МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ОТЧЕТ по практической работе №14
по дисциплине «Основы информационной безопасности»
Тема: ОЦЕНКА СТРУКТУРЫ ФАКТОРОВ РИСКА
Студент гр.
Преподаватель
Санкт-Петербург
2023
Цель работы
Провести оценку отношений на множестве факторов риска, расчет
профиля риска и определить наиболее значимые факторы.
Модель: ЗАО "Тбилисский Сахарный Завод"
Регион: Тбилисская
ЛС: Организация в целом
ПС: Организация в целом
Объект: Организация с АИС
Объект: Ключевые серверы обработки информации
ЛС: Центральный офис
ПС: Сеть управления
Объект: Активное сетевое оборудование
Объект: Сервера БД
Объект: Сервера приложений
Объект: Терминальные сервера
ПС: Подсистема центрального доступа
Объект: Сервера удаленного доступа
Объект: Сервера аутентификации
ПС: Персональные компьютеры
Объект: Персональный компьютер
ЛС: ГВЦ
ПС: Базовые сервисы безопасности
Объект: Идентификация и аутентификация
Объект: Межсетевое экранирование
Объект: Шифрование
ПС: Система криптографической защиты
Объект: Криптосервер
Объект: АРМ Администратора безопасности
ПС: ПО системы криптозащиты
Объект: Криптоменеджер
Регион: Windows
ЛС: Риски аутентификации
ПС: Подключения к серверу Windows
Объект: Клиент Макинтош
Структурное описание оцениваемой системы
Виды рисков (ущерба), определенные в соответствии с руководящими документами ФСТЭК, и дальнейшие типовые негативные последствия, в последствии подвергающие компанию риску.
№ |
Виды риска (ущерба) |
Возможные типовые негативные |
|
|
последствия |
У2 |
Риски юридическому лицу, |
Потеря (хищение) денежных средств. Причинение |
|
индивидуальному |
имущественного ущерба. Утечка конфиденциальной |
|
предпринимателю, связанные с |
информации (коммерческой тайны, секретов |
|
хозяйственной деятельностью |
производства (ноу-хау) и др.) |
|
|
|
В дальнейшем были выделены наиболее актуальные негативные последствия, для которых определялись объекты и виды воздействия.
Негативные |
Объекты воздействия |
Виды воздействия |
последствия |
|
|
|
|
|
Хищение денежных |
АРМ главного бухгалтера |
Подмена данных, содержащих реквизиты |
средств со счета |
|
платежных поручений и другой платежной |
организации (У2) |
|
информации на АРМ главного бухгалтера |
|
|
|
В соответствии с предыдущей таблицей были выделены актуальные нарушители, их категории и уровни возможностей. Для этого были рассчитаны цели реализации угроз безопасности информации для предприятия АГУ соответствующие целям видов рисков (ущерба).
|
№ |
|
|
Виды |
|
Категории |
|
Возможные цели реализации угроз |
|
|||
|
вида |
|
|
нарушителя |
|
нарушителя |
|
безопасности информации |
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
|
Отдельные физические |
Внешний |
|
Получение |
финансовой |
или иной |
|
|||
|
|
|
лица (хакеры) |
|
|
|
|
материальной выгоды. |
|
|
||
|
|
|
|
|
|
|
|
|
Любопытство |
или |
желание |
|
|
|
|
|
|
|
|
|
|
самореализации (подтверждение статуса) |
|
||
|
2 |
|
Авторизованные |
|
Внутренний |
|
Получение финансовой или иной |
|
||||
|
|
|
пользователи систем и |
|
|
|
материальной выгоды. |
|
|
|||
|
|
|
сетей |
|
|
|
|
Непреднамеренные, неосторожные или |
|
|||
|
|
|
|
|
|
|
|
|
неквалифицированные действия |
|
||
|
|
|
|
|
|
|
||||||
Виды |
|
Возможные цели реализации угроз |
|
Соответствие |
||||||||
наруши |
|
|
безопасности информации |
|
целей видам |
|||||||
телей |
|
Нанесение |
Нанесение |
Нанесение ущерба государству |
риска |
|||||||
|
|
|
|
ущерба |
ущерба |
в области обеспечения обороны |
(ущерба) и |
|||||
|
|
|
|
физическому |
юридическому |
страны, безопасности |
возможным |
|||||
|
|
|
|
лицу |
лицу, |
государстваи правопорядка, а |
негативным |
|||||
|
|
|
|
|
индивидуа |
также в социальной, |
последствиям |
|||||
|
|
|
|
|
льному |
экономической, политической, |
|
|
||||
|
|
|
|
|
предприни |
экологической |
|
|
|
|||
|
|
|
|
|
мателю |
сферах деятельности |
|
|
||||
Отдельные |
- |
+ |
|
+ |
|
У2 |
||||||
физические |
|
Хищение средств |
|
Утечка конфиденциальной |
||||||||
|
|
|
|
|||||||||
|
лица |
|
|
|
|
|
|
информации |
|
|
||
|
(хакеры) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
Авторизов |
+ |
+ |
|
- |
|
У2 |
||||||
|
анные |
|
Непреднамеренн |
Хищение средств |
|
|
|
|
|
|
||
пользовате |
ые, |
|
|
|
|
|
|
|
|
|||
ли систем |
неосторожные |
|
|
|
|
|
|
|
|
|||
|
исетей |
|
или |
|
|
|
|
|
|
|
|
|
|
|
|
|
неквалифицирова |
|
|
|
|
|
|
|
|
|
|
|
|
нные действия |
|
|
|
|
|
|
|
|
Вдальнейшем были определены актуальные способы реализации угроз
исоответствующие им виды нарушителей, их категории и дальнейшие способы реализации угроз.
№ |
Вид |
Категория |
Объект воздействия |
Доступные |
Способы |
|
п/п |
нарушителя |
нарушителя |
|
|
интерфейсы |
реализации |
1 |
Отдельные |
Внешний |
Удаленное |
|
Доступ через |
Внедрение |
|
физические лица |
|
автоматизированное |
локальную сеть |
вредоносного |
|
|
(хакеры) (Н1) |
|
рабочее |
место |
организации |
программного |
|
|
|
|
(АРМ) |
|
обеспечения |
|
|
|
пользователя: |
|
|
|
|
|
|
Съемные машинные |
Использование |
||
|
|
|
несанкционированный |
|||
|
|
|
носители |
уязвимостей |
||
|
|
|
доступ к |
|
||
|
|
|
|
информации, |
конфигурации |
|
|
|
|
операционной |
|||
|
|
|
подключаемые к |
системы с |
||
|
|
|
|
системе |
||
|
|
|
|
АРМ пользователя |
доступом к |
|
|
|
|
|
АРМ |
||
|
|
|
|
|
АРМ |
|
|
|
|
пользователя; |
|
||
|
|
|
|
пользователя |
||
|
|
|
нарушение |
|
|
|
|
|
|
|
|
|
|
|
|
|
конфиденциальности |
|
|
|
|
|
|
информации, |
|
|
|
|
|
|
содержащейся наАРМ |
|
|
|
|
|
|
пользователя |
|
|
|
2 |
Авторизованные |
Внутренний |
АРМ главного |
Локальная сеть |
Преднамеренн |
|
|
пользователи |
|
бухгалтера |
|
организации |
ые изменения |
|
системи сетей (Н1) |
|
организации: |
|
|
информации |
|
|
|
Модификация |
|
на АРМ |
|
|
|
|
платежныхпоручений, |
|
главного |
|
|
|
|
хранящихся на АРМ |
|
бухгалтера |
|
|
|
|
главного бухгалтера |
|
|
|
Перечень основных тактик и соответствующих им типовых техник, используемых для построения сценариев реализации угроз безопасности информации
№ |
Тактика |
Основные техники |
Т1 |
Получение |
Т1.1. Использование внешних сервисов организации в сетях публичного |
|
первоначального доступак |
доступа (Интернет) Примеры: 1) доступ к веб-серверу, расположенному в |
|
компонентам систем и сетей |
сети организации; 2) доступ к |
|
|
интерфейсу электронной почты OutlookWebAccess (OWA) почтового |
|
Тактическая задача: |
сервера организации |
|
нарушитель,находясь вне |
Т1.2. Эксплуатация уязвимостей сетевого оборудования и средств |
|
инфраструктуры сети или |
защиты вычислительныхсетей для получения доступа к компонентам |
|
системы, стремится получить |
систем и сетей при удаленной атаке. |
|
доступ к любому узлу в |
Пример: обход межсетевого экрана путем эксплуатации уязвимостей |
|
инфраструктуре и |
реализации правил фильтрации |
|
использовать его как |
Т1.3. Несанкционированный доступ путем подбора учетных данных |
|
плацдарм для дальнейших |
сотрудника или легитимного пользователя (методами прямого перебора, |
|
действий |
словарных атак, паролей производителей по умолчанию, использования |
|
|
одинаковых паролей для разных учетных |
|
|
записей, применения «радужных» таблиц или другими) |
Т2 |
Повышение привилегий по |
Т2.1. Получение данных для аутентификации и авторизации от имени |
|
доступу к компонентам |
привилегированной учетной записи путем поиска этих данных в папках и |
|
систем и сетей |
файлах, поиска в памяти или перехвата в сетевом трафике. Данные для |
|
|
авторизации включают пароли, хэш-суммы паролей, токены, |
|
Тактическая задача: получив |
идентификаторы сессии, криптографические ключи, но не ограничиваются |
|
первоначальный доступ к |
ими |
|
узлу с привилегиями, |
Т2.2 Эксплуатация уязвимостей ПО к повышению привилегий. Пример: |
|
недостаточными для |
эксплуатация уязвимости драйвера службы печати, позволяющей |
|
совершения нужных ему |
выполнить код с привилегиями системной учетной записи, через доступ к |
|
действий, нарушитель |
этому драйверу из приложения, запущенного от имени |
|
стремится повысить |
непривилегированного пользователя |
|
полученные привилегии и |
Т2.3. Эксплуатация уязвимостей, связанных с отдельным, и вероятно |
|
получить контроль над |
менее строгим контролем доступа к некоторым ресурсам (например, к |
|
узлом |
файловой системе) для непривилегированных учетных записей. Пример: |
|
|
подмена на диске бинарных файлов или скриптов, предназначенных для |
|
|
исполнения в привилегированном контексте, приложением, |
|
|
исполняющимся в непривилегированном контексте |
Т3 |
Несанкционированный |
Т3.1. Несанкционированный доступ к информации в памяти системы, |
|
доступ и воздействие на |
файловой системе, базах данных, репозиториях, в программных модулях и |
|
информационные ресурсы и |
прошивках |
|
компоненты сетей, |
Т3.2. Подмена информации (например, платежных реквизитов) в памяти |
|
приводящие к негативным |
или информации, хранимой в виде файлов, информации в базах данных и |
|
последствиям |
репозиториях, информации на неразмеченных областях дисков и сменных |
|
Тактическая задача: |
носителей |
|
достижение нарушителем |
Т3.3. Уничтожение информации, включая информацию, хранимую в виде |
|
конечной цели, приводящее |
файлов, информацию в базах данных и репозиториях, информацию на |
|
к реализации моделируемой |
неразмеченных областях дисков и сменных носителей |
|
компонентов системы или сети |
|
|
угрозы и причинению |
|
|
|
|
|
недопустимых негативных |
|
|
последствий |
|
Рисунок 1 – Пример атаки Т1.
Рисунок 2 – Пример атаки Т2.
Рисунок 3 – Пример атаки Т3.
Иллюстрация риска при помощи методики оценивания Вихорева.
Врезультате анализа были выявлены актуальные угрозы, для которых
вдальнейшем мы будем реализовывать наборы контрмер.
Источники |
Методы |
Уязвимости |
|
угроз |
реализации |
||
|
|||
|
|
|
|
[I.B.2] |
[M1.А.0] |
[B.I.d.1] |
|
[I.B.1] |
[M1.В.0] |
[B.I.d.2] |
|
[I.A.1] |
[M2.А.0] |
[B.I.d.3] |
|
[II.A.1] |
[M2.В.0] |
[C.I.b.1] |
|
|
|
|
|
[II.B.2] |
[M3.A.0] |
[C.I.b.2] |
|
|
|
|
|
[II.A.2] |
[M3.B.0] |
[C.II.b.3] |
|
[III.A.1] |
[ M4. A.0] |
|
|
|
|
|
|
|
[ M5. A.0] |
|
|
|
|
|
|
|
[ M6.0.0] |
|
Дальнейший анализ контрмер для предприятия ООО «Тбилисский
Сахарный Завод» мы произведем при помощи средства РискМенеджер -
Анализ v3.5.
Была произведена оценка рисков нарушения информационной безопасности в оцениваемой системе, которая представлена на следующей диаграмме.
Модель: ООО "Тбилисский Сахарный Завод"
Тбилисская
Windows
Далее будет рассматриваться набор контрмер, реализуемый для предприятия ООО «Тбилисский Сахарный Завод», с помощью них постараемся снизить риски до приемлемого уровня.
Методика оценивания Вихорева и средство РискМенеджер имеют схожий результат.
Комплексы мер по модели
КМ по внедрению политики безопасности
Модель: ЗАО "Тбилисский Сахарный Завод"
Комплекс мер: КМ по внедрению политики безопасности
Потенциал снижения риска: 1710,03 |
Экспертная оценка стоимости: 250,00 |
|||
Расчетная стоимость: 601,00 |
Экспертно-расчетная оценка стоимости: 300,00 |
|||
Мера: М.09. Планирование бесперебойной работы организации |
||||
Регион: Тбилисская |
|
|
|
|
ЛС: Организация в целом |
|
|
|
|
ПС: Организация в целом |
|
|
|
|
Объект: Организация с АИС |
|
|
|
|
Потенциал снижения |
Расчетная стоимость: 0,00 |
Экспертная оценка |
Код упорядочивания: |
|
риска: 1000,00 |
|
|
стоимости: 0,00 |
|
Мера: Внедрение системы защиты от скачков напряжения |
||||
Регион: Тбилисская |
|
|
|
|
ЛС: Организация в целом |
|
|
|
|
ПС: Организация в целом |
|
|
|
|
Объект: Ключевые серверы обработки информации |
|
|||
Потенциал снижения |
Расчетная стоимость: 1,00 |
Экспертная оценка |
Код упорядочивания: |
|
риска: 100,00 |
|
|
стоимости: 0,00 |
|
Мера: М.03.02. Классификация информации по уровням секретности
Регион: Тбилисская
ЛС: Организация в целом
ПС: Организация в целом