Пакет методологии Coras

как программное обеспечение для анализа рисков информационной безопасности предприятия

Методология Coras, предназначенная для анализа рисков безопасности, представляет собой инструмент для моделирования рисков и угроз, используемый на протяжении всей работы. ПО использует язык UML (от англ. Unified Modeling Language — унифицированный язык моделирования) — язык графического описания для объектного моделирования в области разработки ПО. UML является языком широкого профиля, это открытый стандарт, использующий графические обозначения для создания абстрактной модели системы, называемой UML-моделью. UML был создан для определения, визуализации, проектирования и документирования, в основном, ПО.

В ПО используются следующие элементы, представленные в табл. 3.2.

На рис. 3.22 представлено главное окно программы.

Окно программы можно разделить на четыре области: меню (1), панель инструментов (2), области проводника (3) и построения диаграммы (4).

Меню, расположенное в верхней части главного окна программы, имеет стандартный набор команд.

Таблица 3.2

Вид

Название на английском языке

Название на русском языке

$>

Asset

Ценность, информация, подлежащая защите

©

Stakeholder

Владелец информации

*

Threat Human Accidental

Угроза непреднамеренная, человеческого происхождения

&

Threat Human Deliberate

Угроза преднамеренная, человеческого происхождения

Threat Non Human

Угроза нечеловеческого происхождения

Threat Scenario

Сценарий угрозы

Vulnerability

Уязвимость

if

Unwanted Incident

Нежелательный инцидент

Ж

Risk

Риск

Treatment

Противодействие угрозе

Главное окно программы Coras

Рис. 3.22. Главное окно программы Coras

1) File/Файл

3 Threat Modelling Tool

File Edit View Diagram

[# New

  • ? Open Ctrl+O
  • 0 Save Ctrl+S

© Save As

k 0

: E

P

[?L New Diagram

Г

Export As Image

PNG

JPG

SVG

Exit

1“ -_

Рис. 3.23. Подменю файл

  • 1. Создать
  • 2. Открыть
  • 3. Сохранить
  • 4. Сохранить как
  • 5. Новая диаграмма
  • 6. Экспорт в:
  • 6.1.1. Png
  • 6.1.2. Jpg
  • 6.1.3. Svg
  • 7. Выход
  • 2) Edit/Редактирование

J Threat Modelling Tool

File

Edit View Diagram

a

Cut Ctrl+X

[ft Copy Ctrl+C

Q Paste Ctrl+V

?> Undo Ctrl+Z

Redo Ctrl+Y

  • 1. Удалить
  • 2. Копировать
  • 3. Вставить
  • 4. Отменить
  • 5. Повторить

Рис. 3.24. Подменю редактирование

3) View/В ид

Threat Modelling Tool

File Edit

View Diagram

Cl

a

G* Zoom

Zoom in

Zoom out

  • 1. Масштаб 100%
  • 2. Приблизить
  • 3. Отдалить

Рис. 3.25. Подменю вид

4) Diagram/Диаграмма

Threat Modelling Tool

File

Edit

View

Diagram

a

а

0

Diagram orientation ? |

1—1—I—1—

Landscape

Portrait

  • 1. Ориентация
  • 1.1. Альбомная
  • 1.2. Книжная

Рис. 3.26. Подменю диаграмма

Под меню расположена панель инструментов, представленная на рис. 3.27, 3.28.

Кнопки главного меню и поиска

Рис. 3.27. Кнопки главного меню и поиска

Окно поиска

Рис. 3.28. Окно поиска

Первая половина кнопок, расположенных на панели, — дублирование действий главного меню. Далее расположена кнопка, реализующая поиск.

Поиск элемента осуществляется по его имени и типу. Также можно указать имя диаграммы. После нажатия на кнопку Search (Искать) в таблице, расположенной под введенными данными для поиска, отобразятся подходящие записи.

Шапка таблицы — условия поиска: тип элемента, его имя, название диаграммы, ее тип.

После того как поиск завершен, кнопка Reset (Сброс) становится активной. Нажатие на нее сбросит все введенные и найденные данные.

После кнопки поиска располагается панель редактирования шрифта текста. Здесь для пользователя реализована возможность изменения шрифта, его размера и выделения: обычный (Normal), жирный (Bold), курсив (Italic).

Результаты поиска

Рис. 3.29. Результаты поиска

Две последние кнопки, расположенные на панели инструментов (рис. 3.30), позволяют добавлять сетку на область построения диаграмм, а также отметить лист размером А4.

Tahoma

Рис. 3.30. Редактирование шрифта и страницы

Слева расположены все объекты, используемые в данной модели угроз для анализа рисков И Б. При этом в случае добавления на лист моделирования какого-либо объекта он сразу отображается в этой схеме, представленной в виде дерева, что удобно для понимания связей, которые были установлены между объектами.

Проводник скрывается и отображается путем нажатия на стрелки, нанесенные на границу между областью построения диаграммы и самим проводником.

При создании новой диаграммы (File/'New или кнопка New на панели инструментов) на области построения диаграмм появляется новая вкладка с именем по умолчанию New diagram.

Для изменения имени диаграммы необходимо щелкнуть правой кнопкой мыши на заголовке вкладки и выбрать Edit diagram name (рис. 3.33). В появившемся диалоговом окне ввести имя.

Для удаления диаграммы следует выбрать Delete diagram.

Generate risk diagram генерирует картину рисков для данного проекта.

Панель объектов, которые непосредственно используются при моделировании, расположена на вкладке диаграммы.

f - S

Assets

EH

..... Stakeholders

0- ? Threat agents

Vulnerabilities ! Threat scenarios

Unwanted incidents Д Risks

Treatments

Проводник объектов, используемых в диаграмме

Рис. 3.31. Проводник объектов, используемых в диаграмме

Кроме перечисленных в табл. 3.2 объектов, на этой панели инструментов есть кнопка примечания (comment) для добавления подписей, разъяснений, область (region) для выделения объектов в отдельные области (например, в пределах охраняемой территории и за ее пределами). Первая стрелка служит для выделения, перемещения объектов, последняя (рис. 3.35) — для установления связей между объектами. Для того чтобы установить связь, необходимо выполнить следующие действия:

  • 1) выбрать последнюю кнопку (стрелка) на панели инструментов диаграммы (см. рис. 3.35);
  • 2) навести курсор на объект, являющийся началом связи. Нажать левую кнопку мыши;
  • 3) объект начинает выделаться синим цветом;
  • 4) не отпуская кнопку мыши, переводим ее на объект, являющийся окончанием связи;

Threat Modelling Tool

Скрыть/отобразить проводник

Рис. 3.32. Скрыть/отобразить проводник

5) после того как начальный объект прекратит выделяться, начнет конечный. После окончания выделения установится связь между объектами.

] [3 New di _ ,. ,

> m Edit diagram name

| Q Delete diagram

a

&IaN $)| q

г

I Generate risK diagram

Рис. 3.33. Вкладка для работы с диаграммой

Установление связей необходимо для генерирования модели рисков.

Изменение имени диаграммы

Рис. 3.34. Изменение имени диаграммы

Для того чтобы изменить имя объекта, нужно выбрать его и щелкнуть мышью, появится строка для ввода. [1] [2] [3] [4] [5] [6]

@ New diagram

?

о

M ж

Ъ

A

Jv

A

4

cl

г

Рис. 3.35. Панель объектов

  • 6. Первичная полная картина рисков, которую редактируют.
  • 7. Обоснование и описание действий, предотвращающих угрозы.

В приложении 3.2 для малого предприятия проведен анализ рисков

информационной безопасности по методологии Согаз с применением программного обеспечения[7].

  • [1] Методология анализа безопасности Coras включает в себя семь этапов.
  • [2] Вводная встреча. Цель — полное понимание того, что подлежит анализу (что будет анализироваться). Во время этой встречи аналитики собирают информацию, основанную на представлениях заказчика
  • [3] Отдельная встреча с представителями заказчика. Аналитики знакомят со своим пониманием полученной на первом этапе информацией и документами, к которым заказчик открыл доступ для аналитиков. На этом этапа идентифицируются первые угрозы, уязвимости, сценарии угроз и нежелательные инциденты.
  • [4] Третий этап включает усовершенствованное описание той ситуации, которую необходимо проанализировать, все предположения и другие сделанные предварительные условия. Он заканчивается, как только вся документация была одобрена заказчиком.
  • [5] Четвертый этап включает в себя идентификацию всех возможных потенциальных нежелательных инцидентов, а также угроз и уязвимостей.
  • [6] На этом этапе оцениваются последствия, которые возможны в случае осуществления нежелательных инцидентов, а также вероятность этих инцидентов.
  • [7] Bjorn, A.G. (January 2002). CORAS, A Platform for Risk Analysis on Security Critical Systems — Model-based Risk Analysis Targeting Security (www.nr.no/coras).
 
< Пред   СОДЕРЖАНИЕ     След >