- •Практическая работа по дисциплине: «Обеспечение безопасности электронного бизнеса»
- •Общая характеристика ооо «Связь»
- •Организационная схема интернет-магазина ооо «Книголюб»
- •Информационные потоки на основании схемы организации
- •Перечень информации, подлежащей защите
- •Бизнес процессы, связанные с защищаемой информацией
- •Модель злоумышленника.
- •Цели злоумышленника
- •Виды нарушителей
- •Внутренний нарушитель
- •Внешний нарушитель
- •Направления атаки
Направления атаки
Разглашение конфиденциальной информации, хранящейся на рабочем месте сотрудника организации:
Отсутствие соглашения о неразглашении между работником и работодателем
Нечеткая регламентация ответственности сотрудников предприятия
Разглашение конфиденциальной информации, используемой в документах, вынос носителей за пределы контролируемой зоны:
Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками организации
Несанкционированное копирование, ᴨȇчать и размножение носителей конфиденциальной информации
Нечеткая организация конфиденциального документооборота в организации
Неконтролируемый доступ сотрудников к копировальной и множительной технике
Угрозами целостности информации
нарушение целостности со стороны ᴨерсонала: ввод неверных данных, несанкционированная модификация информации, кража информации, дублирование данных
Угрозами конфиденциальности
Несанкционированный вынос комплектующих оборудования;
делеᴦᴎҏование лишних или неиспользуемых полномочий на носитель с конфиденциальной информацией, открытие портов, установка нелицензионного ПО, злоупотребления полномочиями.
Модель угроз безопасности и расчёт рисков.
В ходе анализа данных компании были определены следующие базовые угрозы для информации и информационных ресурсов.
Угрозы для информации на бумажном носителе:
Кража носителей информации
Несанкционированный доступ к информации
Несанкционированное копирование информации
Фальсификация, подделка документов
Порча носителей информации
Уничтожение
Угрозы для информации в электронном виде:
Перехват информации
Фальсификация, подделка документов
Несанкционированный доступ к информации
Несанкционированное копирование информации
Ввод ошибочных данных
Уничтожение
Название (кач. Показатель) |
Размер ущерба (млн. руб) |
Нулевой |
0 |
Очень низкий |
0,5 |
Низкий |
1 |
Средний |
2 |
Высокий |
4 |
Очень высокий |
6 |
Процесс оценки рисков основан на оценке последствий реализации угроз и их вероятности.
[Уровень риска ИБ] = [вероятность события] х [размер ущерба]
В качестве основы для оценки вероятности реализации угроз была взята таблица пятибалльной оценки вероятностей реализации угроз из ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».
Значения шкалы (балл) |
Название |
Качественное описание. Частота реализации инцидента ИБ в среднем 1 раз |
0 |
Очень низкая |
В 3 года (вероятность реализации 0,2 – 0,4) |
1 |
Низкая |
Год (вероятность реализации 0,4 – 0,6) |
2 |
Средняя |
4 месяца (вероятность реализации 0,6 – 0,8) |
3 |
Высокая |
Месяц (вероятность реализации более 0,8) |
4 |
Очень высокая |
Неделю (вероятность реализации более 0,9) |
Модель угроз безопасности защищаемой информации
Перечень защищаемой информации |
Перечень угроз |
|||||||||||||
В бумажном виде |
В электронном виде |
|||||||||||||
Угроза |
Вероятность реализации |
Ущерб |
Риск |
Угроза |
Вероятность реализации |
Ущерб |
Риск |
|||||||
Кач. |
Кол. |
Кач. |
Кол. |
Кач. |
Кол. |
Кач. |
Кол. |
|||||||
Персональные данные сотрудников |
Кража носителей информации |
Низк. |
0,5 |
Сред. |
3 млн. руб. |
1,5 млн. руб. |
Перехват информации
|
Сред. |
0,6 |
Сред. |
3,8 млн. руб. |
2,28 млн. руб. |
||
Несанкционированный доступ к информации |
Выс. |
0,8 |
Сред. |
3 млн. руб. |
2,4 млн. руб. |
Фальсификация, подделка документов |
Сред. |
0,6 |
Сред. |
3,8 млн. руб. |
2,28 млн. руб. |
|||
Несанкционированное копирование информации
|
Сред. |
0,6 |
Сред. |
3 млн. руб. |
1,8 млн. руб. |
Несанкционированный доступ к информации
|
Выс. |
0,8 |
Сред. |
3,8 млн. руб. |
3,04 млн. руб. |
|||
Фальсификация, подделка документов
|
Низк. |
0,4 |
Сред. |
3 млн. руб. |
1,2 млн. руб. |
Несанкционированное копирование информации
|
Выс. |
0,8 |
Сред. |
3,8 млн. руб. |
3,04 млн. руб. |
|||
Порча носителей информации
|
Низк. |
0,5 |
Сред. |
3 млн. руб. |
1,5 млн. руб. |
Ввод ошибочных данных
|
Выс. |
0,8 |
Сред. |
3,8 млн. руб. |
3,04 млн. руб. |
|||
Уничтожение |
Сред. |
0,6 |
Сред. |
3 млн. руб. |
1,8 млн. руб |
Уничтожение |
Оч.выс. |
0,9 |
Сред. |
3,8 млн. руб. |
3,04 млн. руб.. |
|||
Информация, составляющая коммерческую тайну |
Кража носителей информации
|
Низк. |
0,4 |
Выс. |
4,1 млн. руб. |
1,6 млн. руб. |
Перехват информации
|
Выс. |
0,8 |
Выс. |
4 млн. руб. |
3,2 млн. руб. |
||
Несанкционированный доступ к информации |
Сред. |
0,7 |
Выс. |
4,1 млн. руб. |
2,8 млн. руб. |
Фальсификация, подделка документов |
Выс. |
0,8 |
Выс. |
4 млн. руб. |
3,2 млн. руб. |
|||
Несанкционированное копирование информации
|
Сред. |
0,7 |
Выс. |
4,1 млн. руб. |
2,8 млн. руб. |
Несанкционированный доступ к информации
|
Выс. |
0,8 |
Выс. |
4 млн. руб. |
3,2 млн. руб. |
|||
Фальсификация, подделка документов
|
Низк.
|
0,4
|
Выс.
|
4,1 млн. руб.
|
1,6 млн. руб.
|
Несанкционированное копирование информации
|
Выс. |
0,8 |
Выс. |
4 млн. руб.
|
3,2 млн. руб. |
|||
Порча носителей информации
|
Выс. |
0,8 |
Выс. |
4,1 млн. руб. |
3,2 млн. руб. |
Ввод ошибочных данных
|
Сред. |
0,6 |
Выс. |
4 млн. руб. |
2,4 млн. руб. |
|||
Уничтожение |
Сред. |
0,6 |
Выс. |
4,1 млн. руб. |
2,4 млн. руб. |
Уничтожение |
Выс. |
0,8 |
Выс. |
4 млн. руб. |
3,2 млн. руб. |
|||
Платёжная информация клиентов |
Кража носителей информации
|
Низк. |
0,4 |
Сред. |
2 млн. руб. |
0,8 млн. руб. |
Перехват информации
|
Выс. |
0,8 |
Сред. |
2 млн. руб. |
1,6 млн. руб. |
||
Несанкционированный доступ к информации |
Сред. |
0,7 |
Сред. |
2 млн. руб. |
1,4 млн. руб. |
Фальсификация, подделка документов |
Выс. |
0,8 |
Сред. |
2 млн. руб. |
1,6 млн. руб. |
|||
Несанкционированное копирование информации
|
Сред. |
0,6 |
Сред. |
2 млн. руб. |
1,2 млн. руб. |
Несанкционированный доступ к информации
|
Выс. |
0,8 |
Сред. |
2 млн. руб. |
1,6 млн. руб. |
|||
Фальсификация, подделка документов |
Сред. |
0,6 |
Сред. |
2 млн. руб. |
1,2 млн. руб. |
Несанкционированное копирование информации
|
Выс. |
0,8 |
Сред. |
2 млн. руб. |
1,6 млн. руб. |
|||
Порча носителей информации
|
Выс. |
0,8 |
Сред. |
2 млн. руб. |
1,6 млн. руб. |
Ввод ошибочных данных
|
Выс. |
0,8 |
Сред. |
2 млн. руб. |
1,6 млн. руб. |
|||
Уничтожение |
Выс. |
0,8 |
Сред. |
2 млн. руб. |
1,6 млн. руб. |
Уничтожение |
Выс. |
0,8 |
Сред. |
2 млн. руб. |
1,6 млн. руб. |
|||
Персональные данные клиентов |
Кража носителей информации
|
Низк. |
0,8 |
Сред. |
2 млн. руб. |
1,6 млн. руб. |
Перехват информации
|
Выс. |
0,8 |
Сред. |
2 млн. руб. |
1,6 млн. руб. |
||
Несанкционированный доступ к информации |
Оч. выс. |
0,9 |
Сред. |
2 млн. руб. |
1,8 млн. руб. |
Фальсификация, подделка документов |
Сред. |
0,6 |
Сред. |
2 млн. руб. |
1,2 млн. руб. |
|||
Несанкционированное копирование информации
|
Оч. выс. |
0,9 |
Сред. |
2 млн. руб. |
1,8 млн. руб. |
Несанкционированный доступ к информации
|
Оч. выс. |
0,9 |
Сред. |
2 млн. руб. |
1,8 млн. руб. |
|||
Фальсификация, подделка документов
|
Выс. |
0,8 |
Сред. |
2 млн. руб. |
1,6 млн. руб. |
Несанкционированное копирование информации
|
Оч. выс. |
0,9 |
Сред. |
2 млн. руб. |
1,8 млн. руб. |
|||
Порча носителей информации |
Оч. выс. |
0,9 |
Сред. |
2 млн. руб. |
1,8 млн. руб. |
Ввод ошибочных данных
|
Оч. выс. |
0,9 |
Сред. |
2 млн. руб. |
1,8 млн. руб. |
|||
Уничтожение |
Выс. |
0,8 |
Сред. |
2 млн. руб. |
1,6 млн. руб. |
Уничтожение |
Оч. выс. |
0,9 |
Сред. |
2 млн. руб. |
1,8 млн. руб. |
|||
Информация о сайте (исходный код, сведения о базах данных сайта и т.д.) |
Кража носителей информации
|
Низк. |
0,4 |
Оч. Выс |
8,5 млн. руб. |
3,4 млн. руб. |
Перехват информации
|
Оч. выс. |
0,9 |
Оч. Выс |
9 млн. руб. |
8,1 млн. руб. |
||
Несанкционированный доступ к информации |
Сред. |
0,6 |
Оч. Выс |
8,5 млн. руб. |
5,1 млн. руб. |
Фальсификация, подделка документов |
Выс. |
0,8 |
Оч. Выс |
9 млн. руб. |
7,2 млн. руб. |
|||
Несанкционированное копирование информации
|
Сред. |
0,6 |
Оч. Выс |
8,5 млн. руб. |
5,1 млн. руб. |
Несанкционированный доступ к информации
|
Выс. |
0,8 |
Оч. Выс |
9 млн. руб. |
7,2 млн. руб. |
|||
Фальсификация, подделка документов
|
Сред. |
0,6 |
Оч. Выс |
8,5 млн. руб. |
5,1 млн. руб. |
Несанкционированное копирование информации
|
Выс. |
0,8 |
Оч. Выс |
9 млн. руб. |
7,2 млн. руб. |
|||
Порча носителей информации
|
Сред. |
0,6 |
Оч. Выс |
8,5 млн. руб. |
5,1 млн. руб. |
Ввод ошибочных данных
|
Оч. Выс. |
0,9 |
Оч. Выс |
9 млн. руб. |
8,1 млн. руб. |
|||
Уничтожение |
Низк. |
0,4 |
Оч. Выс |
8,5 млн. руб. |
3,4 млн. руб. |
Уничтожение |
Оч. Выс. |
0,9 |
Оч. Выс |
9 млн. руб. |
8,1 млн. руб. |
|||