МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра Информационной безопасности
отчет
по Основам информационной безопасности
Практическая работа №6
Тема: «Изучение создания модели рисков с помощью ПО РискМенеджер - Анализ v3.5.»
Студент гр. |
|
Преподаватель |
|
Санкт-Петербург
2023
введение
Цель работы: изучение создания модели рисков информационной безопасности оцениваемой системы с помощью ПО РискМенеджер - Анализ v3.5
Задание: На примере существующей организации создать модель рисков информационной безопасности предприятия с помощью ПО РискМенеджер - Анализ v3.5.
Предприятие: Филиал «Карельский» ПАО «ТГК-1» (ПАО Территориальная Генерирующая Компания 1).
Модели рисков |
||||
Модель: Филиал "Карельский" ПАО "ТГК-1" |
||||
Риск: Уничтожение данных и резервных копий в результате пожара |
||||
Цена: 10000000,00 |
Вероятность: 1,00 |
Ожидаемый ущерб: 100000,00 |
||
Угроза: Уничтожение или утрата данных |
Вес: 50000,00 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Бухгалтерия |
||||
Объект: Финансовые данные |
||||
Мера защиты: Периодическое резервное копирование |
||||
Ожидаемый ущерб после принятия мер: |
10000000,00 |
|||
Вероятность события риска после принятия мер: |
1,00 |
|||
Вес угрозы после принятия мер: |
50000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Угроза: Уничтожение резервных копий вместе с основными данными |
Вес: 50000,00 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Бухгалтерия |
||||
Объект: Финансовые данные |
||||
Мера защиты: Территориально удаленное хранение резервных копий |
||||
Ожидаемый ущерб после принятия мер: |
10000000,00 |
|||
Вероятность события риска после принятия мер: |
1,00 |
|||
Вес угрозы после принятия мер: |
50000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Уничтожение данных, резервные копии были похищены, востановление невозможно |
||||
Цена: 1000000,00 |
Вероятность: 0,10 |
Ожидаемый ущерб: 1000,00 |
||
Угроза: Уничтожение или утрата данных |
Вес: 500,00 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Бухгалтерия |
||||
Объект: Финансовые данные |
||||
Мера защиты: Периодическое резервное копирование |
||||
Ожидаемый ущерб после принятия мер: |
1000000,00 |
|||
Вероятность события риска после принятия мер: |
0,10 |
|||
Вес угрозы после принятия мер: |
500,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Угроза: Хищение резервных копий с информацией |
Вес: 500,00 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Бухгалтерия |
||||
Объект: Финансовые данные |
||||
Мера защиты: Организация учета магнитных носителей с резервными копиями |
||||
Ожидаемый ущерб после принятия мер: |
1000000,00 |
|||
Вероятность события риска после принятия мер: |
0,10 |
|||
Вес угрозы после принятия мер: |
500,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Обеспечение хранения резервных копий в защищенных от НСД местах |
||||
Ожидаемый ущерб после принятия мер: |
1000000,00 |
|||
Вероятность события риска после принятия мер: |
0,10 |
|||
Вес угрозы после принятия мер: |
500,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Уничтожение данных и резервных копий в результате пожара |
||||
Цена: 1000000,00 |
Вероятность: 1,00 |
Ожидаемый ущерб: 10000,00 |
||
Угроза: Уничтожение или утрата данных |
Вес: 10000,00 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Бухгалтерия |
||||
Объект: Финансовые данные |
||||
Риск: Уничтожение данных, резервные копии были похищены, востановление невозможно |
||||
Цена: 10000000,00 |
Вероятность: 1,00 |
Ожидаемый ущерб: 100000,00 |
||
Угроза: Хищение резервных копий с информацией |
Вес: 100000,00 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Бухгалтерия |
||||
Объект: Финансовые данные |
||||
Риск: МежСетЭкр. Ошибка в настройках межсетевого экрана |
||||
Цена: 50000000,00 |
Вероятность: 20,00 |
Ожидаемый ущерб: 10000000,00 |
||
Угроза: Обход злоумышленником защитных средств |
Вес: 5000000,00 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Информационная защита |
||||
Объект: Межсетевое экранирование |
||||
Мера защиты: БСБ FAU: Аудит безопасности |
||||
Ожидаемый ущерб после принятия мер: |
50000000,00 |
|||
Вероятность события риска после принятия мер: |
20,00 |
|||
Вес угрозы после принятия мер: |
5000000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: БСБ FCS: Криптографическая поддержка |
||||
Ожидаемый ущерб после принятия мер: |
50000000,00 |
|||
Вероятность события риска после принятия мер: |
20,00 |
|||
Вес угрозы после принятия мер: |
5000000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: БСБ FDP: Защита данных пользователя |
||||
Ожидаемый ущерб после принятия мер: |
50000000,00 |
|||
Вероятность события риска после принятия мер: |
20,00 |
|||
Вес угрозы после принятия мер: |
5000000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: БСБ FIA: Идентификация и аутентификация |
||||
Ожидаемый ущерб после принятия мер: |
50000000,00 |
|||
Вероятность события риска после принятия мер: |
20,00 |
|||
Вес угрозы после принятия мер: |
5000000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: БСБ FPT: Защита КСБ |
||||
Ожидаемый ущерб после принятия мер: |
50000000,00 |
|||
Вероятность события риска после принятия мер: |
20,00 |
|||
Вес угрозы после принятия мер: |
5000000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Угроза: Ошибки администрирования, в частности, неправильная установка, ошибки при конфигурировании и т.п. |
Вес: 5000000,00 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Информационная защита |
||||
Объект: Межсетевое экранирование |
||||
Мера защиты: БСБ FDP: Защита данных пользователя |
||||
Ожидаемый ущерб после принятия мер: |
50000000,00 |
|||
Вероятность события риска после принятия мер: |
20,00 |
|||
Вес угрозы после принятия мер: |
5000000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: БСБ FIA: Идентификация и аутентификация |
||||
Ожидаемый ущерб после принятия мер: |
50000000,00 |
|||
Вероятность события риска после принятия мер: |
20,00 |
|||
Вес угрозы после принятия мер: |
5000000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: БСБ FMT: Управление безопасностью |
||||
Ожидаемый ущерб после принятия мер: |
50000000,00 |
|||
Вероятность события риска после принятия мер: |
20,00 |
|||
Вес угрозы после принятия мер: |
5000000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: БСБ FPT: Защита КСБ |
||||
Ожидаемый ущерб после принятия мер: |
50000000,00 |
|||
Вероятность события риска после принятия мер: |
20,00 |
|||
Вес угрозы после принятия мер: |
5000000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Риск "отказа в обслуживании" Вэб-сервера из-за атак хакеров |
||||
Цена: 2400000,00 |
Вероятность: 15,00 |
Ожидаемый ущерб: 360000,00 |
||
Угроза: Угроза нарушения информационной безопасности при доступе сторонних организаций к ресурсам АИС |
Вес: 120000,00 |
|||
Регион: Карелия |
||||
ЛС: Группа ГЭС |
||||
ПС: В целом по ЛС |
||||
Объект: АИС |
||||
Мера защиты: М.02.02. Обеспечение информационной безопасности доступа сторонних организаций к ресурсам АИС |
||||
Ожидаемый ущерб после принятия мер: |
2400000,00 |
|||
Вероятность события риска после принятия мер: |
15,00 |
|||
Вес угрозы после принятия мер: |
120000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Угроза: Угроза невозможности со стороны руководства обеспечить ИБ АИС |
Вес: 120000,00 |
|||
Регион: Карелия |
||||
ЛС: Группа ГЭС |
||||
ПС: В целом по ЛС |
||||
Объект: АИС |
||||
Мера защиты: М.01.01. Разработка, внедрение и поддержка политики безопасности |
||||
Ожидаемый ущерб после принятия мер: |
2400000,00 |
|||
Вероятность события риска после принятия мер: |
15,00 |
|||
Вес угрозы после принятия мер: |
120000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: М.02.01 Создание инфраструктуры управления информационной безопасностью |
||||
Ожидаемый ущерб после принятия мер: |
2400000,00 |
|||
Вероятность события риска после принятия мер: |
15,00 |
|||
Вес угрозы после принятия мер: |
120000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Угроза: Отсутствие системы ответственности за безопасность информационных ресурсов |
Вес: 120000,00 |
|||
Регион: Карелия |
||||
ЛС: Группа ГЭС |
||||
ПС: В целом по ЛС |
||||
Объект: АИС |
||||
Мера защиты: М.03.01. Обеспечение ответственности за информационные ресурсы |
||||
Ожидаемый ущерб после принятия мер: |
2400000,00 |
|||
Вероятность события риска после принятия мер: |
15,00 |
|||
Вес угрозы после принятия мер: |
120000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: М.03.02. Классификация информации по уровням секретности |
||||
Ожидаемый ущерб после принятия мер: |
2400000,00 |
|||
Вероятность события риска после принятия мер: |
15,00 |
|||
Вес угрозы после принятия мер: |
120000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Потери из-за неспособности руководства организации обеспечить ИБ АИС |
||||
Цена: 500000000,00 |
Вероятность: 10,00 |
Ожидаемый ущерб: 50000000,00 |
||
Угроза: Угроза невозможности со стороны руководства обеспечить ИБ АИС |
Вес: 50000000,00 |
|||
Регион: Карелия |
||||
ЛС: Группа ГЭС |
||||
ПС: В целом по ЛС |
||||
Объект: АИС |
||||
Мера защиты: М.01.01. Разработка, внедрение и поддержка политики безопасности |
||||
Ожидаемый ущерб после принятия мер: |
500000000,00 |
|||
Вероятность события риска после принятия мер: |
10,00 |
|||
Вес угрозы после принятия мер: |
50000000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: М.02.01 Создание инфраструктуры управления информационной безопасностью |
||||
Ожидаемый ущерб после принятия мер: |
500000000,00 |
|||
Вероятность события риска после принятия мер: |
10,00 |
|||
Вес угрозы после принятия мер: |
50000000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Потери из-за бесконтрольного доступа сторонних организаций к ресурсам АИС |
||||
Цена: 20000000,00 |
Вероятность: 0,01 |
Ожидаемый ущерб: 2000,00 |
||
Угроза: Угроза нарушения информационной безопасности при доступе сторонних организаций к ресурсам АИС |
Вес: 666,67 |
|||
Регион: Карелия |
||||
ЛС: Группа ГЭС |
||||
ПС: В целом по ЛС |
||||
Объект: АИС |
||||
Мера защиты: М.02.02. Обеспечение информационной безопасности доступа сторонних организаций к ресурсам АИС |
||||
Ожидаемый ущерб после принятия мер: |
20000000,00 |
|||
Вероятность события риска после принятия мер: |
0,01 |
|||
Вес угрозы после принятия мер: |
666,67 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Угроза: Угроза невозможности со стороны руководства обеспечить ИБ АИС |
Вес: 666,67 |
|||
Регион: Карелия |
||||
ЛС: Группа ГЭС |
||||
ПС: В целом по ЛС |
||||
Объект: АИС |
||||
Мера защиты: М.01.01. Разработка, внедрение и поддержка политики безопасности |
||||
Ожидаемый ущерб после принятия мер: |
20000000,00 |
|||
Вероятность события риска после принятия мер: |
0,01 |
|||
Вес угрозы после принятия мер: |
666,67 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: М.02.01 Создание инфраструктуры управления информационной безопасностью |
||||
Ожидаемый ущерб после принятия мер: |
20000000,00 |
|||
Вероятность события риска после принятия мер: |
0,01 |
|||
Вес угрозы после принятия мер: |
666,67 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Угроза: Отсутствие системы ответственности за безопасность информационных ресурсов |
Вес: 666,67 |
|||
Регион: Карелия |
||||
ЛС: Группа ГЭС |
||||
ПС: В целом по ЛС |
||||
Объект: АИС |
||||
Мера защиты: М.03.01. Обеспечение ответственности за информационные ресурсы |
||||
Ожидаемый ущерб после принятия мер: |
20000000,00 |
|||
Вероятность события риска после принятия мер: |
0,01 |
|||
Вес угрозы после принятия мер: |
666,67 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: М.03.02. Классификация информации по уровням секретности |
||||
Ожидаемый ущерб после принятия мер: |
20000000,00 |
|||
Вероятность события риска после принятия мер: |
0,01 |
|||
Вес угрозы после принятия мер: |
666,67 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Потери из-за отсутствие системы ответственности за безопасность ресурсов АИС |
||||
Цена: 10000000,00 |
Вероятность: 0,10 |
Ожидаемый ущерб: 10000,00 |
||
Угроза: Отсутствие системы ответственности за безопасность информационных ресурсов |
Вес: 10000,00 |
|||
Регион: Карелия |
||||
ЛС: Группа ГЭС |
||||
ПС: В целом по ЛС |
||||
Объект: АИС |
||||
Мера защиты: М.03.01. Обеспечение ответственности за информационные ресурсы |
||||
Ожидаемый ущерб после принятия мер: |
10000000,00 |
|||
Вероятность события риска после принятия мер: |
0,10 |
|||
Вес угрозы после принятия мер: |
10000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: М.03.02. Классификация информации по уровням секретности |
||||
Ожидаемый ущерб после принятия мер: |
10000000,00 |
|||
Вероятность события риска после принятия мер: |
0,10 |
|||
Вес угрозы после принятия мер: |
10000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Риск "отказа в обслуживании" Вэб-сервера из-за атаки хакера, специалистов нет |
||||
Цена: 40000000,00 |
Вероятность: 4,00 |
Ожидаемый ущерб: 1600000,00 |
||
Угроза: Обслуживающий персонал не обучен быстрому скоординированному решению возникшей проблемы |
Вес: 800000,00 |
|||
Регион: Карелия |
||||
ЛС: Петрозаводская ТЭЦ |
||||
ПС: В целом по ЛС |
||||
Объект: Веб-Сервер |
||||
Мера защиты: Точное документирование действий администраторов |
||||
Ожидаемый ущерб после принятия мер: |
40000000,00 |
|||
Вероятность события риска после принятия мер: |
4,00 |
|||
Вес угрозы после принятия мер: |
800000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Подготовка персонала. |
||||
Ожидаемый ущерб после принятия мер: |
40000000,00 |
|||
Вероятность события риска после принятия мер: |
4,00 |
|||
Вес угрозы после принятия мер: |
800000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Повышение зарплаты и создание сист. соц. льгот для закрепления специалистов и предотвращения текучести кадров |
||||
Ожидаемый ущерб после принятия мер: |
40000000,00 |
|||
Вероятность события риска после принятия мер: |
4,00 |
|||
Вес угрозы после принятия мер: |
800000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Угроза: Взлом веб-сервера |
Вес: 800000,00 |
|||
Регион: Карелия |
||||
ЛС: Петрозаводская ТЭЦ |
||||
ПС: В целом по ЛС |
||||
Объект: Веб-Сервер |
||||
Мера защиты: Предотвращение возможностей получения хакерами данных о ПО Web-сервера |
||||
Ожидаемый ущерб после принятия мер: |
40000000,00 |
|||
Вероятность события риска после принятия мер: |
4,00 |
|||
Вес угрозы после принятия мер: |
800000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Серверные программы должны фильтровать ввод пользователя, если эти данные используются для системных операций |
||||
Ожидаемый ущерб после принятия мер: |
40000000,00 |
|||
Вероятность события риска после принятия мер: |
4,00 |
|||
Вес угрозы после принятия мер: |
800000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Использование прокси-серверов |
||||
Ожидаемый ущерб после принятия мер: |
40000000,00 |
|||
Вероятность события риска после принятия мер: |
4,00 |
|||
Вес угрозы после принятия мер: |
800000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Риск "отказа в обслуживании" Вэб-сервера из-за атаки хакера, специалистов нет |
||||
Цена: 40000000,00 |
Вероятность: 4,00 |
Ожидаемый ущерб: 1600000,00 |
||
Угроза: Обслуживающий персонал не обучен быстрому скоординированному решению возникшей проблемы |
Вес: 800000,00 |
|||
Регион: Карелия |
||||
ЛС: Группа ГЭС |
||||
ПС: В целом по ЛС |
||||
Объект: Веб-Сервер |
||||
Мера защиты: Точное документирование действий администраторов |
||||
Ожидаемый ущерб после принятия мер: |
40000000,00 |
|||
Вероятность события риска после принятия мер: |
4,00 |
|||
Вес угрозы после принятия мер: |
800000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Подготовка персонала. |
||||
Ожидаемый ущерб после принятия мер: |
40000000,00 |
|||
Вероятность события риска после принятия мер: |
4,00 |
|||
Вес угрозы после принятия мер: |
800000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Повышение зарплаты и создание сист. соц. льгот для закрепления специалистов и предотвращения текучести кадров |
||||
Ожидаемый ущерб после принятия мер: |
40000000,00 |
|||
Вероятность события риска после принятия мер: |
4,00 |
|||
Вес угрозы после принятия мер: |
800000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Угроза: Взлом веб-сервера |
Вес: 800000,00 |
|||
Регион: Карелия |
||||
ЛС: Группа ГЭС |
||||
ПС: В целом по ЛС |
||||
Объект: Веб-Сервер |
||||
Мера защиты: Предотвращение возможностей получения хакерами данных о ПО Web-сервера |
||||
Ожидаемый ущерб после принятия мер: |
40000000,00 |
|||
Вероятность события риска после принятия мер: |
4,00 |
|||
Вес угрозы после принятия мер: |
800000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Серверные программы должны фильтровать ввод пользователя, если эти данные используются для системных операций |
||||
Ожидаемый ущерб после принятия мер: |
40000000,00 |
|||
Вероятность события риска после принятия мер: |
4,00 |
|||
Вес угрозы после принятия мер: |
800000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Использование прокси-серверов |
||||
Ожидаемый ущерб после принятия мер: |
40000000,00 |
|||
Вероятность события риска после принятия мер: |
4,00 |
|||
Вес угрозы после принятия мер: |
800000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Риск "отказа в обслуживании" Вэб-сервера из-за атак хакеров |
||||
Цена: 2400000,00 |
Вероятность: 15,00 |
Ожидаемый ущерб: 360000,00 |
||
Угроза: Угроза нарушения информационной безопасности при доступе сторонних организаций к ресурсам АИС |
Вес: 120000,00 |
|||
Регион: Карелия |
||||
ЛС: Петрозаводская ТЭЦ |
||||
ПС: В целом по ЛС |
||||
Объект: АИС |
||||
Мера защиты: М.02.02. Обеспечение информационной безопасности доступа сторонних организаций к ресурсам АИС |
||||
Ожидаемый ущерб после принятия мер: |
2400000,00 |
|||
Вероятность события риска после принятия мер: |
15,00 |
|||
Вес угрозы после принятия мер: |
120000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Угроза: Угроза невозможности со стороны руководства обеспечить ИБ АИС |
Вес: 120000,00 |
|||
Регион: Карелия |
||||
ЛС: Петрозаводская ТЭЦ |
||||
ПС: В целом по ЛС |
||||
Объект: АИС |
||||
Мера защиты: М.01.01. Разработка, внедрение и поддержка политики безопасности |
||||
Ожидаемый ущерб после принятия мер: |
2400000,00 |
|||
Вероятность события риска после принятия мер: |
15,00 |
|||
Вес угрозы после принятия мер: |
120000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: М.02.01 Создание инфраструктуры управления информационной безопасностью |
||||
Ожидаемый ущерб после принятия мер: |
2400000,00 |
|||
Вероятность события риска после принятия мер: |
15,00 |
|||
Вес угрозы после принятия мер: |
120000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Угроза: Отсутствие системы ответственности за безопасность информационных ресурсов |
Вес: 120000,00 |
|||
Регион: Карелия |
||||
ЛС: Петрозаводская ТЭЦ |
||||
ПС: В целом по ЛС |
||||
Объект: АИС |
||||
Мера защиты: М.03.01. Обеспечение ответственности за информационные ресурсы |
||||
Ожидаемый ущерб после принятия мер: |
2400000,00 |
|||
Вероятность события риска после принятия мер: |
15,00 |
|||
Вес угрозы после принятия мер: |
120000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: М.03.02. Классификация информации по уровням секретности |
||||
Ожидаемый ущерб после принятия мер: |
2400000,00 |
|||
Вероятность события риска после принятия мер: |
15,00 |
|||
Вес угрозы после принятия мер: |
120000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Потери из-за неспособности руководства организации обеспечить ИБ АИС |
||||
Цена: 5000000,00 |
Вероятность: 5,00 |
Ожидаемый ущерб: 250000,00 |
||
Угроза: Угроза невозможности со стороны руководства обеспечить ИБ АИС |
Вес: 250000,00 |
|||
Регион: Карелия |
||||
ЛС: Петрозаводская ТЭЦ |
||||
ПС: В целом по ЛС |
||||
Объект: АИС |
||||
Мера защиты: М.01.01. Разработка, внедрение и поддержка политики безопасности |
||||
Ожидаемый ущерб после принятия мер: |
5000000,00 |
|||
Вероятность события риска после принятия мер: |
5,00 |
|||
Вес угрозы после принятия мер: |
250000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: М.02.01 Создание инфраструктуры управления информационной безопасностью |
||||
Ожидаемый ущерб после принятия мер: |
5000000,00 |
|||
Вероятность события риска после принятия мер: |
5,00 |
|||
Вес угрозы после принятия мер: |
250000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Потери из-за бесконтрольного доступа сторонних организаций к ресурсам АИС |
||||
Цена: 20000000,00 |
Вероятность: 0,01 |
Ожидаемый ущерб: 2000,00 |
||
Угроза: Угроза нарушения информационной безопасности при доступе сторонних организаций к ресурсам АИС |
Вес: 666,67 |
|||
Регион: Карелия |
||||
ЛС: Петрозаводская ТЭЦ |
||||
ПС: В целом по ЛС |
||||
Объект: АИС |
||||
Мера защиты: М.02.02. Обеспечение информационной безопасности доступа сторонних организаций к ресурсам АИС |
||||
Ожидаемый ущерб после принятия мер: |
20000000,00 |
|||
Вероятность события риска после принятия мер: |
0,01 |
|||
Вес угрозы после принятия мер: |
666,67 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Угроза: Угроза невозможности со стороны руководства обеспечить ИБ АИС |
Вес: 666,67 |
|||
Регион: Карелия |
||||
ЛС: Петрозаводская ТЭЦ |
||||
ПС: В целом по ЛС |
||||
Объект: АИС |
||||
Мера защиты: М.01.01. Разработка, внедрение и поддержка политики безопасности |
||||
Ожидаемый ущерб после принятия мер: |
20000000,00 |
|||
Вероятность события риска после принятия мер: |
0,01 |
|||
Вес угрозы после принятия мер: |
666,67 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: М.02.01 Создание инфраструктуры управления информационной безопасностью |
||||
Ожидаемый ущерб после принятия мер: |
20000000,00 |
|||
Вероятность события риска после принятия мер: |
0,01 |
|||
Вес угрозы после принятия мер: |
666,67 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Угроза: Отсутствие системы ответственности за безопасность информационных ресурсов |
Вес: 666,67 |
|||
Регион: Карелия |
||||
ЛС: Петрозаводская ТЭЦ |
||||
ПС: В целом по ЛС |
||||
Объект: АИС |
||||
Мера защиты: М.03.01. Обеспечение ответственности за информационные ресурсы |
||||
Ожидаемый ущерб после принятия мер: |
20000000,00 |
|||
Вероятность события риска после принятия мер: |
0,01 |
|||
Вес угрозы после принятия мер: |
666,67 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: М.03.02. Классификация информации по уровням секретности |
||||
Ожидаемый ущерб после принятия мер: |
20000000,00 |
|||
Вероятность события риска после принятия мер: |
0,01 |
|||
Вес угрозы после принятия мер: |
666,67 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Потери из-за отсутствие системы ответственности за безопасность ресурсов АИС |
||||
Цена: 1000000,00 |
Вероятность: 10,00 |
Ожидаемый ущерб: 100000,00 |
||
Угроза: Отсутствие системы ответственности за безопасность информационных ресурсов |
Вес: 100000,00 |
|||
Регион: Карелия |
||||
ЛС: Петрозаводская ТЭЦ |
||||
ПС: В целом по ЛС |
||||
Объект: АИС |
||||
Мера защиты: М.03.01. Обеспечение ответственности за информационные ресурсы |
||||
Ожидаемый ущерб после принятия мер: |
1000000,00 |
|||
Вероятность события риска после принятия мер: |
10,00 |
|||
Вес угрозы после принятия мер: |
100000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: М.03.02. Классификация информации по уровням секретности |
||||
Ожидаемый ущерб после принятия мер: |
1000000,00 |
|||
Вероятность события риска после принятия мер: |
10,00 |
|||
Вес угрозы после принятия мер: |
100000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: МежСетЭкр. Ошибка в настройках межсетевого экрана |
||||
Цена: 1000000,00 |
Вероятность: 20,00 |
Ожидаемый ущерб: 200000,00 |
||
Угроза: Ошибки в установках атрибутов безопасности делают невозможным легальный доступ. |
Вес: 200000,00 |
|||
Регион: Карелия |
||||
ЛС: Группа ГЭС |
||||
ПС: В целом по ЛС |
||||
Объект: Персонал |
||||
Риск: Персонал. Недостаочная квалификация персонала для организации системы защиты |
||||
Цена: 1000000,00 |
Вероятность: 15,00 |
Ожидаемый ущерб: 150000,00 |
||
Угроза: Отсутствие требуемых навыков у персонала для выполнения требуемой работы |
Вес: 150000,00 |
|||
Регион: Карелия |
||||
ЛС: Группа ГЭС |
||||
ПС: В целом по ЛС |
||||
Объект: Персонал |
||||
Мера защиты: Обучение персонала требуемым навыкам |
||||
Ожидаемый ущерб после принятия мер: |
1000000,00 |
|||
Вероятность события риска после принятия мер: |
15,00 |
|||
Вес угрозы после принятия мер: |
150000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Найм специалистов для выполнения нужной работы |
||||
Ожидаемый ущерб после принятия мер: |
1000000,00 |
|||
Вероятность события риска после принятия мер: |
15,00 |
|||
Вес угрозы после принятия мер: |
150000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Заказ выполнения нужной работы организации-подрядчику |
||||
Ожидаемый ущерб после принятия мер: |
1000000,00 |
|||
Вероятность события риска после принятия мер: |
15,00 |
|||
Вес угрозы после принятия мер: |
150000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: МежСетЭкр. Ошибка в настройках межсетевого экрана |
||||
Цена: 1000000000,00 |
Вероятность: 5,00 |
Ожидаемый ущерб: 50000000,00 |
||
Угроза: Ошибки в установках атрибутов безопасности делают невозможным легальный доступ. |
Вес: 200,00 |
|||
Регион: Карелия |
||||
ЛС: Группа ГЭС |
||||
ПС: В целом по ЛС |
||||
Объект: Персонал |
||||
Риск: МежСетЭкр. Ошибка в настройках межсетевого экрана |
||||
Цена: 1000000000,00 |
Вероятность: 5,00 |
Ожидаемый ущерб: 50000000,00 |
||
Угроза: Ошибки в установках атрибутов безопасности делают невозможным легальный доступ. |
Вес: 50000000,00 |
|||
Регион: Карелия |
||||
ЛС: Петрозаводская ТЭЦ |
||||
ПС: В целом по ЛС |
||||
Объект: Персонал |
||||
Риск: Персонал. Недостаочная квалификация персонала для организации системы защиты |
||||
Цена: 10000000,00 |
Вероятность: 10,00 |
Ожидаемый ущерб: 1000000,00 |
||
Угроза: Отсутствие требуемых навыков у персонала для выполнения требуемой работы |
Вес: 1000000,00 |
|||
Регион: Карелия |
||||
ЛС: Петрозаводская ТЭЦ |
||||
ПС: В целом по ЛС |
||||
Объект: Персонал |
||||
Мера защиты: Обучение персонала требуемым навыкам |
||||
Ожидаемый ущерб после принятия мер: |
10000000,00 |
|||
Вероятность события риска после принятия мер: |
10,00 |
|||
Вес угрозы после принятия мер: |
1000000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Найм специалистов для выполнения нужной работы |
||||
Ожидаемый ущерб после принятия мер: |
10000000,00 |
|||
Вероятность события риска после принятия мер: |
10,00 |
|||
Вес угрозы после принятия мер: |
1000000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Заказ выполнения нужной работы организации-подрядчику |
||||
Ожидаемый ущерб после принятия мер: |
10000000,00 |
|||
Вероятность события риска после принятия мер: |
10,00 |
|||
Вес угрозы после принятия мер: |
1000000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: МежСетЭкр. Ошибка в настройках межсетевого экрана приводт к НСД |
||||
Цена: 1000000000,00 |
Вероятность: 5,00 |
Ожидаемый ущерб: 50000000,00 |
||
Угроза: Ошибки в установках атрибутов безопасности делают невозможным легальный доступ. |
Вес: 200,00 |
|||
Регион: Карелия |
||||
ЛС: Петрозаводская ТЭЦ |
||||
ПС: В целом по ЛС |
||||
Объект: Персонал |
||||
Риск: Выход системы из работоспособного состояния |
||||
Цена: 10000000,00 |
Вероятность: 30,00 |
Ожидаемый ущерб: 3000000,00 |
||
Угроза: Ошибки конфигурирования |
Вес: 3000000,00 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Сеть управления |
||||
Объект: Активное сетевое оборудование |
||||
Мера защиты: Обеспечение обнаружения и исправление уязвимостей ошибок конфигурирования |
||||
Ожидаемый ущерб после принятия мер: |
10000000,00 |
|||
Вероятность события риска после принятия мер: |
30,00 |
|||
Вес угрозы после принятия мер: |
3000000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: МежСетЭкр. Ошибка в настройках межсетевого экрана |
||||
Цена: 40000000,00 |
Вероятность: 15,00 |
Ожидаемый ущерб: 6000000,00 |
||
Угроза: Ошибки конфигурирования |
Вес: 6000000,00 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Сеть управления |
||||
Объект: Активное сетевое оборудование |
||||
Мера защиты: Обеспечение обнаружения и исправление уязвимостей ошибок конфигурирования |
||||
Ожидаемый ущерб после принятия мер: |
40000000,00 |
|||
Вероятность события риска после принятия мер: |
15,00 |
|||
Вес угрозы после принятия мер: |
6000000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Получение полного контроля неавторизованным пользователем над данным устройством |
||||
Цена: 1000000,00 |
Вероятность: 0,10 |
Ожидаемый ущерб: 1000,00 |
||
Угроза: Угрозы уязвимостей управляющей ОС |
Вес: 1000,00 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Сеть управления |
||||
Объект: Активное сетевое оборудование |
||||
Мера защиты: Обеспечение обнаружения и исправление уязвимостей управлящей ОС |
||||
Ожидаемый ущерб после принятия мер: |
1000000,00 |
|||
Вероятность события риска после принятия мер: |
0,10 |
|||
Вес угрозы после принятия мер: |
1000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Взлом уязвимого устройства и использование его для атаки на остальные устройства сети |
||||
Цена: 50000000,00 |
Вероятность: 1,00 |
Ожидаемый ущерб: 500000,00 |
||
Угроза: Угрозы уязвимостей управляющей ОС |
Вес: 500000,00 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Сеть управления |
||||
Объект: Активное сетевое оборудование |
||||
Мера защиты: Обеспечение обнаружения и исправление уязвимостей управлящей ОС |
||||
Ожидаемый ущерб после принятия мер: |
50000000,00 |
|||
Вероятность события риска после принятия мер: |
1,00 |
|||
Вес угрозы после принятия мер: |
500000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Остановка работы сервера БД из-за его взлома |
||||
Цена: 15000000,00 |
Вероятность: 3,00 |
Ожидаемый ущерб: 450000,00 |
||
Угроза: НСД к ОО посторонних лиц |
Вес: 450000,00 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Сеть управления |
||||
Объект: ЛВС |
||||
Мера защиты: Обеспечение невозможности доступа к ОО посторонних лиц |
||||
Ожидаемый ущерб после принятия мер: |
15000000,00 |
|||
Вероятность события риска после принятия мер: |
3,00 |
|||
Вес угрозы после принятия мер: |
450000,00 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Потери от нарушения безопасности передаваемой информации в телекоммуникационных каналах |
||||
Цена: 70000000,00 |
Вероятность: 40,00 |
Ожидаемый ущерб: 28000000,00 |
||
Угроза: Угроза межсегментных атак посредством использования изменений маршрута передачи пакетов, базирующихся на протоколе ICMP |
Вес: 9333333,33 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Сеть управления |
||||
Объект: Телекоммуникационная связь через Интернет |
||||
Мера защиты: Использовать брандмауэр, обеспечивающий простую фильтрацию пакетов содержащих ICMP-сообщения |
||||
Ожидаемый ущерб после принятия мер: |
70000000,00 |
|||
Вероятность события риска после принятия мер: |
40,00 |
|||
Вес угрозы после принятия мер: |
9333333,33 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Угроза: Нарушение роботоспособности атакуемого хоста посредством наводнения TCP-запросами (TCP SYN flooding) |
Вес: 9333333,33 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Сеть управления |
||||
Объект: Телекоммуникационная связь через Интернет |
||||
Мера защиты: Исп. монироринговых прогр., след. за сост. очереди обработки запросов и предупр адм. сети о ее возм. переполн. |
||||
Ожидаемый ущерб после принятия мер: |
70000000,00 |
|||
Вероятность события риска после принятия мер: |
40,00 |
|||
Вес угрозы после принятия мер: |
9333333,33 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Блокирование пакетов с ложными IP-адресами при их прохождении через провайдера |
||||
Ожидаемый ущерб после принятия мер: |
70000000,00 |
|||
Вероятность события риска после принятия мер: |
40,00 |
|||
Вес угрозы после принятия мер: |
9333333,33 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Угроза: Угроза атаки посредством анализа сетевого трафика (Network traffic sniffing) |
Вес: 9333333,33 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Сеть управления |
||||
Объект: Телекоммуникационная связь через Интернет |
||||
Мера защиты: Шифрование информации |
||||
Ожидаемый ущерб после принятия мер: |
70000000,00 |
|||
Вероятность события риска после принятия мер: |
40,00 |
|||
Вес угрозы после принятия мер: |
9333333,33 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Использование криптопротокола Secure Socket Level (SSL) |
||||
Ожидаемый ущерб после принятия мер: |
70000000,00 |
|||
Вероятность события риска после принятия мер: |
40,00 |
|||
Вес угрозы после принятия мер: |
9333333,33 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Использование криптопротокола Transport Layer Security (TLS) |
||||
Ожидаемый ущерб после принятия мер: |
70000000,00 |
|||
Вероятность события риска после принятия мер: |
40,00 |
|||
Вес угрозы после принятия мер: |
9333333,33 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Мера защиты: Использование криптопротокола Secure HTTP (SHTTP) |
||||
Ожидаемый ущерб после принятия мер: |
70000000,00 |
|||
Вероятность события риска после принятия мер: |
40,00 |
|||
Вес угрозы после принятия мер: |
9333333,33 |
|||
Эффект от принятия мер: |
0,00 |
|||
Стоимость мер: |
0,00 |
|||
Риск: Риск "отказа в обслуживании" из-за атак хакеров |
||||
Цена: 3000000,00 |
Вероятность: 2,00 |
Ожидаемый ущерб: 60000,00 |
||
Угроза: Отказ в обслуживании |
Вес: 60000,00 |
|||
Регион: Карелия |
||||
ЛС: Офис Филиала "Карельский" |
||||
ПС: Информационная защита |
||||
Объект: Система бесперебойного питания |
||||
Риск: Риск "отказа в обслуживании" из-за атак хакеров |
||||
Цена: 3000000,00 |
Вероятность: 2,00 |
Ожидаемый ущерб: 60000,00 |
||
Угроза: Отказ в обслуживании |
Вес: 60000,00 |
|||
Регион: Карелия |
||||
ЛС: Группа ГЭС |
||||
ПС: В целом по ЛС |
||||
Объект: Система бесперебойного питания |
||||
Риск: Риск "отказа в обслуживании" из-за атак хакеров |
||||
Цена: 3000000,00 |
Вероятность: 2,00 |
Ожидаемый ущерб: 60000,00 |
||
Угроза: Отказ в обслуживании |
Вес: 60000,00 |
|||
Регион: Карелия |
||||
ЛС: Петрозаводская ТЭЦ |
||||
ПС: В целом по ЛС |
||||
Объект: Система бесперебойного питания |
||||