Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Оцінка ризиків та захищеності для соціотехнічних систем, що атакуються
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
Не вказано
Кафедра:
Не вказано
Інформація про роботу
Рік:
2024
Тип роботи:
Звіт
Предмет:
Соціотехнічна безпека
Група:
УІ-31
Частина тексту файла (без зображень, графіків і формул):
Міністерство освіти і науки України
Національного університету «Львівська Політехніка»
ІКТА
Кафедра ЗІ
Звіт до лабораторної роботи №3
з курсу “ Соціотехнічна безпека ”
на тему: «Оцінка ризиків та захищеності для соціотехнічних систем, що атакуються»
Львів-2010р.
Мета роботи: набути практичних навичок в оцінці ризиків та захищеності систем які атакуються.
Теоретичні відомості.
Аналіз ризиків в галузі інформаційної безпеки може бути якісним і кількісним. Кількісний аналіз точніший, він дозволяє отримати конкретні значення ризиків, але він вимагає більше часу, що не завжди виправдано. Часто буває достатньо швидкого якісного аналізу, завдання якого — розподіл чинників ризиків за групами. Шкала якісного аналізу може відрізнятися в різних методах оцінки, але результат зводиться до того, щоб виявити найсерйозніші загрози.
Важливо розрізняти поняття одиничного і зведеного збитку. Одиничний збиток — це витрати на один інцидент (атаку). Зведений збиток враховує кількість конкретних інцидентів безпеки за деякий проміжок часу, переважно за один календарний рік. Якщо одиничні і зведені збитки ототожнювати, тоді отримані результати не відображатимуть реальної картини.
На основі даних кількісного аналізу ризиків слід визначати можливі фінансові втрати, витрати на придбання і експлуатацію системи безпеки, а потім розраховувати економічний ефект заходів.
Якісний аналіз
Існує декілька моделей якісного аналізу. Всі вони достатньо прості. Варіанти розрізняються лише кількістю градацій ризику. Одна з найпоширеніших моделей — триступінчата. Кожний чинник оцінюється за шкалою "низький — середній — високий". Противники даного способу вважають, що трьох ступенів для точного розділення ризиків недостатньо, і пропонують п’ятирівневу модель. Проте, це не принципово, адже в цілому будь-яка модель аналізу зводиться до простого розділення загроз на критичні і другорядні. Трьох-, п’ятирівневі та інші моделі використовуються для наочності. При роботі з моделями з великим числом градацій, наприклад з п’ятьма, у аналітиків можуть виникнати складності — віднести ризик до п’ятої або до четвертої групи. Якісний аналіз допускає подібні ォпомилкиサ, оскільки є саморегульованим. Не критично, якщо спочатку ризик необгрунтовано віднесли до четвертої категорії замість п’ятої. Якісний метод дозволяє проводити аналіз за лічені хвилини. Передбачається, що така оцінка ризиків здійснюватиметься постійно. І вже на наступному кроці категорії перепризначують, чинник перейде в п’яту групу. Тому якісний аналіз також називається ітераційним методом.
Для прикладу якісного методу покажемо, як працювати з п’ятирівневою моделлю. Оцінюємо всі чинники ризику і ділимо їх на п’ять категорій. Після цього виключаємо із списку критичні загрози п’ятого рівня і аналізуємо чинники, що залишилися. Таким чином, розширена п’ятиступінчаста модель ризику зберігає швидкість якісного аналізу, але дозволяє точніше визначити ступінь загрози. Більше того, можна відразу усунути або понизити загрози п’ятої категорії як найбільш небезпечні. А після цього заново провести аналіз і знову почати працювати з ризиками п’ятої групи.
Кількісний аналіз
Кількісний метод вимагає значно більше часу, оскільки кожному чиннику ризику привласнюється конкретне значення. Результати кількісного аналізу можуть бути кориснішими для подальшого опрацювання. Проте, в більшості випадків додаткова точність не потрібна або просто не вартує зайвих зусиль. Наприклад, якщо для оцінки чинника ризику необхідно витратити чотири місяці, а вирішення проблеми займе тільки два, ресурси використовуються неефективно.
Також слід враховувати те, що багато організацій постійно розвиваються, змінюються. І за цей час, що виконується аналіз фактичні значення ризиків виявляться іншими. Перераховані чинники говорять на користь якісного аналізу. Крім того, експерти вважають, що, не дивлячись на всю свою простоту, якісний метод є досить ефективним інструментом аналізу.
Розрахунок ризиків
Кажучи про практичні аспекти аналізу, не можна не згадати про розрахунок ризиків. У його склад входять дві величини — одиничний і зведений збиток інциденту (атаки).
Одиничний збиток (ОЗ) визначають як добуток ймовірності події і номінального збитку. ОЗ дає уявлення про величину втрат, проте, спрогнозувати збитки на деякий час вперед важко. Тому, з практичної точки зору, корисно знати зведену величину збитку.
Зведений збиток (ЗЗ) — це добуток ОЗ і числа інцидентів за певний період, який
зазвичай приймають рівним одному календарному року. Виходячи з річного прогнозу, можна екстраполювати або інтерполювати результат на інші проміжки часу.
Продемонструємо різницю між ОЗ і ЗЗ на прикладі. Припустимо, що організація бере участь в тендері з шести етапів вартістю в 1 млн. дол. кожен і три етапи програла. Аналіз невдач показав, що конкуренти були знайомі з пропозицією фірми, тому змогли виставитикращі умови. Таким чином, присутня загроза інсайдерів. У даному прикладі компанія може втратити 1 млн. дол. Ймовірність того, що інсайдери зливатимуть інформацію, на основі історичної вибірки (три випадки з шести) складає 50%. Таким чином, ОЗ дорівнює 500 тис.дол.
Очевидно, фірма спробує зробити якісь кроки, щоб підвищити шанси на успіх. При
розробленні контрзаходів необхідно точно знати збиток. Якщо використовувати невірне
значення, результат буде некоректним. Наприклад, протягом року компанія бере участь в
шести тендерах з однаковим призовим фондом. Це означає, що кількість ризиків дорівнює
шести. І дійсне значення річних втрат ЗЗ дорівнює добутку ОЗ і кількості ризиків, тобто 3
млн. дол. Нехай, на зниження ризику внутрішніх загроз необхідно витратити 400 тис. дол.
Віддавати 400 тис., щоб підвищити ймовірність заробити 500 тис., не завжди раціонально. Проте, протягом року 400 тис. інвестицій допоможуть заробити не 500 тис., а 3 млн.
Оцінюючи рентабельність засобів захисту, необхідно пам’ятати про сукупну вартість володіння (СВВ) ними. Повернемося до прикладу, що розглядався. Як було зазначено, в організації явно існує проблема просочування інформації.
Можливо, права доступу погано розмежовані, користувачі використовують ненадійні паролі, контроль доступу не здійснюється. Припустимо, що вартість нових серверів і ключів доступу для працівників складає 80 тис. дол. і 20 тис. вартує ПЗ. На перший погляд витрати на впровадження всієї системи складуть 100 тис. дол., проте, це тільки ціна компонентів системи. Коли почнуть збирати компоненти, налаштовувати і запускати комплекс, витрати значно зростуть, тому що кожен етап вимагає немало сил і робочого часу співробітників.
Напевно, знизиться ефективність праці, поки персонал пристосовуватиметься до нового порядку авторизації. Крім того, готову систему необхідно обслуговувати. Тому, загальна вартість володіння новими засобами захисту буде вища, ніж ціна їх окремих складових.
Завдання
Обчислити risk (), Risk(ui), isk(ui), E(ui), E(uiuj], M(U), D(U), Risk(), Risk(k), моду, медіану, асиметрію СТС в програмному середовищі MathCAD із обґрунтуванням отриманого результату. Зробити висновки, запропонувати методи підвищення рівня захищеності СТС.
Виконання роботи (Maple)
Висновок: На даній лабораторній роботі я досліджувала методи оцінки ризиків та захищеності СТС, набула практичних навичок у використанні цих методів.
Для підвищення рівня захищеності СТС потрібно вчасно проводити моніторинг та аудит системи, застосовувати захисні засоби на фізичному та програмному рівнях, забезпечити оперативне реагування на поточні неполадки системи, інформувати та навчати персонал.
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора