авторефераты диссертаций БЕСПЛАТНАЯ РОССИЙСКАЯ БИБЛИОТЕКА - WWW.DISLIB.RU

АВТОРЕФЕРАТЫ, ДИССЕРТАЦИИ, МОНОГРАФИИ, НАУЧНЫЕ СТАТЬИ, КНИГИ

 
<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ

Pages:     | 1 | 2 ||

Метод анализа и управления рисками безопасности защищенной информационной системы

-- [ Страница 3 ] --
Вариант 1 2 3 4 5 6 7
Угроза Параметры Spam-Assassin Sophos Symantec Spam-Assassin Sophos Spam-Assassin Symantec Spam-Assassin Sophos Symantec Sophos Symantec
Спам с пометкой Р (М1) 6,13 % 6,13 % 6,13 % 6,13 % 0 % 0 % 0 %
L (М1) 25000 25000 25000 25000 25000 25000 25000
R (М1) 1533 1533 1533 1533 0 0 0
R ( М1) 23466 23466 23466 23466 25000 25000 25000
Спам без пометки Р (М2) 5,73 % 5,73 % 5,73 % 5,73 % 100 % 100 % 100 %
L (М2) 25000 25000 25000 25000 25000 25000 25000
R (М2) 1434 1434 1434 1434 25000 25000 25000
R ( М2) 23565 23565 23565 23565 0 0 0
Вирус Р (М3) 2,55 % 10,5 % 44,5 % 53 % 2,55 % 10,5 % 44,5 %
L (М3) 1590 1590 1590 1590 1590 1590 1590
R (М3) 40,5 167,1 708 843 40,5 167,1 708
R ( М3) 1551 1422 882 747 1551 1422 882
Стоимость ср-в защиты C 1473 1148 375,3 52,2 1419 1096 323,1
Рентабельность Profit 0,052 0,24 1,35 13,3 -1 -1 -1


Получено, что исследуемый вариант системы защиты (вариант 1) имеет минимальные риски и вероятность реализации угрозы по двум угрозам, минимальные суммарные риски, максимальная стоимость системы ИБ. При этом рентабельность положительна. Это говорит о том, что затраты на защиту оправданы. Другие варианты отличаются большими рисками, что недопустимо, а также отрицательной рентабельностью.

Надежность защиты (уменьшение вероятностей и суммарных рисков) может быть повышена путем усиления антивирусной защиты и добавления дополнительных элементов для фильтрации спама. При планировании ввода дополнительных средств защиты нельзя забывать об экономической эффективности таких денежных вложений. Следует изначально спроектировать изменения, описать их с использованием разработанной инструментальной системы, просчитать для предполагаемой конфигурации оценки вероятностей реализации угроз, рисков, рентабельности, и после этого обоснованно принимать решения по управлению конфигурацией системой безопасности.

Оценки уровня защищенности, а также рекомендации по усилению защиты ИВС, полученные по результатам анализа с использованием разработанного метода анализа и управления рисками, согласуются с экспертными оценками специалистов ИВС.

Для иллюстрации работы метода при анализе рисков по конкретным противникам было проведено их моделирование для МЭИ как организации. Были описаны противники: хакерская группа «Мошенники», целью которой является фальсификация электронных платежей института, и фирма «Разработка», заинтересованная в краже коммерческих разработок МЭИ. Пример полной характеристики противника по угрозам представлен в таблице 2.

Таблица 2. Характеристика противника «Мошенники».

Характеристика Описание Обозна-чение
Название Хакерская группа «Мошенники» t3
Информация Электронные счета, электронные переводы i2
Требования Целостность, доступности информации
Носители информации, ресурсы: 1. Персонал:
  1. Администратор бухгалтерии
  2. Сотрудники бухгалтерии (4 человека)
  3. Субъект защиты
2. Технические средства:
  1. Сервер 1 бухгалтерии
  2. Рабочие станции сотрудников
  3. Линии связи локальной ВС бухгалтерии
  4. Открытый канал связи «МЭИ– банк».
r3 r4 r5 r6 r7 r8 r9
Способы получения доступа противника к информации
    1. Персонал.
      1. Посредством неформальных контактов с персоналом (r3, r4, r5) – действие d6.
      1. Подкуп персонала (r3, r4, r5) – действие d7.
    1. Технические средства.
      1. НСД к инф-ии в ЛВС из Internet с целью несанкционированной модификации или уничтожения (r6, r7) – действие d8.
      2. Перехват инф-ии, передаваемой по открытым каналам связи с целью модификации, уничтожения, фальсификация в каналах связи (r8, r9) - действие d9.
      3. Использование штатных средств ЛВС для модификации, уничтожения, фальсификация инф-ии (незаблокированных станций, визуально, при помощи подбора паролей и др.) (r6, r7) - действие d10.
Ma(r3, d6) Ma(r4, d6) Ma(r5, d6) Ma(r3, d7) Ma(r4, d7) Ma(r5, d7) Ma(r6, d8) Ma(r7, d8) Ma(r8, d9) Ma(r9, d9) Ma(r6,d10) Ma(r7,d10)
Способы ИИ Перевод денег на собственные счета - действие d11. Mr(i2, d11)

Было произведено моделирование системы средств защиты МЭИ, в состав которой вошли: система управления доступом, система конфиденциального делопроизводства, система бумажного документооборота, антиспам и антивирусные средства, средства ЭЦП, пропускная система, система интеллектуального анализа трафика, резервирования и архивирования данных, организационные меры в виде обучения и премирования сотрудников, правила работы с оборудованием. Общая стоимость покупки и эксплуатации в год составляет 1066 тыс.руб.

Пример 1: в качестве противников выявлены только спам и вирусы. Результаты анализа рисков с учетом полной системы защиты следующие:

R(i1) = 18,54 тыс. руб. I = 65,0 тыс. руб.
R(i1) = 285,50 тыс. руб. C = 1066,0 тыс. руб.
Profit = - 0,67

Получена отрицательная рентабельность, следовательно, затраты на такую мощную защиту не оправданы в случае данных противников.

Пример 2: обнаруживается новый противник – хакерская группа. Результаты расчетов по каждому способу реализации угроз для всех противников следующие:

R(i1) = 18,54 тыс. руб. I = 65,0 тыс. руб.
R(i1) = 285,50 тыс. руб. C = 1066,0 тыс. руб.
R(i2) = 2615,6 тыс. руб.
R(i2) = 2414,4 тыс. руб. Profit = 1,59

Получено, что рентабельность стала положительной – затраты на защиту оправданы. Но уровень рисков слишком велик, следовательно, уровень защищенности низок и должен быть повышен. В соответствии с разработанным методом необходимо найти способ реализации угрозы с максимальным риском и промоделировать ввод дополнительной защиты. Получено, что это угроза, состоящая из способа доступа Ma(r7, d8) и способа ИИ Mr(i2, d11). Моделируем ввод средства защиты – системы обнаружения и предотвращения атак из Internet, стоимостью 100,0 тыс. руб. и косвенной выгодой 25,0 тыс. руб. После пересчета параметров получено:

R(i1) = 18,54 тыс. руб. I = 90,0 тыс. руб.
R(i1) = 285,50 тыс. руб. C = 1166,0 тыс. руб.
R(i2) = 2114,2 тыс. руб.
R(i2) = 2805,7 тыс. руб. Profit = 1,73

Риски снизились, стоимость системы защиты естественно возросла, но и рентабельность возросла. Следовательно, ввод данного средства защиты экономически оправдан и может быть осуществлен.

В результате внедрения и произведенного моделирования работы предложенного метода анализа и управления рисками можно сделать вывод о том, что параметры для оценки рисков и рентабельности удобны для работы и отражают действительную ситуацию по защищенности ресурсов организации.

В заключении приводятся основные результаты и выводы, полученные автором в ходе выполнения работы.





ЗАКЛЮЧЕНИЕ

В процессе решения задач, поставленных в диссертации, получены следующие основные научные и практические результаты:

  1. Проведен обзор популярных международных стандартов ИБ, теоретических подходов к анализу рисков, критериев оценки эффективности, программных средств анализа и управления рисками. Выявлены достоинства и недостатки, сформулированы требования к разработке нового метода.
  2. Разработан новый метод анализа и управления рисками, основывающийся на использовании знаний только по действующим угрозам ИБ организации. В качестве исходных данных предложены новые параметры, получаемые путем экспертного оценивания.
  3. Проведена классификация и описание типовых информационных носителей и нарушителей ИБ. Указаны возможные способы реализации угроз нарушения конфиденциальности, целостности, доступности по отношению к информации на различных носителях для разных типов нарушителей. Также приведены примеры способов противодействия указанным угрозам.
  4. Предложен показатель оценки экономической эффективности вложений в ИБ организации в виде рентабельности, адаптированный к специфике предметной области ИБ. Основываясь на значениях параметров предложенного метода, показатель позволяет оценить экономическую эффективность существующей системы ИБ, а также планируемых мероприятий по изменению системы ИБ согласно текущим угрозам.
  5. Выполнена работа по реализации предложенного метода и показателя экономической эффективности в виде инструментальной системы.
  6. Осуществлено внедрение инструментальной системы в рамках информационно-вычислительной сети МЭИ (ТУ).
  7. Выполнено моделирование анализа и управления рисками по конкретным противникам применительно к МЭИ (ТУ) для иллюстрации объема работ по проведению полного анализа рисков ИБ организации, а также возможностей управления рисками согласно разработанному методу.

Основные положения диссертации изложены в следующих публикациях:

  1. Бородюк В. П., Львова А. В. Повышение экономической эффективности системы информационной безопасности. // Вестник МЭИ №4. - 2007.
  2. Бородюк В. П., Крепков И. М., Львова А. В. Результаты анализа функционирования корпоративной компьютерной сети МЭИ (ТУ). // Вестник МЭИ №2, 2009.
  3. Бородюк В. П., Львова А. В. Методика определения оптимального уровня защиты информационной системы по критерию рентабельности // Труды XIV Международной конференции «Информационные средства и технологии». М.: МЭИ, 2006.
  4. Львова А. В. Повышение рентабельности системы безопасности бизнеса // Труды XVI Международного научно-технического семинара. Алушта, сентябрь 2007 г. - СПб.: ГУАП, 2007.
  5. Львова А. В. Как уменьшить затраты на безопасность бизнеса. // Технологии информационного общества: Тезисы докладов московской отраслевой научно-технической конференции. – М.: Инсвязьиздат, 2007.
  6. Васильева Т. Н., Львова А. В., Хорьков С. Н. Применение оценок рисков при защите от реальный угроз информационной безопасности. // Современные технологии в задачах управления, автоматики и обработки информации: труды XVII Международного научно-технического семинара. Алушта, сентябрь 2008 г. - СПб.: ГУАП, 2008.


Pages:     | 1 | 2 ||
 

Похожие работы:










 
© 2013 www.dislib.ru - «Авторефераты диссертаций - бесплатно»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.