МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» Кафедра «Захист інформації» / ЗВІТ До виконання практичної роботи № 5 «АНАЛІЗ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ НА ОСНОВІ МЕТОДУ CORAS ТА КАТАЛОГІВ IT-GRUNDSCHUTZ» з курсу: «Менеджмент інформаційної безпеки»  Мета роботи – ознайомитись із методом аналізу ризиків інформаційної безпеки (ІБ) CORAS та каталогами IT-Grundschutz. Короткі теоретичні відомості: 1. Аналіз ризиків інформаційної безпеки Аналіз ризиків інформаційної безпеки використовують для виявлення уразливостей і загроз, оцінювання можливого впливу на інформаційні активи компанії, що дає змогу обирати адекватні захисні заходи (контролі) саме для тих систем і процесів, в яких вони необхідні. Аналіз ризиків ІБ є механізмом обгрунтування економічної ефективності, актуальності, своєчасності і здатності реагувати на загрози. Такий аналіз допомагає компанії здійснити ранжування ризиків і на його основі сформувати пріоритетний перелік ризиків для першочергової їх мінімізації або уникнення, а також визначити та обґрунтувати оптимальну вартість захисних заходів. Основні цілі аналізу ризиків ІБ: 1. ідентифікація активів та їх цінності для компанії; 2. ідентифікація загроз та уразливостей; 3. кількісна/якісна оцінка ймовірності і впливу на бізнес таких потенційних загроз; 4. забезпечення економічного балансу між шкодою від впливу загроз (збитку) і вартістю контрзаходів. Аналіз ризиків ІБ також дає змогу порівняти річну вартість захисних заходів з потенційним збитком. Аксіомою є те, що річна вартість захисних заходів компанії не повинна перевищувати потенційний її річний збиток. Окрім того, коректно проведений аналіз ризиків ІБ дає змогу органічно зв’язати програму інформаційної безпеки компанії з цілями і вимогами її бізнесу, що вкрай важливо для загального успіху компанії при вирішенні основної своєї мети – отримання максимального прибутку. Необхідно зазначити, що перед початком роботи з виявлення та аналізу ризиків ІБ компанії важливо зрозуміти мету даної роботи, її обсяг та очікуваний результат. З іншого боку, необхідно пам’ятати і готуватися до того, що спроба аналізу всіх ризиків ІБ у всіх областях за один раз може виявитися нереальною. Одним з ключових та першочергових завдань групи аналізу ризиків ІБ є підготовлення детального звіту щодо вартості інформаційних активів компанії. Вище керівництво повинно проаналізувати цей звіт і визначити сферу діяльності для IRM-проекту (обсяг роботи – обсяг фінансування), виключивши з нього ті активи, які не є важливими (не є критичними) для роботи компанії на даному етапі. При визначенні обсягу робіт необхідно також враховувати бюджет проекту, а також вимоги чинного законодавства. У ході обговорень з керівництвом, всі учасники повинні мати чітке розуміння цінності 2 забезпечення AIC-тріади (доступність, цілісність і конфіденційність) та її безпосереднього зв’язку з потребами бізнесу. Досвід успішних на ринку компаній показує, що аналіз ризиків ІБ повинен здійснюватися за підтримки та управлінні з боку вищого керівництва компанії. Лише у цьому випадку проведений аналіз буде успішним та мати наступне логічне продовження – вживання заходів та засобів щодо доведення встановленого рівня ризику до прийнятного. Керівництво компанії повинне визначити цілі і масштаби аналізу, призначити членів групи для проведення оцінки, а також виділити необхідний час і ресурси для проведення цієї роботи. Важливим, є те, щоб вище керівництво компанії уважно поставилося до результатів проведеної оцінки. 2. Метод CORAS CORAS – це метод для проведення аналізу ризиків інформаційної безпеки. Даний метод характеризується розробленою мовою моделювання загроз та ризиків, яка використовується для збору і моделювання відповідної інформації на різних етапах аналізу захищеності. Для документування проміжних результатів, а також для представлення спільних висновків використовуються спеціальні ...