МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА №3 по дисциплине «Основы информационной безопасности»
Тема: Проведение анализа и оценки возможностей реализации угроз информационной безопасности на объекте по методике С.В. Вихорева
Студент гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
1.Тема: Проведение анализа и оценки возможностей реализации угроз информационной безопасности на объекте по методике С.В. Вихорева
2.Описываемая область выбирается на основе собранных материалов по конкретному предприятию, организации или компании.
3.Цель работы: Изучение вида работ по разработке модели угроз, ее актуализации.
4.Отчет выполняется в форме описанной в 1 части методики С.В.
Вихорева.
Описание базового объекта
Орагинзация СПб ГБУК ЦБС Кировского района Библиотека №10
расположено:
1)в Европейской части Российской Федерации (г. Санкт-Петербург),
2)в спокойных метеорологических, сейсмических и гидрологических условиях,
3)не в непосредственной близости предприятий, и других техногенных сооружений.
СПб ГБУК ЦБС Кировского района Библиотека №10 имеет гетерогенную, иерархическую корпоративную информационную сеть со счетным количеством (до 500) пользователей, которая:
обрабатывает информацию с разной степенью конфиденциальности
имеет равенство приоритетов целей ИБ
пользователи имеют равные права доступа к информации
сопряженную с сетью Internet
Воздействия источников угроз приносят максимальный ущерб субъекту
отношений, а сами источники угроз имеют максимальные возможности по
реализации угроз.
Выбор приоритетов целей ИБ
Анкета для получения исходных данных по оценке приоритетности целей ИБ
|
|
|
|
|
Содержание вопроса |
|
|
|
|
|
|
Да |
Нет |
|||
|
|
|
|
|
|
|
|
|
||||||||
1 |
|
Может |
ли |
несанкционированное |
разглашение |
|
|
|
||||||||
|
защищаемых сведений: |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
→ |
привести к срыву реализации стратегических |
|
|
|
||||||||||
1.1 |
|
планов развития организации, повлиять на снижение ее |
+ |
|
||||||||||||
|
|
деловой активности |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
→ |
привести к разглашению секретов организации |
|
|
|
||||||||||
1.2 |
|
или третьих лиц, ноу-хау, персональных данных, нарушить |
+ |
|
||||||||||||
|
|
тайну сообщений |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
→ |
повлиять на ухудшение взаимоотношений с |
|
|
|
||||||||||
1.3 |
|
партнерами, |
снижение |
престижа и деловой |
репутации |
+ |
|
|||||||||
|
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Сумма |
положительных |
(«Да») |
ответов |
по |
п.1, |
|
3 |
|||||||
|
|
(«Да») = (КП)К |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
2 |
|
Может |
ли несанкционированное |
|
изменение |
|
|
|
||||||||
|
защищаемой информации: |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
→ |
|
привести к принятию ошибочных решений |
|
|
|
|||||||||
2.1 |
|
(или непринятию вообще), важных для практической |
+ |
|
||||||||||||
|
|
деятельности организации |
|
|
|
|
|
|
|
|
|
|
||||
|
|
→ |
|
привести |
к |
полной |
или |
|
частичной |
|
|
|
||||
2.3 |
|
дезорганизации |
деятельности |
организации |
|
или |
ее |
+ |
|
|||||||
|
|
подразделений, нарушить взаимоотношения с партнерами |
|
|
|
|||||||||||
2.4 |
|
→ |
|
изменить содержание персональных данных |
+ |
|
||||||||||
|
или другие сведения, затрагивающие интересы личности |
|
||||||||||||||
|
|
Сумма |
положительных |
(«Да») |
ответов |
по |
п.2, |
|
3 |
|||||||
|
|
(«Да») = (КП)Ц |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
3 |
|
Может |
ли |
задержка в |
получении |
защищаемой |
|
|
|
|||||||
|
информации или ее неполучение: |
|
|
|
|
|
|
|
|
|||||||
3.1 |
|
→ |
|
привести |
к |
невозможности |
выполнения |
+ |
|
|||||||
|
взятых организацией обязательств перед третьим лицами |
|
||||||||||||||
|
|
→ |
|
привести |
к |
несвоевременному |
|
принятию |
|
|
|
|||||
3.2 |
|
решений |
(или |
непринятию |
вообще), |
важных |
для |
+ |
|
|||||||
|
|
практической деятельности организации |
|
|
|
|
|
|
|
|
||||||
|
|
→ |
|
привести |
к |
полной |
или |
|
частичной |
|
|
|
||||
3.3 |
|
дезорганизации |
деятельности |
организации |
|
или |
ее |
+ |
|
|||||||
|
|
подразделений |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
Сумма |
положительных |
(«Да») |
ответов |
по |
п.1, |
|
3 |
|||||||
|
|
(«Да») = (КП)Д |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
Коэффициенты приоритетности целей ИБ
r |
|
Цели ИБ |
(КП)r |
|
|
|
|
К |
Конфиденциальность |
|
3 |
|
|
|
|
Ц |
Целостность |
|
3 |
|
|
|
|
Д |
Доступность |
|
3 |
|
|
|
|
С |
|
(КП)c = Const = 2 |
|
|
|
|
|
Вопросы:
Оказывает ли влияние деятельность Вашей организации на состояние рынка товаров (продукции, услуг) в какой-либо отрасли, регионе - нет
Является ли ваша организация лидером в отрасли, регионе, стране - нет
Является ли Ваша организация «системообразующей» в отрасли, регионе, стране - нет
Относится ли Ваша организация к основным промышленным отраслям (ТЭК, металлургия, автомобилестроение и пр.) - нет
Имеете ли Вы неудовлетворенные арбитражные или судебные иски третьих лиц - нет
Планируете ли предъявить Вы или уже имеете претензии к третьим лицам, которые должны быть удовлетворены через арбитраж или суд - нет
Проявляют ли внимание к деятельности Вашей организации криминальные структуры - нет
Были ли случаи неординарных («наезды», предложения «крышевания») контактов в представителями криминальных структур - нет
Были ли случаи неординарных контактов с представителями силовых и надзорных структур (Налоговая полиция, ФСБ России, МВД России, ГТК России) - нет
Поддерживает ли активно Ваша организация какое-либо политическое объединение (партию), движение, оказываете ли Вы им какую-либо финансовую, материальную поддержку - нет
Проводите ли Вы публичные акции по рекламе своей продукции( услуг) - да
Участвуете ли Вы в выставках, конференциях, симпозиумах, коллоквиумах по тематике деятельности Вашей организации. Каков уровень представительства (топ-менеджер, менеджер, исполнитель) – да, исоплнитель
Проводите ли Вы серьезные научные исследования в области совершенствования и развития своей деятельности, поиска ноу-хау - нет
Имеете ли Вы партнерскую сеть (на территории России, за рубежом) - нет
|
|
|
|
|
|
|
Ранжирование угроз ИБ |
|
|
|
|
|
|||||
|
|
|
|
|
Будем считать, |
что приоритеты |
целей ИБ равны, |
то есть: |
|||||||||
(КП)К = (КП)Ц = (КП)Д , из формулы |
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
(КА) = |
(КВ) × (КП) |
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
∑ (К |
) |
× (К ) |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
1 |
В |
П |
|
|
|
|
|
|||
и учитывая, что ∑ (К ) |
= 1, получаем коэффициент (КА)k = (КВ)k, |
значит: |
|||||||||||||||
|
|
|
|
1 |
В |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Коэффициенты актуальности угроз ИБ |
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
k |
|
|
|
Угрозы ИБ |
|
|
|
|
|
(КА)k |
|
||||
|
1 |
|
|
Хищение (копирование) информации и средств ее обработки |
|
0,19 |
|
|
|||||||||
|
|
2 |
|
|
Утрата (неумышленная потеря, утечка) информации и средств |
|
|
0,10 |
|
|
|||||||
|
|
|
|
ее обработки |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3 |
|
|
Модификация (искажение) информации |
|
|
|
0,14 |
|
|
|||||||
|
|
4 |
|
|
Отрицание подлинности информации |
|
|
|
|
|
0,08 |
|
|
||||
|
|
5 |
|
|
Навязывание ложной информации |
|
|
|
|
|
|
0,06 |
|
|
|||
|
6 |
|
|
Уничтожение информации и средств ее обработки |
|
0,17 |
|
|
|||||||||
|
|
7 |
|
|
Блокирование информации |
|
|
|
|
|
|
0,12 |
|
|
|||
|
8 |
|
|
Создание условий для реализации угрозы ИБ |
|
|
|
0,14 |
|
|
|||||||
|
|
|
|
|
Для данного варианта, =0,13 |
|
|
|
|
|
|
|
|
|
|||
Значит следующие угрозы могут не рассматриваться, тк они маловероятны
·«утрата информации и средств ее обработки» (КА)2 = 0,10 < 0,13
·«отрицание подлинности информации» (КА)4 = 0,08 < 0,13
·«навязывание ложной информации» (КА)5 = 0,06 < 0,13
·«блокирование информации» (КА)7 = 0,12 < 0,13
Ранжирование групп источников угроз ИБ
Величины весовых коэффициентов групп источников угроз ИБ (Kgi) и
соответствующих им нормированные весовые коэффициенты группы источников угроз ИБ (Kgi)N в случае равенства приоритетов целей ИБ и исходя из формулы
( ) = ∑1 ( )
Будут следующими:
Весовые коэффициенты групп источников ИБ при равенстве приоритетов целей
g |
Код |
Группа источников угроз ИБ |
Kgi |
(Kgi)N |
1 |
[I.A.0] |
Антропогенные внешние источники |
0,9 |
0,26 |
2 |
[I.B.0] |
Антропогенные внутренние источники |
0,92 |
0,27 |
3 |
[II.A.0] |
Техногенные внешние источники |
0,57 |
0,17 |
4 |
[II.B.0] |
Техногенные внутренние источники |
0,57 |
0,17 |
5 |
[III.A.0] |
Стихийные внешние источники |
0,43 |
0,13 |
Ранжирование источников угроз ИБ
Рассчитаем из формулы
= 0.2 × max {′ ( ) }
пороговое значение коэффициента опасности источников угроз в случае |
|||||||||||||||
равенства приоритетов = 0.2 × 0.27 = 0.054 |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ориентировочная оценка |
|
|
|
|
|
|
|
|
|
|||
|
|
|
степени опасности источников угроз ИБ |
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Код (i) |
|
Источники угроз информационной |
|
(k1)i |
(k2)i |
(k3)i |
|
(Коп)i |
||||||
|
|
безопасности |
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[I.A.0] |
|
Антропогенные внешние источники |
|
|
|
(К1)N = 0,26 |
|
|
||||||
|
[I.A.1] |
|
криминальные структуры |
3 |
|
4 |
|
5 |
|
|
0,12 |
|
|||
|
[I.A.2] |
|
потенциальные преступники и хакеры |
4 |
|
4 |
|
4 |
|
|
0,13 |
|
|||
|
[I.A.3] |
|
недобросовестные партнеры |
|
3 |
|
|
2 |
|
|
4 |
|
|
0,05 |
|
|
[I.A.4] |
|
технический персонал поставщиков |
2 |
|
4 |
|
5 |
|
|
0,08 |
|
|||
|
|
телематических услуг |
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[I.A.5] |
|
представители надзорных организаций и |
|
3 |
|
|
2 |
|
|
2 |
|
|
0,02 |
|
|
|
аварийных служб |
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[I.A.6] |
|
представители силовых структур |
|
3 |
|
|
3 |
|
|
2 |
|
|
0,04 |
|
|
[I.B.0] |
|
Антропогенные внутренние источники |
|
|
|
(К2)N = 0,27 |
|
|
||||||
|
[I.B.1] |
|
основной персонал (пользователи, |
4 |
|
4 |
|
5 |
|
|
0,27 |
|
|||
|
|
программисты, разработчики) |
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[I.B.2] |
|
представители службы защиты |
5 |
|
5 |
|
5 |
|
|
0,17 |
|
|||
|
|
информации (администраторы) |
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[I.B.3] |
|
вспомогательный персонал (уборщики, |
|
2 |
|
|
2 |
|
|
3 |
|
|
0,03 |
|
|
|
охрана) |
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[I.B.4] |
|
технический персонал |
|
1 |
|
|
1 |
|
|
2 |
|
|
0,00 |
|
|
|
(жизнеобеспечение, эксплуатация) |
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[II.A.0] |
|
Техногенные внешние источники угроз |
|
|
|
(К3)N = 0,17 |
|
|
||||||
|
[II.A.1] |
|
средства связи |
4 |
|
4 |
|
4 |
|
|
0,09 |
|
|||
|
[II.A.2] |
|
сети инженерных коммуникации |
|
3 |
|
|
3 |
|
|
3 |
|
|
0,04 |
|
|
|
(водоснабжения, канализации) |
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[II.A.3] |
|
транспорт |
|
2 |
|
|
1 |
|
|
2 |
|
|
0,01 |
|
|
[II.B.0] |
|
Техногенные внутренние источники угроз |
|
|
|
(К4)N = 0,17 |
|
|
||||||
|
[II.B.1] |
|
некачественные технические средства |
5 |
|
5 |
|
4 |
|
|
0,14 |
|
|||
|
|
обработки информации |
|
|
|
|
|
||||||||
|
[II.B.2] |
|
некачественные программные средства |
5 |
|
5 |
|
4 |
|
|
0,14 |
|
|||
|
|
обработки информации |
|
|
|
|
|
||||||||
|
[II.B.3] |
|
вспомогательные средства (охраны, |
4 |
|
3 |
|
3 |
|
|
0,06 |
|
|||
|
|
сигнализации, телефонии) |
|
|
|
|
|
||||||||
|
[II.B.4] |
|
другие технические средства, |
|
3 |
|
|
2 |
|
|
2 |
|
|
0,02 |
|
|
|
применяемые в учреждении |
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[III.A.0] |
|
Стихийные внешние источники |
|
|
|
(К5)N = 0,13 |
|
|
||||||
|
[III.A.1] |
|
пожары |
4 |
|
4 |
|
5 |
|
|
0,08 |
|
|||
|
[III.A.2] |
|
землетрясения, провалы, обвалы, оползни |
|
2 |
|
|
1 |
|
|
5 |
|
|
0,01 |
|
|
[III.A.3] |
|
наводнения, сели, лавины, |
|
1 |
|
|
1 |
|
|
4 |
|
|
0,01 |
|
|
[III.A.4] |
|
ураганы, снегопады, метели, штормы |
|
2 |
|
|
1 |
|
|
3 |
|
|
0,01 |
|
|
[III.A.5] |
|
магнитные бури |
|
2 |
|
|
1 |
|
|
2 |
|
|
0,00 |
|
|
[III.A.6] |
|
радиоактивное излучение |
|
3 |
|
|
2 |
|
|
2 |
|
|
0,00 |
|
|
[III.A.7] |
|
различные непредвиденные |
|
3 |
|
|
2 |
|
|
1 |
|
|
0,00 |
|
|
|
обстоятельства |
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[III.A.8] |
|
необъяснимые явления |
|
2 |
|
|
2 |
|
|
1 |
|
|
0,00 |
|
|
[III.A.9] |
|
другие форс-мажорные обстоятельства |
|
2 |
|
|
2 |
|
|
1 |
|
|
0,00 |
|
Источники угроз ИБ, отмеченные оранжевым цветом, в дальнейшем при рассмотрении базового варианта могут не рассматриваться, так как имеют коэффициент опасности ниже порогового значения = 0.054.
Перечень актуальных источников угроз ИБ
Код |
Источники угроз информационной |
(k1)i |
(k2)i |
(k3)i |
(Коп)i |
|
безопасности |
||||||
|
|
|
|
|
||
[I.B.2] |
представители службы защиты |
5 |
5 |
5 |
0,27 |
|
информации (администраторы) |
||||||
|
|
|
|
|
||
[I.B.1] |
основной персонал (пользователи, |
4 |
4 |
5 |
0,17 |
|
программисты, разработчики) |
||||||
|
|
|
|
|
||
[II.B.1] |
некачественные технические средства |
5 |
5 |
4 |
0,14 |
|
обработки информации |
||||||
[II.B.2] |
некачественные программные средства |
5 |
5 |
4 |
0,14 |
|
обработки информации |
||||||
[I.A.2] |
потенциальные преступники и хакеры |
4 |
4 |
4 |
0,13 |
|
[I.A.1] |
криминальные структуры |
3 |
4 |
5 |
0,12 |
|
[II.A.1] |
средства связи |
4 |
4 |
4 |
0,09 |
|
[I.A.4] |
технический персонал поставщиков |
2 |
4 |
5 |
0,08 |
|
телематических услуг |
||||||
|
|
|
|
|
||
[III.A.1] |
пожары |
4 |
4 |
5 |
0,08 |
|
[II.B.3] |
вспомогательные средства (охраны, |
4 |
3 |
3 |
0,06 |
|
сигнализации, телефонии) |