WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

загрузка...
   Добро пожаловать!

Pages:     | 1 |   ...   | 2 | 3 || 5 |

708

R ( М3)

1551

1422

882

747

1551

1422

882

Стоимость ср-в защиты C

1473

1148

375,3

52,2

1419

1096

323,1

Рентабельность

Profit

0,052

0,24

1,35

13,3

-1

-1

-1

Получено, что исследуемый вариант системы защиты (вариант 1) имеет минимальные риски и вероятность реализации угрозы по двум угрозам, минимальные суммарные риски, максимальная стоимость системы ИБ. При этом рентабельность положительна. Это говорит о том, что затраты на защиту оправданы. Другие варианты отличаются большими рисками, что недопустимо, а также отрицательной рентабельностью.

Надежность защиты (уменьшение вероятностей и суммарных рисков) может быть повышена путем усиления антивирусной защиты и добавления дополнительных элементов для фильтрации спама. При планировании ввода дополнительных средств защиты нельзя забывать об экономической эффективности таких денежных вложений. Следует изначально спроектировать изменения, описать их с использованием разработанной инструментальной системы, просчитать для предполагаемой конфигурации оценки вероятностей реализации угроз, рисков, рентабельности, и после этого обоснованно принимать решения по управлению конфигурацией системой безопасности.

Оценки уровня защищенности, а также рекомендации по усилению защиты ИВС, полученные по результатам анализа с использованием разработанного метода анализа и управления рисками, согласуются с экспертными оценками специалистов ИВС.

Для иллюстрации работы метода при анализе рисков по конкретным противникам было проведено их моделирование для МЭИ как организации. Были описаны противники: хакерская группа «Мошенники», целью которой является фальсификация электронных платежей института, и фирма «Разработка», заинтересованная в краже коммерческих разработок МЭИ. Пример полной характеристики противника по угрозам представлен в таблице 2.

Таблица 2. Характеристика противника «Мошенники».

Характеристика

Описание

Обозна-чение

Название

Хакерская группа «Мошенники»

t3

Информация

Электронные счета, электронные переводы

i2

Требования

Целостность, доступности информации

Носители информации, ресурсы:

1. Персонал:

  1. Администратор бухгалтерии
  2. Сотрудники бухгалтерии (4 человека)
  3. Субъект защиты

2. Технические средства:

  1. Сервер 1 бухгалтерии
  2. Рабочие станции сотрудников
  3. Линии связи локальной ВС бухгалтерии
  4. Открытый канал связи «МЭИ– банк».

r3

r4

r5

r6

r7

r8

r9

Способы получения доступа противника к информации

    1. Персонал.
      1. Посредством неформальных контактов с персоналом (r3, r4, r5) – действие d6.
      1. Подкуп персонала (r3, r4, r5) – действие d7.
    1. Технические средства.
      1. НСД к инф-ии в ЛВС из Internet с целью несанкционированной модификации или уничтожения (r6, r7) – действие d8.
      2. Перехват инф-ии, передаваемой по открытым каналам связи с целью модификации, уничтожения, фальсификация в каналах связи (r8, r9) - действие d9.
      3. Использование штатных средств ЛВС для модификации, уничтожения, фальсификация инф-ии (незаблокированных станций, визуально, при помощи подбора паролей и др.) (r6, r7) - действие d10.

Ma(r3, d6)

Ma(r4, d6)

Ma(r5, d6)

Ma(r3, d7)

Ma(r4, d7)

Ma(r5, d7)

Ma(r6, d8)

Ma(r7, d8)

Ma(r8, d9)

Ma(r9, d9)

Ma(r6,d10)

Ma(r7,d10)

Способы ИИ

Перевод денег на собственные счета - действие d11.

Mr(i2, d11)

Было произведено моделирование системы средств защиты МЭИ, в состав которой вошли: система управления доступом, система конфиденциального делопроизводства, система бумажного документооборота, антиспам и антивирусные средства, средства ЭЦП, пропускная система, система интеллектуального анализа трафика, резервирования и архивирования данных, организационные меры в виде обучения и премирования сотрудников, правила работы с оборудованием. Общая стоимость покупки и эксплуатации в год составляет 1066 тыс.руб.

Пример 1: в качестве противников выявлены только спам и вирусы. Результаты анализа рисков с учетом полной системы защиты следующие:

R(i1) =

18,54

тыс. руб.

I =

65,0

тыс. руб.

R(i1) =

285,50

тыс. руб.

C =

1066,0

тыс. руб.

Profit =

- 0,67

Получена отрицательная рентабельность, следовательно, затраты на такую мощную защиту не оправданы в случае данных противников.

Пример 2: обнаруживается новый противник – хакерская группа. Результаты расчетов по каждому способу реализации угроз для всех противников следующие:

R(i1) =

18,54

тыс. руб.

I =

65,0

тыс. руб.

R(i1) =

285,50

тыс. руб.

C =

1066,0

тыс. руб.

R(i2) =

2615,6

тыс. руб.

R(i2) =

2414,4

тыс. руб.

Profit =

1,59

Получено, что рентабельность стала положительной – затраты на защиту оправданы. Но уровень рисков слишком велик, следовательно, уровень защищенности низок и должен быть повышен. В соответствии с разработанным методом необходимо найти способ реализации угрозы с максимальным риском и промоделировать ввод дополнительной защиты. Получено, что это угроза, состоящая из способа доступа Ma(r7, d8) и способа ИИ Mr(i2, d11). Моделируем ввод средства защиты – системы обнаружения и предотвращения атак из Internet, стоимостью 100,0 тыс. руб. и косвенной выгодой 25,0 тыс. руб. После пересчета параметров получено:

R(i1) =

18,54

тыс. руб.

I =

90,0

тыс. руб.

R(i1) =

285,50

тыс. руб.

C =

1166,0

тыс. руб.

R(i2) =

2114,2

тыс. руб.

R(i2) =

2805,7

тыс. руб.

Profit =

1,73

Риски снизились, стоимость системы защиты естественно возросла, но и рентабельность возросла. Следовательно, ввод данного средства защиты экономически оправдан и может быть осуществлен.

В результате внедрения и произведенного моделирования работы предложенного метода анализа и управления рисками можно сделать вывод о том, что параметры для оценки рисков и рентабельности удобны для работы и отражают действительную ситуацию по защищенности ресурсов организации.

В заключении приводятся основные результаты и выводы, полученные автором в ходе выполнения работы.

ЗАКЛЮЧЕНИЕ

В процессе решения задач, поставленных в диссертации, получены следующие основные научные и практические результаты:

  1. Проведен обзор популярных международных стандартов ИБ, теоретических подходов к анализу рисков, критериев оценки эффективности, программных средств анализа и управления рисками. Выявлены достоинства и недостатки, сформулированы требования к разработке нового метода.
  2. Разработан новый метод анализа и управления рисками, основывающийся на использовании знаний только по действующим угрозам ИБ организации. В качестве исходных данных предложены новые параметры, получаемые путем экспертного оценивания.
  3. Проведена классификация и описание типовых информационных носителей и нарушителей ИБ. Указаны возможные способы реализации угроз нарушения конфиденциальности, целостности, доступности по отношению к информации на различных носителях для разных типов нарушителей. Также приведены примеры способов противодействия указанным угрозам.
  4. Предложен показатель оценки экономической эффективности вложений в ИБ организации в виде рентабельности, адаптированный к специфике предметной области ИБ. Основываясь на значениях параметров предложенного метода, показатель позволяет оценить экономическую эффективность существующей системы ИБ, а также планируемых мероприятий по изменению системы ИБ согласно текущим угрозам.
  5. Выполнена работа по реализации предложенного метода и показателя экономической эффективности в виде инструментальной системы.
  6. Осуществлено внедрение инструментальной системы в рамках информационно-вычислительной сети МЭИ (ТУ).
  7. Выполнено моделирование анализа и управления рисками по конкретным противникам применительно к МЭИ (ТУ) для иллюстрации объема работ по проведению полного анализа рисков ИБ организации, а также возможностей управления рисками согласно разработанному методу.

Основные положения диссертации изложены в следующих публикациях:

Pages:     | 1 |   ...   | 2 | 3 || 5 |






© 2011 www.dissers.ru - «Бесплатная электронная библиотека»