- •Санкт-петербургский государственный
- •Кафедра информационной безопасности
- •Тема: «Оценка структуры факторов риска»
- •Оценка структуры факторов риска по методологии фстек
- •Оценка структуры факторов риска в соответствии с методикой с.В. Вихорева
- •Оценка структуры факторов риска в РискМенеджер-Анализ v3.5
- •Выбор комплекса мер защиты в по РискМенеджер-Анализ v3.5
МИНОБРНАУКИ РОССИИ
Санкт-петербургский государственный
ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА)
Кафедра информационной безопасности
ОТЧЕТ
по практической работе № 14
по дисциплине «Основы информационной безопасности»
Тема: «Оценка структуры факторов риска»
Студентка гр. .
-
Преподаватель
.
Санкт-Петербург
2023
Постановка задачи
Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
Цель работы: провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы;
Отчёт выполняется с расчетом профиля риска в РискМенеджер - Анализ v3.5.
и по методике Вихорева, результаты сравнить
Оценка структуры факторов риска по методологии фстек
С помощью методики ФСТЕК построим структуру видов ущерба, относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Негативные последствия приведены в таблице 1, представленной ниже
Таблица 1 – Виды рисков и негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
У1 |
Ущерб физическому лицу |
Нарушение конфиденциальности. |
Финансовый ущерб физическому лицу. |
||
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. |
||
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
Нарушение законодательства Российской Федерации. |
Недополучение ожидаемой (прогнозируемой) прибыли. |
||
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. |
||
Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств). |
||
Срыв запланированной сделки с партнером. |
В таблице 2 приведены объекты воздействия в соответствии с негативными последствиями из первой таблицы.
Таблица 2 – Возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Нарушение конфиденциальности. |
БД |
Утечка данных о пользователях. |
Беспроводные каналы связи |
Кража/подмена данных предприятия. |
|
Финансовый ущерб физическому лицу. |
БД, каналы связи |
Утеря данных о проекте. |
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. |
БД, Рабочие места сотрудников, системного администратора |
Раскрытие данных об авторских проектах, кража объектов интеллектуальной собственности. |
Недополучение ожидаемой (прогнозируемой) прибыли. |
Сайт, веб-сервер, БД, рабочие места сотрудников. |
DDoS-атаки на сервер, временная неработоспособность сервера, утеря данных о проектах, ошибки сотрудников. |
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. |
||
Проникновение в корпоративную сеть неавторизованного пользователя. |
Сотрудники, электронная почта. |
Фишиговые ссылки, подброшенные носители с вредоносным ПО. |
Категории и уровни возможных нарушителей представлены в 3 таблице, в которую сведены данные для определения видов риска.
Таблица 3 – Актуальные нарушители
Виды риска/ущерба и возможные негативные последствия |
Виды и категория нарушителя |
Уровень возможностей |
Нарушение конфиденциальности. |
Хакеры, внешний |
H1 |
Финансовый ущерб физическому лицу.
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах.
Нарушение законодательства Российской Федерации.
Недополучение ожидаемой (прогнозируемой) прибыли.
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств).
Срыв запланированной сделки с партнером.
|
Сисадмин, внутренний |
H2 |
Сотрудники, внутренний |
H1 |
|
Дополнительный персонал, внутренний |
H1 |
|
Конкуренты, внешний |
H2 |
|
Поставщики услуг связи, внешний |
H2 |
Потенциальные источники угроз и возможные цели реализации угроз приведены в таблице ниже
Таблица 4 – Виды нарушителей и возможные цели реализации угроз
Вид нарушителя |
Категория нарушителя |
Возможные цели реализации угроз |
Конкуренты |
Внешний |
Снижение конкурентоспособности организации. |
Сотрудники |
Внутренний |
Непреднамеренные действия, тормозящие работу организации. |
Преднамеренные действия с целью получения выгоды/реализации собственных интересов. |
||
Хакеры |
Внешний |
Любопытство. Тренировка. Получение выгоды. |
Поставщики услуг связи |
Внешний |
Материальная выгода |
Методы реализации негативного воздействия для указаных видов нарушителей представлены в таблице 5.
Таблица 5 – Актуальные способы реализации угроз и соответствующие виды нарушителей
Вид нарушителя, категория |
Объекты воздействия |
Доступные интерфейсы |
Способы реализации |
Хакеры (H2), внешний |
CУБД, сотрудники |
Веб-сайт компании, электронная почта, территория предприятия. |
Использование уязвимостей, инъекций, социальной инженерии. |
Конкуренты (H2), внешний |
|||
Поставщики услуг связи (H2), внешний |
Рабочие места сотрудников, веб-сервер |
ПАК предприятия |
Целенаправленный перехват информации, отказ от обслуживания. |
Сисадмин (H2), внутренний |
ПАК предприятия |
ПАК предприятия |
Ошибки в настройке, продажа данных, намеренное или случайное их удаление. |
Сотрудник (H1), внутренний |
Рабочие места сотрудников |
Рабочие места сотрудников |
Пользовательские ошибки |
Дополнительный персонал (H1), внутренний |
- |
- |
Непреднамеренное причинение вреда ПАК, саботаж |