- •Методичні вказівки до виконання курсової роботи з дисципліни «комплексні системи інформаційної безпеки»
- •1 Основні вимоги до курсової роботи
- •1.1 Мета і задачі курсової роботи
- •1.2 Тематика курсової роботи
- •2 Короткі теоретичні відомості
- •2.1 Аналіз інформаційної безпеки об’єкту захисту.
- •2.2 Дослідження небезпечних чинників
- •2.3 Визначення математичного апарату
- •2.4 Ранжування загроз
- •3 Етапи виконання курсової роботи
- •Аналіз об’єкта захисту.
- •Опис небезпечних чинників.
- •Побудова оптимальної системи захисту інформаційних ресурсів об’єкту
- •3.1 Аналіз об’єкта захисту
- •3.2 Опис небезпечних чинників
- •3.3 Побудова оптимальної системи захисту інформаційних ресурсів об’єкту
- •3.4 Побудова нечіткої експертної системи для задач оцінки рівня інформаційної програми
- •3. 5 Розробка політики інформаційної безпеки
- •4 Оформлення пояснювальної записки
- •4.1 Загальні правила оформлення
- •4.2 Загальна структура пояснювальної записки
- •4.3 Вступна частина пояснювальної записки Титульний аркуш
- •Індивідуальне завдання
- •Анотація
- •4.4 Зміст та оформлення основної частини Вступ
- •Аналіз інформаційної безпеки об’єкту захисту
- •Розробка політики інформаційної безпеки
- •Висновки
- •Перелік літератури
- •4.5 Оформлення додатків
- •5 Графік виконання курсової роботи і порядок його захисту
- •Перелік рекомендованої літератури
- •Додаток а. Варіанти завдань на курсову роботу
- •Додаток б. Приклад оформлення титульного аркуша
- •7.05090303, 8.05090303– Технології та засоби телекомунікацій
- •Вінниця 20__ Додаток в. Приклад оформлення індивідуального завдання
- •Додаток г. Зразок оформлення технічного завдання Додаток а
- •5 Вимоги до супровідної документації
- •Додаток ґ. Зображення базових елементів дерева ризиків-відмов
- •Додаток д. Ймовірності появи загроз
- •Додаток е. Ймовірності появи вразливостей
- •Додаток є. Дерево загроз
- •Додаток ж. Дерево вразливостей
Додаток е. Ймовірності появи вразливостей
|
|
1. Підприємство з виробництва радіоелектронного обладнання. |
2. Підприємство з виробництва системного програмного забезпечення. |
3. Підприємство з виробництва прикладного програмного забезпечення. |
4. Підприємство з виробництва мережевого устаткування. |
5. Хостингова компанія. |
6. Сервісний центр. |
7. Оптова база. |
8. Продуктовий магазин. |
9. Нотаріальна контора. |
10. Науково-дослідницька лабор наукового закладу. |
11. Інноваційне підприємство. |
12. Конструкторське бюро заводу. |
13. Туристичне агентство. |
14. Медичний заклад. |
15. Консалтингова компанія. |
16. Аудиторська компанія. |
17. Інтернет-магазин. |
18. Інтернет-провайдер. |
19. Видавничий центр. |
|
|
Вразливості, пов’язані з апаратними засобами |
||||||||||||||||||
1 |
Незахищене зберігання носіїв та документів |
0,02 |
0,02 |
0,01 |
0,15 |
0,01 |
0,2 |
0,05 |
0,05 |
|
|
0,2 |
|
|
0,2 |
|
0,05 |
0,05 |
|
0,01 |
2 |
Недолік в обережності при знищенні |
|
0,3 |
0,2 |
0,01 |
0,02 |
|
|
|
0,01 |
0,02 |
|
0,02 |
0,02 |
0,3 |
0,01 |
0,01 |
|
|
0,02 |
3 |
Неконтрольоване копіювання |
0,03 |
|
|
0,01 |
0,03 |
|
0,01 |
|
0,02 |
|
|
0,03 |
|
0,06 |
|
0,03 |
0,2 |
0,02 |
0,05 |
4 |
Недостатнє обслуговування носіїв даних |
0,1 |
|
|
|
|
|
|
0,01 |
|
0,25 |
0,01 |
|
0,01 |
|
0,02 |
|
|
0,01 |
|
5 |
Чутливість до електромагнітної радіації |
0,4 |
0,03 |
0,02 |
0,02 |
|
|
|
|
|
0,5 |
|
0,01 |
|
|
|
|
0,03 |
0,01 |
|
6 |
Недоліки ефективного контролю внесення змін до конфігурації |
0,35 |
|
|
|
0,05 |
0,01 |
|
|
0,03 |
0,02 |
|
0,15 |
|
|
0,03 |
|
0,01 |
|
0,03 |
|
|
Вразливості, пов’язані з програмними засобами |
|
|||||||||||||||||
1 |
Відсутність чи недостатнє програмне тестування |
0,1 |
0,4 |
0,35 |
|
0,01 |
0,02 |
0,04 |
0,03 |
0,2 |
|
0,02 |
0,2 |
0,06 |
0,05 |
|
0,01 |
|
0,03 |
0,01 |
2 |
Відомі недоліки в програмному забезпеченні |
0,1 |
|
|
0,15 |
|
0,1 |
|
|
|
0,01 |
|
|
|
|
0,02 |
0,1 |
|
|
|
3 |
Широко поширене програмне забезпечення |
|
0,05 |
0,15 |
|
|
0,1 |
0,01 |
0,02 |
|
|
|
|
|
|
|
0,1 |
0,01 |
0,02 |
0,07 |
4 |
Передача чи багатократне використання носіїв даних без належного видалення |
0,25 |
|
|
0,3 |
0,02 |
0,05 |
|
|
0,05 |
|
0,2 |
0,02 |
0,02 |
0,3 |
0,04 |
0,02 |
0,01 |
0,3 |
0,05 |
5 |
Неправильний розподіл прав доступу |
0,08 |
0,3 |
0,25 |
0,25 |
|
|
0,03 |
0,02 |
|
|
0,03 |
0,1 |
0,06 |
|
0,01 |
0,09 |
|
0,2 |
|
6 |
Застосування прикладних програм до фальшивих даних |
0,15 |
0,1 |
0,15 |
0,02 |
0,01 |
|
|
|
0,01 |
0,02 |
|
|
0,01 |
|
0,02 |
|
0,01 |
|
|
7 |
Складний користувацький інтерфейс програм |
|
|
|
0,6 |
|
0,05 |
|
|
0,02 |
0,01 |
0,05 |
|
|
|
|
|
0,4 |
0,1 |
0,3 |
8 |
Недоліки в документаціях |
0,01 |
|
0,45 |
0,01 |
0,2 |
0,01 |
0,2 |
0,3 |
0,03 |
|
0,35 |
0,1 |
0,3 |
0,05 |
0,02 |
|
0,02 |
0,1 |
0,06 |
9 |
Встановлення неправильних параметрів |
0,2 |
|
0,3 |
|
|
|
|
|
|
0,3 |
|
|
0,02 |
0,06 |
|
|
|
|
0,3 |
10 |
Некоректні дати |
|
|
|
|
|
|
0,25 |
0,2 |
0,01 |
|
0,04 |
0,01 |
|
0,2 |
0,01 |
|
|
0,03 |
|
|
|
Вразливості, пов’язані з персоналом |
|
|||||||||||||||||
1 |
Недостатнє навчання по безпеці |
0,1 |
|
|
|
0,01 |
|
0,2 |
0,2 |
|
|
0,01 |
0,01 |
0,03 |
0,03 |
0,02 |
0,01 |
0,03 |
|
0,01 |
2 |
Неправильне використання програмного забезпечення і обладнання |
0,3 |
0,25 |
0,2 |
|
0,03 |
0,3 |
0,01 |
0,02 |
0,1 |
0,25 |
0,02 |
|
|
0,01 |
|
0,02 |
0,05 |
|
0,02 |
3 |
Недоліки розуміння безпеки |
|
|
|
0,03 |
0,01 |
|
0,4 |
0,5 |
|
0,02 |
|
0,01 |
0,02 |
|
0,03 |
0,01 |
0,01 |
0,03 |
|
4 |
Брак механізмів моніторингу |
0,1 |
|
|
|
|
|
0,01 |
0,01 |
0,01 |
|
0,02 |
0,2 |
0,4 |
0,07 |
0,01 |
0,01 |
|
|
0,3 |
5 |
Неконтрольована робота зовнішнім штатом чи прибиральним персоналом |
|
0,01 |
0,05 |
0,01 |
0,01 |
|
0,05 |
0,05 |
|
0,01 |
|
|
|
0,3 |
0,2 |
0,02 |
0,03 |
0,01 |
|
6 |
Недоліки політики для правильного використання носіїв передачі даних і обміну повідомленнями |
|
0,1 |
0,25 |
|
0,02 |
|
0,25 |
0,3 |
0,02 |
|
|
0,3 |
0,5 |
|
|
0,03 |
|
|
0,06 |
7 |
Помилки при використанні ПЗ |
|
0,2 |
0,3 |
|
|
0,25 |
|
|
0,15 |
0,03 |
0,05 |
|
|
0,06 |
|
|
0,02 |
|
|
8 |
Помилки при експлуатації ТЗ |
0,3 |
0,02 |
0,06 |
|
0,15 |
0,3 |
|
|
|
0,02 |
0,05 |
|
0,05 |
|
0,35 |
|
0,01 |
0,5 |
0,05 |
9 |
Порушення конфіденційності інформації |
0,01 |
0,3 |
0,12 |
0,7 |
|
0,01 |
0,25 |
0,2 |
0,01 |
|
|
0,2 |
|
0,01 |
|
|
|
|
|
|
|
Вразливості, пов’язані з мережею |
||||||||||||||||||
1 |
Недоліки ідентифікуючих і розпізнавальних механізмів для користувацької аутентифікації |
|
0,1 |
0,65 |
0,02 |
|
0,01 |
|
|
|
0,35 |
0,04 |
0,05 |
|
0,01 |
0,25 |
0,1 |
0,3 |
0,2 |
0,01 |
2 |
Незахищені лінії зв’язку |
|
|
|
|
0,2 |
0,01 |
|
|
0,2 |
0,25 |
|
0,02 |
0,5 |
0,02 |
0,01 |
0,3 |
|
|
0,3 |
3 |
Недоліки ідентифікації і аутентифікації відправника і отримувача |
|
0,07 |
0,5 |
|
0,35 |
0,02 |
|
|
0,01 |
|
0,3 |
0,03 |
0,02 |
|
0,03 |
0,2 |
|
0,06 |
|
4 |
Передача паролів у відкритому вигляді |
0,1 |
|
|
|
|
|
0,03 |
0,04 |
|
|
|
|
|
0,001 |
|
0,09 |
|
|
|
5 |
Неадекватний менеджмент мережі |
|
0,2 |
0,3 |
|
0,25 |
0,05 |
|
|
0,02 |
0,01 |
0,3 |
|
0,05 |
|
0,02 |
0,05 |
0,01 |
0,03 |
0,02 |
6 |
Незахищені підключення загальнодоступної мережі |
|
0,1 |
0,08 |
0,05 |
0,15 |
0,06 |
|
|
|
|
|
0,04 |
0,04 |
0,01 |
|
0,25 |
|
|
0,03 |
7 |
Недоліки процедури резервного копіювання |
0,05 |
|
|
0,02 |
|
0,07 |
|
|
0,04 |
0,35 |
0,05 |
0,4 |
|
0,01 |
|
|
|
0,02 |
|
8 |
Витік інформації |
0,01 |
0,03 |
0,09 |
0,1 |
|
0,2 |
0,2 |
0,1 |
|
|
0,4 |
0,5 |
0,05 |
0,4 |
0,3 |
|
0,3 |
|
0,4 |
9 |
Недостатній захист на транспортному рівні |
|
|
|
|
|
|
0,15 |
0,1 |
|
0,01 |
0,03 |
|
0,01 |
|
|
|
|
0,01 |
|
10 |
Неавторизована зміна даних |
|
|
|
0,05 |
0,05 |
|
0,05 |
0,05 |
0,03 |
0,02 |
|
|
0,01 |
|
|
|
0,04 |
|
|
11 |
Системи керування вмістом (CMS) |
|
0,1 |
0,2 |
0,02 |
|
0,2 |
0,01 |
0,02 |
|
|
0,05 |
|
|
|
0,03 |
|
|
0,03 |
|
12 |
Міжсайтова підміна запитів |
|
0,05 |
0,1 |
0,01 |
0,4 |
|
0,1 |
0,2 |
0,1 |
0,01 |
|
|
|
|
|
|
0,06 |
0,6 |
|