Міністерство освіти і науки України Тернопільський національний технічний університет ім. Івана Пулюя Кафедра кібербезпеки ЗВІТ Про виконання практичної роботи №1 з дисципліни «Технології створення та застосування систем захисту інформаційно-комунікаційних систем» на тему: «Управління ризиками» Виконав: студент групи СБм-51 Фомін Іван Перевірив: Карпінський М. П. Тернопіль – 2020 Мета: Навчитися управлінню ризиками. Завдання: Використовуючи метод CRAMM провести аналіз ризиків Хід Роботи Дослідження ІБ системи за допомогою СRAMM проводиться в три стадії. Стадія 1: аналізується все, що стосується ідентифікації та визначення цінності ресурсів системи. В кінці стадії 1 замовник досліджування буде знати, чи достатньо йому існуючої традиційної практики або він потребує проведення повного аналізу безпеки. Стадія 2: розглядається все, що відноситься до ідентифікації та оцінки рівнів загроз для груп ресурсів і їх вразливостей. В кінці стадії 2 замовник отримує ідентифіковані та оцінені рівні ризиків для своєї системи. Стадія 3: пошук адекватних контрзаходів. По суті це пошук варіанту системи безпеки, яка найкращим чином задовольняє вимоги замовника. В кінці стадії 3 він буде знати, як слід модифікувати систему в термінах заходів ухилення від ризику, а також вибору і опрацювання спеціальних заходів протидії, що ведуть до зниження або мінімізації ризиків, які залишились. Кожна стадія оголошується закінченою після детального обговорення і узгодження результатів з замовником. Виділимо основні складові безпеки: Конфіденційність Цілісність Доступність Для кожної складової призначимо деяку шкалу, яка буде характеризувати абсолютний рівень: Конфіденційність інформації: публічна (0) обмежена (1-5) конфіденційна (6-9) захищена (10) Цілісність інформації: Низький(1-3) помірний (4-7) високий (8-9) дуже високий (10) Доступність інформації: Низький(1-3) помірний (4-6) високий (7-8) дуже високий (9) обов’язковий (10) Опишемо декілька загроз для кожної складової: Конфіденційність – Розкриття інформації, Викрадення, Втрата Цілісність – Взлам, Помилки введення Доступність – Збій в роботі, Збій в мережі електропостачання Також визначимо вимоги до кожної з складової: Конфіденційність – 10 / максимально захищена інформація Цілісність – 10 / дуже високий рівень Доступність – 8 / високий рівень Додамо шкалу вразливості (від 1 до 10), яка буде оцінювати ймовірність кожної з наведених загроз: Рівень вразливості (1-10) Відсутній (0), низький (1-4) помірний (5-7 високий (8-9) дуже високий (10) Обчислимо оцінку загроз. Для цього рівень вразливості помножимо на вимоги впливу. Наприклад, вимоги до конфіденційності рівні 10 (захищена), загроза – розкриття інформації, її рівень 6 (помірний). Тоді загроза (за шкалою від 1 до 100) буде дорівнювати 6 x 10 = 60. Визначимо рівні ризику, які будуть визначатись через оцінку загроз: Низький (1-33) Середній (34-67) Високий (68-100) За допомогою цієї методики оцінюємо, який рівень ризику відповідає кожній з загроз. Для ризиків середнього (34-67) та високого (68-100) шукаємо контрзаходи, які мінімізують ймовірність їх виникнення. Використовуючи метод CRAMM та вище сказані критерії , складемо таблицю «аналізів ризиків» нашого проекту:
Висновок: В даній практичній роботі було дослідженно та ознайомленно з метод CRAMM - метод ССТА аналізу та контролю ризиків. Також провели анліз ризику методом CRAMM нашого к.р. проекту. |