МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по практическому заданию № 14
по дисциплине «Основы информационной безопасности»
Тема: Оценка структуры факторов риска
Студент гр.
Преподаватель
Санкт-Петербург
2023
Цель: Провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы.
ОБЩИЕ ПОЛОЖЕНИЯ
Документы, используемые для оценки угроз безопасности информации и разработки модели угроз: "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" утвержденная Заместителем директора ФСТЭК России 14 февраля 2008г.; "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (выписка), утвержденная Заместителем директора ФСТЭК России 15 февраля 2008г.
Обладатель информации: компания «НеваТрансРесурс», предприятие по добыче металла.
Подразделение, ответственное за обеспечение защиты информации (безопасности) систем и сетей: отдел информационной безопасности «НТР».
Описание систем и сетей и их характеристика как объектов защиты
Исходными данными для оценки угроз безопасности информации являются:
Общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России, модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;
2
Описания векторов компьютерных атак, содержащиеся в базах данных
и иных источниках, опубликованных в сети «Интернет» (CAPEC, ATT&CK,
OWASP, STIX, WASC и др.);
Техническое задание на создание систем и сетей, частное техническое
задание на создание системы защиты, программная (конструкторская) и
эксплуатационная документация, содержащая сведения о назначении и
функциях, составе и архитектуре систем и сетей, о группах пользователей, уровне их полномочий и типах доступа, о внешних и внутренних интерфейсах, а также иные документы на системы и сети, разработка которых
предусмотрена требованиями по защите информации.
Нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и функционирует система предприятия:
Федеральный закон от 27 июля 2006 г. N 149-ФЗ;
Федеральный закон от 9.02.2009 г. № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»;
Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
Постановление Правительства РФ от 28.11.2011 № 977 «О федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационнотехнологическое взаимодействие информационных систем.
3
Рисунок 1 – Оценка угроз
Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
|
№ |
|
|
Виды риска |
|
|
Возможные типовые |
|
|
|
|
|
|
|
|||
|
|
|
|
|
негативные последствия |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• |
Угроза жизни или |
|
|
|
|
|
|
|
|
здоровью. |
|
|
У1 |
|
Ущерб физическому |
• |
Унижение достоинства |
|||
|
|
лицу |
|
личности. |
||||
|
|
|
|
|
||||
|
|
|
|
|
|
• |
Нарушение свободы, |
|
|
|
|
|
|
|
|
личной |
|
|
|
|
|
|
|
|
неприкосновенности. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4 |
|
|
|
|
• |
Нарушение |
|
|
|
неприкосновенности |
|
|
|
частной жизни. |
|
|
• |
Нарушение личной, |
|
|
|
семейной тайны, утрата |
|
|
|
чести и доброго имени. |
|
|
• |
Нарушение тайны |
|
|
|
переписки, телефонных |
|
|
|
переговоров, иных |
|
|
|
сообщений. |
|
|
• |
Нарушение иных прав и |
|
|
|
свобод гражданина, |
|
|
|
закрепленных |
|
|
|
в Конституции Российской |
|
|
|
Федерации и федеральных |
|
|
|
законах. |
|
|
• |
Финансовый, иной |
|
|
|
материальный ущерб |
|
|
|
физическому лицу. |
|
|
• |
Нарушение |
|
|
|
конфиденциальности |
|
|
|
(утечка) персональных |
|
|
|
данных. |
|
|
• |
"Травля" гражданина в |
|
|
|
сети "Интернет". |
|
|
• |
Разглашение |
|
|
|
персональных данных |
|
|
|
граждан |
|
|
|
|
|
Риски юридическому |
• |
Потеря (хищение) |
|
лицу, |
|
денежных средств. |
|
индивидуальному |
• |
Нарушение штатного |
У2 |
предпринимателю, |
|
режима |
|
связанные с |
|
функционирования |
|
хозяйственной |
|
автоматизированной |
|
деятельностью |
|
системы управления и |
|
|
|
|
|
|
5 |
|
управляемого объекта и/или процесса.
• Невозможность заключения договоров, соглашений.
• Причинение имущественного ущерба.
• Утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.)
Таблица 1 – Виды рисков (ущерба) и типовые негативные последствия от реализации угроз безопасности информации
Возможные объекты воздействия угроз безопасности информации
Негативные |
Объекты |
Виды воздействия |
последствия |
воздействия |
|
|
|
|
Хищение |
Банк-клиент |
Несанкционированная |
денежных средств |
|
подмена данных, |
со счета |
|
содержащихся в |
организации (У2) |
|
реквизитах |
|
|
платежного |
|
|
поручения |
|
|
|
|
АРМ |
Подмена данных, |
|
главного |
содержащих |
|
бухгалтера |
реквизиты платежных |
|
|
поручений и другой |
|
|
платежной |
|
|
информации на АРМ |
|
|
главного бухгалтера |
|
|
|
Таблица 2 – Примеры определения объектов воздействия и видов воздействия на них
Источники угроз безопасности информации
|
№ |
|
|
Виды |
|
|
Категории |
|
|
Возможные цели |
|
|
|
|
|
|
|
|
|
||||
|
вида |
|
|
нарушителя |
|
|
нарушителя |
|
|
реализации угроз |
|
|
|
|
|
|
|
|
|
|
|
безопасности |
|
|
|
|
|
|
|
|
|
|
|
информации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
6 |
|
|
1 |
Отдельные |
Внешний |
Получение |
|
физические |
|
финансовой или иной |
|
лица (хакеры) |
|
материальной выгоды. |
|
|
|
Любопытство или |
|
|
|
желание |
|
|
|
самореализации. |
|
|
|
|
2 |
Конкурирующие |
Внешний |
Получение |
|
организации |
|
конкурентных |
|
|
|
преимуществ. |
|
|
|
Получение |
|
|
|
финансовой или иной |
|
|
|
материальной выгоды. |
|
|
|
|
3 |
Разработчики |
Внутренний |
Получение |
|
|
|
финансовой или иной |
|
|
|
материальной выгоды. |
|
|
|
Непреднамеренные |
|
|
|
или |
|
|
|
неквалифицированные |
|
|
|
действия. |
|
|
|
|
4 |
Системные |
Внутренний |
Получение |
|
администраторы |
|
финансовой или иной |
|
и |
|
материальной выгоды. |
|
администраторы |
|
Непреднамеренные |
|
безопасности |
|
или |
|
|
|
неквалифицированные |
|
|
|
действия. |
|
|
|
Любопытство или |
|
|
|
желание |
|
|
|
самореализации. |
|
|
|
|
5 |
Преступные |
Внешний |
Получение |
|
группы |
|
финансовой или иной |
|
|
|
материальной выгоды. |
|
|
|
Желание |
|
|
|
самореализации. |
|
|
|
|
Таблица 3 – Возможные цели реализации угроз безопасности информации нарушителями
|
Виды |
|
|
Возможные цели реализации угроз безопасности |
|
|
|
|
|
|
|
||
|
нарушителей |
|
|
информации |
|
|
|
|
|
|
|
|
|
|
|
|
7 |
|
|
|
|
Нанесение ущерба |
Нанесение |
Нанесение ущерба |
во |
|
физическому лицу |
ущерба |
государству |
|
|
|
юридическому |
|
|
|
|
лицу |
|
|
|
|
|
|
|
Преступные |
+ |
+ |
+ |
У1 |
группы |
(получение |
(получение |
(желание |
ко |
|
финансовой выгоды за |
финансовой |
самореализоваться) |
пе |
|
счет кражи и продажи |
выгоды за |
|
гр |
|
персональных данных |
счет кражи и |
|
ре |
|
граждан) |
коммерческой |
|
У3 |
|
|
тайны) |
|
не |
|
|
|
|
ин |
|
|
|
|
|
Отдельные |
+ |
+ |
– |
У1 |
физические лица |
(желание |
(получение |
|
до |
|
самореализоваться) |
финансовой |
|
У2 |
|
|
выгоды за |
|
|
|
|
счет кражи и |
|
|
|
|
коммерческой |
|
|
|
|
тайны) |
|
|
|
|
|
|
|
Конкурирующие |
– |
– |
– |
|
организации |
|
|
|
|
|
|
|
|
|
Разработчики |
– |
+ |
+ |
У2 |
|
|
(получение |
(внедрение |
ко |
|
|
прибыли за |
дополнительных |
У3 |
|
|
сбыт |
возможностей в |
фу |
|
|
информации о |
программы на |
го |
|
|
юридическом |
этапе разработки |
ор |
|
|
лице третьим |
при вступлении в |
де |
|
|
лицам) |
сговор с |
го |
|
|
|
иностранными |
|
|
|
|
государствами) |
|
|
|
|
|
|
Поставщики |
– |
– |
– |
|
программно- |
|
|
|
|
аппаратных |
|
|
|
|
средств |
|
|
|
|
|
|
|
|
|
Поставщики |
– |
– |
– |
|
вычислительных |
|
|
|
|
услуг, услуг связи |
|
|
|
|
|
|
|
|
|
Лица для |
– |
– |
– |
|
установки, |
|
|
|
|
|
|
|
|
|
|
8 |
|
|
|
настройки, |
|
|
|
|
испытаний, |
|
|
|
|
пусконаладочных |
|
|
|
|
работ |
|
|
|
|
|
|
|
|
|
Лица, |
– |
– |
– |
|
обеспечивающие |
|
|
|
|
функционирование |
|
|
|
|
систем и сетей |
|
|
|
|
|
|
|
|
|
Авторизованные |
+ (непреднамеренные, |
– |
– |
У1 |
пользователи |
или |
|
|
ущ |
систем и сетей |
неквалифицированные |
|
|
ли |
|
действия) |
|
|
|
|
|
|
|
|
Системные |
+ |
– |
– |
У1 |
администраторы и |
(месть за ранее |
|
|
ущ |
администраторы |
совершенные |
|
|
|
безопасности |
действия) |
|
|
|
|
|
|
|
|
Бывшие |
– |
– |
– |
|
(уволенные) |
|
|
|
|
работники |
|
|
|
|
(пользователи) |
|
|
|
|
|
|
|
|
|
Таблица 4 – Пример оценки целей реализации нарушителями угроз безопасности информации в зависимости от возможных негативных последствий и видов ущерба от их реализации
|
№ |
|
|
Уровень |
|
|
Возможности нарушителей по |
|
|
Виды |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
возможностей |
|
|
реализации угроз |
|
|
нарушителей |
|
|
|
|
|
нарушителей |
|
|
безопасности информации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Н1 |
Нарушитель, |
|
Имеют возможность |
|
Физическое |
|||||
|
|
|
обладающий |
|
реализовывать только |
|
лицо (хакер) |
||||
|
|
|
базовыми |
|
известные угрозы, |
|
|
|
|||
|
|
|
возможностями |
|
направленные на известные |
|
|
|
|||
|
|
|
|
|
|
|
(документированные) |
|
|
|
|
|
|
|
|
|
|
|
уязвимости, с использованием |
|
|
|
|
|
|
|
|
|
|
|
общедоступных инструментов |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
Н2 |
Нарушитель, |
|
Имеют возможность |
|
Системные |
|||||
|
|
|
обладающий |
|
реализовывать угрозы, |
|
администраторы |
||||
|
|
|
базовыми |
|
направленные на неизвестные |
|
и |
||||
|
|
|
повышенными |
|
(недокументированные) |
|
администраторы |
||||
|
|
|
возможностями |
|
уязвимости, с использованием |
|
безопасности |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
9 |
|
|
|
|
|
|
|
специально созданных для |
|
|
|
этого инструментов, свободно |
|
|
|
распространяемых в сети |
|
|
|
«Интернет». Не имеют |
|
|
|
возможностей реализации |
|
|
|
угроз на физически |
|
|
|
изолированные сегменты |
|
|
|
систем и сетей. |
|
|
|
|
|
Н3 |
Нарушитель, |
Имеют возможность |
Разработчики |
|
обладающий |
реализовывать угрозы, в том |
программ |
|
средними |
числе на выявленные ими |
|
|
возможностями |
неизвестные уязвимости, с |
|
|
|
использованием |
|
|
|
самостоятельно |
|
|
|
разработанных для этого |
|
|
|
инструментов. Не имеют |
|
|
|
возможностей реализации |
|
|
|
угроз на физически |
|
|
|
изолированные сегменты |
|
|
|
систем и сетей. |
|
|
|
|
|
Таблица 5 – Уровни возможностей нарушителей по реализации угроз безопасности информации
Виды риска |
Виды |
Категория |
Уровень |
|
(ущерба) и |
актуального |
нарушителя |
возможностей |
|
возможные |
нарушителя |
|
нарушителя |
|
негативные |
|
|
|
|
последствия |
|
|
|
|
|
|
|
|
|
У2: утечка |
Преступные |
Внешний |
Н3 |
|
различного |
группы |
|
|
|
рода |
|
|
|
|
Отдельные |
Внешний |
Н2 |
||
информации; |
||||
физические |
Внутренний |
|
||
нарушение |
|
|||
лица (хакеры) |
|
|
||
репутации |
|
|
||
|
|
|
||
|
Разработчики |
Внутренний |
Н3 |
|
|
|
|
|
|
|
Системные |
Внутренний |
Н2 |
|
|
администраторы |
|
|
|
|
и |
|
|
|
|
администраторы |
|
|
|
|
безопасности |
|
|
|
|
|
|
|
|
|
|
10 |
|