Добавил:

triple666mafia north memphis Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Санкт-Петербургский государственный электротехнический университет "ЛЭТИ"

Предмет:

Основы информационной безопасности

Файл:

лаба_14 / лаб_14_08_4.docx

Скачиваний:

Добавлен:

27.10.2025

Размер:

212.27 Кб

Скачать

☆

1 / 31 2 3 > Следующая >>>

МИНОБРНАУКИ РОССИИ

Санкт-петербургский государственный электротехнический университет

«ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА)

Кафедра информационной безопасности

ОТЧЕТ

По практической работе № 14

по дисциплине «Основы информационной безопасности» Тема: «Оценка структуры факторов риска»

Студент гр.

Преподаватель

Санкт-Петербург 2023

Постановка задачи

Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
Цель работы: провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы;
Отчёт выполняется с расчетом профиля риска в РискМенеджер - Анализ v3.5. результаты сравнить

Оценка структуры факторов риска по методологии ФСТЭК

С помощью методики ФСТЭК построим структуру видов ущерба,

относящихся к ним субъектов, объектов, видов воздействия и методов реализации.

Негативные последствия приведены в таблице 1, представленной ниже

Таблица 1 – Виды рисков и негативные последствия от реализации угроз

№	Виды риска (ущерба)	Возможные негативные последствия
У1	Ущерб физическому лицу	Нарушение конфиденциальности.
У1	Ущерб физическому лицу	Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах.
У2	Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью	Нарушение законодательства Российской Федерации.
		Нарушение штатного режима функционирования автоматизированной системы
		Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций.
		Невозможность решения задач или снижение эффективности решения задач
		Публикация недостоверной информации на веб-ресурсах организации.

В таблице 2 приведены объекты воздействия в соответствии с негативными последствиями из первой таблицы.

Таблица 2 – Возможные объекты воздействия угроз безопасности информации

Негативные последствия	Объекты воздействия	Виды воздействия
Нарушение конфиденциальности.	База аутентификационных данных	Утечка аутентификационных данных пользователей из БД
	АРМ	Утечка учетной информации, вводимой пользователями при использовании АРМ
	Проводные и беспроводные каналы передачи данных.	Перехват информации, содержащей учетные данные пользователей, передаваемой по каналам
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах.	Файловый сервер	Утечка материалов ЗАО, защищаемых авторским правом
	АРМ	Утечка материалов ЗАО, защищаемых авторским правом
Нарушение законодательства РФ, необходимость дополнительных затрат на выплаты штрафов (У2)	База аутентификационных данных	Утечка аутентификационных данных пользователей, защищаемых законом «О персональных данных» (предусмотрены штрафы)
	Файловый сервер	Утечка материалов ЗАО, защищаемых законом «Об авторском праве и смежных правах» (предусмотрены штрафы)
Нарушение штатного режима функционирования автоматизированной системы, невозможность решения задач или снижение эффективности решения задач (У2)	ПО для администрирования	Несанкционированный доступ, нарушение функционирования программно- аппаратных средств-администрирования ЗАО
	АРМ	Нарушение функционирования АРМ

Файловый сервер

Нарушение

функционирования ЗАО (удаление информации, необходимой для решения

задач ЗАО)

Публикация недостоверной информации на веб- ресурсах

организации

Файловый сервер, СУБД

Несанкционированная модификация, подмена,

искажение информации

Категории и уровни возможных нарушителей представлены в 3 таблице, в которую сведены данные для определения видов риска.

Таблица 3 – Актуальные нарушители

№	Виды риска (ущерба) и возможные негативные последствия	Виды актуального нарушителя	Категория нарушителя	Уровень возможностей нарушителя
1	У1: нарушение конфиденциальности (утечка) персональных данных; нарушение иных прав и свобод гражданина, закрепленных в Конституции РФ и федеральных законах	Хакеры	Внешний	Н2 (базовые повышенные возможности)
		Конкурирующие организации	Внешний	Н2 (базовые повышенные возможности)
		Администраторы ЗАО	Внутренний	Н2 (базовые повышенные возможности)
		Авторизованные пользователи ЗАО	Внутренний	Н1 (базовые возможности)
2	У2: нарушение законодательства РФ; необходимость дополнительных затрат на выплаты штрафов;	Хакеры	Внешний	Н2 (базовые повышенные возможности)
2		Конкурирующие организации	Внешний	Н2 (базовые повышенные возможности)

нарушение штатного режима функционирования

автоматизированной системы; невозможность решения задач или снижение эффективности решения задач;

публикация недостоверной информации на веб-ресурсах организации

Администраторы ЗАО

Внутренний

Н2 (базовые повышенные возможности)

Авторизованные пользователи ЗАО

Внутренний

Н1 (базовые возможности)

Потенциальные источники угроз и возможные цели реализации угроз приведены в таблице ниже

№	Виды актуального нарушителя	Категории нарушителя	Возможные цели реализации безопасности информации	угроз
1	Хакеры	Внешний	Получение финансовой или материальной выгоды	иной
2	Конкурирующие организации	Внешний	Получение материальной выгоды
3	Администраторы ЗАО	Внутренний	Получение финансовой или материальной выгоды	иной
			Непреднамеренные, неосторожные неквалифицированные действия	или
4	Авторизованные пользователи ЗАО	Внутренний	Получение финансовой или материальной выгоды
			Любопытство или желание самореализации
			Месть за ранее совершенные действия
			Непреднамеренные, неосторожные неквалифицированные действия	или

Методы реализации негативного воздействия для указаных видов нарушителей представлены в таблице 5.

Таблица 5 – Актуальные способы реализации угроз и соответствующие виды нарушителей

Вид нарушителя, категория	Объекты воздействия	Доступные интерфейсы	Способы реализации
Хакеры и конкуренты (H2), внешний	База аутентификационных данных: утечка аутентификационных данных пользователей из	Пользовательский веб-интерфейс	Использование уязвимостей, инъекций
	БД
	Файловый сервер: утечка материалов ЗАО, защищаемых авторским правом; нарушение функционирования ЗАО (удаление информации, необходимой для решения задач ЗАО); несанкционированная модификация, подмена, искажение информации	Пользовательский интерфейс доступа к файловому серверу ЗАО	Использование уязвимостей ПО, предназначенного для доступа пользователей к ресурсам файлового сервера
Администартор	АРМ,	ПО для	Ошибочные действия
(H2),внутренний	утечка	администрирования	при настройке ПО для
	аутентификационной	системы (системные	администрирования
	информации, вводимой	и сетевые утилиты)	Внедрение
	пользователями при		вредоносного ПО через
	использовании АРМ; утечке		средства
	электронных материалов		установки/обновления
	ЗАО; нарушение		ПО
	функционирования АРМ
Пользователь (H1), внутренний	АРМ,	АРМ, р	Ошибочные действия при пользовании АРМ

1 / 31 2 3 > Следующая >>>

Соседние файлы в папке лаба_14

#
27.10.2025614.66 Кб0лаб_14_07_2.pdf
#
27.10.2025250.2 Кб0лаб_14_07_3.docx
#
27.10.2025100.8 Кб0лаб_14_07_4.docx
#
27.10.2025175.45 Кб0лаб_14_08_2.pdf
#
27.10.2025159.08 Кб0лаб_14_08_3.docx
#
27.10.2025212.27 Кб0лаб_14_08_4.docx
#
27.10.2025315.86 Кб0лаб_14_09_1.docx
#
27.10.2025514.06 Кб0лаб_14_09_2.odt
#
27.10.2025578.86 Кб0лаб_14_09_3.pdf
#
27.10.2025108.72 Кб0лаб_14_10_4.docx
#
27.10.2025219.47 Кб0лаб_14_11_3.docx