Таблица 8 – Актуальные уязвимости
Код |
Уязвимости |
(k1)f |
(k2)f |
(k3)f |
(Kоп)f |
|
|
|
|
|
|
[A.II.a.4] |
аппаратные закладки устанавливаемые в технических |
4 |
3 |
4 |
0,23 |
средствах |
|
|
|
|
|
|
|
|
|
|
|
[A.II.b.1] |
вредоносные программы |
5 |
4 |
3 |
0,29 |
|
|
|
|
|
|
[A.II.b.2] |
технологические выходы из программ |
3 |
5 |
3 |
0,21 |
|
|
|
|
|
|
|
|
|
|
|
|
[A.II.b.3] |
нелегальные копии ПО |
3 |
4 |
5 |
0,29 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[B.I.a.4] |
ошибки при вводе данных (информации) |
3 |
4 |
5 |
0,38 |
|
|
|
|
|
|
|
|
|
|
|
|
[B.I.c.2] |
ошибки при настройке программного обеспечения |
5 |
5 |
4 |
0,64 |
|
|
|
|
|
|
|
|
|
|
|
|
[B.I.c.4] |
ошибки при настройке технических средств |
4 |
4 |
5 |
0,51 |
|
|
|
|
|
|
|
|
|
|
|
|
[C.I.a.1] |
отказы ТС обрабатывающих информацию |
4 |
4 |
4 |
0,45 |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
[C.I.a.2] |
отказы ТС обеспечивающих работоспособность |
3 |
4 |
3 |
0,26 |
средств обработки |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[C.I.c.1] |
сбои операционных систем и СУБД |
4 |
5 |
3 |
0,43 |
|
|
|
|
|
|
|
|
|
|
|
|
Возможные варианты реализации угроз представлены в таблице 9.
|
Таблица 9 – Варианты реализации угроз |
|
|
|
|
Источники угроз |
Методы реализации |
Уязвимости |
|
|
|
[I.B.2] - администраторы |
[M 3.B.02] - установка нештатного |
[A.II.b.1] - вредоносные программы |
|
||
|
оборудования или ПО |
|
|
|
|
[I.A.3] - недобросовестные |
[M 3.A.04] - маскировка под |
[B.I.a.4] – ошибки при вводе данных |
|
|
|
партнеры |
авторизованного пользователя (маскарад) |
|
|
|
|
[I.A.3] - недобросовестные |
[M 3.A.01] - внедрение дезинформации |
[B.I.a.4] – ошибки при вводе данных |
партнеры |
|
|
|
|
|
[I.A.3] - недобросовестные |
[M 3.A.05] - модификация информации |
[B.I.a.4] – ошибки при вводе данных |
|
|
|
партнеры |
(данных) |
|
|
|
|
|
[M 3.A.01] - Нарушение целостности и |
|
[I.B.3] - вспомогательный |
доступности путем введения ложной |
|
персонал (уборщики, |
информации в базы данных и |
[B.I.a.4] – ошибки при вводе данных |
охрана) |
информационные ресурсы, перегрузки |
|
|
системных ресурсов, каналов связи |
|
|
|
|
|
[M 3.A.01] - Нарушение целостности и |
|
[I.B.3] - вспомогательный |
доступности путем введения ложной |
|
персонал (уборщики, |
информации в базы данных и |
[B.I.с.2] – уничтожение данных |
охрана) |
информационные ресурсы, перегрузки |
|
|
системных ресурсов, каналов связи |
|
|
|
|
КОМПЛЕКС КОНТРМЕР
КМ1
КМ2
Модель: ООО «Скайнэт»
Комплекс мер: КМ1
Потенциал снижения риска: 50,00 |
Экспертная оценка стоимости: 35,00 |
|
Расчетная стоимость: 47,00 |
Экспертно-расчетная оценка стоимости: 40,00 |
|
Мера: М.09. Планирование бесперебойной работы организации |
||
|
|
|
Регион: г. Санкт-Петербург |
|
|
ЛС: Центральный офис |
|
|
ПС: Персонал |
|
|
Объект: ПО «Администратор» |
|
|
Потенциал снижения Расчетная стоимость: 0,00 Экспертная оценка |
Код упорядочивания: |
|
риска: 13,45 |
стоимости: 0,00 |
|
Мера: М.03.02. Классификация информации по уровням секретности
Регион: г. Санкт-Петербург
ЛС: Центральный офис
ПС: Сетевые сервисы |
|
|
|
Объект: Сервер БД |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 10,00 |
17,00 |
стоимости: 0,00 |
|
Мера: М.03.01. Обеспечение ответственности за информационные |
|||
ресурсы |
|
|
|
Регион: г. Санкт-Петербург |
|
|
|
ЛС: Центральный офис |
|
|
|
ПС: Сетевые сервисы |
|
|
|
Объект: Файловый сервер |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 2 |
риска: 14,45 |
9,00 |
стоимости: 25,00 |
|
Комплекс мер: КМ2
Потенциал снижения риска: 50,00 |
Экспертная оценка стоимости: 47,00 |
Расчетная стоимость: 40,00 |
Экспертно-расчетная оценка стоимости: 38,00 |
Мера: М.02.01 Создание инфраструктуры управления информационной безопасностью
Регион: г. Санкт-Петербург
ЛС: Центральный офис
ПС: Сетевые сервисы |
|
|
|
Объект: ПО «Администратор» |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 1 |
риска: 31,00 |
29,00 |
стоимости: 27,00 |
|
Мера: М.01.01. Разработка, внедрение и поддержка политики |
|||
безопасности |
|
|
|
Регион: г. Санкт-Петербург |
|
|
|
ЛС: Центральный офис |
|
|
|
ПС: Сетевые сервисы |
|
|
|
Объект: ПО «Администратор» |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 2 |
риска: 19,00 |
11,00 |
стоимости: 20,00 |
|
Лучшим комплексом мер является комплекс мер 1 по внедрению средств защиты,так как стоимость минимальная.
ВЫБОР КОМПЛЕКСА КОНТРМЕР
В связи с тем, что приемлемым остаточным риском считается риск ниже
7505 USD, следует выбрать сформированный комплект мер, так как он соответствует требованиям.
7505 USD –
приемлемый уровень риска
КМ 1
|
Остаточный риск |
Уменьше |
|
|
ние |
|
|
риска |
Модель: ООО «Скайнэт» |
Риск до принятия мер: 2425,83 |
|
|
|
|
КМ1 |
600,00 |
1825,83 |
Регион: г. Санкт-Петербург |
Риск до принятия мер: 1772,50 |
|
КМ1 |
0,00 |
1772,50 |
ЛС: Центральный офис |
Риск до принятия мер: 1772,50 |
|
КМ1 |
0,00 |
1772,50 |
ПС: Сетевые сервисы |
Риск до принятия мер: 1772,50 |
|
КМ1 |
0,00 |
1772,50 |
Объект: ПО «Сотрудник» |
Риск до принятия мер: 1572,50 |
|
КМ1 |
0,00 |
1572,50 |
Объект: ПО «Администратор» |
Риск до принятия мер: 200,00 |
|
КМ1 |
0,00 |
200,00 |
Объект: ПО «Финансы» |
Риск до принятия мер: 653,33 |
|
КМ1 |
600,00 |
53,33 |
ПС: ЭБС |
Риск до принятия мер: 100,00 |
|
КМ1 |
100,00 |
0,00 |
Объект: АРМ администратора |
Риск до принятия мер: 500,00 |
|
КМ1 |
500,00 |
0,00 |
Объект: АРМ сотрудника |
Риск до принятия мер: 0,00 |
|
КМ1 |
0,00 |
0,00 |
Объект: АРМ каталогизатора |
Риск до принятия мер: 0,00 |
|
КМ1 |
0,00 |
53,33 |
Объект: Сервер БД |
Риск до принятия мер: 2,17 |
|
КМ1 |
2,17 |
0,00 |
Объект: Маршрутизатор |
Риск до принятия мер: 2,17 |
|
КМ1 |
2,17 |
0,00 |
Объект: Коммутатор |
Риск до принятия мер: 2,17 |
|
|
|
|
КМ1 |
2,17 |
0,00 |
Объект: Веб-сервер |
Риск до принятия мер: 2,17 |
|
КМ1 |
2,17 |
0,00 |
Объект: Файловый сервер |
Риск до принятия мер: 2,17 |
|
КМ1 |
2,17 |
0,00 |
Объект: Firewall |
Риск до принятия мер: 2,17 |
|
КМ1 |
2,17 |
0,00 |
ВЫВОДЫ
При анализе методик можно сделать вывод, что они дают схожие результаты. Однако методика Вихорева позволяет рассчитать более точно актуальность угроз, а также определить возможные варианты атак. При этом методы ПО «РискМенеджер-Анализ v3.5» являются более наглядными, так как рисуются столбчатые диаграммы, с помощью которых можно оценить более выгодные комплексы мер по защите. В связи с тем, что приемлемым остаточным риском считается риск ниже 7505 USD, следует выбрать сформированный комплект мер, так как он соответствует заявленным требованиям.