Двойное оплодотворение у цветковых растений: Оплодотворение - это процесс слияния мужской и женской половых клеток с образованием зиготы...
История создания датчика движения: Первый прибор для обнаружения движения был изобретен немецким физиком Генрихом Герцем...
Топ:
Характеристика АТП и сварочно-жестяницкого участка: Транспорт в настоящее время является одной из важнейших отраслей народного хозяйства...
Особенности труда и отдыха в условиях низких температур: К работам при низких температурах на открытом воздухе и в не отапливаемых помещениях допускаются лица не моложе 18 лет, прошедшие...
Интересное:
Национальное богатство страны и его составляющие: для оценки элементов национального богатства используются...
Мероприятия для защиты от морозного пучения грунтов: Инженерная защита от морозного (криогенного) пучения грунтов необходима для легких малоэтажных зданий и других сооружений...
Искусственное повышение поверхности территории: Варианты искусственного повышения поверхности территории необходимо выбирать на основе анализа следующих характеристик защищаемой территории...
Дисциплины:
2017-11-17 | 642 |
5.00
из
|
Заказать работу |
|
|
При работе с алгоритмом используется шкала от 0 до 100%. Максимальное число уровней – 100, т.е. шкалу можно разбить на 100 уровней. При разбиении шкалы на меньшее число уровней, каждый уровень занимает определенный интервал на шкале. Причем, возможно два варианта разделения:
· равномерное;
· логарифмическое.
Расчет рисков по угрозе информационной безопасности
1. На первом этапе рассчитываем уровень угрозы по уязвимости Th на основе критичности и вероятности реализации угрозы через данную уязвимость. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации.
,
где ERc,i,a – критичность реализации угрозы (указывается в %);
P(V)c,I,a – вероятность реализации угрозы через данную уязвимость (указывается в %).
Вычисляем одно или три значения в зависимости от количества базовых угроз. Получаем значение уровня угрозы по уязвимости в интервале от 0 до 1.
2. Чтобы рассчитать уровень угрозы по всем уязвимостям CTh, через которые возможна реализация данной угрозы на ресурсе, просуммируем полученные уровни угроз через конкретные уязвимости по следующей формуле:
2.1. Для режима с одной базовой угрозой:
2.2. Для режима с тремя базовыми угрозами:
Значения уровня угрозы по всем уязвимостям получим в интервале от 0 до 1.
3. Аналогично рассчитываем общий уровень угроз по ресурсу CThR (учитывая все угрозы, действующие на ресурс):
3.1. Для режима с одной базовой угрозой:
3.2. Для режима с тремя базовыми угрозами:
Значение общего уровня угрозы получим в интервале от 0 до 1.
4. Риск по ресурсу R рассчитывается следующим образом:
4.1. Для режима с одной базовой угрозой:
|
R = CThR× D,
где D – критичность ресурса. Задается в деньгах или уровнях.
В случае угрозы доступность (отказ в обслуживании) критичность ресурса в год вычисляется по следующей формуле:
Da/год= Da/час ×T
Для остальных угроз критичность ресурса задается в год.
4.2. Для режима с трем
я базовыми угрозами:
Rc = CThRс×D
Ri = CThRi×D
Ra = CThRa×D
Da,c,i – критичность ресурса по трем угрозам. Задается в деньгах или уровнях.
R - суммарный риск по трем угрозам.
Таким образом, получим значение риска по ресурсу в уровнях (заданных пользователем) или деньгах.
5. Риск по информационной системе CR рассчитывается по формуле:
5.1. Для режима с одной базовой угрозой:
5.1.1. Для режима работы в деньгах:
5.1.2. Для режима работы в уровнях:
5.2. Для режима работы с тремя угрозами:
5.2.1. Для режима работы в деньгах:
CRa,c,I – риск по системе по каждому виду угроз.
CR – риск по системе суммарно по трем видам угроз.
5.2.2. Для режима работы в уровнях:
Задание контрмер
Для расчета эффективности введенной контрмеры необходимо пройти последовательно по всему алгоритму с учетом заданной контрмеры. Т.е. на выходе пользователь получает значение двух рисков – риска без учета контрмеры (Rold) и риск с учетом заданной контрмеры (Rnew) (или с учетом того, что уязвимость закрыта). Эффективность введения контрмеры рассчитывается по следующей формуле (E):
В результате работы алгоритма пользователь системы получает следующие данные:
· Риск реализации по трем базовым угрозам (или по одной суммарной угрозе) для ресурса;
· Риск реализации суммарно по всем угрозам для ресурса;
· Риск реализации по трем базовым угрозам (или по одной суммарной угрозе) для информационной системы;
· Риск реализации по всем угрозам для информационной системы;
· Риск реализации по всем угрозам для информационной системы после задания контрмер;
· Эффективность контрмеры;
· Эффективность комплекса контрмер.
Пример расчета риска информационной безопасности на основе модели угроз и уязвимостей
|
Рассмотрим расчет рисков для одной угрозы информационной безопасности, т.к. для остальных угроз риск рассчитывается аналогично.
Входные данные
Ресурс | Угрозы | Уязвимости |
Сервер (критичность ресурса 100 у.е.) | Угроза 1 Неавторизованное проникновение нарушителя внутрь охраняемого периметра (одного из периметров) | Уязвимость 1 Отсутствие регламента доступа в помещения с ресурсами, содержащими ценную информацию |
Уязвимость 2 Отсутствие системы Наблюдения (видеонаблюдение, сенсоры и т.д.) за объектом (или существующая система наблюдения охватывает не все важные объекты) | ||
Угроза 2 Неавторизованная модификация информации в системе электронной почты, хранящейся на ресурсе | Уязвимость 1 Отсутствие авторизации для внесения изменений в систему электронной почты | |
Уязвимость 2 Отсутствие регламента работы с системой криптографической защиты электронной корреспонденции | ||
Угроза 3 Разглашение конфиденциальной информации сотрудниками компании | Уязвимость 1 Отсутствие соглашений о конфиденциальности | |
Уязвимость 2 Распределение атрибутов безопасности (ключи доступа, шифрования) между несколькими доверенными сотрудниками |
Угроза/Уязвимость | Вероятность реализации угрозы через данную уязвимость в течение года (%), P(V) | Критичность реализации угрозы через уязвимость (%), ER |
Угроза 1/Уязвимость 1 | ||
Угроза 1/Уязвимость 2 | ||
Угроза 2/Уязвимость 1 | ||
Угроза 2/Уязвимость 2 | ||
Угроза 3/Уязвимость 1 | ||
Угроза 3/Уязвимость 2 |
Уровень угрозы
Угроза/Уязвимость | Уровень угрозы (%), Th | Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза (%), СTh |
Угроза 1/Уязвимость 1 | 0,3 | 0,384 |
Угроза 1/Уязвимость 2 | 0,12 | |
Угроза 2/Уязвимость 1 | 0,24 | 0,270 |
Угроза 2/Уязвимость 2 | 0,04 | |
Угроза 3/Уязвимость 1 | 0,08 | 0,669 |
Угроза 3/Уязвимость 2 | 0,64 |
|
|
Папиллярные узоры пальцев рук - маркер спортивных способностей: дерматоглифические признаки формируются на 3-5 месяце беременности, не изменяются в течение жизни...
Опора деревянной одностоечной и способы укрепление угловых опор: Опоры ВЛ - конструкции, предназначенные для поддерживания проводов на необходимой высоте над землей, водой...
Эмиссия газов от очистных сооружений канализации: В последние годы внимание мирового сообщества сосредоточено на экологических проблемах...
Автоматическое растормаживание колес: Тормозные устройства колес предназначены для уменьшения длины пробега и улучшения маневрирования ВС при...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!