Материал: Контрольная работа 2
Менеджмент інформаційної безпеки
Контрольна робота № 2
1. Організація, що захищається, - кафедра ІКІ. Потенційний порушник - велика ІТ компанія. Захищається актив - база даних, оцінювана вартість втрати конфіденційності активу – 101300.
Актив знаходиться на комп'ютері в ауд. 305. Фізичний доступ до аудиторії організований, комп'ютер до локальної мережі не підключений. Потенційний канал знімання інформації - через ПЕМВН (та наводки!!!). Зона R2 - 70 м.
Завдання 1. Знайти повний ризик інформаційної безпеки.
Таблиця 1.1 Загрози, що впливають на вразливості організації
Ресурс |
Загрози |
Вразливості |
База даних |
Фізичнi пошкодження |
Слабка охорона КЗ |
Перехоплення витоку ЕМ |
Відсутність захисту від ПЕМВ |
|
Витоки через наводки з’єднувальні ліній, сторонніх провідників |
Відсутність екранування кабелів |
Таблиця 1.2 Ступінь впливу існуючих загроз на уразливості ресурсів організації
Загроза /Вразливість |
Імовірність реалізації загрози через дану уразливість в протягом року (%), P (V) |
Критичність реалізації загрози через уразливість (%), ER |
Загроза 1/Вразливість 1 |
60 |
60 |
Загроза 2/Вразливість 1 |
35 |
40 |
Загроза 3/Вразливість 1 |
50 |
45 |
Таблиця 1.3 Рівень загрози по уразливості Th на основі критичності і ймовірності реалізації загрози через дану уразливість
Загроза/вразливість |
Рівень загрози (%), Th
|
Рівень загрози по всьому вразливостям, через які реалізується дана загроза (%), СTh
|
Загроза 1/Вразливість 1 |
0,36 |
0,36 |
Загроза 2/Вразливість 1 |
0,14 |
0,14 |
Загроза 3/Вразливість 1 |
0,0225 |
0,0225 |
Таблиця 1.4 Загальний рівень загроз, діючий на заданий ресурс.
Загроза/вразливість |
Рівень загрози по всьому вразливостям, через які реалізується дана загроза (%), СTh
|
Загальний рівень загроз по заданому ресурсу (%), СThR
|
Загроза 1/Вразливість 1 |
0,36 |
0,462 |
Загроза 2/Вразливість 1 |
0,14 |
|
Загроза 3/Вразливість 1 |
0,0225 |
Таблиця 1.5 Ризик ресурсу.
Ресурс |
Загальний рівень загроз по заданому ресурсу (%), СThR
|
Ризик ресурсу, грн
|
База даних |
0,462 |
46800 |
Завдання 2. Запропонувати заходи щодо захисту активу, оцінити їх вартість, знайти залишковий ризик ІБ.
Таблиця 2.1 Перелік заходів щодо захисту інформації, для заданих загроз і вразливостей ресурсів організації
Ресурс |
Загрози |
Вразливості |
Захід щодо захисту інформациї |
Орієнтовна вартість заходу щодо захисту інформації |
База даних |
Фізичнi пошкодження |
Слабка охорона КЗ |
Збiльшити кiлькiсть охорони, камер |
30000 |
Перехоплення витоку ЕМ |
Відсутність захисту від ПЕМВ |
Закупiвля обладнання для ствоння бiлого шуму |
25000 |
|
Витоки через наводки з’єднувальні ліній, сторонніх провідників |
Відсутність екранування кабелів |
Використання екранованих кабелів |
20000 |
Таблиця 2.2 Ступінь впливу існуючих загроз на уразливості ресурсів організації
Загроза /Вразливість |
Імовірність реалізації загрози через дану уразливість в протягом року (%), P (V) |
Критичність реалізації загрози через уразливість (%), ER |
Загроза 1/Вразливість 1 |
40 |
50 |
Загроза 2/Вразливість 1 |
20 |
30 |
Загроза 3/Вразливість 1 |
15 |
20 |
Таблиця 2.3 Рівень загрози по уразливості Th на основі критичності і ймовірності реалізації загрози через дану уразливість
Загроза/вразливість |
Рівень загрози (%), Th
|
Рівень загрози по всьому вразливостям, через які реалізується дана загроза (%), СTh
|
Загроза 1/Вразливість 1 |
0,2 |
0,2 |
Загроза 2/Вразливість 1 |
0,06 |
0,06 |
Загроза 3/Вразливість 1 |
0,03 |
0,03 |
Таблиця 2.4 Загальний рівень загроз, діючий на заданий ресурс.
Загроза/вразливість |
Рівень загрози по всьому вразливостям, через які реалізується дана загроза (%), СTh
|
Загальний рівень загроз по заданому ресурсу (%), СThR
|
Загроза 1/Вразливість 1 |
0,2 |
0,27 |
Загроза 2/Вразливість 1 |
0,06 |
|
Загроза 3/Вразливість 1 |
0,03 |
Таблиця 2.5 Ризик ресурсу.
Ресурс |
Загальний рівень загроз по заданому ресурсу (%), СThR
|
Ризик ресурсу, грн |
База даних |
0,27 |
27351 |
3. Знайти параметр ROI (дивись методику Microsoft – даний показник включає вартість механізмів захисту).
ROI = (100400 – 27351) / 27351= 2,7
Параметр ROI дорівнює 270%
Завдання 4. Пояснити терміни «власник ризику» і «власник активу». Привести приклади.
Власник ризику відповідальний за ефективність управління процедурами, пов'язаними з цим ризиком. Власник ризику не несе відповідальності за виникнення ризику.
Власник активу – співробітник, у який уповноважений для захисту важливої для бізнесу інформації. Вони визначають критичність активу та організовують захист активу від порушення конфіденційності, цілісності та доступності.
Завдання 5. Знайти ймовірність подолання зловмисником системи захисту, якщо йому потрібно послідовно долати три рівня захисту.
Ймовірність подолання зловмисником системи захисту дорівнює, якщо йому потрібно послідовно долати три рівня захисту:
Р = 0,6*0,5*0,7 = 0,21
Завдання 6. Знайти ймовірність подолання зловмисником системи захисту, якщо він може вибрати один з трьох різних варіантів її подолання.
Ймовірність подолання зловмисником системи захисту, якщо він може вибрати один з трьох різних варіантів її подолання, дорівнює:
Р = (0,4+0,5+0,6)/3 = 0,5
Завдання 7. Пояснити термін «маніпульований інсайдер». Привести приклади.
Манiпульованi iнсайдери – це iнсайдери (спiвробiтники компанiї), якi стали жертвами соціальної інженерії. Через них була отримана персональна інформації користувачів, їх паролів, тощо.
Приклад: до співробітника надходить дзвінок від директора одной iз філій компанії, який впевнено представляється і виключно правдоподібно описує проблему, пов'язану з неможливістю доставки iнформацiї через внутрiшнi канали зв’язку. Він просить переслати йому на його особистий ящик. Пiсля цього на його ящик надходить необхiдна iнформацiя.
Завдання 8. Пояснити термін «модель порушника». Яка інформація повинна бути визначена співробітниками підрозділу ІБ при розробці моделі порушника.
Порушник - це особа, яка помилково, внаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо. Відносно АС порушники можуть бути внутрішніми (з числа персоналу або користувачів системи) або зовнішніми (сторонніми особами).
Інформація, яка повинна бути визначена співробітниками підрозділу ІБ:
- можливу мету порушника та її градацію за ступенями небезпечності для АС;
- категорії осіб, з числа яких може бути порушник.;
- припущення про кваліфікацію порушника;
- припущення про характер його дій.
Завдання 9. Пояснити термін - прийнятний ризик (acceptable risk).
Прийнятий ризик – ризик, для якого вироблений план протидiї у вiдповiдних до нього умовах.