Эксперт
Сергей
Сергей
Задать вопрос
Мы готовы помочь Вам.

Цель работы: закрепить навыки анализа состояния автоматизированной системы и расчета рисков информационной безопасности для заданной АС.

Задачи: выполнить анализ конфигурации и периметра безопасности рассматриваемого объекта обеспечения информационной безопасности. Выявить факторы, которые потенциально могут оказывать вредоносное воздействие на информационную безопасность рассматриваемого объекта. Оценить вероятность реализации выявленных угроз и уязвимостей. Рассчитать риски информационной безопасности для заданной автоматизированной системы в соответствии с вариантом. Реализовать алгоритм расчета рисков на одном из языков программирования.

Автоматизированная система: частное малое предприятие по сборке сигнализаций.

ВЫПОЛНЕНИЕ РАБОТЫ

  1. РАСЧЕТ РИСКОВ ДЛЯ КОМПЬЮТЕРНОЙ СИСТЕМЫ

Проведем расчет рисков для сервера компьютерной системы (далее – КС) частного малого предприятия по сборке сигнализаций.

  • Входные данные по всем ресурсам КС

В таблице 1 представлены входные данные:

Таблица 1 – Входные данные по всем ресурсам КС

Ресурс Угрозы Уязвимости
Ресурс 1. Сервер (Критичность ресурса D = 100 у.е)  

Угроза 1.

Осуществление несанкционированного ознакомления, модификации,  блокировки целевой информации.

  

Уязвимость 1.

Недостатки механизмов разграничения доступа и организационных мероприятий, связанные с возможностью осуществления несанкционированного доступа к защищаемой информации.
Уязвимость 2.

недостатки мер физической защиты, связанные с возможностью хищения элементов НПФ, носителей информации, производственных отходов и последующего их несанкционированного анализа
Угроза 2.

Осуществление несанкционированного ознакомления с конфигурационными файлами и настройками средств защиты информации.

 Уязвимость 1.

недостатки механизмов разграничения доступа, связанные с возможностью маскировки под уполномоченного администратора
Уязвимость 2.

недостатки реализации необходимых организационных мероприятий на объектах НПФ, связанные с возможностью несанкционированного визуального просмотра технологической информации на средствах отображения (экранах мониторов), а также несанкционированного ознакомления с распечатываемыми документами, содержащими защищаемую информацию.
Угроза 3.

Превышение полномочий непривилегированных пользователей.

 Уязвимость 1.

Уязвимость кода, ее эксплуатация позволяет авторизованному злоумышленнику с доступом к решению через общую лицензию просматривать конфиденциальную информацию о других пользователях, их активах, и их процессы, даже если они принадлежат к другой организации.
Уязвимость 2.

Уязвимость кода, удаленный злоумышленник может получить доступ к конфиденциальной информации путем отправки специально сформированного XML-кода.
  • Входные данные по парам ресурс/угроза для каждого ресурса компьютерной системы.

ERc,i,a – критичность реализации угрозы, %.

P(V)c,i,a – вероятность реализации угрозы через данную уязвимость, %.

В таблице 2 представлены входные данные.

Таблица 2 – Входные данные по парам ресурс/угроза

Ресурс 1. Сервер
Угроза/уязвимость Вероятность реализации угрозы через данную уязвимость в течение года %, P(V) Критичность реализации угрозы через данную уязвимость %, ER
Угроза 1/уязвимость 1 80 80
Угроза 1/уязвимость 2 60 40
Угроза 2/уязвимость 1 50 60
Угроза 2/уязвимость 2 20 60
Угроза 3/уязвимость 1 10 80
Угроза 3/уязвимость 2 10 40
  • Расчет уровней угрозы по каждой (Th) и по всем (CTh) уязвимостям каждого ресурса КС.

Уровень угрозы по каждой уязвимости рассчитывается по формуле 1:

(1)

Уровень угрозы по всем уязвимостям, через которые она может быть реализована, вычисляется по формуле 2:

(2)

Выполним расчеты по указанным выше формулам 1 и 2:

В таблице 3 представлены результаты расчетов.

Таблица 3 – Результаты расчетов

Ресурс 1. Сервер
Угроза/уязвимость Уровень угрозы по каждой уязвимости %, Th Уровень угрозы по всем уязвимостям, через которые она может быть реализована %, CTh
Угроза 1/уязвимость 1
Угроза 1/уязвимость 2
Угроза 2/уязвимость 1
Угроза 2/уязвимость 2
Угроза 3/уязвимость 1
Угроза 3/уязвимость 2
  • Расчет общего уровня угроз (CThR), действующего на ресурс для каждого ресурса КС.

Общий уровень угроз по ресурсу высчитывается по формуле 3:

(3)

В таблице 4 представлены результаты расчетов.

Таблица 4 – Результаты расчетов общего уровня угроз

Ресурс 1. Сервер
Угроза/уязвимость Уровень угрозы по всем уязвимостям %, CTh Общий уровень угроз по ресурсу %, CThR
Угроза 1/уязвимость 1
Угроза 1/уязвимость 2
Угроза 2/уязвимость 1
Угроза 2/уязвимость 2
Угроза 3/уязвимость 1
Угроза 3/уязвимость 2
  • Расчет итогового риска по ресурсу (R) для всех ресурсов КС:

В таблице 5 представлены результаты расчетов итогового риска по ресурсу.

 

 

Таблица 5– Результаты расчетов итогового уровня риска

Ресурс 1. Сервер
Угроза/уязвимость Общий уровень угроз по всем уязвимостям %, CThr Риск по ресурсу у.е., R

R = CThR*D
Угроза 1/уязвимость 1 0,85 85
Угроза 1/уязвимость 2
Угроза 2/уязвимость 1
Угроза 2/уязвимость 2
Угроза 3/уязвимость 1
Угроза 3/уязвимость 2
  • Расчет общего риска по информационной системе.

Расчет общего риска по информационной системе производится по формуле 4:

(4)

Поскольку мы описали лишь один ресурс, то CR = 85.

  1. РЕАЛИЗАЦИЯ АЛГОРИТМА РАСЧЕТА РИСКОВ НА ЛЮБОМ ДОСТУПНОМ ЯЗЫКЕ ПРОГРАММИРОВАНИЯ

Листинг программы на языке С#:

using System;

 

namespace TOIBAS_DZ2_ConsoleApp3

{

class Program

{

 

 

static void Main(string[] args)

{

Console.WriteLine(«Number of elements: «);

string n_for1;

 

n_for1 = Console.ReadLine();

int n1 = Convert.ToInt32(n_for1);

Console.WriteLine(«Enter P(V)’s: «);

int[] ArrPV_ = new int[n1];

for (int i = 0; i < n1; i++)

{

string t = Console.ReadLine();

ArrPV_[i] = Convert.ToInt32(t);

}

Console.WriteLine(»  «);

Console.WriteLine(«Enter ER’s: «);

int[] ArrER_ = new int[n1];

for (int i = 0; i < n1; i++)

{

string t = Console.ReadLine();

ArrER_[i] = Convert.ToInt32(t);

}

 

for (int i = 0; i < n1; i++)

{

Console.Write(ArrPV_[i] + » «);

}

for (int i = 0; i < n1; i++)

{

Console.Write(ArrER_[i] + » «);

}

Console.WriteLine(»  «);

Console.WriteLine(«На каждую угрозу приходится два параметра уязвимости.»);

Console.WriteLine(«P(V) /// ER»);

for (int i = 0; i < n1; i++)

{

Console.WriteLine(ArrPV_[i] + » /// » + ArrER_[i]);

}

Console.Write(«Th’s: «);

int[] res_Th = new int[3];

for (int i = 0; i < n1; i++)

{

int k1 = Convert.ToInt32(ArrER_[i]);

int k2 = Convert.ToInt32(ArrPV_[i]);

int resres = (k1 / 100) * (k2 / 100);

res_Th[i] += resres;

Console.WriteLine(resres + » «);

}

Console.WriteLine(»  «);

Console.Write(«CTh’s: «);

int[] res_CTh = new int[3];

for (int i = 0; i < n1 + 1; i++)

{

int resres = 1 — ((1 — res_Th[i]) * (1 — res_Th[i + 1]));

res_CTh[i] += resres;

Console.WriteLine(resres + » «);

}

Console.WriteLine(»  «);

Console.Write(«CThR’s: «);

int res_CThR = (1 — res_Th[0]) * (1 — res_Th[1]) * (1 — res_Th[1]);

int CR = res_CThR * 100;

}

 

}

}

Результат работы программы представлен на рисунке 1:

Рисунок 1 – Результат работы программы

Выводы: в ходе выполнения работы осуществлен анализ конфигурации и периметра безопасности рассматриваемого объекта обеспечения информационной безопасности. Выявлены факторы, которые потенциально могут оказывать вредоносное воздействие на информационную безопасность рассматриваемого объекта. Оценена вероятность реализации выявленных угроз и уязвимостей. Рассчитаны риски информационной безопасности для заданной автоматизированной системы. Реализовать алгоритм расчета рисков на языке C#.

Была ли полезна данная статья?
Да
61.09%
Нет
38.91%
Проголосовало: 1105

или напишите нам прямо сейчас:

⚠️ Пожалуйста, пишите в MAX или заполните форму выше.
В России Telegram и WhatsApp блокируют - сообщения могут не дойти.
Написать в MAXНаписать в TelegramНаписать в WhatsApp