МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ОТЧЕТ по практической работе №3
по дисциплине «Основы информационной безопасности» Тема: «Проведение анализа и оценки возможностей реализации угроз
информационной безопасности на объекте по методике С.В. Вихорева»
Студент гр.
Преподаватель
Санкт-Петербург
2023
ВВЕДЕНИЕ
Цель работы: Изучение вида работ по разработке модели угроз, ее актуализации.
Задача: на примере существующей организации провести анализ и оценку возможностей реализации угроз информационной безопасности по методике С.В. Вихорева.
Выбранное предприятие: ПАО «Ростелеком».
2
1. Описание базового объекта
Рассматривается объект, расположенный:
вЕвропейской части Российской Федерации, в городе Санкт-Петербург,
вспокойных метеорологических, сейсмических и гидрологических условиях, не имеющий в непосредственной близости предприятий, и других техногенных сооружений.
Объект имеет гетерогенную, иерархическую корпоративную информационную сеть со несчетным количеством (более 120 тысяч)
пользователей, которая:
•обрабатывает информацию с разной степенью конфиденциальности
•имеет равенство приоритетов целей ИБ
•пользователи имеют разные права доступа к информации
•сопряженную с сетью Internet
Воздействия источников угроз приносят максимальный ущерб субъекту
отношений, а сами источники угроз имеют максимальные возможности по
реализации угроз.
|
Содержание вопроса |
Да |
Нет |
|
|
|
|
1 |
Может ли несанкционированное разглашение защищаемых |
|
|
|
сведений: |
|
|
|
|
|
|
1.1 |
привести к срыву реализации стратегических планов развития |
+ |
|
|
организации, повлиять на снижение ее деловой активности |
|
|
|
|
|
|
1.2 |
привести к разглашению секретов организации или третьих лиц, ноу- |
+ |
|
|
хау, персональных данных, нарушить тайну сообщений |
|
|
1.3 |
повлиять на ухудшение взаимоотношений с партнерами, снижение |
+ |
|
|
престижа и деловой репутации организации |
|
|
|
|
|
|
|
Сумма положительных («Да») ответов по п.1, ∑(«Да») = (КП)К |
3 |
0 |
2 |
Может ли несанкционированное изменение защищаемой |
|
|
|
информации: |
|
|
|
|
|
|
2.1 |
привести к принятию ошибочных решений (или непринятию вообще), |
+ |
|
|
важных для практической деятельности организации |
|
|
|
|
|
|
2.2 |
привести к полной или частичной дезорганизации деятельности |
+ |
|
|
организации или ее подразделений, нарушить взаимоотношения с |
|
|
|
партнерами |
|
|
|
|
|
|
2.3 |
изменить содержание персональных данных или другие сведения, |
+ |
|
|
затрагивающие интересы личности |
|
|
|
|
|
|
|
3 |
|
|
|
Сумма положительных («Да») ответов по п.2, ∑(«Да») = (КП)Ц |
3 |
0 |
3 |
Может ли задержка в получении защищаемой информации или ее |
|
|
|
неполучение: |
|
|
|
|
|
|
3.1 |
привести к невозможности выполнения взятых организацией |
+ |
|
|
обязательств перед третьим лицами |
|
|
|
|
|
|
3.2 |
привести к несвоевременному принятию решений (или непринятию |
+ |
|
|
вообще), важных для практической деятельности организации |
|
|
|
|
|
|
3.3 |
привести к полной или частичной дезорганизации деятельности |
+ |
|
|
организации или ее подразделений |
|
|
|
|
|
|
|
Сумма положительных («Да») ответов по п.1, ∑(«Да») = (КП)Д |
3 |
0 |
4
2. Ранжирование угроз ИБ
Коэффициенты приоритетности целей ИБ
r |
|
Цели ИБ |
(КП) |
К |
Конфиденциальность |
|
3 |
|
|
|
|
Ц |
Целостность |
|
3 |
|
|
|
|
Д |
Доступность |
|
3 |
|
|
|
|
С |
|
(КП)с = Const = 2 |
|
(КП)Ц
(КА)
Принимая во внимание, что приоритеты целей ИБ равны, то есть: (КП)К = = (КП)Д , и учитывая, что ∑(КВ) = , получаем, что коэффициент = (КВ) , соответственно:
Коэффициенты актуальности угроз ИБ
k |
Угрозы ИБ |
(К ) |
|
1 |
Хищение (копирование) информации и средств ее обработки |
0,19 |
|
|
|
|
|
2 |
Утрата (неумышленная потеря, утечка) информации и средств ее |
0,10 |
|
обработки |
|||
|
|
||
3 |
Модификация (искажение) информации |
0,14 |
|
|
|
|
|
4 |
Отрицание подлинности информации |
0,08 |
|
5 |
Навязывание ложной информации |
0,06 |
|
6 |
Уничтожение информации и средств ее обработки |
0,17 |
|
|
|
|
|
7 |
Блокирование информации |
0,12 |
|
8 |
Создание условий для реализации угрозы ИБ |
0,14 |
|
|
|
|
Для рассматриваемого варианта, = ,
Тогда такие угрозы, как:
•Утрата (неумышленная потеря, утечка) информации и средств ее обработки (КА)2 = 0,10 < 0,13
•«отрицание подлинности информации» (КА) = 0,08 < 0,13
•«навязывание ложной информации» (КА) = 0,06 < 0,13
•«блокирование информации» (КА) = 0,12 < 0,13
вдальнейшем анализе не будут, как маловероятные.
Красным цветом в таблице помечена наиболее актуальная угроза информационной безопасности для ПАО «Ростелеком», а именно «Хищение
(копирование) информации и средств ее обработки»
5
3. Ранжирование групп источников угроз ИБ
Величины весовых коэффициенты групп источников угроз ИБ (К ) и
соответствующих им нормированных весовых коэффициентов группы источников угроз ИБ (К ) в случае равенства приоритетов целей ИБ приведены в таблице.
Весовые коэффициенты групп источников ИБ при равенстве приоритетов целей
g |
Код |
Группа источников ИБ |
К |
(К ) |
1 |
[I.A.0] |
Антропогенные внешние источники |
0,9 |
0,26 |
|
|
|
|
|
2 |
[I.B.0] |
Антропогенные внутренние источники |
0,92 |
0,27 |
|
|
|
|
|
3 |
[II.A.0] |
Техногенные внешние источники |
0,57 |
0,17 |
|
|
|
|
|
4 |
[II.B.0] |
Техногенные внутренние источники |
0,57 |
0,17 |
|
|
|
|
|
5 |
[III.A.0] |
Стихийные внешние источники |
0,43 |
0,13 |
|
|
|
|
|
6
4. Ранжирование источников угроз ИБ
Рассчитаем пороговое значение коэффициента опасности источников угроз
для случая равенства приоритетов = , , = , .
Ориентировочная оценка степени опасности источников угроз ИБ
Код |
Источники угроз ИБ |
|
(1) |
(2) |
|
(3) |
|
(оп) |
||
(i) |
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
[I.A.0] |
|
Антропогенные внешние источники |
|
|
|
(1) =0,26 |
|
|||
[I.A.1] |
криминальные структуры |
3 |
|
4 |
5 |
|
0,12 |
|||
|
|
|
|
|
|
|
|
|
||
[I.A.2] |
потенциальные преступники и хакеры |
4 |
|
4 |
4 |
|
0,13 |
|||
|
|
|
|
|
|
|
|
|
||
[I.A.3] |
|
недобросовестные партнеры |
|
3 |
|
2 |
|
3 |
|
0,04 |
[I.A.4] |
технический персонал поставщиков телематических услуг |
2 |
|
4 |
5 |
|
0,08 |
|||
|
|
|
|
|
|
|
|
|
|
|
[I.A.5] |
|
представители надзорных организаций и аварийных |
|
3 |
|
2 |
|
2 |
|
0,02 |
|
служб |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
[I.A.6] |
|
представители силовых структур |
|
3 |
|
3 |
|
2 |
|
0,04 |
[I.B.0] |
|
Антропогенные внутренние источники |
|
|
|
(2) =0,27 |
|
|||
[I.B.1] |
основной персонал (пользователи, программисты, |
4 |
|
4 |
5 |
|
0,17 |
|||
разработчики) |
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
[I.B.2] |
представители службы защиты информации |
5 |
|
5 |
5 |
|
0,27 |
|||
(администраторы) |
|
|
||||||||
|
|
|
|
|
|
|
|
|||
[I.B.3] |
|
вспомогательный персонал (уборщики, охрана) |
|
2 |
|
2 |
|
3 |
|
0,03 |
[I.B.4] |
|
технический персонал (жизнеобеспечение, эксплуатация) |
|
1 |
|
1 |
|
2 |
|
0,00 |
[II.A.0] |
|
Техногенные внешние источники |
|
|
|
(3) =0,17 |
|
|||
|
|
|
|
|
|
|
|
|
|
|
[II.A.1] |
средства связи |
4 |
|
4 |
4 |
|
0,09 |
|||
|
|
|
|
|
|
|
|
|
|
|
[II.A.2] |
|
сети инженерных коммуникации (водоснабжения, |
|
3 |
|
3 |
|
3 |
|
0,04 |
|
канализации) |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
[II.A.3] |
|
транспорт |
|
2 |
|
1 |
|
2 |
|
0,01 |
[II.B.0] |
|
Техногенные внутренние источники |
|
|
|
(4) =0,17 |
|
|||
[II.B.1] |
некачественные технические средства обработки |
5 |
|
5 |
4 |
|
0,14 |
|||
информации |
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
[II.B.2] |
некачественные программные средства обработки |
5 |
|
5 |
4 |
|
0,14 |
|||
информации |
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
[II.B.3] |
вспомогательные средства (охраны, сигнализации, |
4 |
|
3 |
3 |
|
0,06 |
|||
телефонии) |
|
|
||||||||
|
|
|
|
|
|
|
|
|||
[II.B.4] |
|
другие технические средства, применяемые в учреждении |
|
3 |
|
2 |
|
2 |
|
0,02 |
[III.A.0] |
|
Стихийные внешние источники |
|
|
|
(5) =0,13 |
|
|||
[III.A.1] |
пожары |
4 |
|
4 |
5 |
|
0,08 |
|||
|
|
|
|
|
|
|
|
|||
[III.A.2] |
|
землетрясения, провалы, обвалы, оползни |
|
2 |
|
1 |
|
5 |
|
0,01 |
[III.A.3] |
|
наводнения, сели, лавины, |
|
2 |
|
1 |
|
4 |
|
0,01 |
[III.A.4] |
|
ураганы, снегопады, метели, штормы |
|
2 |
|
1 |
|
3 |
|
0,01 |
[III.A.5] |
|
магнитные бури |
|
2 |
|
1 |
|
2 |
|
0,00 |
[III.A.6] |
|
радиоактивное излучение |
|
3 |
|
2 |
|
2 |
|
0,01 |
[III.A.7] |
|
различные непредвиденные обстоятельства |
|
3 |
|
2 |
|
1 |
|
0,01 |
|
|
7 |
|
|
|
|
|
|
|
|
Код |
|
Источники угроз ИБ |
( 1) |
( 2) |
( 3) |
( оп) |
(i) |
|
|||||
|
|
|
|
|
|
|
[III.A.8] |
необъяснимые явления |
2 |
2 |
1 |
0,00 |
|
[III.A.9] |
другие форс-мажорные обстоятельства |
2 |
2 |
1 |
0,00 |
|
|
Источники угроз ИБ, помеченные в таблице оранжевым цветом, не будут |
|||||
рассматриваться как маловероятные, так как имеют коэффициент опасности ниже порогового значения = 0,054.
Перечень актуальных источников угроз ИБ
Код |
Источники угроз ИБ |
( 1) |
( 2) |
( 3) |
( оп) |
|||
(i) |
||||||||
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
[I.B.2] |
|
представители службы защиты информации |
5 |
5 |
5 |
|
0,27 |
|
|
(администраторы) |
|
||||||
|
|
|
|
|
|
|
||
[I.B.1] |
основной персонал (пользователи, программисты, |
4 |
4 |
5 |
|
0,17 |
||
разработчики) |
|
|||||||
|
|
|
|
|
|
|
|
|
[II.B.1] |
некачественные технические средства обработки |
5 |
5 |
4 |
|
0,14 |
||
информации |
|
|||||||
|
|
|
|
|
|
|
|
|
[II.B.2] |
некачественные программные средства обработки |
5 |
5 |
4 |
|
0,14 |
||
информации |
|
|||||||
|
|
|
|
|
|
|
||
[I.A.2] |
потенциальные преступники и хакеры |
4 |
4 |
4 |
|
0,13 |
||
|
|
|
|
|
|
|
||
[I.A.1] |
криминальные структуры |
3 |
4 |
5 |
|
0,12 |
||
|
|
|
|
|
|
|
||
[II.A.1] |
средства связи |
4 |
4 |
4 |
|
0,09 |
||
|
|
|
|
|
|
|
||
[I.A.4] |
технический персонал поставщиков телематических услуг |
2 |
4 |
5 |
|
0,08 |
||
[III.A.1] |
пожары |
4 |
4 |
5 |
|
0,08 |
||
|
|
|
|
|
|
|
|
|
[II.B.3] |
вспомогательные средства (охраны, сигнализации, |
4 |
3 |
3 |
|
0,06 |
||
телефонии) |
|
|||||||
|
|
|
|
|
|
|
|
|
Красным в таблице отмечен источник угроз, имеющий наибольший коэффициент опасности, а именно это источник «Представители службы защиты информации (администраторы)»
8
5. Ранжирование групп методов реализации угроз ИБ
Нормированные весовые коэффициенты групп методов реализации угроз и взаимосвязи групп методов реализации и источников угроз при равенстве
приоритетов целей информационной безопасности
gm |
Код |
Группа методов реализации угроз |
|
( |
) |
|
|
( |
) |
|
|
|
|
|
|
|
|
|
|
||
|
|
ИБ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
1 |
[M1.А.0] |
Активные аналитические методы |
0,33 |
0,07 |
|
0,037 |
0,11 |
|
||
|
|
|
|
|
|
|
|
|
||
2 |
[M1.В.0] |
Пассивные аналитические методы |
0,33 |
0,07 |
|
0,018 |
0,08 |
|
||
|
|
|
|
|
|
|
|
|
||
3 |
[M2.А.0] |
Активные технические методы |
0,76 |
0,15 |
|
0,037 |
0,11 |
|
||
|
|
|
|
|
|
|
|
|
||
4 |
[M2.В.0] |
Пассивные технические методы |
0,19 |
0,04 |
|
0,037 |
0,11 |
|
||
|
|
|
|
|
|
|
|
|
||
5 |
[M3.A.0] |
Активные программно- |
1,00 |
0,20 |
|
0,037 |
0,11 |
|
||
|
|
аппаратные методы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
6 |
[M3.B.0] |
Пассивные программно- |
0,33 |
0,07 |
|
0,037 |
0,11 |
|
||
|
|
аппаратные методы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
7 |
[M4.A.0] |
Активные социальные методы |
0,92 |
0,18 |
|
0,037 |
0,11 |
|
||
|
|
|
|
|
|
|
|
|
||
8 |
[M5.A.0] |
Активные организационные |
0,72 |
0,13 |
|
0,037 |
0,11 |
|
||
|
|
методы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
9 |
[M6.0.0] |
Предпосылки реализации угроз |
0,43 |
0,09 |
|
0,042 |
0,15 |
|
||
|
|
|
|
|
|
|
|
|
|
|
9
6. Расчет коэффициентов корреляции
Результаты расчета с указанием промежуточных результатов, проведенного
в соответствии с методическими рекомендациями сведены в таблицу.
|
Код |
Группа методов реализации |
|
′( |
) |
( |
) |
|
|
|
|
|
|
|
|
|
|
|
|
угроз ИБ |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
1 |
[A.I.0.0] |
Сопутствующие излучения |
0,19 |
0,18 |
0,75 |
|
||
|
|
|
|
|
|
|
||
2 |
[A.II.0.0] |
Активизируемые |
0,52 |
0,22 |
0,92 |
|
||
|
|
|
|
|
|
|
||
3 |
[A.III.0.0] |
Особенности элементов |
0,22 |
0,23 |
0,96 |
|
||
|
|
|
|
|
|
|
||
4 |
[M2.В.0] |
Особенности объекта |
0,85 |
0,21 |
0,88 |
|
||
|
|
|
|
|
|
|
||
5 |
[B.I.0.0] |
Ошибки (халатность) |
0,44 |
0,23 |
0,96 |
|
||
|
|
|
|
|
|
|
||
6 |
[B.II.0.0] |
Нарушения |
0,85 |
0,21 |
0,88 |
|
||
|
|
|
|
|
|
|
||
7 |
[B.III.0.0] |
Психогенные |
0,44 |
0,23 |
0,96 |
|
||
|
|
|
|
|
|
|
||
8 |
[C.I.0.0] |
Сбои и отказы |
0,36 |
0,24 |
1,00 |
|
||
|
|
|
|
|
|
|
||
9 |
[C.II.0.0] |
Косвенные причины |
0,59 |
0,23 |
0,96 |
|
||
|
|
|
|
|
|
|
|
|
Рассчитаем пороговое значение коэффициента опасности уязвимости
= , , = , .
Ориентировочная оценка степени опасности уязвимостей
Код |
Уязвимости |
(1) |
(2) |
(3) |
|
(оп) |
||
[А.I.0.0] |
|
сопутствующие техническим средствам |
|
( ) = 0,75 |
|
|||
|
|
излучения |
|
|
|
|
|
|
[A.I.a.1] |
побочные излучения элементов технических |
4 |
3 |
5 |
|
|
0,36 |
|
|
|
средств |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[A.I.a.2] |
излучения кабельных линий технических средств |
4 |
3 |
5 |
|
|
0,36 |
|
|
|
|
|
|
|
|
|
|
[A.I.a.3] |
излучения на частотах работы генераторов |
5 |
3 |
3 |
|
|
0,27 |
|
|
|
|
|
|
|
|
|
|
[A.I.a.4] |
излучения на частотах самовозбуждения |
5 |
3 |
3 |
|
|
0,27 |
|
|
|
усилителей |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[A.I.b.1] |
|
наводки электромагнитных излучений на линии и |
4 |
1 |
5 |
|
|
0,12 |
|
|
проводники |
|
|
|
|
|
|
[A.I.b.2] |
|
просачивание сигналов в цепи электропитания, в |
4 |
1 |
5 |
|
|
0,12 |
|
|
цепи заземления |
|
|
|
|
|
|
[A.I.b.3] |
|
неравномерность потребления тока электропитания |
3 |
1 |
5 |
|
|
0,09 |
[A.I.c.1] |
акустические излучения |
5 |
4 |
4 |
|
|
0,48 |
|
|
|
|
|
|
|
|
||
Код |
Уязвимости |
(1) |
(2) |
(3) |
|
(оп) |
||
[A.I.c.2] |
виброакустические излучения |
5 |
4 |
4 |
|
|
0,48 |
|
|
|
|
|
|
|
|
||
[A.II.0.0] |
|
активизируемые |
|
( ) =0,92 |
|
|||
[A.II.a.1] |
аппаратные закладки устанавливаемые в |
5 |
5 |
5 |
|
|
0,92 |
|
|
|
телефонные линии |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[A.II.a.2] |
аппаратные закладки устанавливаемые в сети |
5 |
2 |
4 |
|
|
0,29 |
|
|
|
электропитания |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[A.II.a.3] |
аппаратные закладки устанавливаемые в |
5 |
2 |
5 |
|
|
0,37 |
|
|
|
помещениях |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
10 |
|
|
|
|
|
|