- •Введение
- •1. Цель и задачи работы
- •2. Теоретическая часть
- •2.2. Классификация угроз DSECCT
- •2.3. ГРИФ
- •При изучении методики для наглядности будем рассматривать пример расчета риска для ИС из двух ресурсов: сервера и рабочей станции (рис. 3).
- •Риск рассчитываем для связей «информация – группа пользователей».
- •Расчет рисков по угрозам конфиденциальность и целостность:
- •2.3.2 Работа с моделью информационных потоков. Рабочее поле программы состоит из нескольких окон (рис. 7):
- •Расчет рисков по угрозе ИБ:
- •2.3.4. Работа с моделью угроз и уязвимостей. Моделирование системы происходит, как и при использовании алгоритма «Анализ модели информационных потоков», но добавляются новые элементы ИС: угрозы и уязвимости.
- •2.4. КОНДОР
- •3. Описание лабораторного оборудования
- •4. Порядок выполнения работы
- •5. Контрольные вопросы
- •6. Требования к содержанию и оформлению отчета
- •7. Критерии результативности выполнения работы
- •Список литературы
n |
|
|
n |
|
|
R |
|
|
CR = ∑R , |
CR = 1 |
−∏ |
1− |
|
i |
100. |
||
100 |
||||||||
i=1 |
i |
|
i=1 |
|
Для режима работы с тремя угрозами в деньгах/уровнях:
|
|
n |
|
|
|
n |
|
|
|
R |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
CR |
|
= ∑R , CR |
|
= 1− |
∏ 1 |
− |
|
|
i |
|
|
100; CR |
=CR +CR +CR ; |
|||||||||||||||
|
|
100 |
||||||||||||||||||||||||||
a,c,i |
i |
a,c,i |
|
|
|
|
|
|
|
|
|
|
∑ |
|
|
|
|
c |
i |
a |
||||||||
|
|
i |
|
|
|
j=1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
CRc |
|
|
|
|
|
CRi |
|
|
|
CRa |
|
|
|
|
|
|
|
|||||
|
|
CR∑ |
|
|
|
|
|
− |
|
100. |
|
|
|
|||||||||||||||
|
|
= 1 |
− 1− |
100 |
|
1− |
100 |
|
1 |
100 |
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 7 |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ресурсы |
|
Угрозы |
|
|
|
Уязвимость |
|
|
|
|
|
|
|
|
Вероятностьреализации |
черезугрозыданную уязвитечениевмостьгода P(v) |
Критичностьреализации угрозыER, % |
угрозыУровеньпо всем уяз- |
вимостям |
|
угрозыУровеньпо всем уязвимостямCT |
уровеньОбщийугроз по ресурсуCT |
R*D |
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
ресурсаРискR=CT |
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
h |
|
h |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
R |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
h |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
1. |
Неавторизо- |
|
1. Отсутствие регламента |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
ванное проник- |
|
доступа в помещение с |
|
|
|
|
|
50 |
|
60 |
|
0,3 |
|
0,38 |
|
|
|
||||||||||
|
новение внутрь |
|
ценной информацией |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
y.e.) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
охраняемого пе- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
2. Отсутствует (плохая) |
|
|
|
|
|
20 |
|
60 |
|
0,12 |
|
|
|
|
|
|||||||||||||
100 |
риметра |
|
система наблюдения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
2. Неавторизо- |
|
1. Нет авторизации при |
|
|
|
|
|
60 |
|
40 |
|
0,24 |
|
|
|
|
|
|||||||||||
критичность( |
ванная модифи- |
|
внесении изменений в |
|
|
|
|
|
|
|
|
|
0,8511 |
85,11 |
|
|||||||||||||
кация информа- |
|
электронную почту |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0,27 |
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
ции электронной |
2. Нет регламента работы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
|
почты |
|
с криптозащитой элек- |
|
|
|
|
|
10 |
|
40 |
|
0,04 |
|
|
|
|
|
||||||||||
|
|
|
|
тронной корреспонденции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
Сервер |
3. Разглашение |
|
Отсутствует соглашение о |
|
|
10 |
|
80 |
|
0,08 |
|
|
|
|
|
|||||||||||||
конфиденциаль- |
конфиденциальности |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
ной информации |
|
|
|
|
|
|
|
|
|
|
|
|
|
0,67 |
|
|
|
|||||||||||
Распределение атрибутов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||
|
сотрудниками |
|
безопасности (ключи до- |
|
|
|
|
80 |
|
80 |
|
0,64 |
|
|
|
|
|
|||||||||||
|
|
|
|
ступа, шифрования) меж- |
|
|
|
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
ду сотрудниками. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2.3.4. Работа с моделью угроз и уязвимостей. Моделирование системы происходит, как и при использовании алгоритма «Анализ модели информационных потоков», но добавляются новые элементы ИС: угрозы и уязвимости.
Для ресурсов задается уровень критичности ресурса (рис. 21).
28
Рис. 21
Можно задать угрозы, в том числе и предопределенные (нажав «Выбрать» в окне «Новая угроза») (рис. 22).
Рис. 22
29
Каждая заявленная угроза должна быть привязана хотя бы к одной уязвимости (рис. 23).
Рис. 23
При добавлении уязвимости можно выбрать предопределенную, но их список весьма ограничен.
При работе с разделом «Связи» с использованием алгоритма «Анализ модели угроз и уязвимостей» существует всего две закладки: угрозы и уязвимости (рис. 24).
30