Рис. 17
2.3.3. Алгоритм«Анализ модели угроз и уязвимостей». Для оценки риска, анализируются все угрозы, действующие на ИС, и уязвимости, через которые возможна реализация угроз. На основе полученной модели проводится анализ вероятности реализации угроз ИБ на каждый ресурс и, исходя из этого, рассчитываются риски.
Существует два режима работы алгоритма:
•одна базовая угроза (суммарная);
•три базовые угрозы.
Режим работы задается в листе «Оценка критичности» свойств проекта.
Расчет рисков по угрозе ИБ:
1). Определяем уровень угрозы по конкретной уязвимости 
Th =100ER P100(V ) ,
где ЕR – задаваемая в процентах критичность реализации угрозы показывает как сильно реализация угрозы повлияет на работу ресурса. Может состоять из критичности реализации угрозы по конфиденциальности, целостности и доступности ( , , ); –
указываемая в процентах вероятность реализации угрозы через данную уязвимость в течение года.
Оба исходных показателя задается в свойствах угрозы в связях
ресурса с угрозой (рис. 18); |
|
2) определяем уровень угрозы по всем уязвимостям |
, через |
которые возможна реализация данной угрозы на ресурсе.
3) рассчитываем общий уровень угроз по ресурсу |
, учиты- |
вая все угрозы, действующие на ресурс |
|
25
4) определяем риск по ресурсу 
:
где – выраженная в деньгах или процентах критичность ресурса –
степень значимости ресурса для ИС (задается в разделе моделирования системы – «Ресурсы» – «Свойство ресурса» (рис. 19, 20)).
Рис. 18
Рис. 19
26
Рис. 20
Единица измерения (% или деньги и вид валюты) задается в свойствах проекта. При задании риска в уровнях количество уровней и оценка уровней задается в листе уровни свойств проекта (табл.6).
|
Таблица 6 |
|
|
|
|
Название уровня |
Оценка уровня, % |
|
1 |
33,33 |
|
2 |
66,66 |
|
3 |
100 |
|
В случае угрозы доступность (отказ в обслуживании) критичность ресурса в год выражением:
Dв/год= Dв/час . Tmax ,
где Dв/год – критичность ресурса по угрозе доступность в год; Dв/час – критичность ресурса по угрозе доступность в час; Tmax – максимальное
критичное время простоя ресурса в год (значение времени простоя, которое является критичным для организации).
Для режима с тремя базовыми угрозами значение риска для ресурса по каждой из угроз и суммарное значение риска по трем угрозам в деньгах или уровнях определится следующими выражениями:
Rc =CThRc Dc ; |
Ri =CThRi Di ; |
Ra =CThRa Da ; |
|||||||||||||
|
|
|
R∑ = Rc + Ri + Ra ; |
|
|
|
|
|
|||||||
|
|
|
R |
|
|
|
R |
|
|
|
|
R |
|
|
|
R |
= 1 |
− 1 |
− |
c |
|
1− |
|
i |
|
1 |
− |
|
a |
|
100. |
|
|
|
|||||||||||||
∑ |
|
|
100 |
|
|
100 |
|
|
100 |
|
|
||||
|
|
|
|
|
|||||||||||
5) риск по информационной системе |
|
рассмотрим для режима |
|||||||||||||
работы в деньгах/уровнях и для режима работы с тремя угрозами в деньгах/уровнях.
Для режима работы с одной базовой угрозой в деньгах/уровнях:
27