МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра информационной безопасности
Отчет
по практической работе №14
по дисциплине «Основы информационной безопасности»
Тема: Оценка структуры факторов риска
Студент гр. |
|
Преподаватель |
|
Санкт-Петербург
2023
Постановка задачи
Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
Цель работы: провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы;
Отчёт выполняется с расчетом профиля риска в РискМенеджер - Анализ v3.5. и по методике Вихорева, результаты сравнит
Оценка структуры факторов риска по методологии фстек
С помощью методики ФСТЕК построим структуру видов ущерба, относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Таблица 1 – Виды рисков (ущерба) и типовые негативные последствия от реализации угроз безопасности информации
№ |
Виды риска (ущерба) |
Возможные типовые негативные последствия |
У1 |
Ущерб физическому лицу |
|
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
|
Таблица 2 – Определение объектов воздействия и видов воздействия на них
Негативные последствия |
Объекты воздействия |
Виды воздействия |
||
Невозможность заключения договоров, соглашений |
АРМ
|
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации |
||
Электронный почтовый ящик руководителя организации |
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации |
|||
Нарушение иных прав и свобод гражданина, закрепленных в правом Конституции РФ и федеральных законах (У1) |
Сервер БД |
Утечка баз данных |
||
Файловый сервер |
Утечка баз данных |
|||
АРМ |
Утечка баз данных |
|||
Нарушение законодательства РФ, необходимость дополнительных затрат на выплаты штрафов |
База аутентификационных данных |
Утечка аутентификационных данных пользователей, защищаемых законом «О персональных данных» (предусмотрены штрафы) |
||
Нарушение штатного режима функционирования автоматизированной системы, невозможность решения задач или снижение эффективности решения задач (У2)
|
ПО для администрирования |
Несанкционированный доступ, нарушение функционирования программно-аппаратных средств администрирования |
||
АРМ |
Нарушение функционирования АРМ |
|||
Файловый сервер |
Нарушение функционирования ИС (удаление информации, необходимой для решения задач ИС) |
|||
Нарушение конфиденциальности (утечка) персональных данных физических лиц (У1) |
АРМ
|
Несанкционированная модификация информации в платежных распоряжениях и отправка недостоверных распоряжений от имени финансового директора |
||
АРМ |
Подмена данных, содержащих реквизиты платежных поручений и другой платежной информации на АРМ главного бухгалтера |
|||
Таблица 3 – Возможные цели реализации угроз безопасности информации нарушителям
№ вида |
Виды нарушителя |
Категории нарушителя |
Возможные цели реализации угроз ИБ |
1 |
Преступные группы (криминальные структуры) |
Внешний |
Получение финансовой или иной материальной выгоды. Дестабилизация деятельности организаций |
1 |
Хакеры |
Внешний |
Получение финансовой или материальной выгоды |
2 |
Конкурирующие организации |
Внешний |
Получение конкурентных преимуществ. Получение финансовой или иной материальной выгоды |
3 |
Разработчики программных, программно-аппаратных средств |
Внутренний |
Внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства на этапе разработки. Получение конкурентных преимуществ. Получение финансовой или иной материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия |
5 |
Авторизованные пользователи ИС |
Внутренний |
Получение финансовой или иной материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия. Получение конкурентных преимуществ |
6 |
Системные администраторы и администраторы безопасности |
Внутренний |
Получение финансовой и материальной выгоды. Месть за ранее совершенные действия. Любопытство или желание самореализации. Непреднамеренные, неосторожные или неквалифицированные действия |
Таблица 4 – Оценка целей реализации нарушителями угроз безопасности информации в зависимости от возможных негативных последствий и видов ущерба от их реализации
Виды риска (ущерба) и возможные негативные последствия |
Виды актуального нарушителя |
Категория нарушителя |
Уровень возможностей нарушителя |
У2: Потеря (хищение) денежных средств; невозможность заключения договоров, соглашений; нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса; причинение имущественного ущерба; утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.) |
Разработчики программных, программно-аппаратных средств |
Внутренний |
Н3 |
Хакеры |
Внешние |
Н2 |
|
Авторизованные пользователи ИС |
Внутренний |
Н2 |
|
Преступные группы (криминальные структуры) |
Внешний |
Н3 |
|
Системные администраторы и администраторы безопасности |
Внутренний |
Н2 |
|
Конкурирующие организации |
Внешний |
Н2 |
Таблица 5 – Определение актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности
№ п/п |
Вид нарушителя |
Категория нарушителя |
Объект воздействия |
Доступные интерфейсы |
Способы реализации |
1 |
Преступные группы (два лица и более, действующие по единому плану) Н2 |
Внешний |
Доступ к базам данных |
Веб-интерфейс удаленного администрирования базы данных информационной системы Пользовательский веб-интерфейс доступа к базе данных информационной системы |
Использование уязвимостей конфигурации системы управления базами данных |
Удаленное рабочее место пользователя |
Доступ через локальную вычислительную сеть организации |
Внедрение вредоносного ПО; использование уязвимостей системы |
|||
2 |
Конкурирующие организации Н2 |
Внешний |
Доступ к базам данных |
Веб-интерфейс удаленного администрирования базы данных информационной системы Пользовательский веб-интерфейс доступа к базе данных информационной системы |
Использование уязвимостей конфигурации системы управления базами данных |
Удаленное рабочее место пользователя |
Доступ через локальную вычислительную сеть организации |
Внедрение вредоносного ПО; использование уязвимостей системы |
|||
3 |
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ Н2 |
Внутренний |
Доступ к базам данных |
Веб-интерфейс удаленного администрирования базы данных информационной системы Пользовательский веб-интерфейс доступа к базе данных информационной системы |
Использование уязвимостей конфигурации системы управления базами данных |
АРМ оператора |
Съемные машинные носители информации, содержащие аутентификационную информацию |
Извлечение аутентификационной информации из постоянной памяти носителя |
|||
Коммутационный контроллер для управления аварийным задвижками в нефтепроводе: |
Удаленный канал управления коммутационным контроллером Съемные машинные носители информации, содержащие аутентификационную информацию |
Использование уязвимостей кода; кража аутентификационной информации из постоянной памяти носителя |
|||
4 |
Системные администраторы и администраторы безопасности Н2 |
Внутренний |
Доступ к базам данных |
Веб-интерфейс удаленного администрирования базы данных информационной системы Пользовательский веб-интерфейс доступа к базе данных информационной системы |
Использование уязвимостей конфигурации системы управления базами данных |
Удаленное рабочее место пользователя |
Доступ через локальную вычислительную сеть организации Съемные машинные носители информации, подключаемые к АРМ пользователя |
Использование уязвимостей конфигурирования системы; установка вредоносного ПО |
|||
Линия связи между сервером основного центра обработки данных и сервером резервного центра обработки данных: |
Канал передачи данных между сервером основного центра обработки данных и сервером резервного центра обработки данных |
Установка закладок |
|||
5 |
Разработчики программных, программно-аппаратных средств Н3 |
Внутренний |
Доступ к базам данных |
Веб-интерфейс удаленного администрирования базы данных информационной системы Пользовательский веб-интерфейс доступа к базе данных информационной системы |
Использование уязвимостей конфигурации системы управления базами данных |
Удаленное рабочее место пользователя |
Доступ через локальную вычислительную сеть организации Съемные машинные носители информации, подключаемые к АРМ пользователя |
Использование уязвимостей конфигурирования системы; установка вредоносного ПО |