МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра Информационной безопасности
Практическая работа №14
по дисциплине «Основы информационной безопасности»
Тема: Разработка и оценка вариантов СЗИ соответственно профилю риска
Студентка гр. |
|
Преподаватель |
|
Санкт-Петербург
2023
Цель: Провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы.
ОБЩИЕ ПОЛОЖЕНИЯ
Документы, используемые для оценки угроз безопасности информации и разработки модели угроз: "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" утвержденная Заместителем директора ФСТЭК России 14 февраля 2008г.; "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (выписка), утвержденная Заместителем директора ФСТЭК России 15 февраля 2008г.
Обладатель информации: компания ООО «Оптик плюс групп», предприятие по добыче металла.
Подразделение, ответственное за обеспечение защиты информации (безопасности) систем и сетей: отдел информационной безопасности ООО «Оптик плюс групп».
Описание систем и сетей и их характеристика как объектов защиты
Исходными данными для оценки угроз безопасности информации являются:
Общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России, модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;
Описания векторов компьютерных атак, содержащиеся в базах данных и иных источниках, опубликованных в сети «Интернет» (CAPEC, ATT&CK, OWASP, STIX, WASC и др.);
Техническое задание на создание систем и сетей, частное техническое задание на создание системы защиты, программная (конструкторская) и эксплуатационная документация, содержащая сведения о назначении и функциях, составе и архитектуре систем и сетей, о группах пользователей, уровне их полномочий и типах доступа, о внешних и внутренних интерфейсах, а также иные документы на системы и сети, разработка которых предусмотрена требованиями по защите информации.
Нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и функционирует система предприятия:
Федеральный закон от 27 июля 2006 г. N 149-ФЗ;
Федеральный закон от 9.02.2009 г. № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»;
Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
Постановление Правительства РФ от 28.11.2011 № 977 «О федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем.
Рисунок 1 – Оценка угроз
Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
№ |
Виды риска |
Возможные типовые негативные последствия |
У1 |
Ущерб физическому лицу |
|
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
|
Таблица 1 – Виды рисков (ущерба) и типовые негативные последствия от реализации угроз безопасности информации