормативы времени |
4 |
0,444 |
4 |
0,888 |
|
|
4 |
0,332 |
4 |
0,444 |
4 |
0,22 |
6 |
0,498 |
|
|
8 |
0,888 |
4,158 |
|||||||||||||||
5.1.Характеристика заказчиков и потребителей продукции |
4 |
0,444 |
|
|
|
|
4 |
0,332 |
4 |
0,444 |
4 |
0,22 |
4 |
0,332 |
|
|
4 |
0,444 |
2,216 |
|||||||||||||||
5.2.Перечень товарной продукции |
4 |
0,444 |
|
|
|
|
4 |
0,332 |
4 |
0,444 |
4 |
0,22 |
4 |
0,332 |
|
|
4 |
0,444 |
2,216 |
|||||||||||||||
5.3.Данные об отгрузке и реализации продукции |
2 |
0,222 |
4 |
0,888 |
|
|
4 |
0,332 |
2 |
0,222 |
2 |
0,11 |
4 |
0,332 |
|
|
6 |
0,666 |
2,772 |
|||||||||||||||
5.4.Отчет о выполнении плана поставок |
2 |
0,222 |
4 |
0,888 |
|
|
4 |
0,332 |
2 |
0,222 |
2 |
0,11 |
4 |
0,332 |
|
|
6 |
0,666 |
2,772 |
|||||||||||||||
5.5.Учет движения готовой продукции на складе |
2 |
0,222 |
|
|
|
|
2 |
0,166 |
2 |
0,222 |
2 |
0,11 |
4 |
0,332 |
|
|
8 |
0,888 |
1,94 |
|||||||||||||||
5.6.Характеристика тары и транспортных средств |
2 |
0,222 |
|
|
|
|
2 |
0,166 |
2 |
0,222 |
2 |
0,11 |
4 |
0,332 |
|
|
8 |
0,888 |
1,94 |
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итого по ИС: |
75,046 |
3. Рассчитаем денежный эквивалент ценности информации и уровень ее критичности в следующей последовательности:
а) Рассчитываем затраты по отдельным видам обеспечения ИС на основе их типовой структуры (табл. 1.6. методических указаний) по формуле:
где SИС – стоимость информационной системы (5 вариант – 16 млн. руб. инвестиции в ИС)
di – доля i-той подсистемы в общей стоимости
Таблица 1.3. Типовая структура затрат на разработку ИС
Наименование обеспечивающей подсистемы |
Структура затрат в % к итогу |
Затраты по отдельным видам обеспечения ИС, млн. руб. |
Техническая |
40 |
6,4 |
Программно-математическая |
35 |
5,6 |
Информационная |
20 |
3,2 |
Организационно-правовая |
5 |
0,8 |
б) Определим денежный эквивалент критичности информационных ресурсов:
в) Определим уровень критичности информации. Критичность и необходимость защиты информации устанавливается на основе сравнения с бальной оценкой для базового уровня защищенности или денежного эквивалента ее ценности с минимальной суммой, которая не нанесет компании значительного ущерба. Шкала уровней критичности представлена в табл. 1.7. методических указаний. Результаты расчета сведем в таблицу 1.4.
Таблица 1.4. Стоимостная оценка информационных ресурсов и уровня их критичности
Вид информации, i |
Балльная оценка ценности информации, Bi |
|
Денежный эквивалент, руб. |
Уровень критичности |
1 |
2 |
3 |
4 |
5 |
1.1.Служебная информация |
3,826 |
0,051 |
0,816 |
критичный |
1.2.Планы производства |
5,154 |
0,069 |
1,098 |
критичный |
1.3.Приказы, распоряжения |
2,052 |
0,027 |
0,437 |
некритичный |
2.1.Основные средства |
3,492 |
0,046 |
0,743 |
критичный |
2.2.Износ основных средств |
3,492 |
0,046 |
0,743 |
критичный |
2.3.Материалы |
3,492 |
0,046 |
0,743 |
критичный |
2.4.Сведения о прибылях и убытках |
4,102 |
0,055 |
0,874 |
критичный |
2.5.Бухгалтерский отчет |
4,102 |
0,055 |
0,874 |
критичный |
2.6.Себестоимость продукции |
3,434 |
0,046 |
0,732 |
критичный |
2.7.Реализация продукции |
3,434 |
0,046 |
0,732 |
критичный |
2.8.Расчеты с персоналом по оплате труда |
3,606 |
0,048 |
0,769 |
критичный |
4.1. База данных о составе изделия |
3,546 |
0,047 |
0,756 |
критичный |
4.2. База данных о нормах расхода материалов |
3,546 |
0,047 |
0,756 |
критичный |
4.3.Документы, описывающие процессы производства |
4,544 |
0,06 |
0,969 |
критичный |
4.4.Технологические процессы |
4,544 |
0,06 |
0,969 |
критичный |
4.5.Данные о технологическом оснащении и инструменте |
4,158 |
0,055 |
0,886 |
критичный |
4.6. Нормативы времени |
4,158 |
0,055 |
0,886 |
критичный |
5.1.Характеристика заказчиков и потребителей продукции |
2,216 |
0,029 |
0,472 |
некритичный |
5.2.Перечень товарной продукции |
2,216 |
0,029 |
0,472 |
некритичный |
5.3.Данные об отгрузке и реализации продукции |
2,772 |
0,037 |
0,591 |
базовый |
5.4.Отчет о выполнении плана поставок |
2,772 |
0,037 |
0,591 |
базовый |
5.5.Учет движения готовой продукции на складе |
1,94 |
0,026 |
0,414 |
некритичный |
5.6.Характеристика тары и транспортных средств |
1,94 |
0,026 |
0,414 |
некритичный |
4. Определяем класс защищенности информации в следующей последовательности:
а) выбираем количественную оценку коэффициента важности информации i относительно назначения, К из таблицы 1.8. методических указаний;
б) присваиваем оценку коэффициента важности информации i по условиям обработки, КВО (таблица 1.9. методических указаний);
в) определяем граничный коэффициент важности информации по формуле:
г) определяем класс информации и уровень ее критичности по граничному коэффициенту важности на основе таблицы 1.10. методических указаний. Расчеты сводятся в таблицу 1.5.
Таблица 1.5. Определение класса защищаемой информации
Вид информации |
Наименование критичности информации |
Важность по назначению, КВН |
Важность по условиям обработки, КВО |
Граничный коэффициент важности |
Класс информации |
Уровень критичности |
1.1.Служебная информация |
критичный |
5 |
9 |
0,556 |
средняя важность |
критичный |
1.2.Планы производства |
критичный |
6 |
9 |
0,667 |
повышенная важность |
критичный |
1.3.Приказы, распоряжения |
некритичный |
5 |
7 |
0,432 |
полуважный |
критичный |
2.1.Основные средства |
критичный |
6 |
9 |
0,667 |
повышенная важность |
критичный |
2.2.Износ основных средств |
критичный |
5 |
8 |
0,494 |
средняя важность |
критичный |
2.3.Материалы |
критичный |
4 |
8 |
0,395 |
обыкновенный |
базовый |
2.4.Сведения о прибылях и убытках |
критичный |
9 |
9 |
1 |
чрезвычайная важность |
критичный |
2.5.Бухгалтерский отчет |
критичный |
9 |
9 |
1 |
чрезвычайная важность |
критичный |
2.6.Себестоимость продукции |
критичный |
4 |
9 |
0,444 |
полуважный |
критичный |
2.7.Реализация продукции |
критичный |
6 |
9 |
0,667 |
обыкновенная |
базовый |
2.8.Расчеты с персоналом по оплате труда |
критичный |
9 |
3 |
0,333 |
повышенная важность |
критичный |
4.1. База данных о составе изделия |
критичный |
9 |
9 |
1 |
чрезвычайная важность |
критичный |
4.2. База данных о нормах расхода материалов |
критичный |
8 |
9 |
0,889 |
большая важность |
критичный |
4.3.Документы, описывающие процессы производства |
критичный |
9 |
9 |
1 |
чрезвычайная важность |
критичный |
4.4.Технологические процессы |
критичный |
8 |
9 |
0,889 |
большая важность |
критичный |
4.5.Данные о технологическом оснащении и инструменте |
критичный |
9 |
8 |
0,889 |
большая важность |
критичный |
4.6. Нормативы времени |
критичный |
9 |
8 |
0,889 |
большая важность |
критичный |
5.1.Характеристика заказчиков и потребителей продукции |
некритичный |
4 |
5 |
0,247 |
маловажный |
некритичный |
5.2.Перечень товарной продукции |
некритичный |
5 |
5 |
0,309 |
обыкновенный |
базовый |
5.3.Данные об отгрузке и реализации продукции |
базовый |
8 |
5 |
0,5 |
средняя важность |
критичный |
5.4.Отчет о выполнении плана поставок |
базовый |
8 |
5 |
0,5 |
средняя важность |
критичный |
5.5.Учет движения готовой продукции на складе |
некритичный |
6 |
2 |
0,148 |
маловажный |
некритичный |
5.6.Характеристика тары и транспортных средств |
некритичный |
5 |
2 |
0,123 |
маловажный |
некритичный |
5. Определим допустимый уровень потерь и дополнительной защиты информации.
В соответствии с принципом целесообразности, стоимость защиты информации не должна превышать уровень дохода, получаемого от использования ИС, который определяет предельное значение затрат наиболее важной и секретной информации. Для учета характеристики секретности информации вводится коэффициент значимости информации в зависимости от уровня секретности, значение которого представлено в таблице 1.11. методических указаний.
С учетом двух определяющих параметров информации: коэффициента важности – КВ и коэффициента значимости по уровню секретности – КС, допустимый уровень потерь (риска) может быть оценен на основе теоремы произведения вероятности по формулам:
а) для отдельного ИР:
,
б) для ИС в целом:
Таблица 1.6. Оценка уровня допустимых потерь, возникающих от возможных угроз
Вид информации |
СИС |
КВ |
КС |
|
RДОП |
1.1.Служебная информация |
0,816 |
0,556 |
0,5 |
0,85 |
0,097 |
1.2.Планы производства |
1,098 |
0,667 |
0,7 |
0,73 |
0,112 |
1.3.Приказы, распоряжения |
0,437 |
0,432 |
0,5 |
0,885 |
0,054 |
2.1.Основные средства |
0,743 |
0,667 |
0,6 |
0,775 |
0,081 |
2.2.Износ основных средств |
0,743 |
0,494 |
0,5 |
0,868 |
0,09 |
2.3.Материалы |
0,743 |
0,395 |
0,5 |
0,896 |
0,093 |
2.4.Сведения о прибылях и убытках |
0,874 |
1 |
0,6 |
0,632 |
0,077 |
2.5.Бухгалтерский отчет |
0,874 |
1 |
0,6 |
0,632 |
0,077 |
2.6.Себестоимость продукции |
0,732 |
0,444 |
0,6 |
0,856 |
0,088 |
2.7.Реализация продукции |
0,732 |
0,667 |
- |
1 |
0,103 |
2.8.Расчеты с персоналом по оплате труда |
0,769 |
0,333 |
0,5 |
0,913 |
0,098 |
4.1 База данных о составе изделия |
0,756 |
1 |
- |
1 |
0,106 |
4.2 База данных о нормах расхода материалов |
0,756 |
0,889 |
0,6 |
0,683 |
0,072 |
4.3Документы, описывающие процессы производства |
0,969 |
1 |
0,7 |
0,548 |
0,078 |
4.4Технологические процессы |
0,969 |
0,889 |
0,6 |
0,683 |
0,093 |
4.5Данные о технологическом оснащении и инструменте |
0,886 |
0,889 |
0,6 |
0,683 |
0,085 |
4.6 Нормативы времени |
0,886 |
0,889 |
0,5 |
0,745 |
0,093 |
5.1.Характеристика заказчиков и потреб-ителей продукции |
0,472 |
0,247 |
0,6 |
0,923 |
0,061 |
5.2.Перечень товарной продукции |
0,472 |
0,309 |
- |
1 |
0,066 |
5.3.Данные об отгрузке и реализации продукции |
0,591 |
0,5 |
0,6 |
0,837 |
0,069 |
5.4.Отчет о выполнении плана поставок |
0,591 |
0,5 |
0,5 |
0,866 |
0,072 |
5.5.Учет движения готовой продукции на складе |
0,414 |
0,148 |
0,5 |
0,962 |
0,056 |
5.6.Характеристика тары и транспортных средств |
0,414 |
0,123 |
0,5 |
0,969 |
0,056 |
Допустимый уровень риска для ИС |
1,760 |