Добавил:

triple666mafia north memphis Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Санкт-Петербургский государственный электротехнический университет "ЛЭТИ"

Предмет:

Основы информационной безопасности

Файл:

лаба_13 / лаб_13_11_3

.pdf

Скачиваний:

Добавлен:

27.10.2025

Размер:

1.07 Mб

Скачать

☆

1 / 21 2 > Следующая >>>

МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности

ПРАКТИЧЕСКАЯ РАБОТА №13 по дисциплине «Основы информационной безопасности»

Тема: «Цели безопасности и классификация событий риска»

Студентка гр.

Преподаватель

Санкт-

Петербург

2023

ПОСТАНОВКА ЗАДАЧИ

1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;

2.Цель работы: изучение вида работы по классификации инцидентов информационной безопасности на основании требований стандарта ГОСТ Р

18044;

3.Отчѐт выполняется с проведением анализа воздействия на деятельность предприятия (BIA) по 15-ти-шаговой таблице, анализа всех рисков с применением реагирования на основе диаграммы вероятности угроз - величина ущерба.

1. Идентификация бизнес-целей организации в части ВСР

Основные бизнес-требования предприятия сведены в таблицу ниже.

		Таблица 1 – бизнес-цели предприятия

ID	Категория	Бизнес-цель


BG-1	Пользователи	Непрерывность и бесперебойность оказания услуг

BG-2		Улучшение качества предоставляемых услуг

BG-3	Финансы	Оптимизация затрат на предоставление услуг

BG-4		Соответствие законам и иным нормативным актам

2. Идентификация значимых бизнес-процессов

Бизнес-процессы и владельцы, реализующие бизнес-цели представлены

в таблице 2.

Таблица 2 – Идентификация значимых бизнес-процессов

Бизнесцель	ID	Регион	Процесс		Блок владельца процесса	Должность владельца

						процесса

BG-1	BP1	Санкт-	Обеспечение	непрерывного	Административный	Системный
		Петебург	доступа к сайту компании		отдел	администратор
		Петебург	доступа к сайту компании		отдел	администратор

	BP2	Санкт-	Обеспечение	непрерывного	Административный	Администратор БД
	BP2	Санкт-	Обеспечение	непрерывного	Административный	Администратор БД
		Петербург	доступа сотрудникам к БД		отдел
		Петербург	доступа сотрудникам к БД		отдел

BG-2	BP3	Санкт-	Автоматизированное		Административный	WEB-Администратор
		Петербург	формирование	заказов на	отдел
		Петербург			отдел

			сайте компании

BG-3	BP4	Санкт-	Автоматизация разработки с		Административный	Системный
		Петербург	помощью		отдел	администратор
			помощью
			специализированного ПО

BG-4	BP5	Санкт-	Регистрация/идентификация		Административный	Системный
		Петербург	пользователей		отдел	администратор

3. Идентификация бизнес-операций

Для значимых бизнес-процессов приведены действия, описаны прикладные системы, идентифицированы сервисы и бизнес-операции,

сведено в таблицу 3.

Таблица 3 – идентификация бизнес-опреаций

4. Идентификация IT-сервисов

Для каждой идентифицированной ранее бизнес-операции в таблице 4

проидентифицированы участвующие в них ресурсы. Оценка значимости

бизнес-операций проведена в пункте 5.

Таблица 4 (часть 1) – Идентификация IT-сервисов

Конец таблицы 4

5. Оценка значимости бизнес-операций

Оценка значимости бизнес-операций приведена в таблице 5

Таблица 5 – Оценка значимости бизнес-операций

ID BOP

BOP -1

BOP -2

BOP -3

BOP -4

BOP -5

BOP -6

BOP -7

Описание

Администрирование

Мониторинг

Внесение данных в БД

Принятие

Удаленное

Р егистрация и

web-сервера

работы сервера

заказов

централизованное

идентификация

управление

пользователей

установкой

обновлением ПО

Целостность

Средняя

Высокий

Средняя

Высокая

Низкая

Высокая

Оценка целостности

Конфиденциальност

Средняя

Оценка

конфиденциальности

Доступность

Средняя

Высокая

Средняя

Высокая

Оценка доступности

Общая значимость

Средняя

Высокая

Средняя

Высокая

Общая оценка

2,33

2,67

2,00

2,67

6. Формирование перечня IT-ресурсов

В таблице 6 представлен перечень IT-ресурсов ООО «СкайНэт» с

указанием типа, сервисов и их описаний.

Таблица 6 – перечень IT-ресурсов

ID	Наименование	Тип	Какими сервисами используется	Описание


R-SY-1	Программный модуль	Прикладная система	S1, S3	Программный модуль для управления системой в целом, управления
	"Администратор"			авторизацией и разграничением доступа между пользователями
	"Администратор"			авторизацией и разграничением доступа между пользователями



R-SY-2	Сервис "Pingdom"	Прикладная система	S1	Сервис для мониторинга работы сайта


R-SY-3	Linux Сервер	Прикладная система	S2	Сервис для мониторинга работы сервера БД


R-SY-4	Клиент-Сервер	Прикладная система	S3	Сервис для взаимодействия сайта и БД

R-SY-5	Сервис "АГОРТА"	Прикладная система	S4	Сервис для обработки и принятия заказов на сайте


R-SY-6	Облачный сервис "Panda	Прикладная система	S5	Облачный сервис для удаленного централизованного управления
R-SY-6	Облачный сервис "Panda	Прикладная система	S5	Облачный сервис для удаленного централизованного управления
	Systems Management"			установкой и обновлением ПО
	Systems Management"			установкой и обновлением ПО

R-BD-1	Web-Сервер	Хранилище данных	S1, S4	Сервер для поддержания работы сайта
R-BD-1	Web-Сервер	Хранилище данных	S1, S4	Сервер для поддержания работы сайта

R-BD-2	Сервер БД	Хранилище данных	S2, S3	Сервер с БД, авторизационные данные клиентов и сотрудников, данные
R-BD-2	Сервер БД	Хранилище данных	S2, S3
				о заказах, рабочие файлы
				о заказах, рабочие файлы

R-BD-3	Жесткий диск компьютера	Хранилище данных	S5	Хранение данных об установленном ПО
R-BD-3	Жесткий диск компьютера	Хранилище данных	S5	Хранение данных об установленном ПО
	администратора/сотрудника
	администратора/сотрудника

R-OS-1	Unix	Операционная система	S1, S2, S3, S4, S5	ОС
R-OS-1	Unix	Операционная система	S1, S2, S3, S4, S5	ОС

R-EQ-1	Web-Сервер	Оборудование	S1, S4	Сервер для поддержания работы сайта


R-EQ-2	Компьютер администратора	Оборудование	S1, S2, S3, S5	Автоматизированное рабочее место администратора



R-EQ-3	Сервер БД	Оборудование	S3	Сервер с БД, авторизационные данные клиентов и сотрудников, данные
				о заказах, рабочие файлы
				о заказах, рабочие файлы


R-EQ-4	Компютер сотрудника	Оборудование	S5	Автоматизированное рабочее место сотрудника




R-CC-1	Локальная сеть	Канал коммуникаций	S1, S2, S3, S4, S5	Локальная с еть, в которой комп ьютер, находящи еся в пределах
				организации связаны по топологи Звезда оптоволокном
				организации связаны по топологи Звезда оптоволокном

R-CC-2	Глобальная сеть	Канал коммуникаций	S3, S4	Интернет


R-PH-1	Серверная	Физическое окружение	S1, S2, S3, S4, S5	Помещение, в котором находятся сервера БД, Web -сервер, АРМ
				администраторов
				администраторов

R-PH-2	Кабинеты сотрудников	Физическое окружение	S3, S5	Помещение с АРМ сотрудников
R-PH-2	Кабинеты сотрудников	Физическое окружение	S3, S5	Помещение с АРМ сотрудников


R-P-1	Системный администратор	Персонал	S1, S3, S5	Администрирует систему, следит за ее работой
R-P-1	Системный администратор	Персонал	S1, S3, S5	Администрирует систему, следит за ее работой

R-P-2	Администратор БД	Персонал	S2, S3	Администрирует БД, занимает ся их поддержкой, созданием резервных
				копий
R-P-3	Web-администратор	Персонал	S4	Поддерживает работу сайта и web -сервера

7. Идентификация перечня угроз

Для типов ИТ-ресурсов представлены угрозы безопасности и детальные

цели контроля по CobIT 4.1., результаты сведены в таблицу 7.

Таблица 7 – идентификация перечня угроз

Тип ресурса	ID	Угроза	Детальная цель контроля (CobIT 4.1)
	Угрозы

Прикладная система	T-SY-	Угроза вирусного заражения	DS 5.1. Управление ИТ-безопасностью
	1

Хранилище данных	T-BD-	Угроза уязвимостей СУБД	DS 5.6. Определение инцидентов в сфере
	1		безопасности

	T-BD-	DDoS-атака на сервер	DS 3.5. Мониторинг и отчетность
	2

	T-BD-	Ошибки в настройке серверов	DS 11.6. Требования по безопасности к управлению
	3		данными

	T-BD-	НСД	DS 5.3. Управление идентификацией
	4

	T-BD-	Хищение носителей информации	DS 11.3. Управление библиотекой носителей данных
	5

Оборудование	T-EQ-	Пользователь совершает действия, не предусмотренные инструкциями	AI 2.2. Детальный дизайн приложений
	1

	T-EQ-	Ошибки в настройке системы	AI 3.3. Обслуживание инфраструктуры
	2

	T-EQ-	Слабые пароли	DS 5.4. Управление учетными записями пользователей
	3

Канал коммуникаций	T-CC-	Ошибки конфигурирования	DS 5.10. Сетевая безопаснсость
	1
	T-CC-	Обход злоумышленником защиты сетевого экрана	DS 5.6. Определение инцидентов в сфере
	2		безопасности

Персонал	T-P -1	Персонал записывает пароли на бумаге	DS 7.2. Проведение тренингов и обучение

	T-P -2	Персонал забывает пароли	DS 5.4. Управление учетными записями пользователей

8. Расчет риска

В таблице 8 представлен опросник, позволяющий определить по уровням вероятность и влияние угроз ИТ.

Таблица 8 – Опросник для оценки вероятности и последствий угроз

ID	Критерий	Вероятность	Целостность		Конфиденциальность		Доступность
ID	Критерий	Вероятность	Целостность		Конфиденциальность		Доступность


		Насколько часто	Если реализуется данная угроза,		Может ли данная угроза привести к	Если		данная		угроза
		реализуется	может ли это привести к		тому что ресурс станет доступен для	реализуется,			насколько
		данная угроза для	искажению данных и насколько		широкого круга сотрудников или		долгим	будет		простой
	Вопрос	данного ресурса?	сильными могут быть эти		внешних людей? (0 -		системы? (0		-	простоя
	Вопрос	(0 - никогда, 3 -	искажения данных? (0 - не		конфиденциальность ресурса		не будет, 3 - простой
		(0 - никогда, 3 -	искажения данных? (0 - не		конфиденциальность ресурса		не будет, 3 - простой
		очень часто)	произойдет, 3 - достаточно		сохранится, 3 - скорее всего ресурс		будет длительным)
			серьезные)		станет доступен для НСД)

T-SY-1	Угроза вирусного заражения	2	2	1				2

T-BD-1	Угроза уязвимостей СУБД	1	2	2				2
T-BD-1	Угроза уязвимостей СУБД	1	2	2				2


T-BD-2	DDoS-атака на сервер	2	1	2				2



T-BD-3	Ошибки в настройке серверов	1	1	2				1

T-BD-4	НСД	1	3	1				2

T-BD-5	Хищение носителей информации	2	3	2				3
T-EQ-1	Слабые пароли	1	1	2				0
T-EQ-1	Слабые пароли	1	1	2				0
T-EQ-2	Пользователь совершает действия,		1	0				1
	Пользователь совершает действия,
	не предусмотренные инструкциями	1

T-EQ-3	Ошибки в настройке системы	1	1	1	1

T-CC-1	Ошибки конфигурирования	3	3	2	3
T-CC-1	Ошибки конфигурирования	3	3	2	3

T-CC-2	Обход злоумышленником защиты	1	0	2	0
	Обход злоумышленником защиты
	сетевого экрана
	сетевого экрана

T-P -1	Персонал записывает пароли на	2	0	3	1


	бумаге
	бумаге
T-P -2	Персонал забывает пароли	2	2	3	2
T-P -2	Персонал забывает пароли	2	2	3	2

9. Оценка вероятности и последствий угроз

В соответствии с опросником из предыдущего пункта представлена таблица оценки вероятности и влияния проидентифицированых угроз.

Таблица 9 – Оценка вероятностей и последствий угроз

ID ресурса	Ресурс	Тип ресурса	ID Угрозы	Угроза	Вероятность	Целостность	Конфиденциа	Доступность
							льность

R-SY-1	Программный модуль			Угроза вирусного заражения
	"Администратор"
R-SY-2	Сервис "Pingdom"

R-SY-3	Linux Сервер
		Прикладная система	T-SY-1		2	2	1	2
R-SY-4	Клиент-Сервер
R-SY-4	Клиент-Сервер

R-SY-5	Сервис "АГОРТА"

R-SY-6	Облачный сервис "Panda Systems
	Management"
R-BD-1	Web-Сервер		T-BD-1	Угроза уязвимостей СУБД	1	2	2	2
R-BD-2	Сервер БД		T-BD-2	DDoS-атака на сервер	2	1	2	2

	Жесткий диск компьютера		T-BD-3	Ошибки в настройке серверов	1	1	2	1
	администратора/сотрудника
		Хранилище данных
R-BD-3			T-BD-4	НСД	1	3	1	2

			T-BD-5	Хищение носителей информации	2	3	2	3

R-EQ-1	Web-Сервер		T-EQ-1	Пользователь совершает действия, не предусмотренные	1	1	2	0
				инструкциями
R-EQ-2	Компьютер администратора		T-EQ-2	Ошибки в настройке системы	1	1	0	1


R-EQ-3	Сервер БД	Оборудование		Слабые пароли
		Оборудование	T-EQ-3			1	1	1
			T-EQ-3			1	1	1
					1
R-EQ-4	Компютер сотрудника				1


R-CC-1	Локальная сеть		T-CC-1	Ошибки конфигурирования	3	3	2	3
		Канал коммуникаций
R-CC-2	Глобальная сеть		T-CC-2	Обход злоумышленником защиты сетевого экрана	1	0	2	0


R-P-1	Системный администратор		T-P-1	Персонал записывает пароли на бумаге	2	0	3	1

R-P-2	Администратор БД			Персонал забывает пароли	2
		Персонал			2
R-P-3	Web-администратор	Персонал	T-P-2			2	3	2
			T-P-2			2	3	2

10. Сводная оценка RA и BIA

В 10 таблице сведены риски, указаны ресурсы и угрозы. Данные по оценке эффективности контролей взяты из 8 пункта по оценке значимости из 5 пункта. Общая оценка риска приведена на основании оценки значимочти и оценки угроз.

Таблица 10 (часть 1) – Сводная оценка рисков с учетом ценности сервиса

									Оценка
ID риска	Бизнес-операция	ID	ID		Ресу рс	Тип ресу рса	ID	Угроза	эффективности
									эффективности
		сервиса	ресу рса				Угрозы		контролей
		сервиса	ресу рса				Угрозы



RSK-1	Администрирование	S1	R-SY-1	Программный моду ль		Прикладная	T-SY-1	Угроза виру сного заражения	1
	web-сервера				"Администратор"	система

RSK-2	Мониторинг	S1	R-SY-2	Сервис "Pingdom"	Прикладная	T-SY-1	Угроза виру сного заражения
	webсервера				система			1
								1


RSK-3	Мониторинг работы	S2	R-SY-3	Linux Сервер	Прикладная	T-SY-1	Угроза виру сного заражения
	сервера				система			1
	сервера				система

RSK-4	Внесение данных в БД	S3	R-SY-4	Клиент-Сервер	Прикладная	T-SY-1	Угроза виру сного заражения	1
					система
					система
RSK-5	Принятие заказов	S4	R-SY-5	Сервис "АГОРТА"	Прикладная	T-SY-1	Угроза виру сного заражения
					система			1
								1


RSK-6	Удаленное	S5	R-SY-6	Облачный сервис "Panda Sy stems	Прикладная	T-SY-1	Угроза виру сного заражения
	централизованное			Management"	система			1
								1


RSK-7	Администрирование	S1	R-BD-1	Web-Сервер	Хранилище данных	T-BD-2	DDoS-атака на сервер
	web-сервера							2
	web-сервера							2

RSK-8	Внесение данных в БД	S3	R-BD-2	Сервер БД	Хранилище данных	T-BD-1	Угроза у язвимостей СУБД
								1

RSK-9	Удаленное	S5	R-BD-3	Жесткий диск компьютера	Хранилище данных	T-BD-4	НСД
	централизованное			администратора/сотрудника				2
	централизованное			администратора/сотрудника				2

RSK-10	у правление у становкой	S1	R-EQ-1	Web-Сервер	Обору дование	T-EQ-2	Ошибки в настройке системы
	Мониторинг
	Мониторинг							2
	webсервера
RSK-11	Регистрация и	S3	R-EQ-2	Компьютер администратора	Обору дование	T-EQ-1	Пользователь совершает действия,
	идентификация						не преду смотренные	1
	идентификация						не преду смотренные
	пользователей						инстру кциями
	пользователей						инстру кциями

RSK-12	Мониторинг работы	S2	R-EQ-3	Сервер БД	Обору дование	T-EQ-2	Ошибки в настройке системы
	сервера							2
	сервера

RSK-13	Удаленное	S5	R-EQ-4	Компютер сотру дника	Обору дование	T-EQ-3	Слабые пароли
	централизованное
	у правление у становкой							3
	у правление у становкой
	и обновлением ПО
RSK-14	Мониторинг работы	S2	R-CC-1	Локальная сеть	Канал	T-CC-1	Ошибки конфигу рирования
	сервера				комму никации			2
								2


RSK-15	Регистрация и	S3	R-CC-2	Глобальная сеть	Канал	T-CC-2	Обход злоу мышленником защиты
	идентификация				комму никации		сетевого экрана
	пользователей							1

RSK-16	Удаленное	S5	R-P-1	Системный администратор	Персонал	T-P-2	Персонал забывает пароли
	централизованное
	у правление у становкой							2
	и обновлением ПО

RSK-17	Внесение данных в БД	S3	R-P-2	Администратор БД	Персонал	T-P-2	Персонал забывает пароли
								2

RSK-18	Администрирование	S1	R-P-3	Web-администратор	Персонал	T-P-1	Персонал записывает пароли на
	web-сервера						бу маге	1
	web-сервера						бу маге	1

Конец таблицы 10

Общая	оценка			Конфиденциаль			Целостност		Конфиденциал				Конфиденциаль


		Целостность			Досту пность					Досту пность	Вероятность	Целостность		Досту пность
риска				ность			ь		ьность				ность




1,83		2	1,5		2	2		2		2	2	2	1	2



		2,5	1,5		2	3		2		2		2	1	2
2,00											2


		2	1,5		2,5	2		2		3		2	1	2
2,00											2


2,17		2,5	1,5		2,5	3		2		3	2	2	1	2




1,83		1,5	2		2	1		3		2	2	2	1	2

2,17		2,5	1,5		2,5	3		2		3	2	2	1	2



1,83		1,5	2		2	2		2		2	2	1	2	2



2,33		2,5	2		2,5	3		2		3	1	2	2	2



		3	1,5		2,5	3		2		3		3	1	2
2,33											1


1,67		2	1,5		1,5	3		2		2	1	1	1	1



		2	1		2	3		2		3		1	0	1
1,67											1



1,67	1,5	1,5	2	2	2	3	1	1	1	1


	2	2	1,5	3	2	3		1	2	0
1,83							1
1,83							1

	2,5	2	3	2	2	3		3	2	3
2,50							3
2,50							3

	1,5	2	1,5	3	2	3		0	2	0
1,67							1
1,67							1

	2,5	2,5	2,5	3	2	3		2	3	2
2,50							2
2,50							2



2,50	2,5	2,5	2,5	3	2	3	2	2	3	2

	1	2,5	1,5	2	2	2		0	3	1
1,67							2
1,67							2

11. Идентификация ИТ-целей в части BCP

В таблице 11 представлена карта соответствия ИТ-целей и бизнес-целей по методике CobIT 5.

Таблица 11 – Соответствие ИТ- и бизнес-целей


P - прямое соответствие, S - косвенное соответствие				Бизнес-цели предприятия

			Непрерывность и	Улучшение	Оптимизация	Соответствие
			бесперебойность	качества	затрат на	законам и иным
			оказания услуг	предоставляемых	предоставление	нормативным
	ИТ -цели (по CobIT 5)			услуг	услуг	актам
				услуг	услуг	актам



Соотвествие между ИТ- и бизнес стратегиями			P			P


Следование внешнему законодательству и
регулирующим требованиям в области ИТ			S	S		P
и поддержка бизнес-соответствия
и поддержка бизнес-соответствия
Управляемые ИТ -риски			P	S	P	S

Предоставление ИТ-услуг в соответствии с			S	P	P	S
Предоставление ИТ-услуг в соответствии с
бизнестребованиями
бизнестребованиями
Адекватное	использование	приложений,	P	S	S	S
Адекватное	использование	приложений,
информации и технических решений
информации и технических решений
Безопасность обрабатываемой информации			S			P

Обеспечение работы и поддержка бизнес-процессов,
путем интеграции приложений и технологий в			P	P	S
бизнеспроцессы

1 / 21 2 > Следующая >>>

Соседние файлы в папке лаба_13

#
27.10.20254.57 Mб0лаб_13_08_4.docx
#
27.10.20254.53 Mб0лаб_13_09_1.docx
#
27.10.202559.41 Кб0лаб_13_09_2.odt
#
27.10.20253.82 Mб0лаб_13_09_3.pdf
#
27.10.20254.57 Mб0лаб_13_10_4.docx
#
27.10.20251.07 Mб0лаб_13_11_3.pdf
#
27.10.20254.87 Mб0лаб_13_11_4.docx
#
27.10.20253.62 Mб0лаб_13_12_1.pdf
#
27.10.202559.74 Кб0лаб_13_12_2.docx
#
27.10.20251.12 Mб0лаб_13_12_4.docx
#
27.10.20254.57 Mб0лаб_13_13_1.docx