Практическая работа
«Анализ рисков информационной безопасности»
1. Цель работы
Ознакомиться с алгоритмами оценки риска информационной безопасности.
2. Краткие теоретические сведения
Риск ИБ – потенциальная возможность использования определенной угрозой уязвимостей актива или группы активов для причинения вреда организации. Уязвимость - слабость в системе защиты, делающая возможной реализацию угрозы. Угроза ИБ - совокупность условий и факторов, которые могут стать причиной нарушений целостности, доступности, конфиденциальности информации. Информационный актив – это материальный или нематериальный объект, который: - является информацией или содержит информацию, - служит для обработки, хранения или передачи информации, - имеет ценность для организации. 3. Задание
1. Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий»
2. Ознакомьтесь с Приложениями C, D и Е ГОСТа.
3. Выберите три различных информационных актива организации (см. вариант). 4. Из Приложения D ГОСТа подберите три конкретных уязвимости системы защиты указанных информационных активов.
5. Пользуясь Приложением С ГОСТа напишите три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости.
6. Пользуясь одним из методов (см. вариант) предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности.
7. Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы.
4. Содержание отчета
1. Титульный лист
2. Содержание
3. Задание
4. Обоснование выбора информационных активов организации
5. Оценка ценности информационных активов
6. Уязвимости системы защиты информации
7. Угрозы ИБ
8. Оценка рисков
9. Выводы
5. Варианты Вариант – номер по списку в журнале:
Вариант 6: Интернет-магазин
Метод оценки риска: 2
1. Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий».
- Для выполнения этого задания вам необходимо загрузить нормативный документ в формате ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Этот документ является стандартом и содержит методы и средства обеспечения безопасности информационных технологий.
2. Ознакомьтесь с Приложениями C, D и Е ГОСТа.
- После загрузки документа, вам нужно прочитать и изучить Приложения C, D и Е ГОСТа. Эти приложения содержат информацию и инструкции, необходимые для выполнения последующих этапов работы.
3. Выберите три различных информационных актива организации.
- Вашей задачей является выбор трех информационных активов интернет-магазина. Информационный актив - это объект, содержащий информацию, служащий для ее обработки, хранения или передачи, и имеющий ценность для организации.
4. Из Приложения D ГОСТа подберите три конкретных уязвимости системы защиты указанных информационных активов.
- В Приложении D ГОСТа содержится список уязвимостей системы защиты информации. Вам нужно выбрать три уязвимости, которые связаны с вашими выбранными информационными активами интернет-магазина.
5. Пользуясь Приложением С ГОСТа, напишите три угрозы, реализация которых возможна, пока в системе не устранены названные в пункте 4 уязвимости.
- В Приложении С ГОСТа содержится список угроз информационной безопасности. Вам нужно выбрать три угрозы, реализация которых возможна, пока в системе не будут устранены выбранные вами уязвимости.
6. Пользуясь одним из методов из Приложения Е ГОСТа, произведите оценку рисков информационной безопасности.
- В Приложении Е ГОСТа содержатся методы оценки рисков информационной безопасности. Вам нужно выбрать один из представленных методов и выполнять оценку рисков.
7. Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы.
- Для каждого выбранного информационного актива интернет-магазина вам необходимо определить его ценность на основе возможных потерь, которые организация может понести, если угроза будет реализована.
После выполнения всех этих шагов, вам нужно составить отчет, который будет содержать следующую структуру:
1. Титульный лист.
2. Содержание.
3. Задание.
4. Обоснование выбора информационных активов организации.
5. Оценка ценности информационных активов.
6. Уязвимости системы защиты информации.
7. Угрозы ИБ.
8. Оценка рисков.
9. Выводы.
Надеюсь, что данное объяснение поможет вам выполнить практическую работу по анализу рисков информационной безопасности для интернет-магазина. Если у вас возникнут дополнительные вопросы или вам потребуется дополнительная помощь, не стесняйтесь задавать их мне. Удачи в выполнении задания!