Приклад використання методу CORAS

Як приклад, розглянемо множину із трьох випадкових загроз для Банку. Отже, нехай це буде загроза зараження ПК працівника Банку шкідливим програмним кодом (віруси, троянський кінь тощо), загроза виведення з ладу послуги Інтернет-банкінгу (здійснення електронних платежів та керування рахунком) та загроза халатності персоналу Банку.

Ідентифікація активів

Рис. 2. Ідентифікація активів Банку

 

Для збереження діаграми CORAS у форматі.JPEG необхідно на області для малювання натиснути «Праву клавішу миші» à File à Save As Image File.

Попередній аналіз небажаних подій

Таблиця 1

Попередній аналіз

Хто / що є причиною?	Як? Яким чином реалізується загроза?	Що робить реалізацію можливою?
Хакер	Хакер заражає ПК операціоніста через впровадження шкідливого ПЗ.	Відсутність / неефективність антивірусного ПЗ на ПК операціоніста.
Хакер	Хакер здійснює DoS/DDoS атаку на веб-сервер Банку.	Відсутність в мережі Банку системи виявлення/запобігання втручань (IDS/IPS).
Персонал (операціоніст, касир)	Персонал порушує правила політики інформаційної безпеки Банку.	Не задокументовано відповідальність безпосередньо кожного працівника.

 

Визначення критеріїв оцінки ризиків

Таблиця 2

Критерії оцінки ймовірності виникнення загрози

Ймовірність виникнення	Опис
Дуже низька	Малоймовірно (ймовірність виникнення 0,2-0,4)
Низька	Частота виникнення загрози в середньому 1 раз в 3 роки (ймовірність виникнення 0,4-0,6)
Середня	Частота виникнення загрози в середньому 1 раз на рік (ймовірність виникнення 0,6-0,8)
Висока	Частота виникнення загрози декілька раз в рік (ймовірність виникнення більш 0,8)
Дуже висока	Частота виникнення загрози в середньому раз в місяць і частіше (ймовірність виникнення більше 0,9)

 

Таблиця 3

Критерії оцінки можливого збитку

Збиток	Опис
Дуже низький	Може зумовити незначний матеріальний збиток.
Низький	Інформація може бути цікава конкурентам, але не має комерційної цінності. Може зумовити здійснення неефективної діяльності одного підрозділу організації І / АБО неможливості оперативно виконувати розпорядження керівництва організації.
Середній	Може зумовити порушення зобов’язань організації, в тому числі до порушення належних зобов’язань зберігати конфіденційність інформації, що належить третій стороні, в результаті чого можливе пред’явлення цивільного чи кримінального позову проти організації в результаті заподіяння збитку І / АБО може зумовити втрату конкурентної переваги або сприяння несанкціонованим цілям і перевазі інших осіб чи організацій І / АБО інформація має цінність для конкурентів з огляду на те, що має комерційну цінність І / АБО може зумовити порушення належного управління організацією або її діяльністю (наприклад, може бути порушена діяльність ряду підрозділів організації) І / АБО можливе спотворення оперативної звітності.
Високий	Може зумовити часткову зупинку чи інше порушення основних операцій в організації.
Дуже високий	Може зумовити зупинку чи інше суттєве порушення основних операцій в організації.

Таблиця 4

Критерії визначення величини ризику

Ймовірність   Збиток	Дуже низька	Низька	Середня	Висока	Дуже висока
Дуже низький	прийнятний	прийнятний	середній	середній	високий
Низький	прийнятний	прийнятний	середній	середній	високий
Середній	прийнятний	прийнятний	середній	високий	високий
Високий	прийнятний	середній	середній	високий	високий
Дуже високий	прийнятний	середній	високий	високий	високий

 

Ідентифікація ризиків

На даному етапі здійснюється ідентифікація загроз, вразливостей та небажаних інцидентів. Результати оформляються у вигляді діаграми CORAS. Ідентифікація ризиків наведена на рис. 3.

 

Рис. 3. Ідентифікація ризиків

 

Оцінка ризику

Здійснюється оцінювання ймовірності виникнення загрози та можливого збитку від її реалізації. На основі цих двох величин визначається рівень ризику. Результати оформляються у вигляді діаграм CORAS та таблиць. Діаграми CORAS наведені на рис. 4 та 5.

 

Рис. 4. Оцінка ймовірності виникнення загрози та збитку від її реалізації

 

 

Таблиця 5