- •Санкт-петербургский государственный
- •Кафедра информационной безопасности
- •Тема: «Оценка структуры факторов риска»
- •Оценка структуры факторов риска по методологии фстэк
- •Оценка структуры факторов риска в соответствии с методикой с.В. Вихорева
- •Оценка структуры факторов риска в РискМенеджер-Анализ v3.5
- •Выбор комплекса мер защиты в по РискМенеджер-Анализ v3.5
Оценка структуры факторов риска в соответствии с методикой с.В. Вихорева
В таблице 6 представлен перечень актуальных угроз безопасности
Таблица 6 – перечень актуальных угроз ИБ
k |
Угрозы ИБ |
(КА)k |
1 |
Хищение (копирование) информации и средств ее обработки |
0,16 |
2 |
Модификация (искажение) информации |
0,19 |
3 |
Уничтожение информации и средств ее обработки |
0,15 |
В 7 таблице обозначен актуальный список источников угроз и их коэффициент опасности.
Таблица 7 – перечень актуальных источников угроз ИБ
Код (i) |
Источники угроз информационной безопасности |
(k1)i |
(k2)i |
(k3)i |
(Коп)i |
[I.A.3] |
недобросовестные партнеры |
2 |
4 |
4 |
0,07 |
[I.A.4] |
технический персонал поставщиков телематических услуг |
4 |
3 |
3 |
0,08 |
[I.A.5] |
представители надзорных организаций и аварийных служб |
4 |
4 |
3 |
0,11 |
[I.A.6] |
представители силовых структур |
5 |
4 |
1 |
0,04 |
[I.B.1] |
основной персонал (пользователи, программисты, разработчики) |
5 |
5 |
3 |
0,16 |
[I.B.2] |
представители службы защиты информации (администраторы) |
5 |
5 |
3 |
0,16 |
[I.B.3] |
вспомогательный персонал (уборщики, охрана) |
3 |
2 |
1 |
0,01 |
[I.B.4] |
технический персонал (жизнеобеспечение, эксплуатация) |
3 |
2 |
1 |
0,01 |
В таблицу 8 сведен перечень актуальных уязвимостей.
Таблица 8 – Актуальные уязвимости
-
Код
Уязвимости
(k1)f
(k2)f
(k3)f
(Kоп)f
[A.II.a.4]
аппаратные закладки устанавливаемые в технических
средствах
4
3
4
0,23
[A.II.b.1]
вредоносные программы
5
4
3
0,29
[A.II.b.2]
технологические выходы из программ
3
5
3
0,21
[A.II.b.3]
нелегальные копии ПО
3
4
5
0,29
[B.I.a.4]
ошибки при вводе данных (информации)
3
4
5
0,38
[B.I.c.2]
ошибки при настройке программного обеспечения
5
5
4
0,64
[B.I.c.4]
ошибки при настройке технических средств
4
4
5
0,51
[C.I.a.1]
отказы ТС обрабатывающих информацию
4
4
4
0,45
[C.I.a.2]
отказы ТС обеспечивающих работоспособность
средств обработки
3
4
3
0,26
[C.I.c.1]
сбои операционных систем и СУБД
4
5
3
0,43
Возможные варианты реализации угроз представлены в таблице 9.
Таблица 9 – Варианты реализации угроз
-
Источники угроз
Методы реализации
Уязвимости
[I.B.2] - администраторы
[M3.B.02] - установка нештатного оборудования или ПО
[A.II.b.1] - вредоносные программы
[I.A.3] - недобросовестные партнеры
[M3.A.04] - маскировка под
авторизованного пользователя (маскарад)
[B.I.a.4] – ошибки при вводе данных
[I.A.3] - недобросовестные партнеры
[M3.A.01] - внедрение дезинформации
[B.I.a.4] – ошибки при вводе данных
[I.A.3] - недобросовестные партнеры
[M3.A.05] - модификация информации
(данных)
[B.I.a.4] – ошибки при вводе данных
[I.B.3] - вспомогательный персонал (уборщики,
охрана)
[M3.A.01] - Нарушение целостности и доступности путем введения ложной информации в базы данных и информационные ресурсы, перегрузки системных ресурсов, каналов связи
[B.I.a.4] – ошибки при вводе данных
[I.B.3] - вспомогательный персонал (уборщики,
охрана)
[M3.A.01] - Нарушение целостности и доступности путем введения ложной информации в базы данных и информационные ресурсы, перегрузки системных ресурсов, каналов связи
[B.I.с.2] – уничтожение данных