- •10.03.01 Информационная безопасность
- •Оглавление
- •Введение
- •1. Теоретическая часть
- •1.1. Нотация idef0
- •1.2. Нотация idef3
- •1.3. Нотация dfd (Data Flow Diagram)
- •1.4. Нотация aris eEpc (Event-driven Process Chain)
- •1.5. Нотация bpmn (Business Process Model and Notation)
- •1.6. Модель нарушителя
- •1.7. Модель угроз
- •1.8. Модель уязвимостей
- •1.9. Ориентированный граф
- •1.10. Диаграмма Исикавы (Cause and Effect, "Рыбья кость")
- •1.11. План мероприятий
- •2. Практическая часть
- •2.1 Описание процесса
- •2.2. Нотация idef0
- •2.3. Нотация idef3
- •2.4. Нотация dfd
- •2.5. Нотация aris eEpc
- •2.6. Нотация bpmn
- •2.7. Модель нарушителя
- •2.8. Модель угроз
- •2.9. Модель уязвимостей
- •2.10. Список активов
- •2.11. Ориентированный граф
- •2.12. Диаграмма Исикавы
- •2.13. Риски иб активов процесса
- •2.14. План мероприятий
- •Список использованных источников
2.9. Модель уязвимостей
На основе ранее выявленных угроз была проведена оценка возможных уязвимостей, которые могут способствовать их реализации. Выявление уязвимостей необходимо для более точной оценки рисков и последующего выбора эффективных мер защиты информации.
Таблица 3. Модель уязвимостей
Объект защиты |
Код угрозы |
Угрозы |
Код уязвимости |
Уязвимости |
Серверная, регистратура, кабинет врача |
УБИ. 074 |
Угроза несанкционированного доступа к аутентификационной информации |
|
Слабые пароли и отсутствие требований к их сложности. |
|
Использование небезопасных методов хранения паролей (например, хранение в текстовом формате). |
|||
Регистратура, кабинет врача |
УБИ. 067 |
Угроза неправомерного ознакомления с защищаемой информацией |
|
Недостаточный контроль доступа к данным. |
|
Уязвимость в политике разграничения прав доступа. |
|||
Картотека, кабинет врача, регистратура |
УБИ. 088 |
Угроза несанкционированного копирования защищаемой информации |
|
Недостаточный контроль на уровне копирования и перемещения данных. |
Серверная |
УБИ. 073 |
Угроза несанкционированного доступа к активному и (или) пассивному сетевому оборудованию |
|
Доступ к оборудованию без физической защиты |
|
Использование стандартных паролей. |
|||
|
Отсутствие обновлений программного обеспечения. |
|||
Кабинет врача, регистратура |
УБИ. 031 |
Угроза использования механизмов авторизации для повышения привилегий |
|
Уязвимости в настройках прав доступа. |
|
Недостаточный контроль за сессиями пользователей. |
|||
Серверная |
УБИ. 134 |
Угроза потери доверия к поставщику облачных услуг |
|
Недостаточная прозрачность политики безопасности. |
Серверная |
УБИ. 135 |
Угроза потери и утечки данных, обрабатываемых в облаке |
|
Отсутствие шифрования в облачной инфраструктуре. |
|
Отсутствие мер по восстановлению данных при их утрате. |
|||
Регистратура |
УБИ. 175 |
Угроза «фишинга» |
|
Отсутствие фильтров для фишинговых e-mail сообщений. |
|
Недостаточная подготовка пользователей. |
|||
Регистратура, серверная |
УБИ. 178 |
Угроза несанкционированного использования системных и сетевых утилит |
|
Отсутствие контроля за выполнением команд в ОС. |
|
Уязвимости в доступе к системным утилитам. |
|||
Серверная, регистратура, кабинет врача |
УБИ. 195 |
Угроза удаленного запуска вредоносного кода в обход механизмов защиты операционной системы |
|
Отсутствие регулярного обновления систем безопасности. |
Методом экспертных оценок подсчитана вероятность реализации угрозы через данную уязвимость
Таблица 4. Метод экспертных оценок
Наименование уязвимости |
Вероятность реализации угрозы через данную уязвимость |
Средняя вероятность |
||
Эксперт 1 |
Эксперт 2 |
Эксперт 3 |
||
Слабые пароли и отсутствие требований к их сложности. |
0,7 |
0,6 |
0,9 |
0,73 |
Использование небезопасных методов хранения паролей |
0,7 |
0,6 |
0,8 |
0,7 |
Недостаточный контроль доступа к данным. |
0,7 |
0,9 |
0,8 |
0,8 |
Уязвимость в политике разграничения прав доступа. |
0,5 |
0,4 |
0,7 |
0,6 |
Недостаточный контроль на уровне копирования и перемещения данных. |
0,4 |
0,5 |
0,6 |
0,5 |
Доступ к оборудованию без физической защиты |
0,3 |
0,2 |
0,4 |
0,3 |
Использование стандартных паролей. |
0,4 |
0,5 |
0,6 |
0,5 |
Отсутствие обновлений программного обеспечения. |
0,6 |
0,8 |
0,7 |
0,7 |
Уязвимости в настройках прав доступа. |
0,9 |
0,9 |
0,9 |
0,9 |
Недостаточный контроль за сессиями пользователей. |
0,6 |
0,7 |
0,5 |
0,6 |
Недостаточная прозрачность политики безопасности. |
0,2 |
0,2 |
0,5 |
0,3 |
Отсутствие шифрования в облачной инфраструктуре. |
0,7 |
0,7 |
0,8 |
0,73 |
Отсутствие мер по восстановлению данных при их утрате. |
0,8 |
0,8 |
0,4 |
0,66 |
Отсутствие фильтров для фишинговых e-mail сообщений. |
0,8 |
0,4 |
0,5 |
0,56 |
Недостаточная подготовка пользователей. |
0,6 |
0,7 |
0,8 |
0,7 |
Отсутствие контроля за выполнением команд в ОС. |
0,3 |
0,5 |
0,1 |
0,3 |
Уязвимости в доступе к системным утилитам. |
0,1 |
0,2 |
0,4 |
0,23 |
Отсутствие регулярного обновления систем безопасности. |
0,6 |
0,7 |
0,7 |
0,66 |
Список уязвимостей по убыванию вероятностей реализации угроз через них:
1) Уязвимости в настройках прав доступа;
2) Недостаточный контроль доступа к данным;
3) Слабые пароли и отсутствие требований к их сложности;
4) Отсутствие шифрования в облачной инфраструктуре;
5) Недостаточная подготовка пользователей;
6) Отсутствие обновлений программного обеспечения;
7) Использование небезопасных методов хранения паролей;
8) Отсутствие регулярного обновления систем безопасности;
9) Отсутствие мер по восстановлению данных при их утрате;
10) Недостаточный контроль за сессиями пользователей;
11) Уязвимость в политике разграничения прав доступа;
12) Отсутствие фильтров для фишинговых e-mail сообщений;
13) Использование стандартных паролей;
14) Недостаточный контроль на уровне копирования и перемещения данных;
15) Доступ к оборудованию без физической защиты;
16) Отсутствие контроля за выполнением команд в ОС;
17) Недостаточная прозрачность политики безопасности;
18) Уязвимости в доступе к системным утилитам.