2.56M
Category: softwaresoftware
Similar presentations:
Уязвимости программного обеспечения (вводная лекция)
Уязвимости программного обеспечения (вводная лекция)
Управление рисками в проектах по созданию программного обеспечения
Управление рисками в проектах по созданию программного обеспечения
Системная и программная инженерия. Тема 15. Основы управления рисками при разработке систем
Системная и программная инженерия. Тема 15. Основы управления рисками при разработке систем
Лекция 3. Основы программной инженерии. Жизненный цикл программного обеспечения
Лекция 3. Основы программной инженерии. Жизненный цикл программного обеспечения
Основы конструирования программного обеспечения
Основы конструирования программного обеспечения
Основы программной инженерии. Жизненный цикл программного обеспечения
Основы программной инженерии. Жизненный цикл программного обеспечения
Управление программным проектом
Управление программным проектом
Опасности, связанные с использованием программного обеспечения
Опасности, связанные с использованием программного обеспечения
Автоматизированная система управления техническим обслуживанием и ремонтом на основе программного обеспечения TRIM
Автоматизированная система управления техническим обслуживанием и ремонтом на основе программного обеспечения TRIM
Введение в программную инженерию. Управление рисками проекта
Введение в программную инженерию. Управление рисками проекта

Классификация уязвимостей программного обеспечения и типы компьютерных атак основы управления рисками

1.

УЯЗВИМОСТИ
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Тема 1. Классификация уязвимостей
программного обеспечения
и типы компьютерных атак
ОСНОВЫ УПРАВЛЕНИЯ РИСКАМИ РЕАЛИЗАЦИИ АТАК

2.

Аудит уязвимостей и парирование атак
2

3.

Концептуальная модель управления рисками
3

4.

Информационные риски - совокупность факторов,
отражающих опасность возникновения ущерба в
результате реализации угроз информации в АС.
Оценка безопасности АС основана на анализе
информационных рисков.
Необходимость работ, входящих в процесс анализа
информационных рисков АС определяется в
следующих стандартах:
ГОСТ Р 51583-2000. Защита информации. Порядок
создания автоматизированных систем в
защищённом исполнении. Общие положения.
ГОСТ 34.601-90. Автоматизированные системы.
Стадии создания.
ГОСТ Р ИСО/МЭК 15408-2002. Информационная
технология. Методы и средства обеспечения
безопасности. Критерии оценки безопасности
информационных технологий.
ГОСТ Р ИСО/МЭК 17799-2005. Практические правила
управления информационной безопасностью (Code of
practice for Information security management).

5.

Перечень работ, входящий в процесс
детального анализа информационных рисков
Формирование модели защищаемых ресурсов.
Формирование модели угроз.
Формирование моделей нарушителей и
уязвимостей.
Оценка рисков по угрозам и вычисление
интегрального показателя риска в
незащищенной системе.
Формирование модели контрмер.
Оценка остаточных рисков по угрозам и
вычисление интегрального показателя
остаточного риска в защищенной системе.

6.

Признаки декомпозиции факторов информационных рисков АС
1 признак
декомпозиции рисков:
территориальное
деление АС
2 признак
декомпозиции рисков:
разграничение по
базовым целевым
функциям АС
3 признак
декомпозиции рисков:
разграничение
уязвимостей по
типовым технологиям
в АС
Риски из-за уязвимости
технологии 1
Риски, вызванные
угрозами,классифицируемыми по
ГОСТ Р 51275
……………...
………………….
Риски задержек в
выполнении функции 1
Риски объекта
(ЛВС) 1
………………………………………..
Риски задержек в
выполнении функции N
Факторы рисков
4 признак
декомпозиции рисков:
классификация угроз в
соответствии с
ГОСТ Р 51275
Риски, вызванные
угрозами,классифицируемыми по
ГОСТ Р 51275
……………...
………………….
Риски из-за уязвимости
технологии M
Риски, вызванные
угрозами,классифицируемыми по
ГОСТ Р 51275
………………………………………………………...……………………………………..
Риски из-за уязвимости
технологии 1
Риски, вызванные
угрозами,классифицируемыми по
ГОСТ Р 51275
……………...
………………….
Риски задержек в
выполнении функции 1
Риски объекта
(ЛВС) K
………………………………………..
Риски задержек в
выполнении функции H
……………...
………………….
Риски из-за уязвимости
технологии L
Риски, вызванные
угрозами,классифицируемыми по
ГОСТ Р 51275
Порядок декомпозиции факторов рисков
Порядок расчета показателей рисков
Риски, вызванные
угрозами,классифицируемыми по
ГОСТ Р 51275

7.

Дерево показателей информационных рисков АС первых 3 уровней иерархии
1 уровень
иерархии рисков
2 уровень иерархии рисков
3 уровень иерархии рисков
Риски задержек в выполнении функции
планирования связи (R1.1)
Информационные риски ЛВС
объекта 1 (R1)
Риски задержек в выполнении функции
оперативного управления связью (R1.2)
Риски задержек в выполнении функции
формирования и учета характеристик
системы связи (R1.3)
Интегральный
показатель рисков
(R)
Риски задержек в выполнении функции
оперативного управления связью (R2.2)
Информационные риски ЛВС
объекта 2 (R2)
Риски задержек в выполнении функции
формирования и учета характеристик
системы связи (R2.3)
Риски задержек в выполнении функции
оперативного управления связью (R3.2)
Информационные риски ЛВС
объекта 3 (R3)
Риски задержек в выполнении функции
формирования и учета характеристик
системы связи (R3.3)

8.

Дерево показателей информационных рисков 5 уровня иерархии
для ЛВС объекта 1
2 уровень
иерархии рисков
3 уровень
иерархии рисков
Риски задержек в
выполнении
функции
планирования связи
(R1.1)
Информационные
риски ЛВС
объекта 1 (R1)
Риски задержек в
выполнении
функции
оперативного
управления связью
(R1.2)
Риски задержек в
выполнении
функции
формирования и
учета характеристик
системы связи (R1.3)
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
4 уровень иерархии рисков
5 уровень иерархии рисков
Локальная обработка информации на типовом
АРМ (R1.1.1)
Риски, вызванные угрозами,
классифицируемыми по ГОСТ
Р 51275 (R1.1.1.1-R1.1.1.32)
Коллективная работа с файлами в пределах ЛВС
на сервере баз данных (R1.1.3)
Риски, вызванные угрозами,
классифицируемыми по ГОСТ
Р 51275 (R1.1.3.1-R1.1.3.32)
Коллективная работа с СУБД в пределах ЛВС на
сервере баз данных (R1.1.4)
Риски, вызванные угрозами,
классифицируемыми по ГОСТ
Р 51275 (R1.1.4.1-R1.1.4.32)
Коллективная работа в терминальном режиме с
сервером приложений (R1.1.5)
Риски, вызванные угрозами,
классифицируемыми по ГОСТ
Р 51275 (R1.1.5.1-R1.1.5.32)
Обмен видеоданными в ходе телеконференций
(R1.1.6)
Риски, вызванные угрозами,
классифицируемыми по ГОСТ
Р 51275 (R1.1.6.1-R1.1.6.32)
Обмен сообщениями электронной почты в
пределах ЛВС (R1.1.7)
Риски, вызванные угрозами,
классифицируемыми по ГОСТ
Р 51275 (R1.1.7.1-R1.1.7.32)
Обмен сообщениями электронной почты между
ЛВС (R1.1.8)
Риски, вызванные угрозами,
классифицируемыми по ГОСТ
Р 51275 (R1.1.8.1-R1.1.8.32)
Обмен маршрутизируемыми IP-пакетами между
ЛВС (R1.1.9)
Риски, вызванные угрозами,
классифицируемыми по ГОСТ
Р 51275 (R1.1.9.1-R1.1.9.32)

9.

Порядок расчета показателей рисков
В соответствии с прикладной моделью оценки информационных
рисков, основанной на модели системы защиты с полным
перекрытием, расчет показателей информационных рисков до
и после принятия контрмер включает две стадии:
1.
Вычисление частных показателей рисков. Для каждого
фактора пятого (последнего) уровня иерархии рисков АС
рассчитывается частный показатель информационных
рисков.
2.
Вычисление показателей первых четырех уровней иерархии
рисков АС, включая интегральный показатель. Каждый из
показателей первых четырех уровней иерархии рисков АС
рассчитывается на основе подчиненных показателей
нижестоящего уровня.
Все метрики методики для единства методического подхода к
оценке показателей построены таким образом, чтобы
обеспечить получение численных характеристик в одном
интервале - от нуля (минимальное значение) до единицы
(максимальное значение).

10.

Графовая модель системы защиты

11.

Вычисление частных показателей рисков АС
Для вычисления частных показателей рисков Ri последнего (пятого)
уровня иерархии рисков АС по отношению к каждой угрозе ti (в
соответствии с ГОСТ Р 51275) используется следующая
формула:
Ri = Pi * Wi * Li
Здесь:
Pi — показатель угрозы, выражающийся через вероятность
ее реализации и характеризующий возможную частоту
проявления угрозы;
Wi — показатель уязвимости, выражающийся через степень
уязвимости механизма защиты, перекрывающего
соответствующую угрозу – характеризует простоту
использования уязвимости при реализации угрозы;
Li — показатель ресурса, выражающийся через степень
потенциального негативного воздействия на выполнение
соответствующей целевой функции и характеризующий
потенциально возможный ущерб при реализации угрозы.
Pi, Wi, Li, Є (0,1)

12.

Определение экспертами вероятности реализации каждой
угрозы
Выполняется на основе анализа условий, способствующих ее
проявлению. В случае более высокой степени влияния и
большего количества таких условий, угрозе назначается
более высокая вероятность реализации,
характеризующая более высокую возможную частоту ее
проявления. При анализе условий, способствующих
проявлению угрозы, экспертами должны
рассматриваться:
наличие субъектов (людей или организаций),
заинтересованных в реализации угрозы;
возможность доступа данных субъектов в
контролируемую зону АС;
эффективность территориальной защиты;
статистические данные о частоте проявления
угрозы;
наличие любых характеристик и элементов АС,
которые способствуют реализации угрозы;
наличие, а также возможность разработки
программных или аппаратных средств, которые
могут использоваться для реализации угрозы.

13.

Определение экспертами степени уязвимости механизма
защиты
Выполняется на основе определения степени выполнения
требований по защите при использовании типовых
технологий автоматизированной обработки информации,
реализованных для выполнения соответствующих
функций в АС. Чем выше степень выполнения
требований по защите, тем ниже назначаемая степень
уязвимости механизма защиты. При отсутствии в системе
механизмов (средств) защиты, перекрывающих
соответствующие угрозы, степень уязвимости по
отношению к данным угрозам принимается равной
единице. При определении степени уязвимости
механизма защиты в качестве анализируемых данных
используются:
стандартизованный перечень требований к
подсистеме защиты информации АС;
требования, меры и средства защиты,
перекрывающие угрозы информации в АС;
уязвимые архитектурные элементы АС,
соответствующие типовым технологиям
автоматизированной обработки информации, а также
средства защиты, уменьшающие их уязвимости.

14.

Определение экспертами степени потенциального
негативного воздействия на выполнение соответствующей
целевой функции
Определяется на основе прогнозируемой
величины потенциально возможного ущерба
при реализации угрозы. Чем выше
прогнозируемая величина потенциально
возможного ущерба при реализации угрозы,
тем выше назначаемая степень
потенциального негативного воздействия.

15.

Вычисление показателей первых четырех уровней иерархии
рисков АС
Каждый из показателей Rk первых четырех уровней иерархии рисков
АС, вычисляется по формуле:
где:
L - число подчиненных показателей рисков нижестоящего
уровня, иерархических для показателя Rk
Rkj – подчиненный j-й показатель рисков нижестоящего
уровня, иерархический для показателя Rk
Ckj - весовые коэффициенты показателей рисков Rkj
сумма весовых коэффициентов (Ckj) принимается равной
единице

16.

Интегральный показатель рисков АС при отсутствии средств
защиты
Идентификатор Показатель Ранг рисков Весовой
Значение
показателя
рисков
коэффициент
Rkj*Ckj
(Rkj)
показателя рисков (Ckj)
R1
R2
R3
0,43297
0,30885
0,30885
5
1
1
Значение интегрального показателя рисков R для АС
0,71429
0,14286
0,14286
0,30926
0,04412
0,04412
0,39751

17.

Интегральный показатель остаточных рисков АС (при наличии
контрмер, реализуемых подсистемой защиты)
Идентификатор Показатель Ранг рисков Весовой
Значение
показателя
рисков
коэффициент
Rkj*Ckj
(Rkj)
показателя рисков (Ckj)
R1
R2
R3
0,00571
0,00408
0,00408
5
1
1
Значение интегрального показателя рисков R для АС
0,71429
0,14286
0,14286
0,00408
0,00058
0,00058
0,00525

18.

Сравнение показателей рисков АС
при отсутствии и наличии средств защиты
0,50000
Показатели
рисков при
отсутствии СЗИ
0,40000
0,30000
0,20000
Показатели
остаточных
рисков при
наличии СЗИ
0,10000
0,00000
R1
R2
R3
R

19.

Структура и функции специализированного ПК управления
информационной безопасностью «АванГард»
English     Русский Rules