МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по практической работе № 14
по дисциплине «Основы информационной безопасности» Тема: «Оценка структуры факторов риска»
Студент гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
2.Цель работы: провести оценку отношений на множестве факторов риска,
расчет профиля риска и определить наиболее значимые факторы;
3.Отчёт выполняется с расчетом профиля риска в РискМенеджер - Анализ v3.5.
ипо методике Вихорева, результаты сравнить
1. Оценка структуры факторов риска по методологии ФСТЕК
С помощью методики ФСТЕК построим структуру видов ущерба,
относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Негативные последствия приведены в таблице 1, представленной ниже
Таблица 1 – Виды рисков и негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
|
|
|
У1 |
Ущерб физическому лицу |
Нарушение конфиденциальности. |
|
|
|
|
|
Нарушение иных прав и свобод гражданина, |
|
|
закрепленных в Конституции Российской |
|
|
Федерации и федеральных законах. |
|
|
|
У2 |
Риски юридическому лицу, |
Нарушение законодательства Российской |
|
индивидуальному предпринимателю, |
Федерации. |
|
связанные с хозяйственной |
|
|
Нарушение штатного режима |
|
|
деятельностью |
функционирования автоматизированной |
|
|
системы |
|
|
|
|
|
Необходимость дополнительных |
|
|
(незапланированных) затрат на выплаты |
|
|
штрафов (неустоек) или компенсаций. |
|
|
|
|
|
Невозможность решения задач или |
|
|
снижение эффективности решения задач |
|
|
|
|
|
Публикация недостоверной информации на |
|
|
веб-ресурсах организации. |
|
|
|
В таблице 2 приведены объекты воздействия в соответствии с негативными
последствиями из первой таблицы.
Таблица 2 – Возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
|
|
|
|
|
|
|
Нарушение конфиденциальности. |
База аутентификационных |
Утечка аутентификационных |
||
|
данных |
данных пользователей из БД |
||
|
|
|
|
|
|
АРМ, расположенные |
Утечка учетной |
|
|
|
в офисе |
информации, вводимой |
||
|
|
пользователями при |
||
|
|
использовании АРМ |
||
|
|
|
|
|
|
Проводные и беспроводные |
Перехват |
информации, |
|
|
|
|||
|
каналы передачи данных. |
содержащей учетные данные |
||
|
|
|||
|
|
пользователей, передаваемой |
||
|
|
по каналам |
|
|
|
|
|
|
|
Нарушение иных прав и свобод |
Файловый сервер |
Утечка |
материалов |
|
гражданина, закрепленных в |
|
БД, защищаемых |
|
|
Конституции Российской |
|
авторским правом |
|
|
Федерации и федеральных |
|
|
|
|
АРМ, расположенные |
Утечка |
материалов |
||
законах. |
в офисе |
БД, защищаемых |
|
|
|
|
авторским правом |
|
|
|
|
|
||
Нарушение законодательства РФ, |
База аутентификационных |
Утечка аутентификационных |
||
|
|
|
||
необходимость дополнительных |
данных |
данных |
пользователей, |
|
|
|
|
||
затрат на выплаты штрафов (У2) |
|
защищаемых |
законом |
|
|
|
|
|
|
|
|
«О персональных |
данных» |
|
|
|
(предусмотрены штрафы) |
||
|
|
|
||
|
Файловый сервер |
Утечка материалов БД, |
||
|
|
|
|
|
|
|
защищаемых законом «Об |
||
|
|
авторском праве и смежных |
||
|
|
правах» |
|
|
|
|
(предусмотрены штрафы) |
||
|
|
|
||
Нарушение штатного режима |
ПО для администрирования |
Несанкционированный |
||
функционирования |
|
доступ, |
нарушение |
|
автоматизированной системы, |
|
функционирования |
|
|
невозможность решения задач |
|
программноаппаратных |
||
или снижение эффективности |
|
средств- |
|
|
решения задач (У2) |
|
администрирования БД |
||
|
|
|
|
|
|
АРМ, расположенные в |
Нарушение |
|
|
|
офисе |
функционирования АРМ |
||
|
|
|
|
|
|
|
|
Файловый сервер |
Нарушение |
|
|
|
|
|
функционирования |
|
|
|
|
|
приложения (удаление |
|
|
|
|
|
информации, |
решения |
|
|
|
|
необходимой для |
|
|
|
|
|
|
|
|
Публикация недостоверной |
|
Файловый сервер, СУБД |
задачНесанкционированная) |
|
|
информации на вебресурсах |
|
|
модификация, |
подмена, |
|
|
|
|
|
|
|
организации |
|
|
искажение информации |
|
|
|
|
|
|
|
Категории и уровни возможных нарушителей представлены в 3 таблице, в
которую сведены данные для определения видов риска.
Таблица 3 – Актуальные нарушители
№ |
Виды риска |
(ущерба) |
и |
Виды актуального |
Категория |
Уровень |
|
|
|
возможные |
|
негативные |
нарушителя |
нарушителя |
возможностей |
||
|
последствия |
|
|
|
|
|
нарушителя |
|
|
|
|
|
|
|
|
|
|
1 |
У1: |
|
|
|
Хакеры |
Внешний |
Н2 |
(базовые |
|
нарушение |
|
|
|
|
|
повышенные |
|
|
конфиденциальности (утечка) |
|
|
возможности) |
||||
|
персональных данных; |
|
|
|
|
|
||
|
|
Конкурирующие |
Внешний |
Н2 |
(базовые |
|||
|
нарушение иных прав и свобод |
организации |
|
повышенные |
||||
|
гражданина, |
закрепленных |
в |
|
|
возможности) |
||
|
Конституции |
|
РФ |
и |
|
|
|
|
|
|
Администратор |
Внутренний |
Н2 |
(базовые |
|||
|
федеральных законах |
|
ы приложения |
|
повышенные |
|||
|
|
|
|
|
|
|
возможности) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Авторизованные |
Внутренний |
Н1 |
(базовые |
|
|
|
|
|
пользователи |
|
возможности) |
|
|
|
|
|
|
приложения |
|
|
|
|
|
|
|
|
|
|
|
|
2 |
У2: |
|
|
|
Хакеры |
Внешний |
Н2 |
(базовые |
|
нарушение |
законодательства |
|
|
повышенные |
|||
|
РФ; |
|
|
|
|
|
возможности) |
|
|
необходимость |
|
|
|
|
|
|
|
|
|
|
Конкурирующие |
Внешний |
Н2 |
(базовые |
||
|
дополнительных |
затрат |
на |
организации |
|
повышенные |
||
|
выплаты штрафов; |
|
|
|
возможности) |
|||
|
|
|
|
|
|
|
|
|
|
нарушение |
штатного режима |
Администратор |
Внутренний |
Н2 |
(базовые |
|
функционирования |
ы приложения |
|
повышенные |
||
|
автоматизированной системы; |
|
|
возможности) |
||
|
невозможность решения задач |
|
|
|
|
|
|
или снижение эффективности |
|
|
|
|
|
|
Авторизованные |
Внутренний |
Н1 |
(базовые |
||
|
|
|
||||
|
решения задач; |
пользователи |
|
возможности) |
||
|
|
|
|
|||
|
публикация |
недостоверной |
приложения |
|
|
|
|
информации на веб-ресурсах |
|
|
|
||
|
|
|
|
|
||
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
Потенциальные источники угроз и возможные цели реализации угроз
приведены в таблице ниже
№ |
Виды актуального |
Категории |
Возможные |
цели |
реализации |
угроз |
|
|
нарушителя |
нарушителя |
безопасности информации |
|
|
||
|
|
|
|
|
|
|
|
1 |
Хакеры |
Внешний |
Получение |
финансовой |
или |
иной |
|
|
|
|
материальной выгоды |
|
|
|
|
|
|
|
|
|
|||
2 |
Конкурирующие |
Внешний |
Получение материальной выгоды |
|
|||
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3 |
Администратор |
Внутренний |
Получение |
финансовой |
или |
иной |
|
|
ы приложения |
|
материальной выгоды |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
Непреднамеренные, |
неосторожные |
или |
||
|
|
|
неквалифицированные действия |
|
|||
|
|
|
|
|
|
||
4 |
Авторизованные |
Внутренний |
Получение |
финансовой или |
материальной |
||
|
пользователи |
|
выгоды |
|
|
|
|
|
приложения |
|
|
||||
|
|
Любопытство или желание самореализации |
|||||
|
|
|
|
|
|||
|
|
|
Месть за ранее совершенные действия |
|
|||
|
|
|
|
|
|
||
|
|
|
Непреднамеренные, |
неосторожные |
или |
||
|
|
|
неквалифицированные действия |
|
|||
|
|
|
|
|
|
|
|
Методы реализации негативного воздействия для указаных видов
нарушителей представлены в таблице 5.
Таблица 5 – Актуальные способы реализации угроз и соответствующие виды нарушителей
Вид нарушителя, |
Объекты |
|
Доступные |
Способы реализации |
|
категория |
воздействия |
|
интерфейсы |
|
|
|
|
|
|
||
|
|
|
|
|
|
Хакеры и |
База аутентификационных |
Пользовательский |
Использование |
||
конкуренты (H2), |
данных: утечка |
|
веб-интерфейс |
уязвимостей, |
|
внешний |
аутентификационных |
сайта |
|
инъекций |
|
|
данных пользователей из |
|
|
|
|
|
БД |
|
|
|
|
|
Файловый сервер: утечка |
Пользовательский |
Использование |
||
|
|
|
|
||
|
материалов БД, |
|
интерфейс доступа |
уязвимостей ПО, |
|
|
|
|
|
|
|
|
защищаемых авторским |
к файловому |
предназначенного |
||
|
серверу БД |
|
|||
|
правом; нарушение |
|
для доступа |
||
|
|
|
|
|
|
|
функционирования БД |
|
|
пользователей к |
|
|
|
|
|
||
|
(удаление информации, |
|
|
ресурсам файлового |
|
|
|
|
|
||
|
необходимой для |
|
|
|
сервера |
|
|
|
|
|
|
|
решения задач БД); |
|
|
|
|
|
несанкционированная |
|
|
|
|
|
модификация, |
подмена, |
|
|
|
|
искажение информации |
|
|
|
|
|
|
|
|
|
|
Администартор |
АРМ, расположенные в |
ПО |
для |
Ошибочные действия |
|
(H2),внутренний |
офисе: утечка |
|
администрирования |
при настройке ПО для |
|
|
аутентификационной |
системы (системные |
администрирования |
||
|
информации, вводимой |
и сетевые утилиты) |
Внедрение |
||
|
пользователями при |
|
|
|
вредоносного ПО через |
|
использовании АРМ; |
|
|
средства |
|
|
утечке электронных |
|
|
установки/обновления |
|
|
материалов БД; нарушение |
|
|
ПО |
|
|
функционирования АРМ |
|
|
|
|
|
|
|
|
|
|
Пользователь |
АРМ, расположенные |
АРМ, |
|
Ошибочные действия при |
|
(H1), |
в офисе |
|
расположенные |
пользовании АРМ |
|
|
|
в офисе |
|
|
|
внутренний |
|
|
|
|
|
|
|
|
|
|
|
2.Оценка структуры факторов риска в соответствии с методикой С.В. Вихорева
Втаблице 6 представлен перечень актуальных угроз безопасности
Таблица 6 – перечень актуальных угроз ИБ
k |
Угрозы ИБ |
(КА)k |
1 |
Хищение (копирование) информации и средств ее обработки |
0,16 |
2 |
Модификация (искажение) информации |
0,19 |
3 |
Уничтожение информации и средств ее обработки |
0,15 |
В 7 таблице обозначен актуальный список источников угроз и их коэффициент опасности.
Таблица 7 – перечень актуальных источников угроз ИБ
Код |
Источники угроз информационной безопасности |
(k1)i |
(k2)i |
(k3)i |
(Коп)i |
|
(i) |
||||||
|
|
|
|
|
||
[I.A.3] |
недобросовестные партнеры |
2 |
4 |
4 |
0,07 |
|
[I.A.4] |
технический персонал поставщиков |
4 |
3 |
3 |
0,08 |
|
телематических услуг |
||||||
|
|
|
|
|
||
|
|
|
|
|
|
|
[I.A.5] |
представители надзорных организаций и |
4 |
4 |
3 |
0,11 |
|
аварийных служб |
||||||
|
|
|
|
|
||
[I.A.6] |
представители силовых структур |
5 |
4 |
1 |
0,04 |
|
[I.B.1] |
основной персонал (пользователи, программисты, |
5 |
5 |
3 |
0,16 |
|
разработчики) |
||||||
|
|
|
|
|
||
[I.B.2] |
представители службы защиты информации |
5 |
5 |
3 |
0,16 |
|
(администраторы) |
||||||
|
|
|
|
|
||
|
|
|
|
|
|
|
[I.B.3] |
вспомогательный персонал (уборщики, охрана) |
3 |
2 |
1 |
0,01 |
|
[I.B.4] |
технический персонал (жизнеобеспечение, |
3 |
2 |
1 |
0,01 |
|
эксплуатация) |
||||||
|
|
|
|
|
В таблицу 8 сведен перечень актуальных уязвимостей.
Таблица 8 – Актуальные уязвимости
Код |
Уязвимости |
(k1)f |
|
(k2)f |
(k3)f |
(Kоп)f |
[A.II.a.4] |
аппаратные закладки устанавливаемые в технических |
4 |
3 |
4 |
0,23 |
|
средствах |
|
|
|
|
|
|
|
|
|
|
|
|
|
[A.II.b.1] |
вредоносные программы |
5 |
4 |
3 |
0,29 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[A.II.b.2] |
технологические выходы из программ |
3 |
5 |
3 |
0,21 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
нелегальные копии ПО |
3 |
4 |
5 |
0,29 |
|
[A.II.b.3] |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ошибки при вводе данных (информации) |
3 |
4 |
5 |
0,38 |
|
[B.I.a.4] |
|
|
|
|
|
|
|
|
|
|
|
|
|
[B.I.c.2] |
ошибки при настройке программного обеспечения |
5 |
5 |
4 |
0,64 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[B.I.c.4] |
ошибки при настройке технических средств |
4 |
4 |
5 |
0,51 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[C.I.a.1] |
отказы ТС обрабатывающих информацию |
4 |
4 |
4 |
0,45 |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[C.I.a.2] |
отказы ТС обеспечивающих работоспособность |
3 |
4 |
3 |
0,26 |
|
средств обработки |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[C.I.c.1] |
сбои операционных систем и СУБД |
4 |
5 |
3 |
0,43 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Возможные варианты реализации угроз представлены в таблице 9.
|
|
Таблица 9 – Варианты реализации угроз |
||
|
|
|
|
|
Источники угроз |
Методы реализации |
|
Уязвимости |
|
|
|
|
|
|
[I.B.2] - администраторы |
[M3.B.02] - установка нештатного |
|
[A.II.b.1] - вредоносные программы |
|
оборудования или ПО |
|
|
||
|
|
|
|
|
|
|
|
|
|
[I.A.3] - недобросовестные |
[M3.A.04] - маскировка под |
|
[B.I.a.4] – ошибки при вводе данных |
|
партнеры |
авторизованного пользователя (маскарад) |
|
|
|
|
|
|
||
|
|
|
|
|
[I.A.3] - недобросовестные |
[M3.A.01] - внедрение дезинформации |
|
[B.I.a.4] – ошибки при вводе данных |
|
партнеры |
|
|
|
|
|
|
|
|
|
[I.A.3] - недобросовестные |
[M3.A.05] - модификация информации |
|
[B.I.a.4] – ошибки при вводе данных |
|
партнеры |
(данных) |
|
|
|
|
|
|
||
|
|
|
|
|
|
[M3.A.01] - Нарушение целостности и |
|
[I.B.3] - вспомогательный |
доступности путем введения ложной |
|
персонал (уборщики, |
информации в базы данных и |
[B.I.a.4] – ошибки при вводе данных |
охрана) |
информационные ресурсы, перегрузки |
|
|
системных ресурсов, каналов связи |
|
|
|
|
|
[M3.A.01] - Нарушение целостности и |
|
[I.B.3] - вспомогательный |
доступности путем введения ложной |
|
персонал (уборщики, |
информации в базы данных и |
[B.I.с.2] – уничтожение данных |
охрана) |
информационные ресурсы, перегрузки |
|
|
системных ресурсов, каналов связи |
|
|
|
|
Рассмотрим комплекс составленных ПО РискМенеджер - Анализ v3.5.контрмер:
КМ по внедрению политики безопасности
КМ по развитию инфраструктуры управления ИБ
Модель: ПАО"МТС"
Комплекс мер: КМ по внедрению политики безопасности
Потенциал снижения риска: 649,95 |
Экспертная оценка стоимости: 250,00 |
||
Расчетная стоимость: 600,00 |
Экспертно-расчетная оценка стоимости: 300,00 |
||
Мера: М.09. Планирование бесперебойной работы организации |
|||
Регион: Организация в целом |
|
|
|
ЛС: Организация в целом |
|
|
|
ПС: Организация в целом |
|
|
|
Объект: Организация с АИС |
|
|
|
Потенциал снижения |
Расчетная стоимость: 0,00 Экспертная оценка |
Код упорядочивания: |
|
риска: 99,95 |
|
стоимости: 0,00 |
|
Мера: М.03.02. Классификация информации по уровням секретности |
|||
Регион: Санкт-Петербург |
|
|
|
ЛС: Главный офис |
|
|
|
ПС: Организация в целом |
|
|
|
Объект: Организация с АИС |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 19,57 |
70,00 |
стоимости: 0,00 |
|
Мера: М.03.01. Обеспечение ответственности за информационные ресурсы
Регион: Санкт-Петербург
ЛС: Главный офис
ПС: Организация в целом
Объект: Организация с АИС |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 2 |
риска: 130,43 |
80,00 |
стоимости: 70,00 |
|
Мера: М.02.01 Создание инфраструктуры управления информационной