МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по практической работе № 14
по дисциплине «Основы информационной безопасности» Тема: «Оценка структуры факторов риска»
Студент гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
2.Цель работы: провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы;
3.Отчёт выполняется с расчетом профиля риска в РискМенеджер - Анализ v3.5.
ипо методике Вихорева, результаты сравнить
1.Оценка структуры факторов риска по методологии ФСТЕК
Спомощью методики ФСТЕК построим структуру видов ущерба, относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Негативные последствия приведены в таблице 1, представленной ниже
Таблица 1 – Виды рисков и негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
У1 |
Ущерб физическому лицу |
Нарушение конфиденциальности. |
|
|
Финансовый ущерб физическому лицу. |
|
|
Нарушение иных прав и свобод гражданина, |
|
|
закрепленных в Конституции Российской |
|
|
Федерации и федеральных законах. |
У2 |
Риски юридическому лицу, |
Нарушение законодательства Российской |
|
индивидуальному предпринимателю, |
Федерации. |
|
связанные с хозяйственной |
Недополучение ожидаемой |
|
деятельностью |
(прогнозируемой) прибыли. |
|
|
Необходимость дополнительных |
(незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств).
Срыв запланированной сделки с партнером.
В таблице 2 приведены объекты воздействия в соответствии с негативными последствиями из первой таблицы.
Таблица 2 – Возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Нарушение конфиденциальности. |
БД |
Утечка данных о |
|
|
пользователях. |
|
Беспроводные каналы связи |
Кража/подмена данных |
|
|
предприятия. |
Финансовый ущерб физическому |
БД, каналы связи |
Утеря данных о проекте. |
лицу. |
|
|
Нарушение иных прав и свобод |
БД, Рабочие места |
Раскрытие данных об |
гражданина, закрепленных в |
сотрудников, системного |
авторских проектах, кража |
Конституции Российской |
администратора |
объектов интеллектуальной |
Федерации и федеральных |
|
собственности. |
законах. |
|
|
Недополучение ожидаемой |
Сайт, веб-сервер, БД, |
DDoS-атаки на сервер, |
(прогнозируемой) прибыли. |
рабочие места сотрудников. |
временная |
Необходимость дополнительных |
|
неработоспособность |
(незапланированных) затрат на |
|
сервера, утеря данных о |
выплаты штрафов (неустоек) или |
|
проектах, ошибки |
компенсаций. |
|
сотрудников. |
Проникновение в корпоративную |
Сотрудники, электронная |
Фишиговые ссылки, |
сеть неавторизованного |
почта. |
подброшенные носители с |
пользователя. |
|
вредоносным ПО. |
Категории и уровни возможных нарушителей представлены в 3 таблице, в которую сведены данные для определения видов риска.
|
Таблица 3 – Актуальные нарушители |
|
Виды риска/ущерба и |
Виды и категория нарушителя |
Уровень возможностей |
возможные негативные |
|
|
последствия |
|
|
Нарушение |
Хакеры, внешний |
H1 |
конфиденциальности. |
|
|
Финансовый ущерб физическому лицу. Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. Нарушение законодательства Российской Федерации. Недополучение ожидаемой (прогнозируемой) прибыли. Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств).
Срыв запланированной сделки с партнером.
Сисадмин, внутренний |
H2 |
Сотрудники, внутренний |
H1 |
Дополнительный персонал, |
H1 |
внутренний |
|
Конкуренты, внешний |
H2 |
Поставщики услуг связи, внешний H2
Потенциальные источники угроз и возможные цели реализации угроз приведены в таблице ниже
|
Таблица 4 – Виды нарушителей и возможные цели реализации угроз |
|
Вид нарушителя |
Категория нарушителя |
Возможные цели реализации угроз |
Конкуренты |
Внешний |
Снижение конкурентоспособности |
|
|
организации. |
Сотрудники |
Внутренний |
Непреднамеренные действия, тормозящие |
|
|
работу организации. |
|
|
Преднамеренные действия с целью |
|
|
получения выгоды/реализации |
|
|
собственных интересов. |
Хакеры |
Внешний |
Любопытство. Тренировка. Получение |
|
|
выгоды. |
Поставщики услуг |
Внешний |
Материальная выгода |
связи |
|
|
Методы реализации негативного воздействия для указаных видов нарушителей представлены в таблице 5.
Таблица 5 – Актуальные способы реализации угроз и соответствующие виды нарушителей
Вид нарушителя, |
Объекты |
Доступные интерфейсы |
Способы реализации |
категория |
воздействия |
|
|
Хакеры (H2), |
CУБД, |
Веб-сайт компании, |
Использование |
внешний |
сотрудники |
электронная почта, территория |
уязвимостей, инъекций, |
Конкуренты |
|
предприятия. |
социальной инженерии. |
(H2), внешний |
|
|
|
Поставщики |
Рабочие |
ПАК предприятия |
Целенаправленный |
услуг связи (H2), |
места |
|
перехват информации, |
внешний |
сотрудников, |
|
отказ от обслуживания. |
|
веб-сервер |
|
|
Сисадмин (H2), |
ПАК |
ПАК предприятия |
Ошибки в настройке, |
внутренний |
предприятия |
|
продажа данных, |
|
|
|
намеренное или случайное |
|
|
|
их удаление. |
Сотрудник (H1), |
Рабочие |
Рабочие места сотрудников |
Пользовательские ошибки |
внутренний |
места |
|
|
|
сотрудников |
|
|
Дополнительный |
- |
- |
Непреднамеренное |
персонал (H1), |
|
|
причинение вреда ПАК, |
внутренний |
|
|
саботаж |
2.Оценка структуры факторов риска в соответствии с методикой С.В. Вихорева
Втаблице 6 представлен перечень актуальных угроз безопасности
|
Таблица 6 – перечень актуальных угроз ИБ |
|
k |
Угрозы ИБ |
(КА)k |
1 |
Копирование информации |
0,16 |
2 |
Модификация информации |
0,19 |
3 |
Уничтожение информации и средств ее обработки |
0,15 |
4 |
Вирусное заражение |
0,18 |
В 7 таблице обозначен актуальный список источников угроз и их коэффициент опасности.
|
Таблица 7 – перечень актуальных источников угроз ИБ |
|||||
Код |
Источники угроз информационной безопасности |
(k1)i |
(k2)i |
(k3)i |
(Коп)i |
|
(i) |
||||||
|
2 |
4 |
4 |
0,07 |
||
[I.A.3] |
недобросовестные партнеры |
|||||
[I.A.4] |
технический персонал поставщиков |
4 |
3 |
3 |
0,08 |
|
телематических услуг |
||||||
[I.A.5] |
представители надзорных организаций и |
4 |
4 |
3 |
0,11 |
|
аварийных служб |
||||||
[I.A.6] |
представители силовых структур |
5 |
4 |
1 |
0,04 |
|
[I.B.1] |
основной персонал (пользователи, программисты, |
5 |
5 |
3 |
0,16 |
|
разработчики) |
||||||
[I.B.2] |
представители службы защиты информации |
5 |
5 |
3 |
0,16 |
|
(администраторы) |
||||||
[I.B.3] |
вспомогательный персонал (уборщики, охрана) |
3 |
2 |
1 |
0,01 |
|
[I.B.4] |
технический персонал (жизнеобеспечение, |
3 |
2 |
1 |
0,01 |
|
эксплуатация) |
||||||
В таблицу 8 сведен перечень актуальных уязвимостей.
|
Таблица 8 – Актуальные уязвимости |
||||
Код |
Уязвимости |
(k1)f |
(k2)f (k3)f |
(Kоп)f |
|
[A.II.a.4] |
аппаратные закладки устанавливаемые в технических |
4 |
3 |
4 |
0,23 |
средствах |
|
|
|
|
|
[A.II.b.1] |
вредоносные программы |
5 |
4 |
3 |
0,29 |
[A.II.b.2] |
технологические выходы из программ |
3 |
5 |
3 |
0,21 |
[A.II.b.3] |
нелегальные копии ПО |
3 |
4 |
5 |
0,29 |
[B.I.a.4] |
ошибки при вводе данных (информации) |
3 |
4 |
5 |
0,38 |
[B.I.c.2] |
ошибки при настройке программного обеспечения |
5 |
5 |
4 |
0,64 |
[B.I.c.4] |
ошибки при настройке технических средств |
4 |
4 |
5 |
0,51 |
[C.I.a.1] |
отказы ТС обрабатывающих информацию |
4 |
4 |
4 |
0,45 |
|
|
|
|
||
|
|
|
|
|
|
[C.I.a.2] |
отказы ТС обеспечивающих работоспособность |
3 |
4 |
3 |
0,26 |
средств обработки |
|
|
|
|
|
[C.I.c.1] |
сбои операционных систем и СУБД |
4 |
5 |
3 |
0,43 |
Возможные варианты реализации угроз представлены в таблице 9.
|
|
Таблица 9 – Варианты реализации угроз |
|
Источники угроз |
Методы реализации |
Уязвимости |
|
[I.B.2] - администраторы |
[M3.B.02] - установка нештатного |
[A.II.b.1] - вредоносные программы |
|
оборудования или ПО |
|||
|
|
||
[I.A.3] - недобросовестные [M3.A.04] - маскировка под |
[B.I.a.4] – ошибки при вводе данных |
||
партнеры |
авторизованного пользователя (маскарад) |
||
[I.A.3] - недобросовестные |
[M3.A.01] - внедрение дезинформации |
[B.I.a.4] – ошибки при вводе данных |
|
партнеры |
|
|
|
[I.A.3] - недобросовестные [M3.A.05] - модификация информации |
[B.I.a.4] – ошибки при вводе данных |
||
партнеры |
(данных) |
||
|
|||
|
[M3.A.01] - Нарушение целостности и |
|
[I.B.3] - вспомогательный |
доступности путем введения ложной |
|
персонал (уборщики, |
информации в базы данных и |
[B.I.a.4] – ошибки при вводе данных |
охрана) |
информационные ресурсы, перегрузки |
|
|
системных ресурсов, каналов связи |
|
|
[M3.A.01] - Нарушение целостности и |
|
[I.B.3] - вспомогательный |
доступности путем введения ложной |
|
персонал (уборщики, |
информации в базы данных и |
[B.I.с.2] – уничтожение данных |
охрана) |
информационные ресурсы, перегрузки |
|
|
системных ресурсов, каналов связи |
|
3. Выбор комплекса мер защиты в ПО РискМенеджер-Анализ v3.5