- •Санкт-петербургский государственный электротехнический университет
- •Кафедра информационной безопасности
- •По практической работе № 14
- •Оценка структуры факторов риска по методологии фстек
- •Оценка структуры факторов риска в соответствии с методикой с.В. Вихорева
- •Рассмотрим комплекс составленных по РискМенеджер - Анализ v3.5.Контрмер:
- •Выбор комплекса контрмер
МИНОБРНАУКИ РОССИИ
Санкт-петербургский государственный электротехнический университет
«ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА)
Кафедра информационной безопасности
ОТЧЕТ
По практической работе № 14
по дисциплине «Основы информационной безопасности» Тема: «Оценка структуры факторов риска»
-
Студент гр.
.
Преподаватель
Санкт-Петербург 2023
Постановка задачи
Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
Цель работы: провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы;
Отчёт выполняется с расчетом профиля риска в РискМенеджер - Анализ v3.5. и по методике Вихорева, результаты сравнить
Оценка структуры факторов риска по методологии фстек
С помощью методики ФСТЕК построим структуру видов ущерба,
относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Негативные последствия приведены в таблице 1, представленной ниже
Таблица 1 – Виды рисков и негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
У1 |
Ущерб физическому лицу |
Нарушение конфиденциальности. |
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. |
||
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
Нарушение законодательства Российской Федерации. |
Нарушение штатного режима функционирования автоматизированной системы |
||
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. |
||
Невозможность решения задач или снижение эффективности решения задач |
||
Публикация недостоверной информации на веб-ресурсах организации. |
В таблице 2 приведены объекты воздействия в соответствии с негативными последствиями из первой таблицы.
Таблица 2 – Возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Нарушение конфиденциальности. |
База аутентификационных данных |
Утечка аутентификационных данных пользователей из БД |
АРМ используемые в организации |
Утечка учетной информации, вводимой пользователями при использовании АРМ |
|
Проводные и беспроводные каналы передачи данных. |
Перехват информации, содержащей учетные данные пользователей, передаваемой по каналам |
|
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. |
Файловый сервер |
Утечка материалов ЭСТ, защищаемых авторским правом |
АРМ организации |
Утечка материалов ЭСТ, защищаемых авторским правом |
|
Нарушение законодательства РФ, необходимость дополнительных затрат на выплаты штрафов (У2) |
База аутентификационных данных |
Утечка аутентификационных данных пользователей, защищаемых законом «О персональных данных» (предусмотрены штрафы) |
Файловый сервер |
Утечка материалов ЭСТ, защищаемых законом «Об авторском праве и смежных правах» (предусмотрены штрафы) |
|
Нарушение штатного режима функционирования автоматизированной системы, невозможность решения задач или снижение эффективности решения задач (У2) |
ПО для администрирования |
Несанкционированный доступ, нарушение функционирования программно- аппаратных средств-администрирования ЭСТ |
АРМ организации
|
Нарушение функционирования АРМ |
|
Файловый сервер |
Нарушение функционирования ЭСТ (удаление информации, необходимой для решения задач ЭСТ) |
Публикация недостоверной информации на веб- ресурсах организации |
Файловый сервер, СУБД |
Несанкционированная модификация, подмена, искажение информации |
Категории
и уровни возможных нарушителей
представлены в 3 таблице, в
которую
сведены данные
для
определения видов
риска.
Таблица 3 – Актуальные нарушители
№ |
Виды риска (ущерба) и возможные негативные последствия |
Виды актуального нарушителя |
Категория нарушителя |
Уровень возможностей нарушителя |
1 |
У1: нарушение конфиденциальности (утечка) персональных данных; нарушение иных прав и свобод гражданина, закрепленных в Конституции РФ и федеральных законах |
Хакеры |
Внешний |
Н2 (базовые повышенные возможности) |
Конкурирующие организации |
Внешний |
Н2 (базовые повышенные возможности) |
||
Администраторы ЭСТ |
Внутренний |
Н2 (базовые повышенные возможности) |
||
Авторизованные пользователи ЭСТ |
Внутренний |
Н1 (базовые возможности) |
||
2 |
У2: нарушение законодательства РФ; необходимость дополнительных затрат на выплаты штрафов; |
Хакеры |
Внешний |
Н2 (базовые повышенные возможности) |
Конкурирующие организации |
Внешний |
Н2 (базовые повышенные возможности) |
|
нарушение штатного режима функционирования автоматизированной системы; невозможность решения задач или снижение эффективности решения задач; публикация недостоверной информации на веб-ресурсах организации |
Администраторы ЭСТ |
Внутренний |
Н2 (базовые повышенные возможности) |
Авторизованные пользователи ЭСТ |
Внутренний |
Н1 (базовые возможности) |
Потенциальные источники угроз и возможные цели реализации угроз приведены в таблице ниже
№ |
Виды актуального нарушителя |
Категории нарушителя |
Возможные цели реализации безопасности информации |
угроз |
1 |
Хакеры |
Внешний |
Получение финансовой или материальной выгоды |
иной |
2 |
Конкурирующие организации |
Внешний |
Получение материальной выгоды |
|
3 |
Администраторы ЭСТ |
Внутренний |
Получение финансовой или материальной выгоды |
иной |
Непреднамеренные, неосторожные неквалифицированные действия |
или |
|||
4 |
Авторизованные пользователи ЭСТ |
Внутренний |
Получение финансовой или материальной выгоды |
|
Любопытство или желание самореализации |
||||
Месть за ранее совершенные действия |
||||
Непреднамеренные, неосторожные неквалифицированные действия |
или |
|||
Методы реализации негативного воздействия для указаных видов нарушителей представлены в таблице 5.
Таблица 5 – Актуальные способы реализации угроз и соответствующие виды нарушителей
Вид нарушителя, категория |
Объекты воздействия |
Доступные интерфейсы |
Способы реализации |
Хакеры и конкуренты (H2), внешний |
База аутентификационных данных: утечка аутентификационных данных пользователей из |
Пользовательский веб-интерфейс сайта библиотеки НГУ |
Использование уязвимостей, инъекций |
|
БД |
|
|
|
Файловый сервер: утечка материалов ЭСТ, защищаемых авторским правом; нарушение функционирования ЭСТ (удаление информации, необходимой для решения задач ЭСТ); несанкционированная модификация, подмена, искажение информации |
Пользовательский интерфейс доступа к файловому серверу ЭСТ |
Использование уязвимостей ПО, предназначенного для доступа пользователей к ресурсам файлового сервера |
Администартор |
АРМ организации : утечка |
ПО для |
Ошибочные действия |
|
аутентификационной |
системы (системные |
администрирования |
|
информации, вводимой |
и сетевые утилиты) |
Внедрение |
|
пользователями при |
|
вредоносного ПО через |
|
использовании АРМ; утечке |
|
средства |
|
электронных материалов |
|
установки/обновления |
|
ЭСТ; нарушение |
|
ПО |
|
функционирования АРМ |
|
|
Пользователь (H1), внутренний |
АРМ организации |
АРМ организации |
Ошибочные действия при пользовании АРМ |