Величина рівня ризику ІБ для персональних даних клієнтів

Ймовірність   Збиток	Дуже низька	Низька	Середня	Висока	Дуже висока
Дуже низький
Низький
Середній				Модифікація ПД клієнтів
Високий					Розголошення ПД клієнтів
Дуже високий

Рис. 5. Визначення величини ризику ІБ

 

Таблиця 6

Величина рівня ризику ІБ для даних про валютні операції та технологію банківського продукту

Ймовірність   Збиток	Дуже низька	Низька	Середня	Висока	Дуже висока
Дуже низький
Низький
Середній
Високий				Модифікація даних про валютні операції та технологію банківського продукту	Розголошення даних про валютні операції та технологію банківського продукту
Дуже високий

 

Таблиця 7

Величина рівня ризику ІБ для даних про банківські рахунки клієнтів

Ймовірність   Збиток	Дуже низька	Низька	Середня	Висока	Дуже висока
Дуже низький
Низький
Середній					Розголошення даних про банківські рахунки клієнтів
Високий			Недоступність послуги інтернет-банкінгу	Модифікація банківських рахунків клієнтів
Дуже високий

 

ЗАВДАННЯ ДО ПРАКТИЧНОЇ РОБОТИ

 

Здійснити аналіз ризиків ІБ для різних компонентів ІТ-систем згідно методу CORAS, використовуючи каталоги IT-Grundschutz. Для цього:

1. Завантажити програмне забезпечення CORAS Tool із офіційного сайту розробників методу за посиланням http://coras.sourceforge.net/downloads.html (за необхідності).

2. Завантажити з офіційного сайту BSI за посиланням https://www.bsi.bund.de/EN/Topics/ITGrundschutz/ITGrundschutzCatalogues/itgrundschutzcatalogues_node.html або отримати у викладача IT-Grundschutz Catalogues 2005.

3. Об’єкт захисту (компонент ІТ-системи, наприклад «сервер») та організацію, в якій він функціонує, обрати згідно з варіантом студента (Додаток А). Номер варіанту відповідає порядковому номеру студента в журналі викладача.

4. Коротко охарактеризувати об’єкт захисту.

5. Здійснити ідентифікацію активів для об’єкту захисту згідно з методом CORAS.

6. Використовуючи каталоги IT-Grundschutz визначити 7 найнебезпечніших загроз об’єкту захисту (індивідуальний вибір кожного студента, який повинний бути логічно обумовленим та обґрунтованим при захисті роботи).

7. Згідно із методом CORAS представити попередній аналіз небажаних подій.

8. Визначити критерії оцінки ризиків ІБ відповідно до методу CORAS.

9. Здійснити ідентифікацію ризиків ІБ згідно з методом CORAS.

10. Здійснити оцінку ризиків ІБ відповідно до методу CORAS.

11. Визначити перелік рекомендованих заходів захисту для кожної загрози з метою зменшення рівня ризику ІБ, використовуючи каталог IT-Grundschutz. Даний перелік оформити у вигляді таблиці.

12. Оформити усі результати аналізу у вигляді звіту.

 

ЗМІСТ ЗВІТУ

1. Мета роботи.

2. Короткі теоретичні відомості.

3. Повний текст завдання.

4. Результати виконання завдання (п.4-11 завдання).

5. Висновки.

 

 

Контрольні запитання

1. Що таке аналіз ризиків ІБ та які його основні цілі?

2. Охарактеризуйте метод CORAS та основні його етапи.

3. Основні особливості каталогів IT-Grundschutz.

4. Основні елементи програмного забезпечення CORAS.

5. Моделювання діаграм CORAS.

РЕКОМЕНДОВАНА ЛІТЕРАТУРА

 

- Ромака В. А. Менеджмент у сфері захисту інформації. Підручник / Ромака В. А., Гарасим Ю. Р., Корж Р. О. Дудикевич В. Б., Рибій М. М. – Львів: Видавництво Львівської політехніки, 2013. – 400 с.

- Ромака В. А. Системи менеджменту інформаційної безпеки. Навчальний посібник / В. А. Ромака, В. Б. Дудикевич, Ю. Р. Гарасим, П. І. Гаранюк, І. О. Козлюк. – Львів: Видавництво Львівської політехніки, 2012. – 232 с.

 

Додаток А

Варіанти завдання

№ варіанту	Ідентифікатор об’єкта в каталозі IT-Grundschutz	Об’єкт захисту	Організація
	B 2.1 Buildings	Будівля	Служба безпеки України
	B 2.2 Cabling	Кабелі мережі	Нафто-газова компанія
	B 2.3 Offices	Кабінети	Управління міністерства внутрішніх справ
	B 2.4 Server rooms	Серверне приміщення	Машинобудівна компанія
	B 2.5 Data media archives	Приміщення архіву документації	Податкова служба України
	B 2.6 Technical infrastructure room	Технічне приміщення	Університет
	B 2.7 Protective cabinets	Телекомунікаційна шафа	Компанія виготовлення ПК та їхніх компонентів
	B 2.8 Home-based workstations	Персональний комп’ютер працівника, працюючого вдома	Компанія розроблення ПЗ
	B 2.9 Computer centres	Комп’ютерний центр	Мережа надання послуг продажу книг через Інтернет
	B 3.102 Servers under Unix	Сервер з ОС Unix	Відділення обласної поліклініки
	B 3.203 Laptops	Ноутбук працівника	Юридична фірма
	B 3.209 Client under Windows XP	Робоча станція організації з ОС Windows XP	Аудиторська фірма з ведення бухгалтерського обліку
	B 3.302 Routers and switches	Маршрутизатор та комутатор мережі	Мережа супермаркетів
	B 3.401 Telecommunications system	Телекомунікаційна система	Відділення Укрзалізниці
	B 3.404 Mobile Telephones	Смартфон працівника	Страхова компанія
	B 4.1 Heterogeneous Networks	Різнорідна (гетерогенна) комп’ютерна мережа	Компанія виготовлення побутової техніки
	B 4.2 Network and System Management	Система управління мережею	Компанія виготовлення та продажу смартфонів
	B 4.3 Modem	Модем	Компанія з продажу серверного та мережевого обладнання
	B 4.4 Remote Access Service	Віддалений доступ до ресурсів компанії	Компанія з продажу відео та аудіо матеріалів
	B 4.5 LAN connection of an IT system via ISDN	Мережа ISDN	Лабораторія дослідження та виготовлення медикаментів
	B 5.1 Peer-to-peer services	Мережа типу Peer-to-peer	Файлообмінник відеоматеріалів
	B 5.2 Exchange of Data Media	СD, DVD, USB-накопичувач	Бюро перекладу
	B 5.3 E-Mail	Службовий E-Mail	Мережа аеропорту
	B 5.4 Web server	Веб сервер	Інтернет-магазин з продажу побутової техніки
	B 5.6 Fax servers	Факс сервер	Військова частина
	B 5.7 Databases	База даних	Компанія стратегічного та маркетингового консалтингу
	B 5.10 Internet Information Server	Microsoft Internet Information Server (IIS)	Туристичне агентство
	B 5.11 Apache Webserver	Apache Webserver	Готель

 

Додаток Б

 

Приклад оформлення титульного аркушу звіту до виконання практичної роботи

 

МІНІСТЕРСТВО ОСВІТИ І НАУКИ, МОЛОДІ ТА СПОРТУ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»   Кафедра «Захист інформації»       ЗВІТ До виконання практичної роботи № 5 «Методи оцінки ефективності інвестицій в інформаційну безпеку» з курсу: «Менеджмент інформаційної безпеки»   Виконав: ст. гр.   Перевірив: д.т.н., професор Ромака В.А.   Практична робота захищена з оцінкою ________ (_____________) __________ Ромака В.А. Оцінка Бали Підпис     Львів 2013

 

Для нотаток

 

№ …

від...2013 р.

 

НАВЧАЛЬНЕ ВИДАННЯ