МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА № 13 по дисциплине «Основы информационной безопасности»
Тема: «Цели безопасности и классификация событий риска»
Студент гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
1. Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или
компании;
2. Цель работы: изучение вида работы по классификации инцидентов информационной безопасности на основании требований
стандарта ГОСТ Р 18044;
3. Отчёт выполняется с проведением анализа воздействия на деятельность предприятия (BIA) по 15-ти-шаговой таблице, анализа всех
рисков с применением реагирования на основе диаграммы вероятности угроз - величина ущерба.
1. Идентификация бизнес-целей организации в части ВСР
Основные бизнес-требования предприятия сведены в таблицу ниже.
|
|
Таблица 1 – бизнес-цели предприятия |
ID |
Категория |
Бизнес-цель |
BG-1 |
Пользователи |
Непрерывность и бесперебойность оказания услуг |
BG-2 |
|
Улучшение качества предоставляемых услуг |
BG-3 |
Финансы |
Оптимизация затрат на предоставление услуг |
BG-4 |
|
Соответствие законам и иным нормативным актам |
2. Идентификация значимых бизнес-процессов
Бизнес-процессы и владельцы, реализующие бизнес-цели представлены в таблице 2.
Таблица 2 – Идентификация значимых бизнес-процессов
Бизнес- |
ID |
Регион |
Процесс |
|
Блок владельца процесса |
Должность владельца |
цель |
|
|
|
|
|
процесса |
BG-1 |
BP1 |
Сочи |
Обеспечение |
непрерывного |
Технический отдел |
Системный |
|
|
|
доступа к сайту компании |
|
администратор |
|
|
BP2 |
Сочи |
Обеспечение |
непрерывного |
Технический отдел |
Администратор БД |
|
|
|
доступа сотрудникам к БД |
|
|
|
BG-2 |
BP3 |
Сочи |
Автоматизированное |
Технический отдел |
WEB-Администратор |
|
|
|
|
формирование |
заказов на |
|
|
|
|
|
сайте компании |
|
|
|
BG-3 |
BP4 |
Сочи |
Автоматизация разработки с |
Технический отдел |
Системный |
|
|
|
|
помощью |
|
|
администратор |
|
|
|
специализированного ПО |
|
|
|
BG-4 |
BP5 |
Сочи |
Регистрация/идентификация |
Технический отдел |
Системный |
|
|
|
|
пользователей |
|
|
администратор |
3. Идентификация бизнес-операций
Для значимых бизнес-процессов приведены действия, описаны прикладные системы, идентифицированы сервисы и бизнес-операции, сведено в таблицу 3.
Таблица 3 – идентификация бизнес-опреаций
4. Идентификация IT-сервисов
Для каждой идентифицированной ранее бизнес-операции в таблице 4 проидентифицированы участвующие в них ресурсы. Оценка значимости бизнес-операций проведена в пункте 5.
Таблица 4 (часть 1) – Идентификация IT-сервисов
Конец таблицы 4
5. Оценка значимости бизнес-операций
Оценка значимости бизнес-операций приведена в таблице 5 Таблица 5 – Оценка значимости бизнес-операций
ID BOP |
BOP-1 |
BOP-2 |
BOP-3 |
BOP-4 |
BOP-5 |
BOP-6 |
BOP-7 |
|
Описание |
Администрирование |
Мониторинг |
Мониторинг |
Внесение данных в БД |
Принятие |
Удаленное |
Регистрация и |
|
|
web-сервера |
web-сервера |
работы сервера |
|
заказов |
централизованное |
идентификация |
|
|
|
|
|
|
|
управление |
пользователей |
|
|
|
|
|
|
|
установкой и |
|
|
|
|
|
|
|
|
обновлением ПО |
|
|
Целостность |
Средняя |
Высокий |
Средняя |
Высокая |
Низкая |
Высокая |
Высокая |
|
Оценка целостности |
2 |
3 |
2 |
3 |
1 |
3 |
3 |
|
Конфиденциальность |
Средняя |
Средняя |
Средняя |
Средняя |
Средняя |
Средняя |
Средняя |
|
Оценка |
2 |
2 |
2 |
2 |
3 |
2 |
2 |
|
конфиденциальности |
||||||||
|
|
|
|
|
|
|
||
Доступность |
Средняя |
Средняя |
Высокая |
Высокая |
Средняя |
Высокая |
Высокая |
|
Оценка доступности |
2 |
2 |
3 |
3 |
2 |
3 |
3 |
|
Общая значимость |
Средняя |
Средняя |
Средняя |
Высокая |
Средняя |
Высокая |
Высокая |
|
Общая оценка |
2 |
2,33 |
2,33 |
2,67 |
2,00 |
2,67 |
2,67 |
6. Формирование перечня IT-ресурсов
В таблице 6 представлен перечень IT-ресурсов ООО «Восток» с указанием типа, сервисов и их описаний.
Таблица 6 – перечень IT-ресурсов
ID |
Наименование |
Тип |
Какими сервисами используется |
Описание |
R-SY-1 |
Программный модуль |
Прикладная система |
S1, S3 |
Программный модуль для управления системой в целом, управления |
|
"Администратор" |
|
|
авторизацией и разграничением доступа между пользователями |
R-SY-2 |
Сервис "Pingdom" |
Прикладная система |
S1 |
Сервис для мониторинга работы сайта |
R-SY-3 |
Linux Сервер |
Прикладная система |
S2 |
Сервис для мониторинга работы сервера БД |
R-SY-4 |
Клиент-Сервер |
Прикладная система |
S3 |
Сервис для взаимодействия сайта и БД |
R-SY-5 |
Сервис "АГОРТА" |
Прикладная система |
S4 |
Сервис для обработки и принятия заказов на сайте |
R-SY-6 |
Облачный сервис "Panda |
Прикладная система |
S5 |
Облачный сервис для удаленного централизованного управления |
|
Systems Management" |
|
|
установкой и обновлением ПО |
R-BD-1 |
Web-Сервер |
Хранилище данных |
S1, S4 |
Сервер для поддержания работы сайта |
R-BD-2 |
Сервер БД |
Хранилище данных |
S2, S3 |
Сервер с БД, авторизационные данные клиентов и сотрудников, |
|
|
|
|
данные о заказах, рабочие файлы |
R-BD-3 |
Жесткий диск компьютера |
Хранилище данных |
S5 |
Хранение данных об установленном ПО |
|
администратора/сотрудника |
|
|
|
R-OS-1 |
Unix |
Операционная система |
S1, S2, S3, S4, S5 |
ОС |
R-EQ-1 |
Web-Сервер |
Оборудование |
S1, S4 |
Сервер для поддержания работы сайта |
R-EQ-2 |
Компьютер администратора |
Оборудование |
S1, S2, S3, S5 |
Автоматизированное рабочее место администратора |
R-EQ-3 |
Сервер БД |
Оборудование |
S3 |
Сервер с БД, авторизационные данные клиентов и сотрудников, |
|
|
|
|
данные о заказах, рабочие файлы |
R-EQ-4 |
Компютер сотрудника |
Оборудование |
S5 |
Автоматизированное рабочее место сотрудника |
R-CC-1 |
Локальная сеть |
Канал коммуникаций |
S1, S2, S3, S4, S5 |
Локальная сеть, в которой компьютер, находящиеся в пределах |
|
|
|
|
организации связаны по топологи Звезда оптоволокном |
R-CC-2 |
Глобальная сеть |
Канал коммуникаций |
S3, S4 |
Интернет |
R-PH-1 |
Серверная |
Физическое окружение |
S1, S2, S3, S4, S5 |
Помещение, в котором находятся сервера БД, Web-сервер, АРМ |
|
|
|
|
администраторов |
R-PH-2 |
Кабинеты сотрудников |
Физическое окружение |
S3, S5 |
Помещение с АРМ сотрудников |
R-P-1 |
Системный администратор |
Персонал |
S1, S3, S5 |
Администрирует систему, следит за ее работой |
R-P-2 |
Администратор БД |
Персонал |
S2, S3 |
Администрирует БД, занимается их поддержкой, созданием |
|
|
|
|
резервных копий |
R-P-3 |
Web-администратор |
Персонал |
S4 |
Поддерживает работу сайта и web-сервера |
7. Идентификация перечня угроз
Для типов ИТ-ресурсов представлены угрозы безопасности и детальные цели контроля по CobIT 4.1., результаты сведены в таблицу 7.
Таблица 7 – идентификация перечня угроз
Тип ресурса |
ID |
Угроза |
Детальная цель контроля (CobIT 4.1) |
|
Угрозы |
||||
|
|
|
||
Прикладная система |
T-SY-1 |
Угроза вирусного заражения |
DS 5.1. Управление ИТ-безопасностью |
|
Хранилище данных |
T-BD-1 |
Угроза уязвимостей СУБД |
DS 5.6. Определение инцидентов в сфере безопасности |
|
|
T-BD-2 |
DDoS-атака на сервер |
DS 3.5. Мониторинг и отчетность |
|
|
T-BD-3 |
Ошибки в настройке серверов |
DS 11.6. Требования по безопасности к управлению |
|
|
|
|
данными |
|
|
T-BD-4 |
НСД |
DS 5.3. Управление идентификацией |
|
|
T-BD-5 |
Хищение носителей информации |
DS 11.3. Управление библиотекой носителей данных |
|
Оборудование |
T-EQ-1 |
Пользователь совершает действия, не предусмотренные инструкциями |
AI 2.2. Детальный дизайн приложений |
|
|
T-EQ-2 |
Ошибки в настройке системы |
AI 3.3. Обслуживание инфраструктуры |
|
|
T-EQ-3 |
Слабые пароли |
DS 5.4. Управление учетными записями пользователей |
|
Канал коммуникаций |
T-CC-1 |
Ошибки конфигурирования |
DS 5.10. Сетевая безопаснсость |
|
|
T-CC-2 |
Обход злоумышленником защиты сетевого экрана |
DS 5.6. Определение инцидентов в сфере безопасности |
|
Персонал |
T-P-1 |
Персонал записывает пароли на бумаге |
DS 7.2. Проведение тренингов и обучение |
|
|
T-P-2 |
Персонал забывает пароли |
DS 5.4. Управление учетными записями пользователей |
8. Расчет риска
В таблице 8 представлен опросник, позволяющий определить по уровням вероятность и влияние угроз ИТ.
Таблица 8 – Опросник для оценки вероятности и последствий угроз
ID |
Критерий |
Вопрос
Вероятность |
Целостность |
Конфиденциальность |
Доступность |
Насколько часто |
Если реализуется данная угроза, |
Может ли данная угроза привести к |
Если данная угроза |
реализуется данная |
может ли это привести к |
тому что ресурс станет доступен для |
реализуется, насколько |
угроза для данного |
искажению данных и насколько |
широкого круга сотрудников или |
долгим будет простой |
ресурса? (0 - |
сильными могут быть эти |
внешних людей? (0 - |
системы? (0 - простоя не |
никогда, 3 - очень |
искажения данных? (0 - не |
конфиденциальность ресурса |
будет, 3 - простой будет |
часто) |
произойдет, 3 - достаточно |
сохранится, 3 - скорее всего ресурс |
длительным) |
|
серьезные) |
станет доступен для НСД) |
|
T-SY-1 |
Угроза вирусного заражения |
2 |
2 |
1 |
2 |
|
T-BD-1 |
Угроза уязвимостей СУБД |
1 |
2 |
2 |
2 |
|
T-BD-2 |
DDoS-атака на сервер |
2 |
1 |
2 |
2 |
|
T-BD-3 |
Ошибки в настройке серверов |
1 |
1 |
2 |
1 |
|
|
||||||
T-BD-4 |
НСД |
1 |
3 |
1 |
2 |
|
T-BD-5 |
Хищение носителей информации |
2 |
3 |
2 |
3 |
|
T-EQ-1 |
Слабые пароли |
1 |
1 |
2 |
0 |
|
T-EQ-2 |
Пользователь совершает действия, не |
1 |
1 |
0 |
1 |
|
предусмотренные инструкциями |
||||||
|
|
|
|
|
||
T-EQ-3 |
Ошибки в настройке системы |
1 |
1 |
1 |
1 |
|
T-CC-1 |
Ошибки конфигурирования |
3 |
3 |
2 |
3 |
|
T-CC-2 |
Обход злоумышленником защиты |
1 |
0 |
2 |
0 |
|
сетевого экрана |
||||||
|
|
|
|
|
||
T-P-1 |
Персонал записывает пароли на |
2 |
0 |
3 |
1 |
|
бумаге |
||||||
|
|
|
|
|
||
T-P-2 |
Персонал забывает пароли |
2 |
2 |
3 |
2 |
9. Оценка вероятности и последствий угроз
В соответствии с опросником из предыдущего пункта представлена таблица оценки вероятности и влияния проидентифицированых угроз.
Таблица 9 – Оценка вероятностей и последствий угроз
ID ресурса |
Ресурс |
|
R-SY-1 |
Программный модуль |
|
"Администратор" |
||
|
||
R-SY-2 |
Сервис "Pingdom" |
|
R-SY-3 |
Linux Сервер |
|
R-SY-4 |
Клиент-Сервер |
|
R-SY-5 |
Сервис "АГОРТА" |
|
R-SY-6 |
Облачный сервис "Panda Systems |
|
Management" |
||
|
||
R-BD-1 |
Web-Сервер |
|
R-BD-2 |
Сервер БД |
|
|
Жесткий диск компьютера |
|
|
администратора/сотрудника |
|
R-BD-3 |
|
|
R-EQ-1 |
Web-Сервер |
|
|
||
R-EQ-2 |
Компьютер администратора |
|
R-EQ-3 |
Сервер БД |
|
R-EQ-4 |
Компютер сотрудника |
|
R-CC-1 |
Локальная сеть |
|
R-CC-2 |
Глобальная сеть |
|
R-P-1 |
Системный администратор |
|
R-P-2 |
Администратор БД |
|
R-P-3 |
Web-администратор |
Тип ресурса |
ID Угрозы |
Угроза |
Вероятность |
Целостность |
Конфиденциа |
Доступность |
|
|
|
|
|
льность |
|
|
|
Угроза вирусного заражения |
|
|
|
|
Прикладная система |
T-SY-1 |
|
2 |
2 |
1 |
2 |
Хранилище данных
Оборудование
Канал коммуникаций
Персонал
T-BD-1 |
Угроза уязвимостей СУБД |
|
T-BD-2 |
DDoS-атака на сервер |
|
T-BD-3 |
Ошибки в настройке серверов |
|
|
||
T-BD-4 |
НСД |
|
T-BD-5 |
Хищение носителей информации |
|
T-EQ-1 |
Пользователь совершает действия, не предусмотренные |
|
инструкциями |
||
|
||
T-EQ-2 |
Ошибки в настройке системы |
|
|
Слабые пароли |
|
T-EQ-3 |
|
|
T-CC-1 |
Ошибки конфигурирования |
|
T-CC-2 |
Обход злоумышленником защиты сетевого экрана |
|
T-P-1 |
Персонал записывает пароли на бумаге |
|
T-P-2 |
Персонал забывает пароли |
|
|
1 |
2 |
2 |
2 |
2 |
1 |
2 |
2 |
1 |
1 |
2 |
1 |
1 |
3 |
1 |
2 |
2 |
3 |
2 |
3 |
1 |
1 |
2 |
0 |
1 |
1 |
0 |
1 |
1 |
1 |
1 |
1 |
3 |
3 |
2 |
3 |
1 |
0 |
2 |
0 |
2 |
0 |
3 |
1 |
2 |
2 |
3 |
2 |
10. Сводная оценка RA и BIA
В 10 таблице сведены риски, указаны ресурсы и угрозы. Данные по оценке эффективности контролей взяты из 8 пункта по оценке значимости из 5 пункта. Общая оценка риска приведена на основании оценки значимочти и оценки угроз.
Таблица 10 (часть 1) – Сводная оценка рисков с учетом ценности сервиса
ID риска |
Бизнес-операция |
RSK-1 Администрирование web-сервера
RSK-2 Мониторинг webсервера
RSK-3 Мониторинг работы сервера
ID |
ID |
Ресурс |
|
сервиса |
ресурса |
||
|
|||
S1 |
R-SY-1 |
Программный модуль |
|
|
|
"Администратор" |
|
S1 |
R-SY-2 |
Сервис "Pingdom" |
|
S2 |
R-SY-3 |
Linux Сервер |
RSK-4 |
Внесение данных в БД |
S3 |
R-SY-4 |
Клиент-Сервер |
RSK-5 |
Принятие заказов |
S4 |
R-SY-5 |
Сервис "АГОРТА" |
RSK-6 |
Удаленное |
S5 |
R-SY-6 |
Облачный сервис "Panda Systems |
|
централизованное |
|
|
Management" |
RSK-7 |
Администрирование |
S1 |
R-BD-1 |
Web-Сервер |
|
web-сервера |
|
|
|
RSK-8 |
Внесение данных в БД |
S3 |
R-BD-2 |
Сервер БД |
RSK-9 |
Удаленное |
S5 |
R-BD-3 |
Жесткий диск компьютера |
|
централизованное |
|
|
администратора/сотрудника |
RSK-10 |
Мониторинг web- |
S1 |
R-EQ-1 |
Web-Сервер |
|
сервера |
|
|
|
RSK-11 |
Регистрация и |
S3 |
R-EQ-2 |
Компьютер администратора |
|
идентификация |
|
|
|
|
пользователей |
|
|
|
RSK-12 |
Мониторинг работы |
S2 |
R-EQ-3 |
Сервер БД |
|
сервера |
|
|
|
RSK-13 |
Удаленное |
S5 |
R-EQ-4 |
Компютер сотрудника |
|
централизованное |
|
|
|
|
управление установкой |
|
|
|
|
и обновлением ПО |
|
|
|
RSK-14 |
Мониторинг работы |
S2 |
R-CC-1 |
Локальная сеть |
|
сервера |
|
|
|
RSK-15 |
Регистрация и |
S3 |
R-CC-2 |
Глобальная сеть |
|
идентификация |
|
|
|
|
пользователей |
|
|
|
RSK-16 |
Удаленное |
S5 |
R-P-1 |
Системный администратор |
|
централизованное |
|
|
|
|
управление установкой |
|
|
|
|
и обновлением ПО |
|
|
|
RSK-17 |
Внесение данных в БД |
S3 |
R-P-2 |
Администратор БД |
RSK-18 |
Администрирование |
S1 |
R-P-3 |
Web-администратор |
|
web-сервера |
|
|
|
Тип ресурса |
ID |
Угроза |
|
Угрозы |
|||
|
|
||
Прикладная |
T-SY-1 |
Угроза вирусного заражения |
|
система |
|
|
|
Прикладная |
T-SY-1 |
Угроза вирусного заражения |
|
система |
|
|
|
Прикладная |
T-SY-1 |
Угроза вирусного заражения |
|
система |
|
|
|
Прикладная |
T-SY-1 |
Угроза вирусного заражения |
|
система |
|
|
|
Прикладная |
T-SY-1 |
Угроза вирусного заражения |
|
система |
|
|
|
Прикладная |
T-SY-1 |
Угроза вирусного заражения |
|
система |
|
|
|
Хранилище данных |
T-BD-2 |
DDoS-атака на сервер |
|
Хранилище данных |
T-BD-1 |
Угроза уязвимостей СУБД |
|
Хранилище данных |
T-BD-4 |
НСД |
|
Оборудование |
T-EQ-2 |
Ошибки в настройке системы |
|
Оборудование |
T-EQ-1 |
Пользователь совершает |
|
|
|
действия, не предусмотренные |
|
|
|
инструкциями |
|
Оборудование |
T-EQ-2 |
Ошибки в настройке системы |
|
Оборудование |
T-EQ-3 |
Слабые пароли |
|
Канал |
T-CC-1 |
Ошибки конфигурирования |
|
коммуникации |
|
|
|
Канал |
T-CC-2 |
Обход злоумышленником защиты |
|
коммуникации |
|
сетевого экрана |
|
Персонал |
T-P-2 |
Персонал забывает пароли |
|
Персонал |
T-P-2 |
Персонал забывает пароли |
|
Персонал |
T-P-1 |
Персонал записывает пароли на |
|
|
|
бумаге |
Оценка
эффективности
контролей
1
1
1
1
1
1
2
1
2
2
1
2
3
2
1
2
2
1
Конец таблицы 10
Общая оценка риска |
Целостность |
Конфиденциаль |
Доступность |
Целостность |
Конфиденциал |
Доступность |
Вероятность |
Целостность |
Конфиденциаль |
Доступность |
|
|
ность |
|
|
ьность |
|
|
|
ность |
|
1,83 |
2 |
1,5 |
2 |
2 |
2 |
2 |
2 |
2 |
1 |
2 |
2,00 |
2,5 |
1,5 |
2 |
3 |
2 |
2 |
2 |
2 |
1 |
2 |
2,00 |
2 |
1,5 |
2,5 |
2 |
2 |
3 |
2 |
2 |
1 |
2 |
2,17 |
2,5 |
1,5 |
2,5 |
3 |
2 |
3 |
2 |
2 |
1 |
2 |
1,83 |
1,5 |
2 |
2 |
1 |
3 |
2 |
2 |
2 |
1 |
2 |
2,17 |
2,5 |
1,5 |
2,5 |
3 |
2 |
3 |
2 |
2 |
1 |
2 |
1,83 |
1,5 |
2 |
2 |
2 |
2 |
2 |
2 |
1 |
2 |
2 |
2,33 |
2,5 |
2 |
2,5 |
3 |
2 |
3 |
1 |
2 |
2 |
2 |
2,33 |
3 |
1,5 |
2,5 |
3 |
2 |
3 |
1 |
3 |
1 |
2 |
1,67 |
2 |
1,5 |
1,5 |
3 |
2 |
2 |
1 |
1 |
1 |
1 |
1,67 |
2 |
1 |
2 |
3 |
2 |
3 |
1 |
1 |
0 |
1 |
1,67 |
1,5 |
1,5 |
2 |
2 |
2 |
3 |
1 |
1 |
1 |
1 |
1,83 |
2 |
2 |
1,5 |
3 |
2 |
3 |
1 |
1 |
2 |
0 |
2,50 |
2,5 |
2 |
3 |
2 |
2 |
3 |
3 |
3 |
2 |
3 |
1,67 |
1,5 |
2 |
1,5 |
3 |
2 |
3 |
1 |
0 |
2 |
0 |
2,50 |
2,5 |
2,5 |
2,5 |
3 |
2 |
3 |
2 |
2 |
3 |
2 |
2,50 |
2,5 |
2,5 |
2,5 |
3 |
2 |
3 |
2 |
2 |
3 |
2 |
1,67 |
1 |
2,5 |
1,5 |
2 |
2 |
2 |
2 |
0 |
3 |
1 |
11. Идентификация ИТ-целей в части BCP
В таблице 11 представлена карта соответствия ИТ-целей и бизнес-целей по методике CobIT 5.