Перехід до торгівельного партнера Binance Перехід до торгівельного партнера Binance

Інформація про навчальний заклад

ВУЗ:
Національний університет Львівська політехніка
Інститут:
О
Факультет:
ЗІ
Кафедра:
Захист інформації

Інформація про роботу

Рік:
2014
Тип роботи:
Практична робота
Предмет:
Менеджмент

Завантажити

2

Частина тексту файла (без зображень, графіків і формул):

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» Кафедра «Захист інформації» / ЗВІТ До виконання практичної роботи № 5 «АНАЛІЗ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ НА ОСНОВІ МЕТОДУ CORAS ТА КАТАЛОГІВ IT-GRUNDSCHUTZ» з курсу: «Менеджмент інформаційної безпеки» Мета роботи – ознайомитись із методом аналізу ризиків інформаційної безпеки (ІБ) CORAS та каталогами IT-Grundschutz. Короткі теоретичні відомості: 1. Аналіз ризиків інформаційної безпеки Аналіз ризиків інформаційної безпеки використовують для виявлення уразливостей і загроз, оцінювання можливого впливу на інформаційні активи компанії, що дає змогу обирати адекватні захисні заходи (контролі) саме для тих систем і процесів, в яких вони необхідні. Аналіз ризиків ІБ є механізмом обгрунтування економічної ефективності, актуальності, своєчасності і здатності реагувати на загрози. Такий аналіз допомагає компанії здійснити ранжування ризиків і на його основі сформувати пріоритетний перелік ризиків для першочергової їх мінімізації або уникнення, а також визначити та обґрунтувати оптимальну вартість захисних заходів. Основні цілі аналізу ризиків ІБ: 1. ідентифікація активів та їх цінності для компанії; 2. ідентифікація загроз та уразливостей; 3. кількісна/якісна оцінка ймовірності і впливу на бізнес таких потенційних загроз; 4. забезпечення економічного балансу між шкодою від впливу загроз (збитку) і вартістю контрзаходів. Аналіз ризиків ІБ також дає змогу порівняти річну вартість захисних заходів з потенційним збитком. Аксіомою є те, що річна вартість захисних заходів компанії не повинна перевищувати потенційний її річний збиток. Окрім того, коректно проведений аналіз ризиків ІБ дає змогу органічно зв’язати програму інформаційної безпеки компанії з цілями і вимогами її бізнесу, що вкрай важливо для загального успіху компанії при вирішенні основної своєї мети – отримання максимального прибутку. Необхідно зазначити, що перед початком роботи з виявлення та аналізу ризиків ІБ компанії важливо зрозуміти мету даної роботи, її обсяг та очікуваний результат. З іншого боку, необхідно пам’ятати і готуватися до того, що спроба аналізу всіх ризиків ІБ у всіх областях за один раз може виявитися нереальною. Одним з ключових та першочергових завдань групи аналізу ризиків ІБ є підготовлення детального звіту щодо вартості інформаційних активів компанії. Вище керівництво повинно проаналізувати цей звіт і визначити сферу діяльності для IRM-проекту (обсяг роботи – обсяг фінансування), виключивши з нього ті активи, які не є важливими (не є критичними) для роботи компанії на даному етапі. При визначенні обсягу робіт необхідно також враховувати бюджет проекту, а також вимоги чинного законодавства. У ході обговорень з керівництвом, всі учасники повинні мати чітке розуміння цінності 2 забезпечення AIC-тріади (доступність, цілісність і конфіденційність) та її безпосереднього зв’язку з потребами бізнесу. Досвід успішних на ринку компаній показує, що аналіз ризиків ІБ повинен здійснюватися за підтримки та управлінні з боку вищого керівництва компанії. Лише у цьому випадку проведений аналіз буде успішним та мати наступне логічне продовження – вживання заходів та засобів щодо доведення встановленого рівня ризику до прийнятного. Керівництво компанії повинне визначити цілі і масштаби аналізу, призначити членів групи для проведення оцінки, а також виділити необхідний час і ресурси для проведення цієї роботи. Важливим, є те, щоб вище керівництво компанії уважно поставилося до результатів проведеної оцінки. 2. Метод CORAS CORAS – це метод для проведення аналізу ризиків інформаційної безпеки. Даний метод характеризується розробленою мовою моделювання загроз та ризиків, яка використовується для збору і моделювання відповідної інформації на різних етапах аналізу захищеності. Для документування проміжних результатів, а також для представлення спільних висновків використовуються спеціальні CORAS діаграми. Метод CORAS реалізований у вигляді програмного забезпечення, яке призначене для підтримки документування, збереження та аналізу результатів звітності протягом моделювання ризиків. Метод CORAS передбачає такі Основні етапи: Етап 1. Початкова підготовка до аналізу ризиків ІБ. Основною метою даного етапу є отримання загального розуміння того, що повинно бути метою і якою буде область такого аналізу. Етап 2. На другому етапі проводиться ознайомча зустріч з клієнтом, від імені якого проводиться аналіз. Основним пунктом порядку денного для цієї зустрічі є формулювання основних цілей аналізу та окреслення цільового об’єкту. Етап 3. Третій етап спрямований на забезпечення загального розуміння мети аналізу, в тому числі діяльності, масштабів і основних засобів. Група з аналізу ризиків окреслює своє розуміння ситуації, про яку вони дізналися на першому засіданні та від вивчення документації, яка була надана їм замовником. На основі взаємодії з замовником, група з аналізу ризиків також визначає основні активи, що підлягають захисту. Крім цього, група з аналізу ризиків проводить виявлення основних сценаріїв загроз, вразливостей та ризиків ІБ, які повинні стати предметом подальшого аналізу. Етап 4. На четвертому етапі здійснюється затвердження критеріїв оцінки ризику для кожного активу. Етап 5. Ідентифікації ризиків ІБ. Для виявлення ризиків, CORAS використовує підхід мозкового штурму. Виявлення ризиків включає в себе систематичне виявлення загроз, небажаних інцидентів, сценаріїв загроз та 3 уразливостей щодо виявлених активів. Результати документуються за допомогою діаграм загроз CORAS. Етап 6. Шостий B_F‚етап спрямований на визначення рівня ризику виявлених небажаних інцидентів ІБ. Небажані інциденти ІБ були зафіксовані в діаграмах загроз на етапі 5 і ці графіки є основою для оцінки ризику. Етап 7. Сьомий етап спрямований на вирішення того, які з виявлених ризиків ІБ є прийнятними, а які ризики ІБ мають бути оцінені для подальшого оброблення. Так чи інакше, ризики ІБ визначаються прийнятними на основі вже встановлених критеріїв оцінки ризиків і результатів оцінки. Етап 8. Восьмий етап пов’язаний з виявлення й аналізом процедур. Ризики ІБ, які будуть визнані неприйнятними підлягають обробленню. Оброблення ризиків має сприяти зниженню ймовірності і/або наслідків небажаних інцидентів. Інструкція до виконання: Здійснити аналіз ризиків ІБ для різних компонентів ІТ-систем згідно методу CORAS, використовуючи каталоги IT-Grundschutz. Для цього: 1. Завантажити програмне забезпечення CORAS Tool із офіційного сайту розробників методу за посиланням http://coras.sourceforge.net/downloads.html (за необхідності). 2. Завантажити з офіційного сайту BSI за посиланням https://www.bsi.bund.de/EN/Topics/ITGrundschutz/ITGrundschutzCatalogues/i tgrundschutzcatalogues_node.html або отримати у викладача ITGrundschutz Catalogues 2005. 3. Об’єкт захисту (компонент ІТ-системи, наприклад «сервер») та організацію, в якій він функціонує, обрати згідно з варіантом студента (Додаток А). Номер варіанту відповідає порядковому номеру студента в журналі викладача. 4. Коротко охарактеризувати об’єкт захисту. 5. Здійснити ідентифікацію активів для об’єкту захисту згідно з методом CORAS. 6. Використовуючи каталоги IT-Grundschutz визначити 7 найнебезпечніших загроз об’єкту захисту (індивідуальний вибір кожного студента, який повинний бути логічно обумовленим та обґрунтованим при захисті роботи). 7. Згідно із методом CORAS представити попередній аналіз небажаних подій. 8. Визначити критерії оцінки ризиків ІБ відповідно до методу CORAS. 9. Здійснити ідентифікацію ризиків ІБ згідно з методом CORAS. 10. Здійснити оцінку ризиків ІБ відповідно до методу CORAS. 11. Визначити перелік рекомендованих заходів захисту для кожної загрози з метою зменшення рівня ризику ІБ, використовуючи каталог ITGrundschutz. Даний перелік оформити у вигляді таблиці. 12. Оформити усі результати аналізу у вигляді звіту. Виконання завдання: Характеристика об’єкту захисту Офіс це кімната, в якій один або кілька співробітників присутні для того, щоб виконувати свої обов'язки, можливо, в тому числі ІТ-направлених завдань. Такі обов'язки можуть складатися з найрізноманітніших завдань: написання документів, обробки файлів і списків, участь у засіданнях, телефонні дзвінки, читання файлів та інших документів і т.д. / Попередній аналіз Хто / що є причиною? Як? Яким чином реалізується загроза? Що робить реалізацію можливою?  Зловмисник Зловмисник за допомогою USB та CD здійснює крадіжку Неефективна система розмежування прав доступу  Зловмисник Пошкодження техніки Відсутність ефективного контролю доступу до приміщень  Персонал Пошкодження техніки Незадокументованість відповідальності кожного працівника за роботу з обладнанням  / / / Величина рівня ризику ІБ для ПЗ Ймовірність Збиток Дуже низька Низька Середня Висока Дуже висока  Дуже низький       Низький       Середній    Розголошення вмісту інформаціі   Високий     Порушення доступу до інформаційних активів  Дуже високий        Величина рівня ризику ІБ для документації та клієнтів Ймовірність Збиток Дуже низька Низька Середня Висока Дуже висока  Дуже низький       Низький       Середній    Модифікація інформаціі   Високий     Розголошення вмісту документації  Дуже високий        Величина рівня ризику ІБ для електронного документообігу Ймовірність Збиток Дуже низька Низька Середня Висока Дуже висока  Дуже низький       Низький       Середній     Розголошення даних  Високий    Модифікація даних   Дуже високий        Висновки: На практичній роботі №5 я ознайомився із методом аналізу ризиків інформаційної безпеки CORAS та каталогами IT-Grundschutz. На основі цього методу аналізував ризики інформаційної безпеки об’єкту захисту. Для цього коротко охарактеризував об’єкт захисту, здійснив ідентифікацію активів для об’єкту захисту згідно з методом CORAS, використовуючи каталоги IT-Grundschutz визначив найнебезпечніші загрози об’єкту захисту. Згідно із методом CORAS представив попередній аналіз небажаних подій, визначив критерії оцінки ризиків ІБ відповідно до методу CORAS, здійснив ідентифікацію ризиків та оцінку ризиків ІБ відповідно до методу CORAS. Визначив перелік рекомендованих заходів захисту для загрози з метою зменшення рівня ризику ІБ, використовуючи каталог ITGrundschutz.
Практична робота Менеджмент
Антиботан аватар за замовчуванням
Gvinblayd

14.04.2015 19:04-

Копіювати посилання
Поскаржитись

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, увійдіть або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!
Нічого не вибрано
поділитись
0%

Оголошення від адміністратора

Антиботан аватар за замовчуванням

Подякувати Студентському архіву довільною сумою

Admin

26.02.2023 12:38

Дякуємо, що користуєтесь нашим архівом!

Вхід на сайт

Забули пароль?
Ще не зареєстровані? Зареєструватися

Поскаржитися на роботу

В полі повідомлення будь-ласка опишіть причину, яка спонукала Вас поскаржитися на роботу.

Лише залоговані користувачі можуть надсилати скарги на файли адміністрації архіву!