МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА №3
по дисциплине «Основы информационной безопасности»
Тема: Проведение анализа и оценки возможностей реализации угроз информационной безопасности на объекте по методике С.В.Вихорева
Студент гр. |
|
|
Преподаватель |
|
|
Санкт-Петербург
2023
постановка задачи
Выбрать область на основе собранных материалов по конкретному предприятию, организации или компании. Провести анализ и оценку возможностей реализации угроз информационной безопасности на объекте по методике С.В. Вихорева.
отчётная форма
Описание информационной системы выбранного предприятия
Базовый вариант рассматривает ООО “НП ГГП”
“НИРОКАН”, расположенный:
в Восточной части Российской Федерации,
в нейтральных сейсмических условиях, и в сложных метеорологических, гидрологических условиях, не имеющий в непосредственной близости предприятий, и других техногенных сооружений.
Объект – это гомогенная, иерархическая информационная система с единым корпоративным идентификационным и аутентификационным контуром с нефиксированным количеством пользователей, которая:
обрабатывает информацию с разной степенью конфиденциальности
имеет равенство приоритетов ИБ
пользователи имеют разные права доступа к информации
имеет удаленных и мобильных пользователей
сопряженную с сетью Internet
Воздействия источников угроз приносят максимальный ущерб субъекту отношений, а сами источники угроз имеют максимальные возможности по реализации угроз.
Ранжирование групп источников угроз ИБ
Анкета для получения исходных данных по оценке приоритетности ИБ
|
Содержание вопроса |
Да |
Нет |
11 |
Может ли несанкционированное разглашение защищаемых сведений: |
|
|
11.1 |
привести к срыву реализации стратегических планов развития организации, повлиять на снижение ее деловой активности |
+ |
|
11.2 |
привести к разглашению секретов организации или третьих лиц, ноу-хау, персональных данных, нарушить тайну сообщений |
+ |
|
11.3 |
повлиять на ухудшение взаимоотношений с партнерами, снижение престижа и деловой репутации организации |
+ |
|
|
Сумма положительных («Да») ответов по п.1, («Да») = (КП)К |
3 |
|
22 |
Может ли несанкционированное изменение защищаемой информации: |
|
|
22.1 |
привести к принятию ошибочных решений (или непринятию вообще), важных для практической деятельности организации |
+ |
|
22.2 |
привести к полной или частичной дезорганизации деятельности организации или ее подразделений, нарушить взаимоотношения с партнерами |
+ |
|
22.3 |
изменить содержание персональных данных или другие сведения, затрагивающие интересы личности |
+ |
|
|
Сумма положительных («Да») ответов по п.2, («Да») = (КП)Ц |
3 |
|
33 |
Может ли задержка в получении защищаемой информации или ее неполучение: |
|
|
33.1 |
привести к невозможности выполнения взятых организацией обязательств перед третьим лицами |
+ |
|
33.2 |
привести к несвоевременному принятию решений (или непринятию вообще), важных для практической деятельности организации |
+ |
|
33.3 |
привести к полной или частичной дезорганизации деятельности организации или ее подразделений |
+ |
|
|
Сумма положительных («Да») ответов по п.1, («Да») = (КП)Д |
3 |
|
|
Коэффициенты приоритетности целей ИБ |
|
r |
Цели ИБ |
(КП)r |
К |
Конфиденциальность |
3 |
Ц |
Целостность |
3 |
Д |
Доступность |
3 |
С |
(КП)c = Const = 2 |
|
Используя
формулу(2.1) рассчитаем коэффициенты
актуальности угроз ИБ, учитывая то, что
,
получаем то, что
|
Коэффициенты актуальности угроз ИБ |
|
k |
Угрозы ИБ |
(КА)k |
1 |
Хищение (копирование) информации и средств ее обработки |
0,19 |
2 |
Утрата (неумышленная потеря, утечка) информации и средств ее обработки |
0,1 |
3 |
Модификация (искажение) информации |
0,14 |
4 |
Отрицание подлинности информации |
0,08 |
5 |
Навязывание ложной информации |
0,06 |
6 |
Уничтожение информации и средств ее обработки |
0,17 |
7 |
Блокирование информации |
0,12 |
8 |
Создание условий для реализации угрозы ИБ |
0,14 |
Для
рассматриваемого варианта
Из перечня угроз:
Утрата (неумышленная потеря, утечка) информации и средств ее обработки
Отрицание подлинности информации
Навязывание ложной информации
Блокирование информации
В дальнейшем анализе эти угрозы будут рассматриваться, как маловероятные, то есть их можно не учитывать из-за того, что они не превышают величину порогового значения.
Используя формулу(3.1) рассчитаем весовые коэффициенты и соответствующие им нормированные коэффиценты групп источников ИБ.
Весовые коэффициенты групп источников иб при равенстве приоритетов целей |
||||
g |
Код |
Группа источников угроз ИБ |
|
|
1 |
[I.A.0] |
Антропогенные внешние источники |
0,9 |
0,26 |
2 |
[I.B.0] |
Антропогенные внутренние источники |
0,92 |
0,27 |
3 |
[II.A.0] |
Техногенные внешние источники |
0,57 |
0,17 |
4 |
[II.B.0] |
Техногенные внутренние источники |
0,57 |
0,17 |
5 |
[III.A.0] |
Стихийные внешние источники |
0,43 |
0,13 |
Используя формулу(2.1) рассчитаем коэффициенты актуальности угроз ИБ, учитывая то, что , получаем то, что
3. Ранжирование источников угроз ИБ
Рассчитаем
из формулы (4.4) пороговое значение
коэффициента опасности источников
угроз
для случая равенства приоритетов
Ориентировочная оценка степени опасности источников угроз ИБ |
|||||
Код (i) |
Источники угроз информационной безопасности |
(k1)i |
(k2)i |
(k3)i |
(Коп)i |
[I.A.0] |
Антропогенные внешние источники |
(К1)N = 0,26 |
|||
[I.A.1] |
криминальные структуры |
1 |
2 |
3 |
0,057 |
[I.A.2] |
потенциальные преступники и хакеры |
3 |
3 |
4 |
0,14 |
[I.A.3] |
недобросовестные партнеры |
1 |
2 |
2 |
0,065 |
[I.A.4] |
технический персонал поставщиков телематических услуг |
3 |
3 |
5 |
0,09 |
[I.A.5] |
представители надзорных организаций и аварийных служб |
1 |
1 |
5 |
0,01 |
[I.A.6] |
представители силовых структур |
1 |
3 |
1 |
0,02 |
[I.B.0] |
Антропогенные внутренние источники |
(К2)N = 0,27 |
|||
[I.B.1] |
основной персонал (пользователи, программисты, разработчики) |
4 |
5 |
5 |
0,21 |
[I.B.2] |
представители службы защиты информации (администраторы) |
5 |
5 |
5 |
0,27 |
[I.B.3] |
вспомогательный персонал (уборщики, охрана) |
1 |
1 |
1 |
0,027 |
[I.B.4] |
технический персонал (жизнеобеспечение, эксплуатация) |
1 |
1 |
1 |
0,027 |
[II.A.0] |
Техногенные внешние источники угроз |
(К3)N = 0,17 |
|||
[II.A.1] |
средства связи |
5 |
3 |
5 |
0,102 |
[II.A.2] |
сети инженерных коммуникации (водоснабжения, канализации) |
5 |
5 |
5 |
0,17 |
[II.A.3] |
транспорт |
4 |
1 |
1 |
0,01 |
[II.B.0] |
Техногенные внутренние источники угроз |
(К4)N = 0,17 |
|||
[II.B.1] |
некачественные технические средства обработки информации |
1 |
1 |
4 |
0,01 |
[II.B.2] |
некачественные программные средства обработки информации |
1 |
1 |
4 |
0,01 |
[II.B.3] |
вспомогательные средства (охраны, сигнализации, телефонии) |
4 |
3 |
3 |
0,09 |
[II.B.4] |
другие технические средства, применяемые в учреждении |
3 |
3 |
2 |
0,11 |
[III.A.0] |
Стихийные внешние источники |
(К5)N = 0,13 |
|||
[III.A.1] |
пожары |
1 |
4 |
5 |
0,02 |
[III.A.2] |
землетрясения, провалы, обвалы, оползни |
1 |
1 |
5 |
0,005 |
[III.A.3] |
наводнения, сели, лавины, |
2 |
1 |
3 |
0,02 |
[III.A.4] |
ураганы, снегопады, метели, штормы |
4 |
5 |
4 |
0,08 |
[III.A.5] |
магнитные бури |
3 |
5 |
2 |
0,03 |
[III.A.6] |
радиоактивное излучение |
1 |
1 |
2 |
0,03 |
[III.A.7] |
различные непредвиденные обстоятельства |
1 |
1 |
1 |
0,027 |
[III.A.8] |
необъяснимые явления |
1 |
1 |
1 |
0,027 |
[III.A.9] |
другие форс-мажорные обстоятельства |
1 |
1 |
1 |
0,027 |
Источники угроз ИБ, имеющие код [I.A.5], [I.A.6], [I.B.3], [I.B.4], [II.A.3], [II.B.1], [II.B.2],[III.A.1], [III.A.2], [III.A.3], [III.A.5], [III.A.6], [III.A.7], [III.A.8], [III.A.9], в дальнейшем при рассмотрении базового варианта могут не рассматриваться как маловероятные, так как имеют коэффициент опасности ниже порогового значения i = 0,054.
Некоторые источники угроз всегда присутствуют в силу объективных обстоятельств и не могут быть исключены из рассмотрения ни при каких обстоятельствах. К таким источникам угроз относятся:
Код |
Неустранимые источники угроз |
[I.A.5] |
представители надзорных организаций и аварийных служб |
[I.B.1] |
основной персонал (геологи) |
[I.B.2] |
представители службы защиты информации (администраторы) |
[II.A.2] |
сети инженерных коммуникации (водоснабжения, канализации) |
[II.B.1] |
некачественные технические средства обработки информации |
[II.B.2] |
некачественные программные средства обработки информации |
[III.A.1] |
пожары |
Перечень источников угроз исключенных в результате анализа |
||
Код |
Источники угроз |
Описание причин исключения |
[I.A.6] |
представители силовых структур |
Коэффициент
опасности ниже порогового значения
|
[I.B.3] |
вспомогательный персонал (уборщики, охрана) |
Коэффициент опасности ниже порогового значения = 0,054 |
[I.B.4] |
технический персонал (жизнеобеспечение, эксплуатация) |
Коэффициент опасности ниже порогового значения = 0,054 |
[II.A.3] |
транспорт |
Коэффициент опасности ниже порогового значения = 0,054 |
[III.A.2] |
землетрясения, провалы, обвалы, оползни |
Коэффициент опасности ниже порогового значения = 0,054 |
[III.A.3] |
наводнения, сели, лавины, |
Коэффициент опасности ниже порогового значения = 0,054 |
[III.A.5] |
магнитные бури |
Коэффициент опасности ниже порогового значения = 0,054 |
[III.A.6] |
радиоактивное излучение |
Коэффициент опасности ниже порогового значения = 0,054 |
[III.A.7] |
различные непредвиденные обстоятельства |
Коэффициент опасности ниже порогового значения = 0,054 |
[III.A.8] |
необъяснимые явления |
Коэффициент опасности ниже порогового значения = 0,054 |
[III.A.9] |
другие форс-мажорные обстоятельства |
Коэффициент опасности ниже порогового значения = 0,054 |
= 0,054
Перечень актуальных источников угроз |
|||||
Код (i) |
Источники угроз |
(k1)i |
(k2)i |
(k3)i |
(Коп)I |
[I.A.1] |
криминальные структуры |
1 |
2 |
3 |
0,057 |
[I.A.2] |
потенциальные преступники и хакеры |
3 |
3 |
4 |
0,14 |
[I.A.3] |
недобросовестные партнеры |
1 |
2 |
2 |
0,065 |
[I.A.4] |
технический персонал поставщиков телематических услуг |
3 |
3 |
5 |
0,09 |
[I.A.5] |
представители надзорных организаций и аварийных служб |
1 |
1 |
5 |
0,01 |
[I.B.1] |
основной персонал (пользователи, программисты, разработчики) |
4 |
5 |
5 |
0,21 |
[I.B.2] |
представители службы защиты информации (администраторы) |
5 |
5 |
5 |
0,27 |
[II.A.1] |
средства связи |
5 |
3 |
5 |
0,102 |
[II.A.2] |
сети инженерных коммуникации (водоснабжения, канализации) |
5 |
5 |
5 |
0,17 |
[II.B.3] |
вспомогательные средства (охраны, сигнализации, телефонии) |
4 |
3 |
3 |
0,09 |
[II.B.1] |
некачественные технические средства обработки информации |
1 |
1 |
4 |
0,01 |
[II.B.2] |
некачественные программные средства обработки информации |
1 |
1 |
4 |
0,01 |
[II.B.4] |
другие технические средства, применяемые в учреждении |
3 |
3 |
2 |
0,11 |
[III.A.4] |
ураганы, снегопады, метели, штормы |
4 |
5 |
4 |
0,08 |
[III.A.1] |
пожары |
1 |
4 |
5 |
0,02 |
[III.A.4] |
ураганы, снегопады, метели, штормы |
4 |
5 |
4 |
0,08 |