Добавил:

triple666mafia north memphis Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Санкт-Петербургский государственный электротехнический университет "ЛЭТИ"

Предмет:

Основы информационной безопасности

Файл:

лаба_03 / лаб_03_01_2

.pdf

Скачиваний:

Добавлен:

27.10.2025

Размер:

318.24 Кб

Скачать

☆

1 / 21 2 > Следующая >>>

МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности

ОТЧЕТ по практической работе №3

по дисциплине «Основы информационной безопасности» Тема: Проведение анализа и оценки возможностей реализации угроз

информационной безопасности на объекте по методике С.В. Вихорева

Студент гр.	_________________
Преподаватель	_________________

Санкт-Петербург

2023

Цель работы: изучение вида работ по разработке модели угроз, ее

актуализации.

Рассматриваемое предприятие: АО «Лаборатория Касперского»

1.Описание базового объекта

Базовый

вариант

рассматривает

гипотетический

объект,

расположенный:

•в Европейской части Российской Федерации,

•в спокойных метеорологических, сейсмических и гидрологических условиях,

•не имеющий в непосредственной близости предприятий, и других техногенных сооружений.

Объект имеет гетерогенную, иерархическую корпоративную

информационную сеть со счетным количеством (до 20) пользователей,

которая:

•обрабатывает информацию с разной степенью конфиденциальности

•имеет равенство приоритетов целей ИБ

•пользователи имеют разные права доступа к информации

•не имеет удаленных и мобильных пользователей

•сопряженную с сетью Internet

Воздействия источников угроз приносят максимальный ущерб субъекту

отношений, а сами источники угроз имеют максимальные возможности по

реализации угроз.

2.Ранжирование групп источников угроз ИБ

Величины весовых коэффициенты групп источников угроз ИБ и соответствующих им нормированных весовых коэффициентов группы источников угроз ИБ ( ) в случае равенства приоритетов целей ИБ и исходя из формулы (3.1) приведены в таблице ниже.

g		Код	Группа источников угроз ИБ		(		)


1		[I.A.0]	Антропогенные внешние источники	0,90	0,26

2		[I.B.0]	Антропогенные внутренние источники	0,92	0,27

3		[II.A.0]	Техногенные внешние источники	0,57	0,17

4		[II.B.0]	Техногенные внутренние источники	0,57	0,17

5		[III.A.0]	Стихийные внешние источники	0,43	0,13

		3. Ранжирование источников угроз ИБ
		Форма-1. Коэффициенты приоритетности целей ИБ

k	Цели ИБ					(КА)

К	Конфиденциальность					2

Ц	Целостность					2

Д	Доступность					2

С	Const					2

		Форма-2. Коэффициенты актуальности угроз ИБ

k	Угрозы ИБ					(КА)

1	Хищение (копирование) информации и средств ее обработки					0,19

2	Утрата (неумышленная потеря, утечка) информации и средств ее					0,10
	обработки

3	Модификация (искажение) информации					0,14

4	Уничтожение информации и средств ее обработки					0,17

5	Создание условий для реализации угрозы ИБ					0,14

			3

Форма-3. Ориентировочная оценка степени опасности источников угроз ИБ. Все значения (Коп)i, которые оказались меньше, чем 0,054, расцениваются как маловероятные (мв).

Код(i)		Источники угроз ИБ						(k1)i		(k2)i	(k3)i	(Коп)i

	[I.A.0]	Антропогенные внешние источники							(Kgi)N =(К1)N =0,26

[I.A.1]		криминальные структуры						2		1	3	мв
		криминальные структуры

[I.A.2]		потенциальные преступники и хакеры						3		4	5	0,13
		потенциальные преступники и хакеры

[I.A.3]		недобросовестные партнеры						2		2	2	мв
		недобросовестные партнеры						2		2	2	мв

[I.A.4]		технический		персонал			поставщиков	3		2	2	мв
[I.A.4]		телематических услуг						3		2	2	мв
		телематических услуг

[I.A.5]		представители надзорных организаций и						2		2	1	мв
[I.A.5]		аварийных служб						2		2	1	мв
		аварийных служб

[I.A.6]		представители силовых структур						3		3	2	мв

	[I.B.0]	Антропогенные внутренние источники							(Kgi)N = (К2)N =0,27

[I.B.1]		основной		персонал		(пользователи,		4		4	5	0,17
[I.B.1]		программисты, разработчики)						4		4	5	0,17
		программисты, разработчики)

[I.B.2]		представители			службы		защиты	3		4	4	0,10
[I.B.2]		информации (администраторы)						3		4	4	0,10
		информации (администраторы)

[I.B.3]		вспомогательный			персонал		(уборщики,	3		2	1	мв
[I.B.3]		охрана)						3		2	1	мв
		охрана)

[I.B.4]		технический					персонал	2		1	2	мв
[I.B.4]		(жизнеобеспечение, эксплуатация)						2		1	2	мв
		(жизнеобеспечение, эксплуатация)

	[II.A.0]	Техногенные внешние источники							(Kgi)N = (К3)N =0,17

[II.A.1]		средства связи						5		4	5	0,14
		средства связи

[II.A.2]		сети	инженерных			коммуникации		3		2	3	мв
[II.A.2]		(водоснабжения, канализации)						3		2	3	мв
		(водоснабжения, канализации)

[II.A.3]		транспорт						2		2	2	мв

					4

[II.B.0]

[II.B.1]

[II.B.2]

[II.B.3]

[II.B.4]

[III.A.0]

[III.A.1]

[III.A.2]

[III.A.3]

[III.A.4]

[III.A.5]

[III.A.6]

[III.A.7]

[III.A.8]

[III.A.9]

Техногенные внутренние источники

некачественные технические средства обработки информации

некачественные программные средства обработки информации

вспомогательные средства (охраны,

сигнализации, телефонии)

другие технические средства,

применяемые в учреждении Стихийные внешние источники пожары

землетрясения, провалы, обвалы, оползни

наводнения, сели, лавины,

ураганы, снегопады, метели, штормы

магнитные бури

радиоактивное излучение

различные непредвиденные обстоятельства

необъяснимые явления

другие форс-мажорные обстоятельства

(Kgi)N = (К4)N =0,17

2		1	2	мв

2		1	1	мв

2		2	2	мв

2		3	2	мв

	(Kgi)N = (К5)N =0,13

3		4	4	0,6

1		1	1	мв

1		1	1	мв

1		1	1	мв

2		2	1	мв

3		3	3	мв

2		1	2	мв

1		1	1	мв

2		3	2	мв

Форма-4. Оценка степени опасности уязвимостей ИБ. Уязвимости, где

(Коп)f меньше, чем пороговое значение (0,2) будут расцениваться как маловероятные (мв). Остальные считаются актуальными.

Код

Уязвимости ИБ

(k1)f

(k2)f

(k3)f

(Коп)f

[А.I.0.0]

сопутствующие

техническим

средствам

(Kgu)N =0,75

излучения

[A.I.a.1]

побочные

излучения

элементов

мв

технических средств

[A.I.a.2]

излучения кабельных линий технических

мв

средств

[A.I.a.3]

излучения

на

частотах

работы

мв

генераторов

[A.I.a.4]

излучения на частотах самовозбуждения

мв

усилителей

[A.I.b.1]

наводки электромагнитных излучений на

0,22

линии и проводники

[A.I.b.2]

просачивание сигналов в цепи электропи-

мв

тания, в цепи заземления

[A.I.b.3]

неравномерность

потребления

тока

мв

электропитания

[A.I.c.1]

акустические излучения

мв

[A.I.c.2]

виброакустические излучения

мв

[A.II.0.0]

активизируемые

(Kgu)N =0,92

[A.II.a.1]

аппаратные закладки устанавливаемые в

0,59

телефонные линии

[A.II.a.2]

аппаратные закладки устанавливаемые в

0,47

сети электропитания

[A.II.a.3]

аппаратные закладки устанавливаемые в

0,74

помещениях

[A.II.a.4]

аппаратные закладки устанавливаемые в

0,35

технических средствах

[A.II.b.1]

вредоносные программы

мв

[A.II.b.2]

технологические выходы из программ

мв

[A.II.b.3]

нелегальные копии ПО

мв

[A.III.0.0]

[A.III.a.1]

[A.III.a.2]

[A.III.a.3]

[A.III.a.4]

[A.III.a.5]

[A.III.b.1]

[A.III.b.2]

[A.III.b.3]

[A.IV.0.0]

[A.IV.a.1]

[A.IV.a.2]

[A.IV.a.3]

[A.IV.a.4]

[A.IV.b.1]

[A.IV.b.2]

[A.IV.b.3]

[B.I.0.0]

[B.I.a.1]

[B.I.a.2]

[B.I.a.3]

определяемые особенностями элементов (Kgu)N =0,96

обладающие		электроакустическими				2		1	3	мв
преобразованиями ТА
обладающие		электроакустическими				2		2	2	мв
преобразованиями громкоговорители
обладающие		электроакустическими				2		2	2	мв
преобразованиями индуктивности
обладающие		электроакустическими				2		2	2	мв
преобразованиями дроссели
обладающие		электроакустическими				2		2	2	мв
преобразованиями трансформаторы
подверженные				воздействию		3		4	3	0,28
электромагнитного			поля	магнитные
носители
подверженные				воздействию		4		3	3	0,28
электромагнитного поля микросхемы
нелинейные элементы, подверженные ВЧ						4		4	3	0,37
навязыванию
определяемые			особенностями				(Kgu)N =0,88
защищаемого объекта
отсутствие контролируемой зоны						2		2	2	мв

наличие прямой видимости объектов						4		4	3	0,34

наличие	удаленных		и	мобильных		3		3	3	0,20
элементов объекта
наличие	вибрирующих			отражающих		2		2	2	мв
поверхностей
использование радиоканалов						1		1	1	мв

использование				глобальных		4		4	4	0,45
информационных сетей
использование арендуемых каналов						2		2	1	мв

ошибки (халатность)							(Kgu)N =0,96
ошибки (халатность)

при	разработке		алгоритмов		и	2		3	2	мв
программного обеспечения
при	инсталляции		и	загрузке		1		1	1	мв
программного обеспечения
при	эксплуатации		программного			2		2	2	мв
обеспечения

[B.I.a.4]	при вводе данных (информации)					3	4	4	0,37

[B.I.а.5]	при настройке сервисов универсальных					2	2	2	мв
[B.I.а.5]	систем
	систем
[B.I.а.6]	самообучающейся		сложной		системы	3	2	2	мв
[B.I.а.6]	систем
	систем
[B.I.b.1]	при включении/выключении технических					3	4	5	0,46
[B.I.b.1]	средств
	средств
[B.I.b.2]	при использовании технических средств					3	3	3	0,21
[B.I.b.2]	охраны
	охраны
[B.I.b.3]	при	использовании	средств обмена			5	5	4	0,77
[B.I.b.3]	информацией
	информацией
[B.I.c.1]	при	конфигурировании		и управлении		4	4	3	0,37
[B.I.c.1]	сложной системы
	сложной системы
[B.I.c.2]	при	настройке		программного		2	2	2	мв
[B.I.c.2]	обеспечения
	обеспечения
[B.I.c.3]	при	организации управления			потоками	2	3	2	мв
[B.I.c.3]	обмена информации
	обмена информации
[B.I.c.4]	при настройке технических средств					2	2	2	мв

[B.I.c.5]	при настройке штатных средств защиты					1	1	1	мв
[B.I.c.5]	программного обеспечения
	программного обеспечения
[B.I.d.1]	повреждение (удаление)			программного		1	1	1	мв
[B.I.d.1]	обеспечения
	обеспечения
[B.I.d.2]	повреждение (удаление) данных					2	1	1	мв

[B.I.d.3]	повреждение (уничтожение)				носителей	1	1	2	мв
[B.I.d.3]	информации
	информации
[B.I.d.4]	повреждение каналов связи					1	1	1	мв

[B.II.0.0]	нарушения					(Kgu)N =0,88
	нарушения

[B.II.a.1]	доступа на объект					3	4	4	0,34

[B.II.a.2]	доступа к техническим средствам					3	4	4	0,34

[B.II.a.3]	соблюдения конфиденциальности					5	5	4	0,70

[B.II.b.1]	энергообеспечения					3	4	4	0,34

[B.II.b.2]	жизнеобеспечения					1	1	1	мв

[B.II.b.3]	установки нештатного оборудования					2	3	2	мв

[B.II.b.4]	инсталляции нештатного ПО (игрового,					1	1	1	мв
[B.II.b.4]	обучающего и др.)
	обучающего и др.)
			8

[B.II.c.1]

[B.II.c.2]

[B.II.c.3]

[B.III.0.0]

[B.III.a.1]

[B.III.a.3]

[B.III.a.4]

[B.III.a.5]

[B.III.b.1]

[B.III.b.2]

[C.I.0.0]

[C.I.a.1]

[C.I.a.2]

[C.I.a.3]

[C.I.b.1]

[C.I.b.2]

[C.I.b.3]

[C.I.b.4]

[C.I.c.1]

[C.I.c.2]

[C.I.c.3]

[C.I.c.4]

[C.I.d.1]

обработки и обмена информацией					4		5	4	0,56

хранения	и	уничтожения		носителей	3		3	3	0,20
информации
уничтожения производственных отходов					4		4	4	0,45
и брака
психогенные						(Kgu)N =0,96
психогенные

антагонистические отношения (зависть,					2		4	2	мв
озлобленность, обида)
неудовлетворенность своим положением					2		2	2	мв

неудовлетворенность			действиями		2		2	4	мв
руководства
психологическая несовместимость					1		1	1	мв

психические отклонения					1		1	1	мв

стрессовые ситуации					3		4	5	0,46

сбои и отказы						(Kgu)N =1
сбои и отказы

отказы		ТС	обрабатывающих		2		3	3	мв
информацию
отказы		ТС	обеспечивающих		3		2	2	мв
работоспособность средств обработки
отказы ТС обеспечивающих охрану и					4		3	4	0,38
контроль доступа
старение и размагничивание дискет и					3		3	3	0,22
съемных носителей
старение	и	размагничивание		жестких	3		4	3	0,29
дисков
старение элементов микросхем					1		1	1	мв

старение	кабелей и		соединительных		2		2	2	мв
линий
сбои операционных систем и СУБД					3		3	3	0,22

сбои прикладных программ					2		3	2	мв

сбои сервисных программ					2		2	3	мв

сбои антивирусных программ					1		1	1	мв

сбои электропитания			оборудования,		1		1	1	мв
обрабатывающего информацию

[C.I.d.2]	сбои электропитания обеспечивающего и						1	1	1	мв
[C.I.d.2]	вспомогательного оборудования
	вспомогательного оборудования
[C.II.0.0]	косвенные причины						(Kgu)N =0,96

[C.II.a.1]	критично	близкое		расположение			1	1	1	мв
[C.II.a.1]	техногенных сооружений
	техногенных сооружений
[C.II.a.2]	географическое		положение		объекта	и	1	1	1	мв
[C.II.a.2]	климатические условия
	климатические условия
[C.II.a.3]	гидрологическая		и	сейсмологическая			1	1	1	мв
[C.II.a.3]	обстановка
	обстановка
[C.II.b.1]	физический	износ		оборудования		и	1	2	2	мв
[C.II.b.1]	сооружений
	сооружений
[C.II.b.2]	малое время		наработки		на отказ		1	1	1	мв
[C.II.b.2]	оборудования и ПО
	оборудования и ПО
[C.II.b.3]	повреждения		жизнеобеспечивающих				1	1	1	мв
[C.II.b.3]	коммуникаций
	коммуникаций
[C.II.c.1]	физическое состояние субъекта						1	1	1	мв

[C.II.c.2]	психосоматическое состояние субъекта						1	1	1	мв

Перечень возможных атак

Код атаки

Код источника угрозы	Код метода реализации	Код уязвимости

При реализации угрозы «Хищение»

[I.A.2]	[M1.B.03]	[B.II.c.2]

[I.B.1]	[M2.B.01]	[A.III.b.1]

При реализации угрозы «Утрата»

[I.B.1]	[M3.A.04]	[A.IV.b.2]

[I.B.2]	[M3.A.05]	[B.I.b.1]

При реализации угрозы «Блокирование»

[I.A.2]	[M3.A.07]	[B.I.b.1]

[I.A.2]	[M3.A.01]	[B.I.c.4]

[I.A.4]	[M3.A.08]	[B.II.c.2]

1 / 21 2 > Следующая >>>

Соседние файлы в папке лаба_03

#
27.10.2025318.24 Кб0лаб_03_01_2.pdf
#
27.10.202589.19 Кб0лаб_03_01_3.docx
#
27.10.2025538.02 Кб0лаб_03_02_2.pdf
#
27.10.202590.8 Кб0лаб_03_02_3.docx
#
27.10.202592.82 Кб0лаб_03_02_4.docx
#
27.10.2025436.74 Кб0лаб_03_03_1.doc