МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по практической работе №14
по дисциплине «Основы информационной безопасности» Тема: Оценка структуры факторов риска
Студент гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
2.Цель работы: провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы;
3.Отчёт выполняется с расчетом профиля риска в РискМенеджер - Анализ
v3.5. и по методике Вихорева, результаты сравнить
1. Оценка структуры факторов риска по методологии ФСТЕК
С помощью методики ФСТЕК построим структуру видов ущерба,
относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Негативные последствия приведены в таблице 1, представленной ниже
Таблица 1 – Виды рисков и негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
|
|
|
У1 |
Ущерб физическому лицу |
Нарушение конфиденциальности. |
|
|
|
|
|
Нарушение иных прав и свобод гражданина, |
|
|
закрепленных в Конституции Российской |
|
|
Федерации и федеральных законах. |
|
|
|
У2 |
Риски юридическому лицу, |
Нарушение законодательства Российской |
|
индивидуальному предпринимателю, |
Федерации. |
|
связанные с хозяйственной |
|
|
Нарушение штатного режима |
|
|
деятельностью |
функционирования автоматизированной |
|
|
системы |
|
|
|
|
|
Необходимость дополнительных |
|
|
(незапланированных) затрат на выплаты |
|
|
штрафов (неустоек) или компенсаций. |
|
|
|
|
|
Невозможность решения задач или |
|
|
снижение эффективности решения задач |
|
|
|
|
|
Публикация недостоверной информации на |
|
|
веб-ресурсах организации. |
|
|
|
В таблице 2 приведены объекты воздействия в соответствии с негативными
последствиями из первой таблицы.
Таблица 2 – Возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
|
|
|
|
|
Нарушение конфиденциальности. |
База аутентификационных |
Утечка аутентификационных |
|
|
данных |
данных пользователей из БД |
|
|
|
|
|
|
АРМ, расположенные в |
Утечка учетной |
|
|
компании |
информации, вводимой |
|
|
|
пользователями при |
|
|
|
использовании АРМ |
|
|
|
|
|
|
Проводные и беспроводные |
Перехват |
информации, |
|
|
||
|
каналы передачи данных. |
содержащей учетные данные |
|
|
|
||
|
|
пользователей, передаваемой |
|
|
|
по каналам |
|
|
|
|
|
Нарушение иных прав и свобод |
Файловый сервер |
Утечка |
материалов |
гражданина, закрепленных в |
|
ЭБС, защищаемых |
|
Конституции Российской |
|
авторским правом |
|
Федерации и федеральных |
|
|
|
АРМ, расположенные в |
Утечка |
материалов |
|
законах. |
компании |
ЭБС, защищаемых |
|
|
|
авторским правом |
|
|
|
|
|
Нарушение законодательства РФ, |
База аутентификационных |
Утечка аутентификационных |
|
|
|
||
необходимость дополнительных |
данных |
данных |
пользователей, |
|
|
||
затрат на выплаты штрафов (У2) |
|
защищаемых |
законом |
|
|
|
|
|
|
«О персональных данных» |
|
|
|
(предусмотрены штрафы) |
|
|
|
|
|
|
Файловый сервер |
Утечка |
материалов |
|
|
|
|
|
|
ЭБС, защищаемых законом |
|
|
|
«Об авторском праве и |
|
|
|
смежных правах» |
|
|
|
(предусмотрены штрафы) |
|
|
|
|
|
Нарушение штатного режима |
ПО для администрирования |
Несанкционированный |
|
функционирования |
|
доступ, |
нарушение |
автоматизированной системы, |
|
функционирования |
|
невозможность решения задач |
|
программно- |
аппаратных |
или снижение эффективности |
|
средств-администрирования |
|
решения задач (У2) |
|
ЭБС |
|
|
|
|
|
|
АРМ, расположенные в |
Нарушение |
|
|
компании |
функционирования АРМ |
|
|
|
|
|
|
|
|
Файловый сервер |
Нарушение |
|
|
|
|
|
функционирования ЭБС |
|
|
|
|
|
(удаление информации, |
|
|
|
|
|
необходимой для |
решения |
|
|
|
|
задач ЭБС) |
|
|
|
|
|
|
|
|
Публикация недостоверной |
|
Файловый сервер, СУБД |
Несанкционированная |
|
|
информации на вебресурсах |
|
|
модификация, |
подмена, |
|
|
|
|
|
|
|
организации |
|
|
искажение информации |
|
|
|
|
|
|
|
Категории и уровни возможных нарушителей представлены в 3 таблице, в
которую сведены данные для определения видов риска.
Таблица 3 – Актуальные нарушители
№ |
Виды риска |
(ущерба) |
и |
Виды актуального |
Категория |
Уровень |
|
|
возможные |
негативные |
нарушителя |
нарушителя |
возможностей |
||
|
последствия |
|
|
|
|
нарушителя |
|
|
|
|
|
|
|
|
|
1 |
У1: |
|
|
Хакеры |
Внешний |
Н2 |
(базовые |
|
нарушение |
|
|
|
|
повышенные |
|
|
конфиденциальности (утечка) |
|
|
возможности) |
|||
|
персональных данных; |
|
|
|
|
|
|
|
|
Конкурирующие |
Внешний |
Н2 |
(базовые |
||
|
нарушение иных прав и свобод |
организации |
|
повышенные |
|||
|
гражданина, закрепленных в |
|
|
возможности) |
|||
|
Конституции |
РФ |
и |
|
|
|
|
|
Администраторы |
Внутренний |
Н2 |
(базовые |
|||
|
федеральных законах |
|
ЭБС |
|
повышенные |
||
|
|
|
|
|
|
возможности) |
|
|
|
|
|
|
|
|
|
|
|
|
|
Авторизованные |
Внутренний |
Н1 |
(базовые |
|
|
|
|
пользователи ЭБС |
|
возможности) |
|
|
|
|
|
|
|
|
|
2 |
У2: |
|
|
Хакеры |
Внешний |
Н2 |
(базовые |
|
нарушение законодательства |
|
|
повышенные |
|||
|
РФ; |
|
|
|
|
возможности) |
|
|
|
|
|
|
|
|
|
|
необходимость |
|
|
Конкурирующие |
Внешний |
Н2 |
(базовые |
|
дополнительных |
затрат |
на |
организации |
|
повышенные |
|
|
выплаты штрафов; |
|
|
|
возможности) |
||
|
|
|
|
|
|
|
|
|
нарушение штатного режима |
Администраторы |
Внутренний |
Н2 |
(базовые |
|
|
функционирования |
ЭБС |
|
повышенные |
||
|
автоматизированной системы; |
|
|
возможности) |
||
|
невозможность решения задач |
|
|
|
|
|
|
или снижение эффективности |
|
|
|
|
|
|
Авторизованные |
Внутренний |
Н1 |
(базовые |
||
|
|
|
||||
|
решения задач; |
|
пользователи ЭБС |
|
возможности) |
|
|
|
|
|
|||
|
публикация |
недостоверной |
|
|
|
|
|
информации на веб-ресурсах |
|
|
|
|
|
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
Потенциальные источники угроз и возможные цели реализации угроз
приведены в таблице ниже
№ |
Виды актуального |
Категории |
Возможные |
цели |
реализации |
угроз |
|
|
нарушителя |
нарушителя |
безопасности информации |
|
|
||
|
|
|
|
|
|
|
|
1 |
Хакеры |
Внешний |
Получение |
финансовой |
или |
иной |
|
|
|
|
материальной выгоды |
|
|
|
|
|
|
|
|
|
|||
2 |
Конкурирующие |
Внешний |
Получение материальной выгоды |
|
|||
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3 |
Администраторы |
Внутренний |
Получение |
финансовой |
или |
иной |
|
|
ЭБС |
|
материальной выгоды |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
Непреднамеренные, |
неосторожные |
или |
||
|
|
|
неквалифицированные действия |
|
|||
|
|
|
|
|
|
||
4 |
Авторизованные |
Внутренний |
Получение |
финансовой или |
материальной |
||
|
пользователи ЭБС |
|
выгоды |
|
|
|
|
|
|
|
|
||||
|
|
|
Любопытство или желание самореализации |
||||
|
|
|
|
|
|||
|
|
|
Месть за ранее совершенные действия |
|
|||
|
|
|
|
|
|
||
|
|
|
Непреднамеренные, |
неосторожные |
или |
||
|
|
|
неквалифицированные действия |
|
|||
|
|
|
|
|
|
|
|
Методы реализации негативного воздействия для указаных видов нарушителей представлены в таблице 5.
Таблица 5 – Актуальные способы реализации угроз и соответствующие виды нарушителей
Вид нарушителя, |
Объекты |
|
Доступные |
Способы реализации |
|
категория |
воздействия |
|
интерфейсы |
|
|
|
|
|
|
||
|
|
|
|
|
|
Хакеры и |
База аутентификационных |
Пользовательский |
Использование |
||
конкуренты (H2), |
данных: утечка |
|
веб-интерфейс |
уязвимостей, |
|
внешний |
аутентификационных |
сайта библиотеки |
инъекций |
||
|
данных пользователей из |
|
|
|
|
|
БД |
|
|
|
|
|
Файловый сервер: утечка |
Пользовательский |
Использование |
||
|
|
|
|
||
|
материалов ЭБС, |
|
интерфейс доступа |
уязвимостей ПО, |
|
|
|
|
|
|
|
|
защищаемых авторским |
к файловому |
предназначенного |
||
|
|
|
|
||
|
правом; нарушение |
|
серверу ЭБС |
для доступа |
|
|
|
|
|
|
|
|
функционирования ЭБС |
|
|
пользователей к |
|
|
|
|
|
||
|
(удаление информации, |
|
|
ресурсам файлового |
|
|
|
|
|
||
|
необходимой для решения |
|
|
сервера |
|
|
|
|
|
||
|
задач ЭБС); |
|
|
|
|
|
несанкционированная |
|
|
|
|
|
модификация, |
подмена, |
|
|
|
|
искажение информации |
|
|
|
|
|
|
|
|
|
|
Администартор |
АРМ, расположенные в |
ПО |
для |
Ошибочные действия |
|
(H2), внутренний |
компании: утечка |
|
администрирования |
при настройке ПО для |
|
|
аутентификационной |
системы (системные |
администрирования |
||
|
информации, вводимой |
и сетевые утилиты) |
Внедрение |
||
|
пользователями при |
|
|
|
вредоносного ПО через |
|
использовании АРМ; утечке |
|
|
средства |
|
|
электронных материалов |
|
|
установки/обновления |
|
|
ЭБС; нарушение |
|
|
|
ПО |
|
функционирования АРМ |
|
|
|
|
|
|
|
|
|
|
Пользователь |
АРМ, расположенные |
АРМ, |
|
Ошибочные действия при |
|
(H1), |
в компании |
|
расположенные в |
пользовании АРМ |
|
|
|
|
|
|
|
внутренний |
|
|
компании |
|
|
|
|
|
|
|
|
2.Оценка структуры факторов риска в соответствии с методикой С.В. Вихорева
Втаблице 6 представлен перечень актуальных угроз безопасности
Таблица 6 – перечень актуальных угроз ИБ
k |
Угрозы ИБ |
(КА)k |
1 |
Хищение (копирование) информации и средств ее обработки |
0,18 |
2 |
Модификация (искажение) информации |
0,21 |
3 |
Уничтожение информации и средств ее обработки |
0,17 |
В 7 таблице обозначен актуальный список источников угроз и их коэффициент опасности.
Таблица 7 – перечень актуальных источников угроз ИБ
Код |
Источники угроз информационной безопасности |
(k1)i |
(k2)i |
(k3)i |
(Коп)i |
|
(i) |
||||||
|
|
|
|
|
||
[I.A.3] |
недобросовестные партнеры |
2 |
4 |
4 |
0,09 |
|
[I.A.4] |
технический персонал поставщиков |
4 |
3 |
3 |
0,11 |
|
телематических услуг |
||||||
|
|
|
|
|
||
[I.A.5] |
представители надзорных организаций и |
4 |
4 |
3 |
0,13 |
|
аварийных служб |
||||||
|
|
|
|
|
||
|
|
|
|
|
|
|
[I.A.6] |
представители силовых структур |
5 |
4 |
1 |
0,05 |
|
|
|
|
|
|
|
|
[I.B.1] |
основной персонал (пользователи, программисты, |
5 |
5 |
3 |
0,17 |
|
разработчики) |
||||||
|
|
|
|
|
||
[I.B.2] |
представители службы защиты информации |
5 |
5 |
3 |
0,18 |
|
(администраторы) |
||||||
|
|
|
|
|
||
[I.B.3] |
вспомогательный персонал (уборщики, охрана) |
3 |
2 |
1 |
0,02 |
|
[I.B.4] |
технический персонал (жизнеобеспечение, |
3 |
2 |
1 |
0,01 |
|
эксплуатация) |
||||||
|
|
|
|
|
В таблицу 8 сведен перечень актуальных уязвимостей.
Таблица 8 – Актуальные уязвимости
Код
[A.II.a.4]
[A.II.b.1]
[A.II.b.2]
[A.II.b.3]
[B.I.a.4]
[B.I.c.2]
[B.I.c.4]
[C.I.a.1]
[C.I.a.2]
[C.I.c.1]
Уязвимости |
(k1)f |
(k2)f |
(k3)f |
(Kоп)f |
аппаратные закладки устанавливаемые в технических |
4 |
3 |
4 |
0,25 |
средствах |
|
|
|
|
|
|
|
|
|
вредоносные программы |
5 |
4 |
3 |
0,31 |
|
|
|
|
|
технологические выходы из программ |
3 |
5 |
3 |
0,23 |
|
|
|
|
|
нелегальные копии ПО |
3 |
4 |
5 |
0,31 |
|
|
|
|
|
ошибки при вводе данных (информации) |
3 |
4 |
5 |
0,39 |
|
|
|
|
|
ошибки при настройке программного обеспечения |
5 |
5 |
4 |
0,66 |
|
|
|
|
|
ошибки при настройке технических средств |
4 |
4 |
5 |
0,53 |
|
|
|
|
|
отказы ТС обрабатывающих информацию |
4 |
4 |
4 |
0,47 |
|
|
|
|
|
|
|
|
|
|
отказы ТС обеспечивающих работоспособность |
3 |
4 |
3 |
0,28 |
средств обработки |
|
|
|
|
|
|
|
|
|
сбои операционных систем и СУБД |
4 |
5 |
3 |
0,45 |
|
|
|
|
|
Возможные варианты реализации угроз представлены в таблице 9.
|
|
Таблица 9 – Варианты реализации угроз |
||
|
|
|
|
|
Источники угроз |
Методы реализации |
|
Уязвимости |
|
|
|
|
|
|
[I.B.2] - администраторы |
[M3.B.02] - установка нештатного |
|
[A.II.b.1] - вредоносные программы |
|
|
|
|
||
|
оборудования или ПО |
|
|
|
|
|
|
|
|
[I.A.3] - недобросовестные |
[M3.A.04] - маскировка под |
|
[B.I.a.4] – ошибки при вводе данных |
|
партнеры |
авторизованного пользователя (маскарад) |
|
|
|
|
|
|
||
|
|
|
|
|
[I.A.3] - недобросовестные |
[M3.A.01] - внедрение дезинформации |
|
[B.I.a.4] – ошибки при вводе данных |
|
партнеры |
|
|
||
|
|
|
|
|
|
|
|
|
|
[I.A.3] - недобросовестные |
[M3.A.05] - модификация информации |
|
[B.I.a.4] – ошибки при вводе данных |
|
партнеры |
(данных) |
|
|
|
|
|
|
||
|
|
|
|
|
|
[M3.A.01] - Нарушение целостности и |
|
[I.B.3] - вспомогательный |
доступности путем введения ложной |
|
персонал (уборщики, |
информации в базы данных и |
[B.I.a.4] – ошибки при вводе данных |
охрана) |
информационные ресурсы, перегрузки |
|
|
системных ресурсов, каналов связи |
|
|
|
|
|
[M3.A.01] - Нарушение целостности и |
|
[I.B.3] - вспомогательный |
доступности путем введения ложной |
|
персонал (уборщики, |
информации в базы данных и |
[B.I.с.2] – уничтожение данных |
охрана) |
информационные ресурсы, перегрузки |
|
|
системных ресурсов, каналов связи |
|
|
|
|