ОИБ_14
.docxМИНОБРНАУКИ РОССИИ
САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ
ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА)
Кафедра информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА № 14
по дисциплине «Основы информационной безопасности»
Тема: «Оценка структуры факторов риска»
Студент гр.
Преподаватель Воробьев Е.Г.
Санкт-Петербург 2023 Постановка задачи
Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
Цель работы: провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы;
Отчёт выполняется с расчетом профиля риска в РискМенеджер - Анализ v3.5.
и по методике Вихорева, результаты сравнить
1. Оценка структуры факторов риска по методологии ФСТЭК
С помощью методики ФСТЭК построим структуру видов ущерба, относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Негативные последствия приведены в таблице 1, представленной ниже
Таблица 1 – Виды рисков и негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
У1 |
Ущерб физическому лицу |
Нарушение конфиденциальности. |
Финансовый ущерб физическому лицу. |
||
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. |
||
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
Нарушение законодательства Российской Федерации. |
Недополучение ожидаемой (прогнозируемой) прибыли. |
||
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. |
||
Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств). |
||
Срыв запланированной сделки с партнером. |
В таблице 2 приведены объекты воздействия в соответствии с негативными последствиями из первой таблицы.
Таблица 2 – Возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Нарушение конфиденциальности. |
БД |
Утечка данных о пользователях. |
Беспроводные каналы связи |
Кража/подмена данных предприятия. |
|
Финансовый ущерб физическому лицу. |
БД, каналы связи |
Утеря данных о проекте. |
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. |
БД, Рабочие места сотрудников, системного администратора |
Раскрытие данных об авторских проектах, кража объектов интеллектуальной собственности. |
Недополучение ожидаемой (прогнозируемой) прибыли. |
Сайт, веб-сервер, БД, рабочие места сотрудников. |
DDoS-атаки на сервер, временная неработоспособность сервера, утеря данных о проектах, ошибки сотрудников. |
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. |
||
Проникновение в корпоративную сеть неавторизованного пользователя. |
Сотрудники, электронная почта. |
Фишиговые ссылки, подброшенные носители с вредоносным ПО. |
Категории и уровни возможных нарушителей представлены в 3 таблице, в которую сведены данные для определения видов риска.
Таблица 3 – Актуальные нарушители
Виды риска/ущерба и возможные негативные последствия |
Виды и категория нарушителя |
Уровень возможностей |
Нарушение конфиденциальности. |
Хакеры, внешний |
H1 |
Финансовый ущерб физическому лицу.
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. Нарушение законодательства Российской Федерации. Недополучение ожидаемой (прогнозируемой) прибыли. Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств). Срыв запланированной сделки с партнером. |
Сисадмин, внутренний |
H2 |
Сотрудники, внутренний |
H1 |
|
Дополнительный персонал, внутренний |
H1 |
|
Конкуренты, внешний |
H2 |
|
Поставщики услуг связи, внешний |
H2 |
Потенциальные источники угроз и возможные цели реализации угроз приведены в таблице ниже
Таблица 4 – Виды нарушителей и возможные цели реализации угроз
Вид нарушителя |
Категория нарушителя |
Возможные цели реализации угроз |
Конкуренты |
Внешний |
Снижение конкурентоспособности организации. |
Сотрудники |
Внутренний |
Непреднамеренные действия, тормозящие работу организации. |
Преднамеренные действия с целью получения выгоды/реализации собственных интересов. |
||
Хакеры |
Внешний |
Любопытство. Тренировка. Получение выгоды. |
Поставщики услуг связи |
Внешний |
Материальная выгода |
Методы реализации негативного воздействия для указаных видов нарушителей представлены в таблице 5.
Таблица 5 – Актуальные способы реализации угроз и соответствующие виды нарушителей
Вид нарушителя, категория |
Объекты воздействия |
Доступные интерфейсы |
Способы реализации |
Хакеры (H2), внешний |
CУБД, сотрудники |
Веб-сайт компании, электронная почта, территория предприятия. |
Использование уязвимостей, инъекций, социальной инженерии. |
Конкуренты (H2), внешний |
|||
Поставщики услуг связи (H2), внешний |
Рабочие места сотрудников, веб-сервер |
ПАК предприятия |
Целенаправленный перехват информации, отказ от обслуживания. |
Сисадмин (H2), внутренний |
ПАК предприятия |
ПАК предприятия |
Ошибки в настройке, продажа данных, намеренное или случайное их удаление. |
Сотрудник (H1), внутренний |
Рабочие места сотрудников |
Рабочие места сотрудников |
Пользовательские ошибки |
Дополнительный персонал (H1), внутренний |
- |
- |
Непреднамеренное причинение вреда ПАК, саботаж |
Оценка структуры факторов риска в соответствии с методикой С.В. Вихорева
В таблице 6 представлен перечень актуальных угроз безопасности
Таблица 6 – перечень актуальных угроз ИБ
k |
Угрозы ИБ |
(КА)k |
1 |
Копирование информации |
0,16 |
2 |
Модификация информации |
0,19 |
3 |
Уничтожение информации и средств ее обработки |
0,15 |
4 |
Вирусное заражение |
0,18 |
В 7 таблице обозначен актуальный список источников угроз и их коэффициент опасности.
Таблица 7 – перечень актуальных источников угроз ИБ
Код (i) |
Источники угроз информационной безопасности |
(k1)i |
(k2)i |
(k3)i |
(Коп)i |
[I.A.3] |
недобросовестные партнеры |
2 |
4 |
4 |
0,07 |
[I.A.4] |
технический персонал поставщиков телематических услуг |
4 |
3 |
3 |
0,08 |
[I.A.5] |
представители надзорных организаций и аварийных служб |
4 |
4 |
3 |
0,11 |
[I.A.6] |
представители силовых структур |
5 |
4 |
1 |
0,04 |
[I.B.1] |
основной персонал (пользователи, программисты, разработчики) |
5 |
5 |
3 |
0,16 |
[I.B.2] |
представители службы защиты информации (администраторы) |
5 |
5 |
3 |
0,16 |
[I.B.3] |
вспомогательный персонал (уборщики, охрана) |
3 |
2 |
1 |
0,01 |
[I.B.4] |
технический персонал (жизнеобеспечение, эксплуатация) |
3 |
2 |
1 |
0,01 |
В таблицу 8 сведен перечень актуальных уязвимостей.
Таблица 8 – Актуальные уязвимости
-
Код
Уязвимости
(k1)f
(k2)f
(k3)f
(Kоп)f
[A.II.a.4]
аппаратные закладки устанавливаемые в технических средствах
4
3
4
0,23
[A.II.b.1]
вредоносные программы
5
4
3
0,29
[A.II.b.2]
технологические выходы из программ
3
5
3
0,21
[A.II.b.3]
нелегальные копии ПО
3
4
5
0,29
[B.I.a.4]
ошибки при вводе данных (информации)
3
4
5
0,38
[B.I.c.2]
ошибки при настройке программного обеспечения
5
5
4
0,64
[B.I.c.4]
ошибки при настройке технических средств
4
4
5
0,51
[C.I.a.1]
отказы ТС обрабатывающих информацию
4
4
4
0,45
[C.I.a.2]
отказы ТС обеспечивающих работоспособность средств обработки
3
4
3
0,26
[C.I.c.1]
сбои операционных систем и СУБД
4
5
3
0,43
Возможные варианты реализации угроз представлены в таблице 9.
Таблица 9 – Варианты реализации угроз
-
Источники угроз
Методы реализации
Уязвимости
[I.B.2] - администраторы
[M3.B.02] - установка нештатного оборудования или ПО
[A.II.b.1] - вредоносные программы
[I.A.3] - недобросовестные партнеры
[M3.A.04] - маскировка под
авторизованного пользователя (маскарад)
[B.I.a.4] – ошибки при вводе данных
[I.A.3] - недобросовестные партнеры
[M3.A.01] - внедрение дезинформации
[B.I.a.4] – ошибки при вводе данных
[I.A.3] - недобросовестные партнеры
[M3.A.05] - модификация информации
(данных)
[B.I.a.4] – ошибки при вводе данных
-
[I.B.3] - вспомогательный персонал (уборщики, охрана)
[M3.A.01] - Нарушение целостности и доступности путем введения ложной информации в базы данных и информационные ресурсы, перегрузки системных ресурсов, каналов связи
[B.I.a.4] – ошибки при вводе данных
[I.B.3] - вспомогательный персонал (уборщики, охрана)
[M3.A.01] - Нарушение целостности и доступности путем введения ложной информации в базы данных и информационные ресурсы, перегрузки системных ресурсов, каналов связи
[B.I.с.2] – уничтожение данных
Выбор комплекса мер защиты в ПО РискМенеджер-Анализ v3.5
Наиболее эффективный комплекс мер позволяе т снизить остаточный риск до приемлемого за 2133 USD
Выводы
При анализе методик можно сделать вывод, что они дают схожие результаты. Однако методика Вихорева позволяет рассчитать более точно актуальность угроз, а также определить возможные варианты атак. При этом методы ПО «РискМенеджер-Анализ v3.5» являются более наглядными, так как рисуются столбчатые диаграммы, с помощью которых можно оценить более выгодные комплексы мер по защите. В связи с тем, что приемлемым остаточным риском считается риск ниже 2133 USD, следует выбрать сформированный комплект мер, так как он соответствует требования