Оценка структуры факторов риска в соответствии с методикой с.В. Вихорева
В таблице 6 представлен перечень актуальных угроз безопасности
Таблица 6 – перечень актуальных угроз ИБ
-
k
Угрозы ИБ
(КА)k
1
Хищение (копирование) информации и средств ее обработки
0,16
2
Модификация (искажение) информации
0,19
3
Уничтожение информации и средств ее обработки
0,15
В 7 таблице обозначен актуальный список источников угроз и их коэффициент опасности.
Таблица 7 – перечень актуальных источников угроз ИБ
-
Код (i)
Источники угроз информационной безопасности
(k1)i
(k2)i
(k3)i
(Коп)i
[I.A.3]
недобросовестные партнеры
2
4
4
0,07
[I.A.4]
технический персонал поставщиков телематических услуг
4
3
3
0,08
[I.A.5]
представители надзорных организаций и аварийных служб
4
4
3
0,11
[I.A.6]
представители силовых структур
5
4
1
0,04
[I.B.1]
основной персонал (пользователи, программисты, разработчики)
5
5
3
0,16
[I.B.2]
представители службы защиты информации (администраторы)
5
5
3
0,16
[I.B.3]
вспомогательный персонал (уборщики, охрана)
3
2
1
0,01
[I.B.4]
технический персонал (жизнеобеспечение, эксплуатация)
3
2
1
0,01
В таблицу 8 сведен перечень актуальных уязвимостей.
Таблица 8 – Актуальные уязвимости
-
Код
Уязвимости
(k1)f
(k2)f
(k3)f
(Kоп)f
[A.II.a.4]
аппаратные закладки устанавливаемые в технических средствах
4
3
4
0,23
[A.II.b.1]
вредоносные программы
5
4
3
0,29
[A.II.b.2]
технологические выходы из программ
3
5
3
0,21
[A.II.b.3]
нелегальные копии ПО
3
4
5
0,29
[B.I.a.4]
ошибки при вводе данных (информации)
3
4
5
0,38
[B.I.c.2]
ошибки при настройке программного обеспечения
5
5
4
0,64
[B.I.c.4]
ошибки при настройке технических средств
4
4
5
0,51
[C.I.a.1]
отказы ТС обрабатывающих информацию
4
4
4
0,45
[C.I.a.2]
отказы ТС обеспечивающих работоспособность средств обработки
3
4
3
0,26
[C.I.c.1]
сбои операционных систем и СУБД
4
5
3
0,43
Возможные варианты реализации угроз представлены в таблице 9.
Таблица 9 – Варианты реализации угроз
-
Источники угроз
Методы реализации
Уязвимости
[I.B.2] - администраторы
[M3.B.02] - установка нештатного оборудования или ПО
[A.II.b.1] - вредоносные программы
[I.A.3] - недобросовестные партнеры
[M3.A.04] - маскировка под авторизованного пользователя (маскарад)
[B.I.a.4] – ошибки при вводе данных
[I.A.3] - недобросовестные партнеры
[M3.A.01] - внедрение дезинформации
[B.I.a.4] – ошибки при вводе данных
[I.A.3] - недобросовестные партнеры
[M3.A.05] - модификация информации (данных)
[B.I.a.4] – ошибки при вводе данных
[I.B.3] - вспомогательный персонал (уборщики, охрана) |
[M3.A.01] - Нарушение целостности и доступности путем введения ложной информации в базы данных и информационные ресурсы, перегрузки системных ресурсов, каналов связи |
[B.I.a.4] – ошибки при вводе данных |
[I.B.3] - вспомогательный персонал (уборщики, охрана) |
[M3.A.01] - Нарушение целостности и доступности путем введения ложной информации в базы данных и информационные ресурсы, перегрузки системных ресурсов, каналов связи |
[B.I.с.2] – уничтожение данных |