МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ОТЧЕТ по Основам информационной безопасности
Практическая работа №14 Тема: «Оценка структуры факторов риска»
Студент гр.
Преподаватель
Санкт-Петербург
2023
ВВЕДЕНИЕ
Цель работы: провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы.
Задача: Изучить виды работ по классификации инцидентов информационной безопасности в организации ПАО «ТГК-1».
Предприятие: Филиал «Карельский» ПАО «ТГК-1» (ПАО Территориальная Генерирующая Компания 1).
ОСНОВНАЯ ЧАСТЬ
На основе методике ФСТЭК построим структуру видов ущерба, относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Виды рисков и возможные негативные последствия представлены в таблице 1.
№ |
Виды риска (ущерба) |
|
Возможные негативные последствия |
У1 |
Ущерб физическому лицу. |
1. |
Нарушение конфиденциальности (утечка) |
|
|
персональных данных. |
|
|
|
2. |
Нарушение иных прав и свобод гражданина, |
|
|
закрепленных в Конституции РФ и |
|
|
|
федеральных законах. |
|
У2 |
Риски юридическому лицу, связанные 1. |
Нарушение законодательства РФ. |
|
|
с хозяйственной деятельностью. |
2. |
Необходимость дополнительных затрат на |
|
|
выплаты штрафов. |
|
3.Нарушение штатного режима функционирования автоматизированной системы.
4.Невозможность решения задач или снижение эффективности решения задач.
5.Публикация недостоверной информации на веб-ресурсах организации.
Таблица 1 – Негативные последствия от реализации угроз безопасности информации
Виды воздействия, которые могут привести к негативным последствиям, представлены в таблице 2.
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Нарушение |
Базы данных |
Утечка персональных данных |
конфиденциальности (утечка) |
|
из БД |
персональных данных |
|
|
АРМ, расположенные в офисе |
Кража персональных данных |
|
физических лиц (У1) |
организации |
с АРМ сотрудников. |
|
Проводные и беспроводные |
Перехват информации, |
|
каналы передачи данных |
содержащей персональные |
|
|
данные клиента организации. |
Нарушение законодательства |
База данных |
Утечка персональных и |
РФ, необходимость |
|
аутентификационных данных |
дополнительных затрат на |
|
пользователя, защищаемых |
выплаты штрафов (У2) |
|
законом «О пероснальных |
|
|
данных» |
|
Файловый сервер |
Утечка информации о |
|
|
взаимоотношениях |
|
|
организации и клиентов. |
Нарушение штатного режима |
ПО для администрирования |
Несанкционированный |
работы автоматизированной |
|
доступ, нарушение |
системы, невозможность |
|
функционирования |
решения задач или снижение |
|
программно-аппаратных |
эффективности решения задач |
|
средств администрирования |
(У2) |
|
CRM-Системы |
|
Сервера БД, файловый сервер |
Удаление или искажение |
|
|
информации. |
Таблица 2 – Объекты воздействия и виды негативного воздействия на них
Возможные цели реализации угроз безопасности информации, актуальные для определенных видов нарушителей представлены в таблице 3.
№ |
Виды актуального |
Категория |
Возможные |
цели |
реализации |
угроз |
|
нарушителя |
нарушителя |
безопасности информации |
|
||
1 |
Хакеры |
Внешний |
Получение финансовой или иной выгоды |
|
||
2 |
Конкурирующие |
Внешний |
Получение материальной выгоды |
|
||
|
организации |
|
|
|
|
|
3 |
Администраторы |
Внутренний |
Получение материальной выгоды |
|
||
|
системы |
|
Неквалифицированные действия |
|
||
4 |
Пользователи |
Внутренний |
Получение материальной выгоды |
|
||
|
|
|
Неквалифицированные действия |
|
||
|
|
|
Месть за ранее совершенные действия |
|
||
Таблица 3 – Возможные цели реализации угроз безопасности информации для нарушителей
Результат определения актуальных нарушителей при реализации угроз безопасности информации представлен в таблице 4.
№ |
Виды риска (ущерба) и |
Виды актуального |
Категория |
Уровень |
|
возможные негативные |
нарушителя |
нарушителя |
возможностей |
|
последствия |
|
|
нарушителя |
1 |
У1:нарушение |
Хакеры |
Внешний |
Н2 (базовые |
|
конфиденциальности (утечка) |
|
|
повышенные |
|
персональных данных; |
|
|
возможности) |
|
нарушение иных прав и свобод |
|
|
|
|
Конкурирующие |
Внешний |
Н2 (базовые |
|
|
гражданина, закрепленных в |
организации |
|
повышенные |
|
Конституции РФ и федеральных |
|
|
возможности) |
|
законах |
|
|
|
|
Администраторы |
Внутренний |
Н2 (базовые |
|
|
|
|||
|
|
системы |
|
повышенные |
|
|
|
|
возможности) |
|
|
Пользователи |
Внутренний |
Н2 (базовые |
|
|
|
|
повышенные |
|
|
|
|
возможности) |
2 |
У2: нарушение законодательства |
Хакеры |
Внешний |
Н2 (базовые |
|
РФ; необходимость |
|
|
повышенные |
|
дополнительных затрат на |
|
|
возможности) |
|
выплаты штрафов; нарушение |
|
|
|
|
Конкурирующие |
Внешний |
Н2 (базовые |
|
|
штатного режима |
организации |
|
повышенные |
|
функционирования |
|
|
возможности) |
|
автоматизированной системы; |
Администраторы |
Внутренний |
Н2 (базовые |
|
невозможность решения задач |
системы |
|
повышенные |
|
или снижение эффективности |
|
|
возможности) |
|
решения задач; публикация |
|
|
|
Пользователи |
Внутренний |
Н2 (базовые |
||
|
недостоверной информации на |
|
|
повышенные |
|
веб-ресурсах организации |
|
|
возможности) |
Таблица 4 – Результат определения актуальных нарушителей при реализации угроз безопасности информации
Актуальные способы реализации угроз безопасности информации и соответствующие им виды нарушителей (и их возможности) представлены в таблице 5.
№ |
Вид |
Категория |
Объекты |
Доступные |
Способы |
|
нарушителя |
нарушителя |
воздействия |
интерфейсы |
реализации |
1 |
Хакеры, |
Внешний |
1. БД, |
Веб- |
Инъекции, почта, |
|
Конкурирующ |
|
2. Файловый |
интерфейс |
нестойкая |
|
ие |
|
сервер |
сайта |
криптография |
|
организации |
|
Утечка |
|
|
|
(Н2) |
|
персональных |
|
|
|
|
|
данных |
|
|
2 |
Администрато |
Внутренни |
1. АРМ, |
ПО для |
Ошибочные |
|
ры (Н2) |
й |
расположенные |
администриро |
действия при |
|
|
|
в офисе |
вания |
настройке ПО |
|
|
|
|
системы, |
для |
|
|
|
|
съемные |
администрирован |
|
|
|
|
носители |
ия Внедрение |
|
|
|
|
информации, |
вредоносного ПО |
|
|
|
|
коммутатор |
через средства |
|
|
|
|
|
установки/обнов |
|
|
|
|
|
ления ПО |
|
|
|
|
|
Внедрение |
|
|
|
|
|
вредоносного ПО |
|
|
|
|
|
через съемные |
|
|
|
|
|
носители |
|
|
|
|
|
информации |
3 |
Пользователи |
Внутренни |
1. АРМ, |
1. АРМ, |
1. Ошибочные |
|
(Н2) |
й |
расположенные |
расположенны |
действия при |
|
|
|
в офисе |
е в офисе |
пользовании |
|
|
|
|
2. Съемные |
АРМ |
|
|
|
|
носители |
2. Внедрение |
|
|
|
|
информации |
вредоносного ПО |
|
|
|
|
3. Коммутатор |
через съемные |
|
|
|
|
|
носители |
|
|
|
|
|
информации |
|
|
|
|
|
3. Подключение |
|
|
|
|
|
стороннего |
|
|
|
|
|
устройства к |
|
|
|
|
|
порту |
|
|
|
|
|
коммутатора и |
использование утилит для перехвата передаваемой в сети информации
Таблица 5 – Актуальные способы реализации угроз безопасности информации и соответствующие им виды нарушителей
Мероприятия по обеспечению безопасности можно реализовать с помощью следующих комплексов мер:
•КМ 1
•КМ 2
Данные комплексы предполагают устранение одних и тех же угроз, следовательно, необходим анализ каждого комплекса для выявления наиболее выгодного для реализации комплекса.
Комплексы мер по модели
КМ 1
КМ 2
Модель: Филиал «Карельский» ПАО «Тгк-1»
Комплекс мер: КМ по внедрению политики безопасности
|
|
Потенциал снижения риска: 200,00 |
Экспертная оценка стоимости: 250,00 |
Расчетная стоимость: 600,00 |
Экспертно-расчетная оценка стоимости: |
|
300,00 |
Мера: М.09. Планирование бесперебойной работы организации
Регион: Карелия
ЛС: Петрозаводская ТЭЦ
ПС: По ЛС в целом
|
|
|
|
Объект: АИС |
|
|
|
Потенциал |
Расчетная |
Экспертная оценка |
Код |
снижения риска: |
стоимость: 0,00 |
стоимости: 0,00 |
упорядочивания: |
40,00 |
|
|
|
Мера: М.03.02. Классификация информации по уровням секретности |
|||
Регион: Карелия |
|
|
|
ЛС: Петрозаводская ТЭЦ |
|
|
|
ПС: По ЛС в целом |
|
|
|
Объект: АИС |
|
|
|
Потенциал |
Расчетная |
Экспертная оценка |
Код |
снижения риска: |
стоимость: 70,00 |
стоимости: 0,00 |
упорядочивания: |
20,00 |
|
|
|
Мера: М.03.01. Обеспечение ответственности за информационные ресурсы |
|||
Регион: Карелия |
|
|
|
ЛС: Петрозаводская ТЭЦ |
|
|
|
ПС: По ЛС в целом |
|
|
|
Объект: АИС |
|
|
|
Потенциал |
Расчетная |
Экспертная оценка Код |
|
снижения риска: |
стоимость: 80,00 |
стоимости: 70,00 |
упорядочивания: 2 |
60,00 |
|
|
|
Мера: М.02.01 Создание инфраструктуры управления информационной безопасностью
Регион: Карелия
ЛС: Петрозаводская ТЭЦ
ПС: По ЛС в целом
|
|
|
|
|
Объект: АИС |
|
|
|
|
Потенциал |
Расчетная |
|
Экспертная оценка |
Код |
снижения риска: |
стоимость: 200,00 |
|
стоимости: 0,00 |
упорядочивания: |
20,00 |
|
|
|
|
Мера: М.01.01. Разработка, внедрение и поддержка политики безопасности |
||||
Регион: Карелия |
|
|
|
|
ЛС: Петрозаводская ТЭЦ |
|
|
|
|
ПС: По ЛС в целом |
|
|
|
|
Объект: АИС |
|
|
|
|
Потенциал |
Расчетная |
|
Экспертная оценка |
Код |
снижения риска: |
стоимость: 250,00 |
|
стоимости: 230,00 |
упорядочивания: 1 |
20,00 |
|
|
|
|
Комплекс мер: КМ по развитию инфраструктуры управления ИБ |
||||
Потенциал снижения риска: 100,00 |
Экспертная оценка стоимости: 300,00 |
|||
Расчетная стоимость: 450,00 |
Экспертно-расчетная оценка стоимости: |
|||
|
|
230,00 |
|
|
Мера: М.02.01 Создание инфраструктуры управления информационной безопасностью
Регион: Карелия
ЛС: Группа ГЭС
ПС: По ЛС в целом
|
|
|
|
Объект: АИС |
|
|
|
Потенциал |
Расчетная |
Экспертная оценка |
Код |
снижения риска: |
стоимость: 200,00 |
стоимости: 120,00 |
упорядочивания: 1 |
70,00 |
|
|
|
Мера: М.01.01. Разработка, внедрение и поддержка политики безопасности |
|||
Регион: Карелия |
|
|
|
ЛС: Группа ГЭС |
|
|
|
ПС: По ЛС в целом |
|
|
|
Объект: АИС |
|
|
|
Потенциал |
Расчетная |
Экспертная оценка |
Код |
снижения риска: |
стоимость: 250,00 |
стоимости: 110,00 |
упорядочивания: 2 |
30,00 |
|
|
|
Согласно графикам комплекс мер 1 находится в приоритете для реализации, поскольку позволяет снизить риски больше, чем комплекс мер 2.
Рассмотрим уровень остаточного риска.
Рисунок 1 — Сравнение оценок остаточного риска по КМ
Вывод
В ходе работы были рассмотрены виды ущерба, присущие филиалу «Карельский» ПАО «Тгк-1». С помощью ПО Риск-Менеджер Анализ v3.5 были сформированы комплексы мер по снижению рисков. Был выбран КМ1, поскольку он выглядит приоритетней для реализации по сравнению с КМ1 из-за результатов применения и стоимости реализации. КМ 1 снижает риски до приемлемого уровня.