МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по практической работе № 14
по дисциплине «Основы информационной безопасности» Тема: «Оценка структуры факторов риска»
Студент гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
Провести оценку отношений на множестве факторов риска,расчет профиля риска и определить наиболее значимые факторы. Описываемая область выбирается студентом на основе собранныхматериалов по конкретному предприятию, организации или компании. Отчёт выполняется с расчетом профиля риска в РискМенеджер - Анализ v3.5.
1. Оценка структуры факторов риска по методологии ФСТЭК
С помощью методики ФСТЭК построим структуру видов ущерба,
относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Негативные последствия приведены в таблице 1, представленной ниже
Таблица 1 – Виды рисков и негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
|
|
|
У1 |
Ущерб физическому лицу |
Нарушение конфиденциальности. |
|
|
|
|
|
Нарушение иных прав и свобод гражданина, |
|
|
закрепленных в Конституции Российской |
|
|
Федерации и федеральных законах. |
|
|
|
У2 |
Риски юридическому лицу, |
Нарушение законодательства Российской |
|
индивидуальному предпринимателю, |
Федерации. |
|
связанные с хозяйственной |
|
|
Нарушение штатного режима |
|
|
деятельностью |
функционирования автоматизированной |
|
|
системы |
|
|
|
|
|
Необходимость дополнительных |
|
|
(незапланированных) затрат на выплаты |
|
|
штрафов (неустоек) или компенсаций. |
|
|
|
|
|
Невозможность решения задач или |
|
|
снижение эффективности решения задач |
|
|
|
|
|
Публикация недостоверной информации на |
|
|
веб-ресурсах организации. |
|
|
|
В таблице 2 приведены объекты воздействия в соответствии с негативными
последствиями из первой таблицы.
Таблица 2 – Возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
|
|
|
|
|
||
Нарушение конфиденциальности. |
База аутентификационных |
Утечка аутентификационных |
||
|
данных |
данных пользователей из БД |
||
|
|
|
|
|
|
АРМ, расположенные в |
Утечка учетной |
|
|
|
библиотеке «ibooks» |
информации, вводимой |
||
|
|
пользователями при |
||
|
|
использовании АРМ |
||
|
|
|
|
|
|
Проводные и беспроводные |
Перехват |
информации, |
|
|
|
|||
|
каналы передачи данных. |
содержащей учетные данные |
||
|
|
|||
|
|
пользователей, передаваемой |
||
|
|
по каналам |
|
|
|
|
|
|
|
Нарушение иных прав и свобод |
Файловый сервер |
Утечка |
материалов |
|
гражданина, закрепленных в |
|
ЭБС, защищаемых |
|
|
Конституции Российской |
|
авторским правом |
|
|
Федерации и федеральных |
|
|
|
|
АРМ, расположенные в |
Утечка |
материалов |
||
законах. |
библиотеке «ibooks» |
ЭБС, защищаемых |
|
|
|
|
авторским правом |
|
|
|
|
|
||
Нарушение законодательства РФ, |
База аутентификационных |
Утечка аутентификационных |
||
|
|
|
||
необходимость дополнительных |
данных |
данных |
пользователей, |
|
|
|
|
||
затрат на выплаты штрафов (У2) |
|
защищаемых |
законом |
|
|
|
|
|
|
|
|
«О персональных |
данных» |
|
|
|
(предусмотрены штрафы) |
||
|
|
|
|
|
|
Файловый сервер |
Утечка |
материалов |
|
|
|
|
|
|
|
|
ЭБС, защищаемых законом |
||
|
|
«Об авторском праве и |
||
|
|
смежных правах» |
|
|
|
|
(предусмотрены штрафы) |
||
|
|
|
||
Нарушение штатного режима |
ПО для администрирования |
Несанкционированный |
||
функционирования |
|
доступ, |
нарушение |
|
автоматизированной системы, |
|
функционирования |
|
|
невозможность решения задач |
|
программноаппаратных |
||
или снижение эффективности |
|
средств-администрирования |
||
решения задач (У2) |
|
ЭБС |
|
|
|
|
|
|
|
|
АРМ, расположенные в |
Нарушение |
|
|
|
библиотеке «ibooks» |
функционирования АРМ |
||
|
|
|
|
|
|
|
|
Файловый сервер |
Нарушение |
|
|
|
|
|
функционирования ЭБС |
|
|
|
|
|
(удаление информации, |
|
|
|
|
|
необходимой для |
решения |
|
|
|
|
задач ЭБС) |
|
|
|
|
|
|
|
|
Публикация недостоверной |
|
Файловый сервер, СУБД |
Несанкционированная |
|
|
информации на вебресурсах |
|
|
модификация, |
подмена, |
|
|
|
|
|
|
|
организации |
|
|
искажение информации |
|
|
|
|
|
|
|
Категории и уровни возможных нарушителей представлены в 3 таблице, в
которую сведены данные для определения видов риска.
Таблица 3 – Актуальные нарушители
№ |
Виды риска |
(ущерба) |
и |
Виды актуального |
Категория |
Уровень |
|
|
возможные |
негативные |
нарушителя |
нарушителя |
возможностей |
||
|
последствия |
|
|
|
|
нарушителя |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
1 |
У1: |
|
|
Хакеры |
Внешний |
Н2 |
(базовые |
|
нарушение |
|
|
|
|
повышенные |
|
|
конфиденциальности (утечка) |
|
|
возможности) |
|||
|
персональных данных; |
|
|
|
|
|
|
|
|
Конкурирующие |
Внешний |
Н2 |
(базовые |
||
|
нарушение иных прав и свобод |
организации |
|
повышенные |
|||
|
гражданина, закрепленных в |
|
|
|
возможности) |
||
|
Конституции |
РФ |
и |
|
|
|
|
|
Администраторы |
Внутренний |
Н2 |
(базовые |
|||
|
федеральных законах |
|
ЭБС |
|
повышенные |
||
|
|
|
|
|
|
возможности) |
|
|
|
|
|
|
|
|
|
|
|
|
|
Авторизованные |
Внутренний |
Н1 |
(базовые |
|
|
|
|
пользователи ЭБС |
|
возможности) |
|
|
|
|
|
|
|
|
|
2 |
У2: |
|
|
Хакеры |
Внешний |
Н2 |
(базовые |
|
нарушение законодательства |
|
|
повышенные |
|||
|
РФ; |
|
|
|
|
возможности) |
|
|
необходимость |
|
|
|
|
|
|
|
|
|
Конкурирующие |
Внешний |
Н2 |
(базовые |
|
|
дополнительных |
затрат |
на |
организации |
|
повышенные |
|
|
выплаты штрафов; |
|
|
|
возможности) |
||
|
|
|
|
|
|
|
|
|
нарушение штатного режима |
Администраторы |
Внутренний |
Н2 |
(базовые |
||
|
функционирования |
ЭБС |
|
повышенные |
|||
|
автоматизированной системы; |
|
|
возможности) |
|||
|
невозможность решения задач |
|
|
|
|
||
|
или снижение эффективности |
|
|
|
|
||
Авторизованные |
Внутренний |
Н1 |
(базовые |
||||
|
|
|
|||||
|
решения задач; |
|
пользователи ЭБС |
|
возможности) |
||
|
|
|
|
||||
|
публикация |
недостоверной |
|
|
|
|
|
|
информации на веб-ресурсах |
|
|
|
|
||
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Потенциальные источники угроз и возможные цели реализации угроз
приведены в таблице ниже
№ |
Виды актуального |
Категории |
Возможные |
цели |
реализации |
угроз |
|
|
нарушителя |
нарушителя |
безопасности информации |
|
|
||
|
|
|
|
|
|
|
|
1 |
Хакеры |
Внешний |
Получение |
финансовой |
или |
иной |
|
|
|
|
материальной выгоды |
|
|
|
|
|
|
|
|
|
|||
2 |
Конкурирующие |
Внешний |
Получение материальной выгоды |
|
|||
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3 |
Администраторы |
Внутренний |
Получение |
финансовой |
или |
иной |
|
|
ЭБС |
|
материальной выгоды |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
Непреднамеренные, |
неосторожные |
или |
||
|
|
|
неквалифицированные действия |
|
|||
|
|
|
|
|
|||
4 |
Авторизованные |
Внутренний |
Получение финансовой или |
материальной |
|||
|
пользователи ЭБС |
|
выгоды |
|
|
|
|
|
|
|
|
||||
|
|
|
Любопытство или желание самореализации |
||||
|
|
|
|
|
|||
|
|
|
Месть за ранее совершенные действия |
|
|||
|
|
|
|
|
|
||
|
|
|
Непреднамеренные, |
неосторожные |
или |
||
|
|
|
неквалифицированные действия |
|
|||
|
|
|
|
|
|
|
|
Методы реализации негативного воздействия для указаных видов нарушителей представлены в таблице 5.
Таблица 5 – Актуальные способы реализации угроз и соответствующие виды нарушителей
Вид нарушителя, |
Объекты |
|
Доступные |
Способы реализации |
|
категория |
воздействия |
|
интерфейсы |
|
|
|
|
|
|
||
|
|
|
|
||
Хакеры и |
База аутентификационных |
Пользовательский |
Использование |
||
конкуренты (H2), |
данных: утечка |
|
веб-интерфейс |
уязвимостей, |
|
внешний |
аутентификационных |
сайта библиотеки |
инъекций |
||
|
данных пользователей из |
«ibooks» |
|
|
|
|
БД |
|
|
|
|
|
Файловый сервер: утечка |
Пользовательский |
Использование |
||
|
|
|
|
||
|
материалов ЭБС, |
|
интерфейс доступа |
уязвимостей ПО, |
|
|
|
|
|
|
|
|
защищаемых авторским |
к файловому |
предназначенного |
||
|
|
|
|
||
|
правом; нарушение |
|
серверу ЭБС |
для доступа |
|
|
|
|
|
|
|
|
функционирования ЭБС |
|
|
пользователей к |
|
|
|
|
|
||
|
(удаление информации, |
|
|
ресурсам файлового |
|
|
|
|
|
||
|
необходимой для решения |
|
|
сервера |
|
|
|
|
|
||
|
задач ЭБС); |
|
|
|
|
|
несанкционированная |
|
|
|
|
|
модификация, |
подмена, |
|
|
|
|
искажение информации |
|
|
|
|
|
|
|
|
|
|
Администартор |
АРМ, расположенные в |
ПО |
для |
Ошибочные действия |
|
(H2),внутренний |
библиотеке «ibooks»: утечка |
администрирования |
при настройке ПО для |
||
|
аутентификационной |
системы (системные |
администрирования |
||
|
информации, вводимой |
и сетевые утилиты) |
Внедрение |
||
|
пользователями при |
|
|
|
вредоносного ПО через |
|
использовании АРМ; утечке |
|
|
средства |
|
|
электронных материалов |
|
|
установки/обновления |
|
|
ЭБС; нарушение |
|
|
|
ПО |
|
функционирования АРМ |
|
|
|
|
|
|
|
|
|
|
Пользователь |
АРМ, расположенные |
АРМ, |
|
Ошибочные действия при |
|
(H1), |
в библиотеке |
|
расположенные в |
пользовании АРМ |
|
|
|
|
|
|
|
внутренний |
«ibooks.ru» |
|
библиотеке |
|
|
|
|
|
|
|
|
|
|
|
«ibooks.ru» |
|
|
|
|
|
|
|
|
Рассмотрим комплекс составленных ПО РискМенеджер - Анализ v3.5.контрмер:
КМ1
КМ2
Модель: ЭБС и локальная сеть библиотеки «ibooks»
Комплекс мер: КМ1
Потенциал снижения риска: 50,00 |
Экспертная оценка стоимости: 35,00 |
Расчетная стоимость: 47,00 |
Экспертно-расчетная оценка стоимости: 40,00 |
Мера: М.09. Планирование бесперебойной работы организации
Регион: Санкт -
Петербург
ЛС: Библиотека «ibooks»
ПС: система ИРБИС |
|
|
Объект: ПО «Администратор» |
|
|
Потенциал снижения |
Расчетная стоимость: 0,00 Экспертная оценка |
Код упорядочивания: |
риска: 13,45 |
стоимости: 0,00 |
|
Мера: М.03.02. Классификация информации по уровням секретности
Регион: Санкт -
Петербург
ЛС: Библиотека «ibooks»
ПС: ЭБС
Объект: Сервер БД
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 10,00 |
17,00 |
стоимости: 0,00 |
Мера: М.03.01. Обеспечение ответственности за информационные ресурсы
Регион: Санкт -
Петербург
ЛС: Библиотека «ibooks»
ПС: ЭБС
Объект: Файловый сервер
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 2 |
риска: 14,45 |
9,00 |
стоимости: 25,00 |
|
Комплекс мер: КМ2 |
|
|
|
Потенциал снижения риска: 50,00 |
Экспертная оценка стоимости: 47,00 |
||
Расчетная стоимость: 40,00 |
Экспертно-расчетная оценка стоимости: 38,00 |
||
Мера: М.02.01 Создание инфраструктуры управления информационной безопасностью
Регион: Санкт -
Петербург
ЛС: Библиотека «ibooks»
ПС: система ИРБИС
Объект: ПО «Администратор» |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 1 |
риска: 31,00 |
29,00 |
стоимости: 27,00 |
|
Мера: М.01.01. Разработка, внедрение и поддержка политики безопасности
Регион: Санкт -
Петербург
ЛС: Библиотека «ibooks»
ПС: система ИРБИС
Объект: ПО «Администратор» |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 2 |
риска: 19,00 |
11,00 |
стоимости: 20,00 |
|
Лучшим комплексом мер является комплекс мер 1 по внедрению средств защиты,
так как стоимость минимальная.
Выбор комплекса контрмер
В связи с тем, что приемлемым остаточным риском считается риск ниже 750,5 руб.,
следует выбрать сформированный комплект мер, так как он соответствует требованиям.
750,5 рублей – приемлемый уровень риска
КМ 1
|
Остаточный риск |
Уменьше |
|
|
ние |
|
|
риска |
Модель: ЭБС и локальная сеть библиотеки «ibooks» |
Риск до принятия мер: 2425,83 |
|
|
|
|
КМ1 |
600,00 |
1825,83 |
Регион: Санкт - Петербург |
Риск до принятия мер: 1772,50 |
|
КМ1 |
0,00 |
1772,50 |
ЛС: Библиотека «ibooks» |
Риск до принятия мер: 1772,50 |
|
КМ1 |
0,00 |
1772,50 |
ПС: система ИРБИС |
Риск до принятия мер: 1772,50 |
|
КМ1 |
0,00 |
1772,50 |
|
|
|
Объект: ПО «Читатель» |
Риск до принятия мер: 1572,50 |
|
КМ1 |
0,00 |
1572,50 |
Объект: ПО «Администратор» |
Риск до принятия мер: 200,00 |
|
КМ1 |
0,00 |
200,00 |
|
|
|
Объект: ПО «Каталогизатор» |
Риск до принятия мер: 653,33 |
|
КМ1 |
600,00 |
53,33 |
ПС: ЭБС |
Риск до принятия мер: 100,00 |
|
КМ1 |
100,00 |
0,00 |
|
|
|
Объект: АРМ администратора |
Риск до принятия мер: 500,00 |
|
КМ1 |
500,00 |
0,00 |
Объект: АРМ читателя |
Риск до принятия мер: 0,00 |
|
КМ1 |
0,00 |
0,00 |
|
|
|