- •Введение
- •1. Цель и задачи работы
- •2. Теоретическая часть
- •2.2. Классификация угроз DSECCT
- •2.3. ГРИФ
- •При изучении методики для наглядности будем рассматривать пример расчета риска для ИС из двух ресурсов: сервера и рабочей станции (рис. 3).
- •Риск рассчитываем для связей «информация – группа пользователей».
- •Расчет рисков по угрозам конфиденциальность и целостность:
- •2.3.2 Работа с моделью информационных потоков. Рабочее поле программы состоит из нескольких окон (рис. 7):
- •Расчет рисков по угрозе ИБ:
- •2.3.4. Работа с моделью угроз и уязвимостей. Моделирование системы происходит, как и при использовании алгоритма «Анализ модели информационных потоков», но добавляются новые элементы ИС: угрозы и уязвимости.
- •2.4. КОНДОР
- •3. Описание лабораторного оборудования
- •4. Порядок выполнения работы
- •5. Контрольные вопросы
- •6. Требования к содержанию и оформлению отчета
- •7. Критерии результативности выполнения работы
- •Список литературы
Рис. 24
Можно добавить угрозу из числа определенных. При добавлении указывается уязвимость, через которую угроза действует на ресурс.
При использовании алгоритма «Анализ модели угроз и уязвимостей» нет раздела «Политика безопасности».
2.4. КОНДОР
КОНДОР – система разработки и управления политикой безопасности ИС компании (рис. 25) на основе стандарта ГОСТ 177992005.
Система КОНДОР состоит из практически всех положений стандарта ГОСТ 17799-2005, сформулированных в виде вопросов, от-
31
вечая на которые, получаешь полную картину – какие в системе положения выполняются, а какие нет.
У каждого положения стандарта задан по умолчанию вес требования V(1–100), который характеризует степень критичности данного положения для поддержания необходимого уровня защищенности (значение веса можно изменить).
Рис. 25
Отношение суммы весов невыполненных в компании требований к сумме всех требований стандарта – риск невыполнения требований в компании (R) .
|
n |
|
|
|
|
|
∑Vневып.,i |
|
n |
|
|
R = |
i=1 |
, V |
= ∑V . |
||
Vmax |
|||||
|
max |
i=1 |
i |
32
Для анализа дальнейших действий после ответа на вопросы предусмотрен модуль управления рисками. В нем отражаются все невыполненные положения политики безопасности. Можно задать пороговое значение весов, для отображались наиболее критичные невыполненных положений стандарта. После задания контрмеры к невыполненному положению видно соотношение стоимости данной контрмеры и изменения значения риска. Таким образом, можно расставить приоритеты и заранее оценить эффективность планируемых мероприятий при разработке или работе с уже существующей политикой информационной безопасности компании.
Пользователь создает новый проект аудита, затем новый период аудита, затем отвечает на вопросы разделов.
•текст выполненных и невыполненных требований с указанием их количества;
•уровень риска невыполнения требований стандарта по своей системе и по каждому разделу;
•затраты на контрмеры в целом по системе и по каждому раз-
делу.
Для конфигурации отчёта нужно настроить параметры создаваемого отчёта (рис. 26). В окне «Период отчёта» нужно указать, какой отчёт необходимо создать: по периоду или по проекту, выбрать разделы, которые войдут в отчёт, состав отчёта и форму отчёта.
Рис. 26
33