МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА № 14 по дисциплине «Основы информационной безопасности»
Тема: Оценка структуры факторов риска
Студент гр.
Преподаватель
Санкт Петербург
2023
ПОСТАНОВКА ЗАДАЧИ
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
2.Цель работы: провести оценку отношений на множестве факторов риска,расчет профиля риска и определить наиболее значимые факторы;
3.Отчѐт выполняется с расчетом профиля риска в РискМенеджер - Анализ v3.5.и по методике Вихорева, результаты сравнить
1.Оценка структуры факторов риска по методологии ФСТЭК
Спомощью методики ФСТЭК построим структуру видов ущерба, относящихся к ним субъектов, объектов, видов воздействия и методов
реализации.
Негативные последствия приведены в таблице 1, представленной ниже
Таблица 1 – Виды рисков и негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
|
|
|
У1 |
Ущерб физическому лицу |
Нарушение конфиденциальности. |
|
|
|
|
|
Нарушение иных прав и свобод |
|
|
гражданина, |
|
|
закрепленных в Конституции |
|
|
РоссийскойФедерации и |
|
|
федеральных законах. |
У2 |
Риски юридическому лицу, |
Нарушение законодательства |
|
индивидуальному предпринимателю, |
Российской |
|
|
|
|
связанные с хозяйственной |
Федерации. |
|
Нарушение штатного режима |
|
|
|
|
|
деятельностью |
функционирования |
|
|
|
|
|
автоматизированнойсистемы |
|
|
|
|
|
Необходимость дополнительных |
|
|
(незапланированных) затрат на |
|
|
выплатыштрафов (неустоек) или |
|
|
компенсаций. |
|
|
Невозможность решения задач или |
|
|
снижение эффективности решения задач |
|
|
|
|
|
Публикация недостоверной информации |
|
|
на |
|
|
веб-ресурсах организации. |
В таблице 2 приведены объекты воздействия в соответствии с негативнымипоследствиями из первой таблицы.
Таблица 2 – Возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
|
|
|
Нарушение конфиденциальности. |
База аутентификационных |
Утечка |
|
данных |
аутентификационных |
|
данных пользователей |
|
|
|
|
|
|
из БД |
|
АРМ сотрудников |
Утечка учетной |
|
|
информации, вводимой |
|
|
пользователями при |
|
|
использовании АРМ |
|
|
|
|
Проводные и беспроводные |
Перехват информации, |
|
|
|
|
каналы передачи данных. |
содержащей учетные |
|
|
|
|
|
данныепользователей, |
|
|
передаваемой |
|
|
по каналам |
Нарушение иных прав и свобод |
Файловый сервер |
Утечка материалов |
гражданина, закрепленных в |
|
ЭБС, защищаемых |
Конституции Российской |
|
авторским правом |
|
|
|
Федерации и федеральных |
АРМ сотрудниколв |
Утечка материалов |
законах. |
|
ЭБС, защищаемых |
|
авторским правом |
|
|
|
|
|
|
|
Нарушение законодательства РФ, |
База аутентификационных |
Утечка |
|
||
необходимость дополнительных |
данных |
аутентификационных |
|
||
затрат на выплаты штрафов (У2) |
|
данных пользователей, |
|
|
|
|
|
защищаемых законом |
|
|
«О персональных |
|
|
данных» |
|
|
(предусмотрены |
|
|
штрафы) |
|
|
|
|
Файловый сервер |
Утечка материалов |
|
|
|
|
|
ЭБС, защищаемых |
|
|
законом |
|
|
«Об авторском праве и |
|
|
смежных правах» |
|
|
(предусмотрены |
|
|
штрафы) |
|
Нарушение штатного режима |
ПО для администрирования |
Несанкционированный |
|
|
функционирования |
|
доступ, нарушение |
|
|
автоматизированной системы, |
|
функционирования |
|
|
невозможность решения задач |
|
программно- |
|
|
или снижение эффективности |
|
аппаратных |
|
|
решения задач (У2) |
|
средств- |
|
|
|
|
|
администрирования |
|
|
|
|
ЭБС |
|
|
|
АРМ сотрудников |
Нарушение |
|
|
|
|
функционирования АРМ |
|
|
|
|
|
|
|
|
Файловый сервер |
Нарушение |
|
|
|
|
функционирования ЭБС |
|
|
|
|
(удаление информации, |
|
|
|
|
необходимой для |
|
|
|
|
решения |
|
|
|
|
задач ИС) |
|
Публикация недостоверной |
Файловый сервер, СУБД |
Несанкционированная |
|
|
информации на вебресурсах |
|
модификация, подмена, |
|
|
|
|
|
|
|
организации |
|
искажение информации |
|
|
|
|
|
|
Категории и уровни возможных нарушителей представлены в 3 таблице, вкоторую сведены данные для определения видов риска.
|
|
|
|
Таблица 3 – Актуальные |
|||
|
|
|
|
нарушители |
|
|
|
|
|
|
|
|
|
|
|
№ |
Виды риска (ущерба) и |
Виды актуального |
Категория |
|
Уровень |
|
|
|
возможные |
негативные |
нарушителя |
нарушителя |
|
возможностей |
|
|
последствия |
|
|
|
|
нарушителя |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
У1: |
|
Хакеры |
Внешний |
|
Н2 |
(базовые |
|
нарушение |
|
|
|
|
повышенные |
|
|
конфиденциальности (утечка) |
|
|
|
возможности) |
||
|
персональных данных; |
|
|
|
|
|
|
|
Конкурирующие |
Внешний |
|
Н2 |
(базовые |
||
|
нарушение иных прав и свобод |
организации |
|
|
повышенные |
||
|
гражданина, закрепленных в |
|
|
|
возможности) |
||
|
|
|
|
|
|
|
|
|
Конституции |
РФ |
и |
Администраторы |
Внутренний |
Н2 |
(базовые |
|
федеральных законах |
|
|
|
повышенные |
||
|
|
|
|
|
|
возможности) |
|
|
|
|
|
|
|
|
|
|
|
|
|
Сотрудники |
Внутренний |
Н1 |
(базовые |
|
|
|
|
|
|
возможности) |
|
|
|
|
|
|
|
|
|
2 |
У2: |
|
|
Хакеры |
Внешний |
Н2 |
(базовые |
|
нарушение законодательства |
|
|
повышенные |
|||
|
РФ; |
|
|
|
|
возможности) |
|
|
необходимость |
|
|
|
|
|
|
|
|
|
Конкурирующие |
Внешний |
Н2 |
(базовые |
|
|
дополнительных |
затрат |
на |
организации |
|
повышенные |
|
|
выплаты штрафов; |
|
|
|
|
возможности) |
|
|
|
|
|
|
|
|
|
|
нарушение штатного режима |
Администраторы |
Внутренний |
Н2 |
(базовые |
|
|
функционирования |
|
|
повышенные |
||
|
автоматизированной системы; |
|
|
возможности) |
||
|
невозможность решения задач |
|
|
|
|
|
|
или снижение эффективности |
|
|
|
|
|
|
Сотрудники |
Внутренний |
Н1 |
(базовые |
||
|
|
|
||||
|
решения задач; |
|
|
|
возможности) |
|
|
|
|
|
|
||
|
публикация |
недостоверной |
|
|
|
|
|
информации на веб-ресурсах |
|
|
|
|
|
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
Потенциальные источники угроз и возможные цели реализации угроз приведены в таблице ниже
№ |
Виды актуального |
Категории |
Возможные |
цели |
реализации |
угроз |
|
|
нарушителя |
нарушителя |
безопасности информации |
|
|
||
|
|
|
|
|
|
|
|
1 |
Хакеры |
Внешний |
Получение |
финансовой |
или |
иной |
|
|
|
|
материальной выгоды |
|
|
|
|
|
|
|
|
|
|||
2 |
Конкурирующие |
Внешний |
Получение материальной выгоды |
|
|||
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3 |
Администраторы |
Внутренний |
Получение |
финансовой |
или |
иной |
|
|
ЭБС |
|
материальной выгоды |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
Непреднамеренные, |
неосторожные |
или |
||
|
|
|
неквалифицированные действия |
|
|||
|
|
|
|
|
|||
4 |
Авторизованные |
Внутренний |
Получение финансовой или |
материальной |
|||
|
пользователи ЭБС |
|
выгоды |
|
|
|
|
|
|
|
|
||||
|
|
|
Любопытство или желание самореализации |
||||
|
|
|
|
|
|||
|
|
|
Месть за ранее совершенные действия |
|
|||
|
|
|
|
|
|
||
|
|
|
Непреднамеренные, |
неосторожные |
или |
||
|
|
|
неквалифицированные действия |
|
|||
|
|
|
|
|
|
|
|
Методы реализации негативного воздействия для указаных видов нарушителей представлены в таблице 5.
Таблица 5 – Актуальные способы реализации угроз и соответствующие виды нарушителей
|
Вид нарушителя, |
|
Объекты |
|
Доступные |
Способы реализации |
|
категория |
|
воздействия |
|
интерфейсы |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
Хакеры и |
|
База аутентификационных |
Пользовательский |
Использование |
|
|
конкуренты (H2), |
|
данных: утечка |
|
веб-интерфейс |
уязвимостей, |
|
внешний |
|
аутентификационных |
сайта |
инъекций |
|
|
|
|
данных пользователей из |
|
|
|
|
|
|
БД |
|
|
|
|
|
|
Файловый сервер: утечка |
Пользовательский |
Использование |
|
|
|
|
|
|
||
|
|
|
материалов, нарушение |
интерфейс доступа |
уязвимостей ПО, |
|
|
|
|
|
|
||
|
|
|
функционирования ИС |
к файловому |
предназначенного |
|
|
|
|
|
|
||
|
|
|
(удаление информации, |
серверу ЭБС |
для доступа |
|
|
|
|
|
|
||
|
|
|
необходимой для решения |
|
пользователей к |
|
|
|
|
|
|
||
|
|
|
задач); |
|
|
ресурсам файлового |
|
|
|
|
|
|
|
|
|
|
несанкционированная |
|
сервера |
|
|
|
|
|
|
||
|
|
|
модификация, |
подмена, |
|
|
|
|
|
искажение информации |
|
|
|
Администартор |
АРМ сотрудников: |
ПО |
для |
Ошибочные действия |
(H2),внутренний |
утечка |
администрирования |
при настройке ПО для |
|
|
аутентификационной |
системы (системные |
администрирования |
|
|
информации, вводимой |
и сетевые утилиты) |
Внедрение |
|
|
пользователями при |
|
|
вредоносного ПО через |
|
использовании АРМ; утечке |
|
|
средства |
|
электронных материалов |
|
|
установки/обновления |
|
ЭБС; нарушение |
|
|
ПО |
|
функционирования АРМ |
|
|
|
Пользователь |
АРМ сотрудников |
АРМ сотрудников |
Ошибочные |
(H1), |
|
|
действия при |
внутренний |
|
|
пользовании |
|
|
|
АРМ |
|
|
|
|
2.Оценка структуры факторов риска в соответствии с методикой С.В.Вихорева
Втаблице 6 представлен перечень актуальных угроз безопасности
|
Таблица 6 – перечень актуальных |
|
|
угроз ИБ |
|
|
|
|
k |
Угрозы ИБ |
(КА)k |
|
|
|
1 |
Хищение (копирование) информации и средств ее обработки |
0,16 |
2 |
Модификация (искажение) информации |
0,19 |
3 |
Уничтожение информации и средств ее обработки |
0,15 |
В 7 таблице обозначен актуальный список источников угроз и ихкоэффициент опасности.
Таблица 7 – перечень актуальных источников угроз ИБ
Код |
Источники угроз информационной безопасности |
(k1)i |
(k2)i |
(k3)i |
(Коп)i |
|
(i) |
||||||
|
|
|
|
|
||
|
|
|
|
|
|
|
[I.A.3] |
недобросовестные партнеры |
2 |
4 |
4 |
0,07 |
|
[I.A.4] |
технический персонал поставщиков |
4 |
3 |
3 |
0,08 |
|
телематических услуг |
||||||
|
|
|
|
|
||
|
|
|
|
|
|
|
[I.A.5] |
представители надзорных организаций и |
4 |
4 |
3 |
0,11 |
|
аварийных служб |
||||||
|
|
|
|
|
||
|
|
|
|
|
|
|
[I.A.6] |
представители силовых структур |
5 |
4 |
1 |
0,04 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[I.B.1] |
основной персонал (пользователи, программисты, |
5 |
5 |
3 |
0,16 |
|
разработчики) |
||||||
|
|
|
|
|
||
|
|
|
|
|
|
|
[I.B.2] |
представители службы защиты информации |
5 |
5 |
3 |
0,16 |
|
(администраторы) |
||||||
|
|
|
|
|
||
|
|
|
|
|
|
|
[I.B.3] |
вспомогательный персонал (уборщики, охрана) |
3 |
2 |
1 |
0,01 |
|
|
|
|
|
|
|
|
[I.B.4] |
технический персонал (жизнеобеспечение, |
3 |
2 |
1 |
0,01 |
|
эксплуатация) |
||||||
|
|
|
|
|
В таблицу 8 сведен перечень актуальных уязвимостей.