Материал: отчет 1 маша
Отчет по практическому занятию № 1
на тему: «Анализ рисков информационной безопасности» выполнил студент группы 972303
Кардаш Мария Дмитриевна Вариант 8
Дата выдачи задания: 20.02.2020
Цель
Целью практического занятия является изучение рисков информационной безопасности предприятия и методик для ее оценки.
Краткие теоретические сведения
Риск информационной безопасности – это возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб предприятию.
Риск ИБ измеряется, исходя из комбинации вероятности события и его последствия.
Коммуникация риска – это обмен информацией о риске или совместное использование этой информации лицом, принимающим решение, и другими причастными сторонами.
Количественная оценка риска – это процесс присвоения значений вероятности и последствий риска.
Идентификация риска – это процесс нахождения, составления перечня и описания элементов риска.
Снижение риска – это действия, предпринятые для уменьшения вероятности и негативных последствий, связанных с риском.
Сохранение риска – это принятие бремени потерь или выгод от конкретного риска.
Перенос риска – это разделение с другой стороной бремени потерь или выгод от риска.
Установление контекста включает определение основных критериев, необходимых для менеджмента риска ИБ.
Критерии оценки рисков разрабатывают с учетом:
–стратегической ценности обработки бизнес-информации;
–критичности затронутых информационных активов;
–законодательно-нормативных требований и договорных обязательств;
–оперативного значения и значения для бизнеса доступности, конфиденциальности и целостности;
–ожидания и реакции причастных сторон, а также негативных последствий для нематериальных активов и репутации.
Задание
Рассчитать риск нанесения злоумышленниками ущерба отдельным информационным объектам предприятия { О1, О2, …, О8}, а также общий риск, если при проведении экспертизы было установлено, что соответствующий вектор относительных ценностей этих объектов { V1, V2, …, V8} по шкале {1 < … < 20}, законы распределения времени до возникновения ущерба определяются в соответствии с данными из таблицы 1, причем при ущербе одному из объектов стоимость других не снижается, а цена объекта О1 составляет С’1 ден. ед. (см. таблицу 2). Построить график зависимости общего риска нанесения злоумышленниками ущерба информационным объектам от времени работы предприятия t, когда t изменяется от 0 до 10 6 часов с шагом 105 часов.
Таблица 1 – Исходные данные к заданию (часть 1)
Законы распределения времени до возникновения ущерба
О1 |
О2 |
О3 |
О4 |
О5 |
О6 |
О7 |
О8 |
TN(70,18 ) |
TN(61, 27) |
N(67,23 ) |
Г(3, 73) |
TN(56, 22) |
W(5,60) |
R(49) |
Exp( |
|
|
|
|
|
|
|
51) |
Примечание: О1 ÷ О8 – информационные объекты 1 ÷ 8 предприятия;
Exp(λ/10-8) – экспоненциальное распределение;
N(m/104, σ/104) – нормальное распределение;
TN(m0/104, σ0/104) – усеченное нормальное распределение;
W(α, β/104) – распределение Вейбулла;
R(λ/10-14) – распределение Рэлея; Г(α, β/103) – Гамма распределение
Таблица 2 – Исходные данные к заданию (часть 2)
Цена объекта |
|
Вектор ценностей объектов {V1, V2, …, V8} |
|
|||||
О1, ден.ед. |
О1 |
О2 |
О3 |
О4 |
О5 |
О6 |
О7 |
О8 |
|
||||||||
|
|
|
|
|
|
|
|
|
49 |
7 |
2 |
5 |
9 |
16 |
8 |
9 |
4 |
|
|
|
|
|
|
|
|
|
Примечание: О1 ÷ О8 – информационные объекты 1 ÷ 8 предприятия
Расчеты
Расчеты усеченного нормального распределения:
Расчеты распределения Рэлея:
Расчеты экспоненциального распределения:
Расчеты Гамма распределения:
Расчеты нормального распределения:
Расчеты распределения Вейбулла:
|
Расчет стоимостей объектов: |
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
О1 |
|
О2 |
О3 |
О4 |
О5 |
О6 |
О7 |
О8 |
Общая сумма |
|
|
|
|
|
|
|
|
|
|
49 |
|
14 |
35 |
63 |
112 |
56 |
63 |
28 |
420 |
|
|
|
|
|
|
|
|
|
|
Построение графика зависимости общего риска нанесения злоумышленниками ущерба информационным объектам от времени работы предприятия: