МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА №3 по дисциплине «Основы информационной безопасности»
Тема: «Проведение анализа и оценки возможностей реализации угроз информационной безопасности на объекте по методике С.В. Вихорева»
Студент гр.
Преподаватель
Санкт-Петербург
2023
ЦЕЛЬ РАБОТЫ
Изучение вида работ по разработке модели угроз, ее актуализации
ПОСТАНОВКА ЗАДАЧИ
А) На основе собранных материалов по конкретному предприятию выбрать описываемую область.
Б) Изучить виды работ по разработке модели угроз, ее актуализации.
В) Выполнить отчет в форме, описанной в первой части методики.
1. Описание предприятия ПАО «МТС»
Предприятие «МТС» расположено:
Головной офис находится в Москве, филиалы расположены по всей Российской Федерации.
«МТС» |
имеет |
гетерогенную, |
иерархическую |
корпоративную |
информационную сеть со счетным количеством (до 80 000 000) пользователей,
которая:
обрабатывает информацию с разной степенью конфиденциальности
имеет равенство приоритетов целей ИБ
пользователи имеют разные права доступа к информации
сопряженную с сетью Internet
Воздействия источников угроз приносят максимальный ущерб субъекту
отношений, а сами источники угроз имеют максимальные возможности по
реализации угроз.
2. Ранжирование угроз ИБ
Анкета для получения исходных данных по оценке приоритетности целей ИБ
|
Содержание вопроса |
Да |
Нет |
|
|
|
|
1 |
Может ли несанкционированное разглашение |
|
|
защищаемых сведений: |
|
|
|
|
|
|
|
|
привести к срыву реализации стратегических планов |
|
|
1.1 |
развития организации, повлиять на снижение ее |
+ |
|
|
деловой активности |
|
|
|
|
|
|
|
привести к разглашению секретов организации или |
|
|
1.2 |
третьих лиц, ноу-хау, персональных данных, |
+ |
|
|
нарушить тайну сообщений |
|
|
|
повлиять на ухудшение взаимоотношений с |
|
|
1.3 |
партнерами, снижение престижа и деловой |
+ |
|
|
репутации организации |
|
|
|
Сумма положительных («Да») ответов по п.1, («Да») = |
3 |
|
|
(КП)К |
|
|
2 |
Может ли несанкционированное изменение защищаемой |
|
|
информации: |
|
|
|
|
|
|
|
|
привести к принятию ошибочных решений (или |
|
|
2.1 |
непринятию вообще), важных для практической |
+ |
|
|
деятельности организации |
|
|
|
привести к полной или частичной дезорганизации |
|
|
2.3 |
деятельности организации или ее подразделений, |
+ |
|
|
нарушить взаимоотношения с партнерами |
|
|
2.4 |
изменить содержание персональных данных или |
+ |
|
другие сведения, затрагивающие интересы личности |
|
|
|
|
|
|
|
|
|
|
|
|
Сумма положительных («Да») ответов по п.2, («Да») = |
3 |
|
|
(КП)Ц |
|
|
3 |
Может ли задержка в получении защищаемой |
|
|
информации или ее неполучение: |
|
|
|
|
|
|
|
3.1 |
привести к невозможности выполнения взятых |
+ |
|
организацией обязательств перед третьим лицами |
|
||
|
|
|
|
|
привести к несвоевременному принятию решений |
|
|
3.2 |
(или непринятию вообще), важных для |
+ |
|
|
практической деятельности организации |
|
|
3.3 |
привести к полной или частичной дезорганизации |
+ |
|
деятельности организации или ее подразделений |
|
||
|
|
|
|
|
Сумма положительных («Да») ответов по п.1, («Да») = |
3 |
|
|
(КП)Д |
|
|
Коэффициенты приоритетности целей ИБ
Цели ИБ |
(КП)r |
Конфиденциальность |
3 |
Целостность |
3 |
Доступность |
3 |
(КП)c = Const = 3 |
|
Принимая во внимание, что приоритеты целей ИБ равны, то есть: КП)К =
(КП)Ц = (КП)Д , из формулы (2.1) и учитывая, что (КВ)k = 1, получаем, что коэффициент (КА)k = (КВ)k , из Таблицы 2 получаем:
Коэффициенты актуальности угроз ИБ
k |
Угрозы ИБ |
(КА)k |
|
|
|
1 |
Хищение (копирование) информации и средств ее обработки |
0,19 |
|
|
|
2 |
Утрата (неумышленная потеря, утечка) информации и средств |
0,10 |
|
ее обработки |
|
3 |
Модификация (искажение) информации |
0,14 |
|
|
|
4 |
Отрицание подлинности информации |
0,08 |
|
|
|
5 |
Навязывание ложной информации |
0,06 |
|
|
|
6 |
Уничтожение информации и средств ее обработки |
0,17 |
|
|
|
7 |
Блокирование информации |
0,12 |
|
|
|
8 |
Создание условий для реализации угрозы ИБ |
0,14 |
|
|
|
Для рассматриваемого варианта, с учетом формулы
k 0,2 max{'(KB)k} 0,2 0,65 = 0,13
Тогда такие угрозы, как:
«утрата (неумышленная потеря, утечка) информации и средств ее обработки» (КА)2 = 0,10 0,13
«отрицание подлинности информации» (КА)4 = 0,08 0,13
«навязывание ложной информации» (КА)5 = 0,06 0,13
«создание условий для реализации угрозы ИБ» (КА)8 = 0,12 0,13
вдальнейшем анализе могут не рассматриваться, как маловероятные.
3. Ранжирование групп источников угроз ИБ
Величины весовых коэффициенты групп источников угроз ИБ (Kgi) и
соответствующих им нормированных весовых коэффициентов группы источников угроз ИБ (Kgi)N исходя из формулы (3.1) приведены в таблице:
Весовые коэффициенты групп источников ИБ при равенстве приоритетов целей
g |
Код |
Группа источников угроз ИБ |
Kgi |
(Kgi)N |
1 |
[I.A.0] |
Антропогенные внешние источники |
0,90 |
0,26 |
2 |
[I.B.0] |
Антропогенные внутренние источники |
0,92 |
0,27 |
3 |
[II.A.0 |
Техногенные внешние источники |
0,57 |
0,17 |
|
] |
|
|
|
4 |
[II.B.0 |
Техногенные внутренние источники |
0,57 |
0,17 |
|
] |
|
|
|
5 |
[III.A. |
Стихийные внешние источники |
0,43 |
0,13 |
|
0] |
|
|
|
4. Ранжирование источников угроз ИБ
k1 – показатель возможности возникновения источника угрозы (1..5) k2 – показатель готовности источника угрозы (1..5)
k3 – коэффициент фатальности применения источника угрозы (1..5)
Рассчитаем из формулы (4.4) пороговое значение коэффициента опасности источников угроз для случая равенства приоритетов i = 0,2 x 0,27 = 0,054
Оценка степени опасности источников угроз ИБ
Код |
(i) |
[I.A.0] |
[I.A.1] |
[I.A.2] |
[I.A.3] |
[I.A.4] |
[I.A.5] |
[I.A.6] |
[I.B.0] |
[I.B.1] |
[I.B.2] |
[I.B.3] |
[I.B.4] |
[II.A.0] |
[II.A.1] |
[II.A.2] |
[II.A.3] |
[II.B.0] |
[II.B.1] |
[II.B.2] |
[II.B.3] |
[II.B.4] |
[III.A.0] |
[III.A.1] |
[III.A.2] |
[III.A.3] |
[III.A.4] |
[III.A.5] |
[III.A.6] |
[III.A.7] |
[III.A.8] |
[III.A.9] |
Источники угроз информационной безопасности
Антропогенные внешние источники
криминальные структуры
потенциальные преступники и хакеры
недобросовестные партнеры
технический персонал поставщиков телематических услуг
представители надзорных организаций и аварийных служб
представители силовых структур
Антропогенные внутренние источники
основной персонал (пользователи, программисты, разработчики)
представители службы защиты информации (администраторы)
вспомогательный персонал (уборщики, охрана)
технический персонал (жизнеобеспечение, эксплуатация)
Техногенные внешние источники угроз
средства связи
сети инженерных коммуникации (водоснабжения, канализации)
транспорт
Техногенные внутренние источники угроз
некачественные технические средства обработки информации
некачественные программные средства обработки информации
вспомогательные средства (охраны, сигнализации, телефонии)
другие технические средства, применяемые в учреждении
Стихийные внешние источники
пожары
землетрясения, провалы, обвалы, оползни
наводнения, сели, лавины,
ураганы, снегопады, метели, штормы
магнитные бури
радиоактивное излучение
различные непредвиденные обстоятельства
необъяснимые явления
другие форс-мажорные обстоятельства
|
(k1)i |
(k2)i |
(k3)i |
|
(Коп)i |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(К1)N = 0,26 |
|
|
|
||||
|
1 |
|
|
1 |
|
|
4 |
|
|
0,00832 |
|
4 |
|
4 |
|
5 |
|
0,1664 |
|
||||
|
|
|
|
|
|
|
|
||||
3 |
|
4 |
|
3 |
|
0,0748 |
|
||||
|
|
|
|
|
|
|
|
||||
|
2 |
|
|
3 |
|
|
3 |
|
|
0,0374 |
|
|
3 |
|
|
1 |
|
|
2 |
|
|
0,01 |
|
|
2 |
|
|
3 |
|
|
3 |
|
|
0,0374 |
|
|
|
|
|
(К2)N = 0,27 |
|
|
|
||||
3 |
|
4 |
|
5 |
|
0,1296 |
|
||||
|
|
|
|
|
|
|
|
||||
|
3 |
|
|
1 |
|
|
4 |
|
|
0,0163 |
|
|
2 |
|
|
1 |
|
|
2 |
|
|
0,00864 |
|
|
2 |
|
|
1 |
|
|
2 |
|
|
0,00864 |
|
|
|
|
|
(К3)N = 0,17 |
|
|
|
||||
5 |
|
5 |
|
4 |
|
0,136 |
|
||||
|
|
|
|
|
|
|
|
||||
|
3 |
|
|
4 |
|
|
1 |
|
|
0,0163 |
|
|
3 |
|
|
1 |
|
|
1 |
|
|
0,004 |
|
|
|
|
|
(К4)N = 0,17 |
|
|
|
||||
5 |
|
5 |
|
3 |
|
0,102 |
|
||||
|
|
|
|
|
|
|
|
||||
5 |
|
5 |
|
3 |
|
0,102 |
|
||||
|
|
|
|
|
|
|
|
||||
|
3 |
|
|
3 |
|
|
3 |
|
|
0,036 |
|
|
3 |
|
|
3 |
|
|
3 |
|
|
0,036 |
|
|
|
|
|
(К5)N = 0,13 |
|
|
|
||||
|
3 |
|
|
1 |
|
|
3 |
|
|
0,00936 |
|
|
1 |
|
|
1 |
|
|
1 |
|
|
0,00104 |
|
|
1 |
|
|
1 |
|
|
1 |
|
|
0,00104 |
|
|
4 |
|
|
2 |
|
|
2 |
|
|
0,01664 |
|
|
4 |
|
|
2 |
|
|
2 |
|
|
0,01664 |
|
|
1 |
|
|
1 |
|
|
1 |
|
|
0,0104 |
|
|
1 |
|
|
3 |
|
|
3 |
|
|
0,00936 |
|
|
1 |
|
|
3 |
|
|
3 |
|
|
0,00936 |
|
|
1 |
|
|
3 |
|
|
3 |
|
|
0,00936 |
|
|
|
|
|
|
|
|
|
|
|
|
|
Источники угроз ИБ, имеющие код [I.A.1], [I.A.4], [I.A.5], [I.A.6],[I.B.2], [I.B.3], [I.B.4], [II.A.2], [II.A.3], [II.B.3], [II.B.4], [III.A.1], [III.A.2], [III.A.3], [III.A.4], [III.A.5], [III.A.6], [III.A.7], [III.A.8], [III.A.9] (помечены в таблице
-
цветом) в дальнейшем могут не рассматриваться как маловероятные, так
как имеют коэффициент опасности ниже порогового значения i = 0,054.
Перечень актуальных источников угроз ИБ
Код |
Источники угроз информационной |
(k1)i |
(k2)i |
(k3)i |
(Коп)i |
|
безопасности |
||||||
|
|
|
|
|
||
[I.A.2] |
потенциальные преступники и хакеры |
4 |
4 |
5 |
0,1664 |
|
|
|
|
|
|
|
|
[I.B.1] |
основной персонал (пользователи, |
3 |
4 |
5 |
0,1296 |
|
программисты, разработчики) |
||||||
|
|
|
|
|
||
|
|
|
|
|
|
|
[II.A.1] |
средства связи |
5 |
5 |
4 |
0,136 |
|
|
||||||
|
|
|
|
|
|
|
[II.B.1] |
некачественные технические средства |
5 |
5 |
3 |
0,102 |
|
обработки информации |
||||||
|
|
|
|
|
|
|
[II.B.2] |
некачественные программные средства |
5 |
5 |
3 |
0,102 |
|
обработки информации |
||||||
|
|
|
|
|
|
|
[I.A.3] |
недобросовестные партнеры |
3 |
4 |
3 |
0,0748 |
|
|
|
|
|
|
|