МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ОТЧЕТ по Основам информационной безопасности
Практическая работа №14 Тема: «Оценка структуры факторов риска»
Студент гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
2.Цель работы: провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы;
3.Отчёт выполняется с расчетом профиля риска в РискМенеджер - Анализ v3.5. и по методике Вихорева, результаты сравнить
1. Оценка структуры факторов риска по методологии ФСТЭК
По методике ФСТЭК выстроим структуру видов ущерба, относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Негативные последствия приведены в таблице 1, представленной ниже
Таблица 1 – Виды рисков и негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
|
|
|
У1 |
Ущерб физическому лицу |
Нарушение конфиденциальности. |
|
|
|
|
|
Финансовый ущерб физическому лицу. |
|
|
|
|
|
Нарушение иных прав и свобод гражданина, |
|
|
закрепленных в Конституции Российской |
|
|
Федерации и федеральных законах. |
|
|
|
У2 |
Риски юридическому лицу, |
Нарушение законодательства Российской |
|
индивидуальному предпринимателю, |
Федерации. |
|
связанные с хозяйственной |
|
|
Недополучение ожидаемой |
|
|
деятельностью |
|
|
|
(прогнозируемой) прибыли. |
|
|
|
|
|
Необходимость дополнительных |
|
|
(незапланированных) затрат на выплаты |
|
|
штрафов (неустоек) или компенсаций. |
|
|
|
|
|
Необходимость дополнительных |
|
|
(незапланированных) затрат на закупку |
|
|
товаров, работ или услуг (в том числе |
|
|
закупка программного обеспечения, |
|
|
технических средств, вышедших из строя, |
|
|
замена, настройка, ремонт указанных |
|
|
средств). |
|
|
|
|
|
Срыв запланированной сделки с партнером. |
|
|
|
В таблице 2 приведены объекты воздействия в соответствии с негативными последствиями из первой таблицы.
Таблица 2 – Возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
|
|
|
|
|
Нарушение конфиденциальности. |
БД |
Утечка аутентификационных |
|
|
данных пользователей из БД |
||
|
|
||
|
|
|
|
|
Беспроводные каналы |
Кража/подмена данных |
|
|
связи |
предприятия. |
|
|
|
||
|
|
|
|
Финансовый ущерб |
БД, каналы связи |
Утеря данных о проекте. |
|
физическому лицу. |
|
|
|
|
|
|
|
Нарушение иных прав и свобод |
БД, Рабочие места |
Раскрытие данных об |
|
гражданина, закрепленных в |
сотрудников, системного |
авторских проектах, кража |
|
объектов интеллектуальной |
|||
|
|
||
Конституции Российской |
администратора |
собственности. |
|
Федерации и федеральных законах. |
|
|
|
|
|
|
|
Недополучение ожидаемой |
Сайт, веб-сервер, БД, |
DDoS-атаки на сервер, |
|
(прогнозируемой) прибыли. |
рабочие места сотрудников. |
||
|
временная |
||
|
|
неработоспособность |
|
|
|
сервера, утеря данных о |
|
Необходимость дополнительных |
|
проектах, ошибки |
|
(незапланированных) затрат на |
|
сотрудников. |
|
|
|
||
выплаты штрафов (неустоек) или |
|
|
|
компенсаций. |
|
|
|
|
|
|
|
Проникновение в корпоративную |
Сотрудники, электронная |
Фишиговые ссылки, |
|
сеть неавторизованного |
почта. |
подброшенные носители с |
|
|
вредоносным ПО. |
||
пользователя. |
|
||
|
|
||
|
|
|
Категории и уровни возможных нарушителей представлены в 3 таблице, в которую сведены данные для определения видов риска.
|
|
Таблица 3 – Актуальные нарушители |
|
|
|
|
|
Виды риска/ущерба и |
|
Виды и категория нарушителя |
Уровень возможностей |
возможные негативные |
|
|
|
последствия |
|
|
|
|
|
|
|
Нарушение |
|
Хакеры, внешний |
H1 |
конфиденциальности. |
|
|
|
|
|
|
|
Финансовый |
ущерб |
Сисадмин, внутренний |
H2 |
физическому лицу. |
|
|
|
|
|
|
|
|
|
|
|
Сотрудники, внутренний |
H1 |
|
|
||||
|
Нарушение иных прав и |
|
|
|
|
|
|
|
|
|
|
|
свобод гражданина, |
|
|
|
|
|
|
|
|
|
|
|
закрепленных в Конституции |
|
|
|
|
|
|
|
|
|
|
|
Российской Федерации и |
|
|
|
|
|
|
|
|
|
|
|
федеральных законах. |
|
Дополнительный персонал, |
H1 |
|
|
|||||
|
|
внутренний |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|||
|
Нарушение законодательства |
|
|
|
|
|
|
|
|
|
|
|
Российской Федерации. |
|
|
|
|
|
|
|
|
|
|
|
Недополучение ожидаемой |
|
|
|
|
|
|
|
|
|
|
|
(прогнозируемой) прибыли. |
|
|
|
|
|
|
|
|
|
|
|
Необходимость |
|
|
|
|
|
|
|
|
|
|
|
дополнительных |
|
|
|
|
|
|
|
|
|
|
|
Конкуренты, внешний |
|
H2 |
|
|
||||||
|
|
|
|
|
|
|
|||||
|
(незапланированных) затрат |
|
|
|
|
|
|
|
|
|
|
|
на выплаты штрафов |
|
|
|
|
|
|
|
|
|
|
|
(неустоек) или компенсаций. |
|
|
|
|
|
|
|
|
|
|
|
Необходимость |
|
|
|
|
|
|
|
|
||
|
Поставщики услуг связи, внешний |
H2 |
|
|
|||||||
|
дополнительных |
|
|
|
|
|
|
|
|
|
|
|
(незапланированных) затрат |
|
|
|
|
|
|
|
|
|
|
|
на закупку товаров, работ или |
|
|
|
|
|
|
|
|
|
|
|
услуг (в том числе закупка |
|
|
|
|
|
|
|
|
|
|
|
программного обеспечения, |
|
|
|
|
|
|
|
|
|
|
|
технических средств, |
|
|
|
|
|
|
|
|
|
|
|
вышедших из строя, замена, |
|
|
|
|
|
|
|
|
|
|
|
настройка, ремонт указанных |
|
|
|
|
|
|
|
|
|
|
|
средств). |
|
|
|
|
|
|
|
|
|
|
|
Срыв запланированной |
|
|
|
|
|
|
|
|
|
|
|
сделки с партнером. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
нарушение штатного режима |
|
|
Администраторы |
|
Внутренний |
|
Н2 |
(базовые |
|
|
|
функционирования |
|
ЭБС |
|
|
|
повышенные |
|
||
|
|
автоматизированной системы; |
|
|
|
|
|
возможности) |
|
||
|
|
невозможность решения задач |
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
или снижение эффективности |
Авторизованные |
Внутренний |
Н1 |
(базовые |
|
|
решения задач; |
|
пользователи ЭБС |
|
возможности) |
|
|
публикация |
недостоверной |
|
|
|
|
|
информации на веб-ресурсах |
|
|
|
|
|
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
Потенциальные источники угроз и возможные цели реализации угроз приведены в таблице ниже:
Таблица 4 – Виды нарушитилей и возможные цели реализации угроз
Вид нарушителя |
Категория нарушителя |
Возможные цели реализации угроз |
|
|
|
Конкуренты |
Внешний |
Снижение конкурентоспособности |
|
|
организации. |
|
|
|
Сотрудники |
Внутренний |
Непреднамеренные действия, тормозящие |
|
|
работу организации. |
|
|
|
|
|
Преднамеренные действия с целью |
|
|
получения выгоды/реализации |
|
|
собственных интересов. |
|
|
|
Хакеры |
Внешний |
Любопытство. Тренировка. Получение |
|
|
выгоды. |
|
|
|
Поставщики услуг |
Внешний |
Материальная выгода |
связи |
|
|
|
|
|
Методы реализации негативного воздействия для указаных видов нарушителей представлены в таблице 5.
Таблица 5 – Актуальные способы реализации угроз и соответствующие виды нарушителей
Вид нарушителя, |
Объекты |
Доступные интерфейсы |
Способы реализации |
категория |
воздействия |
|
|
|
|
|
|
Хакеры (H2), |
CУБД, |
Веб-сайт компании, |
Использование |
внешний |
сотрудники |
электронная почта, территория |
уязвимостей, инъекций, |
|
|
предприятия. |
социальной инженерии. |
Конкуренты |
|
|
|
(H2), внешний |
|
|
|
|
|
|
|
Поставщики |
Рабочие |
ПАК предприятия |
Целенаправленный |
услуг связи (H2), |
места |
|
перехват информации, отказ |
сотрудников, |
|
от обслуживания. |
|
внешний |
|
||
веб-сервер |
|
|
|
|
|
|
|
|
|
|
|