МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ
ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА)
Кафедра информационной безопасности
ОТЧЕТ по практической работе № 14
по дисциплине «Основы информационной безопасности» Тема: «Оценка структуры факторов риска»
Студент гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
2.Цель работы: провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы;
3.Отчёт выполняется с расчетом профиля риска в РискМенеджер – Анализ v3.5. и по методике Вихорева, результаты сравнить
1.Оценка структуры факторов риска по методологии ФСТЕК
С помощью методики ФСТЕК построим структуру видов ущерба, относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Негативные последствия приведены в таблице 1, представленной ниже
Таблица 1 – Виды рисков и негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
У1 |
Ущерб физическому лицу |
Нарушение конфиденциальности. |
|
|
Финансовый ущерб физическому лицу. |
|
|
Нарушение иных прав и свобод гражданина, |
|
|
закрепленных в Конституции Российской |
|
|
Федерации и федеральных законах. |
У2 |
Риски юридическому лицу, |
Нарушение законодательства Российской |
|
индивидуальному предпринимателю, |
Федерации. |
|
связанные с хозяйственной |
|
|
деятельностью |
Недополучение ожидаемой |
(прогнозируемой) прибыли.
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств).
Срыв запланированной сделки с партнером.
В таблице 2 приведены объекты воздействия в соответствии с негативными последствиями из первой таблицы.
Таблица 2 – Возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
|
Нарушение конфиденциальности. |
БД |
Утечка данных о |
|
|
|
пользователях. |
|
|
Беспроводные каналы связи |
Кража/подмена данных |
|
|
|
предприятия. |
|
Финансовый ущерб физическому |
БД, каналы связи |
Утеря данных о проекте. |
|
лицу. |
|
|
|
Нарушение иных прав и свобод |
БД, Рабочие места |
Раскрытие данных об |
|
гражданина, закрепленных в |
сотрудников, системного |
авторских проектах, кража |
|
администратора |
объектов интеллектуальной |
||
Конституции Российской |
|||
|
собственности. |
||
Федерации и федеральных |
|
|
|
законах. |
|
|
|
Недополучение ожидаемой |
Сайт, веб-сервер, БД, |
DDoS-атаки на сервер, |
|
(прогнозируемой) прибыли. |
рабочие места сотрудников. |
временная |
|
|
неработоспособность |
||
Необходимость дополнительных |
|
||
|
сервера, утеря данных о |
||
(незапланированных) затрат на |
|
проектах, ошибки |
|
выплаты штрафов (неустоек) или |
|
сотрудников. |
|
компенсаций. |
|
|
|
Проникновение в корпоративную |
Сотрудники, электронная |
Фишиговые ссылки, |
|
сеть неавторизованного |
почта. |
подброшенные носители с |
|
пользователя. |
|
вредоносным ПО. |
Категории и уровни возможных нарушителей представлены в 3 таблице, в которую сведены данные для определения видов риска.
|
Таблица 3 – Актуальные нарушители |
|
Виды риска/ущерба и |
Виды и категория нарушителя |
Уровень возможностей |
возможные негативные |
|
|
последствия |
|
|
Нарушение |
Хакеры, внешний |
H1 |
конфиденциальности. |
|
|
Финансовый |
ущерб Сисадмин, внутренний |
физическому лицу. |
|
Нарушение иных прав и |
Сотрудники, внутренний |
|
свобод гражданина, |
|
закрепленных в Конституции |
|
Российской Федерации и |
|
федеральных законах. |
Дополнительный персонал, |
|
|
|
внутренний |
Нарушение законодательства |
|
Российской Федерации. |
|
Недополучение ожидаемой (прогнозируемой) прибыли.
Необходимость
дополнительных (незапланированных) затрат на Конкуренты, внешний
выплаты штрафов (неустоек) или компенсаций.
H2
H1
H1
H2
Необходимость
дополнительных Поставщики услуг связи, внешний H2 (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств).
Срыв запланированной сделки с партнером.
Потенциальные источники угроз и возможные цели реализации угроз приведены в таблице ниже
|
Таблица 4 – Виды нарушителей и возможные цели реализации угроз |
|
Вид нарушителя |
Категория нарушителя |
Возможные цели реализации угроз |
Конкуренты |
Внешний |
Снижение конкурентоспособности |
|
|
организации. |
Сотрудники |
Внутренний |
Непреднамеренные действия, тормозящие |
|
|
работу организации. |
|
|
Преднамеренные действия с целью |
|
|
получения выгоды/реализации |
|
|
собственных интересов. |
Хакеры |
Внешний |
Любопытство. Тренировка. Получение |
|
|
выгоды. |
Поставщики услуг |
Внешний |
Материальная выгода |
связи |
|
|
Методы реализации негативного воздействия для указаных видов нарушителей представлены в таблице 5.
Таблица 5 – Актуальные способы реализации угроз и соответствующие виды нарушителей
Вид нарушителя, |
Объекты |
Доступные интерфейсы |
Способы реализации |
категория |
воздействия |
|
|
Хакеры (H2), |
CУБД, |
Веб-сайт компании, |
Использование |
внешний |
сотрудники |
электронная почта, территория |
уязвимостей, инъекций, |
Конкуренты |
|
предприятия. |
социальной инженерии. |
|
|
|
|
(H2), внешний |
|
|
|
Поставщики |
Рабочие |
ПАК предприятия |
Целенаправленный |
услуг связи (H2), |
места |
|
перехват информации, отказ |
сотрудников, |
|
от обслуживания. |
|
внешний |
|
||
веб-сервер |
|
|
|
|
|
|
2. Оценка структуры факторов риска в РискМенеджер-Анализ v3.5
Сравнение комплексов мер по уровням остаточных рисков в разрезе структуры оцениваемой системы
Комплекс мер 1
376,5 тыс. руб
|
Остаточный |
Уменьшение |
|
риск |
риска |
Модель: ГК "Март" |
Риск до принятия мер: 966,67 |
|
Комплекс мер 1 |
306,48 |
660,19 |
Регион: г. Великие Луки |
Риск до принятия мер: 966,67 |
|
Комплекс мер 1 |
306,48 |
660,19 |
ЛС: Организация в целом |
Риск до принятия мер: 966,67 |
|
Комплекс мер 1 |
306,48 |
660,19 |
ПС: Сервисы безопасности |
Риск до принятия мер: 722,02 |
|
Комплекс мер 1 |
124,33 |
597,69 |
Объект: Процесс безопасной разработки |
Риск до принятия мер: 76,19 |
|
Комплекс мер 1 |
0,00 |
76,19 |
Объект: Система аутентификации |
Риск до принятия мер: 583,33 |
|
Комплекс мер 1 |
124,33 |
459,00 |
Объект: OC Linux |
Риск до принятия мер: 62,50 |
|
Комплекс мер 1 |
0,00 |
62,50 |
ПС: Сервис электронной почты |
Риск до принятия мер: 160,71 |
|
Комплекс мер 1 |
160,71 |
0,00 |
Объект: Веб сервер |
Риск до принятия мер: 160,71 |
|
Комплекс мер 1 |
160,71 |
0,00 |
Объект: АИС |
Риск до принятия мер: 0,00 |
|
Комплекс мер 1 |
0,00 |
0,00 |
Объект: DNS |
Риск до принятия мер: 0,00 |
|
Комплекс мер 1 |
0,00 |
0,00 |
ПС: Бухгалтерия |
Риск до принятия мер: 21,43 |
|
Комплекс мер 1 |
21,43 |
0,00 |
Объект: Финансовые данные |
Риск до принятия мер: 21,43 |
|
Комплекс мер 1 |
21,43 |
0,00 |
Объект: Система 1С |
Риск до принятия мер: 0,00 |
|
Комплекс мер 1 |
0,00 |
0,00 |
ПС: Персонал |
Риск до принятия мер: 62,50 |
|
Комплекс мер 1 |
0,00 |
62,50 |
Объект: Персонал |
Риск до принятия мер: 62,50 |
|
Комплекс мер 1 |
0,00 |
62,50 |
Объект: Подбор персонала |
Риск до принятия мер: 0,00 |
|
Комплекс мер 1 |
0,00 |
0,00 |
Выводы
При сравнение рисков, представленных по методике ФСТЭК, были описаны:
•ущерб от их реализации;
•источники;
•методы реализации.
Также была проведена оценка с помощью ПО РискМенеджер -
Анализ v3.5. Построены три комплекса мер из которых был выбран самый выгодный по стоимости и сделано заключение о его эффективности.
В связи с тем, что приемлемым остаточным риском считается риск ниже 376,5 тыс. руб., следует выбрать сформированный комплект мер, так как он соответствует требованиям.