МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра информационной безопасности
Практическая работа №14
по дисциплине «Основы информационной безопасности»
Тема: Оценка структуры факторов риска
Студент гр. |
|
Преподаватель |
|
Санкт-Петербург
2023
Цель: Провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы.
ОБЩИЕ ПОЛОЖЕНИЯ
Документы, используемые для оценки угроз безопасности информации и разработки модели угроз: "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" утвержденная Заместителем директора ФСТЭК России 14 февраля 2008г.; "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (выписка), утвержденная Заместителем директора ФСТЭК России 15 февраля 2008г.
Обладатель информации: компания ОА «ЕвроХим», предприятие по добыче, обработки минерально-химеческих ресурсов, а также предоставлением услуг в различных промышленных сферах.
Подразделение, ответственное за обеспечение защиты информации (безопасности) систем и сетей: подразделение информационной безопасности ОА «ЕвроХим».
Оценка структуры факторов риска по методологии ФСТЭК
С помощью методики ФСТЭК построим структуру видов ущерба, относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Негативные последствия приведены в таблице:
№ |
Виды риска (ущерба) |
Возможные типовые негативные последствия |
У1 |
Ущерб физическому лицу |
|
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
|
В таблице 2 приведены объекты воздействия в соответствии с негативными последствиями из первой таблицы.
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Разглашение персональных данных граждан |
Линия связи между сервером основного центра обработки данных и сервером резервного центра обработки данных |
Перехват информации, содержащей идентификационную информацию граждан, передаваемой по линиям связи |
База данных информационной системы, содержащая идентификационную информацию граждан |
Утечка идентификационной информации граждан из базы данных |
|
Финансовый ущерб физическому лицу. |
БД, каналы связи |
Утеря данных о проекте. |
Нарушение конфиденциальности. |
БД |
Утечка данных о пользователях. |
Беспроводные каналы связи |
Кража/подмена данных предприятия. |
|
АРМ финансового директора |
Несанкционированная модификация информации в платежных распоряжениях и отправка недостоверных распоряжений от имени финансового директора |
|
Электронный почтовый ящик финансового директора |
Модификация информации в платежных распоряжениях и отправка недостоверных распоряжений от имени финансового директора |
|
АРМ главного бухгалтера |
Подмена данных, содержащих реквизиты платежных поручений и другой платежной информации на АРМ главного бухгалтера |
|
Проникновение в корпоративную сеть неавторизованного пользователя. |
Сотрудники, электронная почта. |
Фишиговые ссылки, подброшенные носители с вредоносным ПО. |
Невозможность заключения договоров, соглашений |
АРМ руководителя организации |
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации |
Электронный почтовый ящик руководителя организации |
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации |
|
Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса |
АРМ руководителя организации |
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации |
АРМ главного инженера |
Несанкционированная отправка команд, приводящая к несрабатыванию средств аварийной защиты и (или) к изменению логики ПЛК |
|
Утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.) |
АРМ руководителя организации |
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации |
Категории и уровни возможных нарушителей представлены в 3 таблице, в которую сведены данные для определения видов риска.
Виды риска (ущерба) и возможные негативные последствия |
Виды актуального нарушителя |
Категория нарушителя |
Уровень возможностей нарушителя |
Потеря (хищение) денежных средств; невозможность заключения договоров, соглашений; нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса; причинение имущественного ущерба; утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.) |
Разработчики программных, программно-аппаратных средств |
Внутренний |
Н3 |
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ |
Внутренний |
Н2 |
|
Преступные группы (криминальные структуры) |
Внешний |
Н3 |
|
Системные администраторы и администраторы безопасности |
Внутренний |
Н2 |
|
Конкурирующие организации |
Внешний |
Н2 |
|
Нарушение конфиденциальности |
Хакеры |
внешний |
Н1 |
Финансовый ущерб физическому лицу |
Сисадмин |
внутренний |
Н2 |
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. |
Сотрудники |
внутренний |
Н1 |
Потенциальные источники угроз и возможные цели реализации угроз приведены в таблице ниже
Вид нарушителя |
Категория нарушителя |
Возможные цели реализации угроз |
Конкуренты |
Внешний |
Снижение конкурентоспособности организации. |
Сотрудники |
Внутренний |
Непреднамеренные действия, тормозящие работу организации. |
Преднамеренные действия с целью получения выгоды/реализации собственных интересов. |
||
Хакеры |
Внешний |
Любопытство. Тренировка. Получение выгоды. |
Поставщики услуг связи |
Внешний |
Материальная выгода |
Методы реализации негативного воздействия для указаных видов нарушителей представлены в таблице 5.
Вид нарушителя, категория |
Объекты воздействия |
Доступные интерфейсы |
Способы реализации |
Хакеры (H2), внешний |
CУБД, сотрудники |
Веб-сайт компании, электронная почта, территория предприятия. |
Использование уязвимостей, инъекций, социальной инженерии. |
Конкуренты (H2), внешний |
|||
Поставщики услуг связи (H2), внешний |
Рабочие места сотрудников, веб-сервер |
ПАК предприятия |
Целенаправленный перехват информации, отказ от обслуживания. |
Сисадмин (H2), внутренний |
ПАК предприятия |
ПАК предприятия |
Ошибки в настройке, продажа данных, намеренное или случайное их удаление. |
Сотрудник (H1), внутренний |
Рабочие места сотрудников |
Рабочие места сотрудников |
Пользовательские ошибки |
Дополнительный персонал (H1), внутренний |
- |
- |
Непреднамеренное причинение вреда ПАК, саботаж |
Описание базового объекта
Объект располагается в Москве, РФ, спокойная метеорологическая, сейсмическая и гидрологическая обстановка, предприятий в округе нет.
Компания по предоставлению промышленных материалов «ЕвроХим» имеет гетерогенную, иерархическую корпоративную информационную сеть:
имеет равенство приоритетов целей ИБ
пользователи имеют разные права доступа к информации
не имеет удаленных и мобильных пользователей
сопряженную с сетью Internet
Перечень актуальных угроз.
№ |
Угроза |
1 |
Несанкционированного копирования защищаемой информации |
2 |
Хищения средств хранения, обработки и (или) ввода/вывода/передачи информации |
3 |
Заражения вирусом |
4 |
Несанкционированного доступа к аутентификационной информации |
5 |
Уничтожение информации |
Представленные мероприятия по обеспечению безопасности можно реализовать с помощью следующих комплексов мер:
комплекс мер по внедрению средств защиты;
комплекс мер по развитию инфраструктуры управления ИБ;
комплекс мер по внедрению политики безопасности.
Комплекс мер по внедрению дополнительного узла
Данные комплексы предполагают устранение одних и тех же угроз, следовательно, необходим анализ каждого комплекса для выявления наиболее выгодного для реализации комплекса. Эти данные были обработаны в ходе лабораторной работы № 1 и был сделан вывод о том, что наиболее выгодным является комплекс мер по внедрению средств защиты.
Комплексы мер по модели |
|
|
|
|
КМ по внедрению средств защиты |
|
|
|
КМ по развитию инфраструктуры управления ИБ |
|
|
|
|
Рисунок 3 – Комплекс мер
В результате анализа были получены комплексы мер по модели предприятия с помощью ПО РискМенеджер - Анализ v3.5. Наиболее выгодным будет являтся первый комплекс мер, так как при одинаковых потенциалах снижения риска, первый комплекс мер имеет меньшую экспертную оценку стоимости, и при меньших расходах, будет иметь тот же эффект, как и при 2 комплексе мер.
190,0
тыс. руб.
Рисунок 4 – Сравнение оценок остаточного риска
Вывод: Выбранный комплекс мер по внедрение технологии анализа защищенности и поиска уязвимостей серверов снижает уровень рисков до приемлемых (менее 190,0 тыс. руб., что соответствует уровню рисков менее 25%).