Міністерство освіти і науки України
Тернопільський національний технічний університет ім. Івана Пулюя
Кафедра кібербезпеки
ЗВІТ
Про виконання практичної роботи №1
з дисципліни «Технології створення та застосування систем захисту інформаційно-комунікаційних систем»
на тему:
«Управління ризиками»
Виконав:
студент групи СБм-51
Фомін Іван
Перевірив:
Карпінський М. П.
Тернопіль – 2020
Мета: Навчитися управлінню ризиками.
Завдання: Використовуючи метод CRAMM провести аналіз ризиків
Хід Роботи
Дослідження ІБ системи за допомогою СRAMM проводиться в три стадії.
Стадія 1: аналізується все, що стосується ідентифікації та визначення цінності ресурсів системи. В кінці стадії 1 замовник досліджування буде знати, чи достатньо йому існуючої традиційної практики або він потребує проведення повного аналізу безпеки.
Стадія 2: розглядається все, що відноситься до ідентифікації та оцінки рівнів загроз для груп ресурсів і їх вразливостей. В кінці стадії 2 замовник отримує ідентифіковані та оцінені рівні ризиків для своєї системи.
Стадія 3: пошук адекватних контрзаходів. По суті це пошук варіанту системи безпеки, яка найкращим чином задовольняє вимоги замовника. В кінці стадії 3 він буде знати, як слід модифікувати систему в термінах заходів ухилення від ризику, а також вибору і опрацювання спеціальних заходів протидії, що ведуть до зниження або мінімізації ризиків, які залишились.
Кожна стадія оголошується закінченою після детального обговорення і узгодження результатів з замовником.
Виділимо основні складові безпеки:
Конфіденційність
Цілісність
Доступність
Для кожної складової призначимо деяку шкалу, яка буде характеризувати абсолютний рівень:
Конфіденційність інформації:
публічна (0)
обмежена (1-5)
конфіденційна (6-9)
захищена (10)
Цілісність інформації:
Низький(1-3)
помірний (4-7)
високий (8-9)
дуже високий (10)
Доступність інформації:
Низький(1-3)
помірний (4-6)
високий (7-8)
дуже високий (9)
обов’язковий (10)
Опишемо декілька загроз для кожної складової:
Конфіденційність – Розкриття інформації, Викрадення, Втрата
Цілісність – Взлам, Помилки введення
Доступність – Збій в роботі, Збій в мережі електропостачання
Також визначимо вимоги до кожної з складової:
Конфіденційність – 10 / максимально захищена інформація
Цілісність – 10 / дуже високий рівень
Доступність – 8 / високий рівень
Додамо шкалу вразливості (від 1 до 10), яка буде оцінювати ймовірність кожної з наведених загроз:
Рівень вразливості (1-10)
Відсутній (0),
низький (1-4)
помірний (5-7
високий (8-9)
дуже високий (10)
Обчислимо оцінку загроз. Для цього рівень вразливості помножимо на вимоги впливу. Наприклад, вимоги до конфіденційності рівні 10 (захищена), загроза – розкриття інформації, її рівень 6 (помірний). Тоді загроза (за шкалою від 1 до 100) буде дорівнювати 6 x 10 = 60.
Визначимо рівні ризику, які будуть визначатись через оцінку загроз:
Низький (1-33)
Середній (34-67)
Високий (68-100)
За допомогою цієї методики оцінюємо, який рівень ризику відповідає кожній з загроз. Для ризиків середнього (34-67) та високого (68-100) шукаємо контрзаходи, які мінімізують ймовірність їх виникнення.
Використовуючи метод CRAMM та вище сказані критерії , складемо таблицю «аналізів ризиків» нашого проекту:
| | КОНФІДЕНЦІЙНІСТЬ ІНФОРМАЦІЇ публічна (0), обмежена (1-5), конфіденційна (6-9), захищена (10) | РІВЕНЬ ЦІЛІСНОСТІ Низький(1-3), помірний (4-7), високий (8-9), дуже високий (10) | РІВЕНЬ ДОСТУПНОСТІ Низький(1-3), помірний (4-6), високий (7-8), дуже високий (9), обов’язковий (10) | ||||
| Вимоги впливу | 10 / захищена | 10 / дуже високий | 8 / високий | ||||
| Загрози | Розкриття інформації | Викрадення | Втрата | Взлам | Помилки введення | Збій в роботі | Збій в мережі електропостачання |
| Рівень вразливості (1-10) Відсутній (0), низький (1-4), помірний (5-7), високий (8-9), дуже високий (10) | 4 | 6 | 5 | 4 | 6 | 7 | 3 |
| Загроза (від 1 до 100) Вплив xРівень вразливості | 60 | 30 | 10 | 80 | 20 | 40 | 16 |
| Рівень ризику: Низький (1-33), Середній (34-67), Високий (68-100) | Середній | Низький | Низький | Високий | Низький | Середній | Низький |
| Контрзаходи | Встановлення додаткових вимог до паролю (довжина, складність, кількість спроб введення). | | | Брандмауер | Форми введення даних Валідація даних | | |
Висновок:
В даній практичній роботі було дослідженно та ознайомленно з метод CRAMM - метод ССТА аналізу та контролю ризиків.
Також провели анліз ризику методом CRAMM нашого к.р. проекту.