МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА №14 по дисциплине «Основы информационной безопасности»
Тема: Оценка структуры факторов риска
Студент гр.
Преподаватель
Санкт-Петербург
2023
ПОСТАНОВКА ЗАДАЧИ
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
2.Цель работы: провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы;
3.Отчет выполняется с расчетом профиля риска в РискМенеджер -
Анализ v3.5 и по методике Вихорева, результаты сравнить
Оценка структуры факторов риска по методологии ФСТЭК
С помощью методики ФСТЭК построим структуру видов ущерба, относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Негативные последствия приведены в таблице 1, представленной ниже
Таблица 1 – Виды рисков и негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
|
|
Возможные негативные последствия |
||||||
|
|
|
|
|
|
|
|
|
|
|
У1 |
Ущерб физическому лицу |
|
Нарушение конфиденциальности. |
|
||||||
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
Нарушение |
иных |
прав |
и свобод |
||
|
|
|
|
|
гражданина, |
закрепленных |
в |
|||
|
|
|
|
|
КонституцииРоссийской Федерации и |
|||||
|
|
|
|
|
федеральных законах. |
|
|
|||
|
|
|
|
|
|
|
||||
У2 |
Риски |
юридическому |
лицу, |
Нарушение |
|
законодательства |
||||
|
индивидуальному |
предпринимателю, |
Российской Федерации. |
|
|
|||||
|
связанные |
с |
хозяйственной |
|
|
|
|
|||
|
Нарушение |
|
штатного |
режима |
||||||
|
деятельностью |
|
|
функционирования |
|
|
|
|||
|
|
|
|
|
автоматизированной системы |
|
||||
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
Необходимость |
|
дополнительных |
|||
|
|
|
|
|
(незапланированных) |
затрат |
на |
|||
|
|
|
|
|
выплаты штрафов (неустоек) или |
|||||
|
|
|
|
|
компенсаций. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
Невозможность |
решения |
задач |
или |
||
|
|
|
|
|
снижение |
эффективности |
решения |
|||
|
|
|
|
|
задач |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
Публикация |
|
недостоверной |
|||
|
|
|
|
|
информации |
на |
веб-ресурсах |
|||
|
|
|
|
|
организации. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
В таблице 2 приведены объекты воздействия в соответствии с негативными последствиями из первой таблицы.
Таблица 2 – Возможные объекты воздействия угроз безопасностиинформации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
|
|
|
Нарушение конфиденциальности. |
База аутентификационных |
Утечка |
|
данных |
аутентификационных |
|
данных пользователей |
|
|
|
|
|
|
из БД |
|
АРМ сотрудников |
Утечка учетной |
|
|
информации, вводимой |
|
|
пользователями при |
|
|
использовании АРМ |
|
|
|
|
Проводные и беспроводные |
Перехват информации, |
|
|
|
|
каналы передачи данных. |
содержащей учетные |
|
|
|
|
|
данные пользователей, |
|
|
передаваемой |
|
|
по каналам |
Нарушение иных прав и свобод |
Файловый сервер |
Утечка материалов, |
гражданина, закрепленных в |
|
защищаемых |
Конституции Российской |
|
авторским правом |
Федерации и федеральных |
|
|
АРМ сотрудников |
Утечка |
|
законах. |
|
материалов, |
|
защищаемых |
|
|
|
|
|
|
авторским правом |
|
|
|
Нарушение законодательства РФ, |
База аутентификационных |
Утечка |
|
||
необходимость дополнительных |
данных |
аутентификационных |
|
||
затрат на выплаты штрафов (У2) |
|
данных пользователей, |
|
|
|
|
|
защищаемых законом |
|
|
«О персональных |
|
|
данных» |
|
|
(предусмотрены |
|
|
штрафы) |
|
|
|
|
Файловый сервер |
Утечка материалов, |
|
|
|
|
|
защищаемых |
|
|
законом |
|
|
«Об авторском праве и |
|
|
смежных правах» |
|
|
(предусмотрены |
|
|
штрафы) |
Нарушение штатного режима |
ПО для администрирования |
Несанкционированный |
функционирования |
|
доступ, нарушение |
автоматизированной системы, |
|
функционирования |
невозможность решения задач |
|
программно- |
или снижение эффективности |
|
аппаратных |
решения задач (У2) |
|
средств- |
|
|
администрирования |
|
|
|
|
АРМ сотрудников |
Нарушение |
|
|
функционирования АРМ |
|
|
|
|
Файловый сервер |
Нарушение |
|
|
функционирования |
|
|
(удаление информации, |
|
|
необходимой для |
|
|
решения |
|
|
задач ИС) |
Публикация недостоверной |
Файловый сервер, СУБД |
Несанкционированная |
информации на веб-ресурсах |
|
модификация, подмена, |
организации |
|
искажение информации |
|
|
|
Категории и уровни возможных нарушителей представлены в 3таблице, в которую сведены данные для определения видов риска.
Таблица 3 – Актуальныенарушители
№ |
Виды риска (ущерба) и |
Виды актуального |
Категория |
Уровень |
|
|
|
возможные |
негативные |
нарушителя |
нарушителя |
возможностей |
|
|
последствия |
|
|
|
нарушителя |
|
|
|
|
|
|
|
|
1 |
У1: |
|
Хакеры |
Внешний |
Н2 |
(базовые |
|
нарушение |
|
|
|
повышенные |
|
|
конфиденциальности (утечка) |
|
|
возможности) |
||
|
персональных данных; |
|
|
|
|
|
|
Конкурирующие |
Внешний |
Н2 |
(базовые |
||
|
нарушение иных прав и свобод |
организации |
|
повышенные |
||
|
гражданина, закрепленных в |
|
|
возможности) |
||
|
|
|
|
|
|
|
|
Конституции |
РФ |
и |
Администраторы |
Внутренний |
Н2 |
(базовые |
|
федеральных законах |
|
|
|
повышенные |
||
|
|
|
|
|
|
возможности) |
|
|
|
|
|
|
|
|
|
|
|
|
|
Сотрудники |
Внутренний |
Н1 |
(базовые |
|
|
|
|
|
|
возможности) |
|
|
|
|
|
|
|
|
|
2 |
У2: |
|
|
Хакеры |
Внешний |
Н2 |
(базовые |
|
нарушение законодательства |
|
|
повышенные |
|||
|
РФ; |
|
|
|
|
возможности) |
|
|
необходимость |
|
|
|
|
|
|
|
|
|
Конкурирующи |
Внешний |
Н2 |
(базовые |
|
|
дополнительных |
затрат |
на |
еорганизации |
|
повышенные |
|
|
выплаты штрафов; |
|
|
|
возможности) |
||
|
|
|
|
|
|
|
|
|
нарушение штатного режима |
|
Администраторы |
Внутренний |
Н2 |
(базовые |
|
|
функционирования |
|
|
|
повышенные |
||
|
автоматизированной системы; |
|
|
возможности) |
|||
|
невозможность решения задач |
|
|
|
|
||
|
или снижение эффективности |
|
|
|
|
||
|
Сотрудники |
Внутренний |
Н1 |
(базовые |
|||
|
решения задач; |
|
|
||||
|
|
|
|
|
возможности) |
||
|
|
|
|
|
|
||
|
публикация |
недостоверной |
|
|
|
|
|
|
информации на веб-ресурсах |
|
|
|
|
||
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Потенциальные источники угроз и возможные целиреализации угроз приведены в таблице 4.
Таблица 4
№ |
Виды актуального |
Категории |
Возможные |
цели |
реализации |
угроз |
|
|
нарушителя |
нарушителя |
безопасности информации |
|
|
||
|
|
|
|
|
|
|
|
1 |
Хакеры |
Внешний |
Получение |
финансовой |
или |
иной |
|
|
|
|
материальной выгоды |
|
|
|
|
|
|
|
|
|
|||
2 |
Конкурирующие |
Внешний |
Получение материальной выгоды |
|
|||
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3 |
Администраторы |
Внутренний |
Получение |
финансовой |
или |
иной |
|
|
|
|
материальной выгоды |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
Непреднамеренные, |
неосторожные |
или |
||
|
|
|
неквалифицированные действия |
|
|
||
|
|
|
|
|
|
|
|
4 |
Авторизованные |
Внутренний |
Получение финансовой или материальной |
|
|
пользователи |
|
выгоды |
|
|
|
|
|
|
|
|
|
Любопытство или желание самореализации |
|
|
|
|
|
|
|
|
|
Месть за ранее совершенные действия |
|
|
|
|
|
|
|
|
|
Непреднамеренные, |
неосторожные или |
|
|
|
неквалифицированные действия |
|
|
|
|
|
|
Методы реализации негативного воздействия для указанных видов нарушителей представлены в таблице 5.
Таблица 5 – Актуальные способы реализации угроз и соответствующие видынарушителей
Вид нарушителя, |
Объекты |
|
Доступные |
Способы реализации |
категория |
воздействия |
|
интерфейсы |
|
|
|
|
||
|
|
|
|
|
Хакеры и |
База аутентификационных |
Пользовательский |
Использо |
|
конкуренты (H2), |
данных: утечка |
|
веб-интерфейс |
вание |
внешний |
аутентификационных |
сайта |
уязвимост |
|
|
данных пользователей из |
|
ей, |
|
|
БД |
|
|
инъекций |
|
|
|
|
|
|
Файловый сервер: утечка |
Пользовательский |
Использование |
|
|
|
|
||
|
материалов, нарушение |
интерфейс доступа |
уязвимостей |
|
|
|
|
||
|
функционирования ИС |
к файловому |
ПО, |
|
|
|
|
||
|
(удаление информации, |
серверу |
предназначенн |
|
|
|
|
||
|
необходимой для решения |
|
ого для |
|
|
|
|
||
|
задач); |
|
|
доступа |
|
|
|
|
|
|
несанкционированная |
|
пользователей |
|
|
|
|
||
|
модификация, |
подмена, |
|
к ресурсам |
|
|
|
||
|
искажение информации |
|
файлового |
|
|
|
|
||
|
|
|
|
сервера |
|
|
|
|
|
Администартор |
АРМ сотрудников: |
ПО |
для |
Ошибочные |
|
|
|
|
действия |
(H2),внутренний |
утечка |
администрирования |
при настройке ПО |
|
|
|
|
|
для |
|
аутентификационной |
системы (системные |
администрирования |
|
|
информации, вводимой |
и сетевые утилиты) |
Внедрение |
|
|
пользователями при |
|
|
вредоносного ПО |
|
|
|
|
через |
|
использовании АРМ; утечке |
|
|
средства |
|
электронных материалов; |
|
|
установки/обновлен |
|
|
|
|
ия |
|
нарушение |
|
|
ПО |
|
функционирования АРМ |
|
|
|
|
|
|
|
|
Пользователь |
АРМ сотрудников |
АРМ сотрудников |
Ошибочные |
|
(H1), |
|
|
|
действия при |
внутренний |
|
|
|
пользовании |
|
|
|
|
АРМ |
|
|
|
|
|
Комплекс контрмер
Модель: ООО «Lux»
Комплекс мер: КМ1
Потенциал снижения риска: 50,00 |
Экспертная оценка стоимости: 35,00 |
Расчетная стоимость: 47,00 |
Экспертно-расчетная оценка стоимости: 40,00 |
Мера: М.09. Планирование бесперебойной работы организации
Регион: г. Санкт-Петербург
ЛС: Центральный офис
ПС: Персонал
Объект: ПО «Администратор»
Потенциал снижения |
Расчетная стоимость: 0,00 Экспертная оценка |
Код упорядочивания: |
риска: 13,45 |
стоимости: 0,00 |
|
Мера: М.03.02. Классификация информации по уровням секретности
Регион: г. Санкт-Петербург
ЛС: Центральный офис
ПС: Сетевые сервисы
Объект: Сервер БД
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
|
|
|
|
риска: 10,00 |
17,00 |
стоимости: 0,00 |
|
Мера: М.03.01. Обеспечение ответственности за информационные ресурсы
Регион: г. Санкт-Петербург
ЛС: Центральный офис
ПС: Сетевые сервисы
Объект: Файловый сервер
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 2 |
риска: 14,45 |
9,00 |
стоимости: 25,00 |
|
Комплекс мер: КМ2
Потенциал снижения риска: 50,00 |
Экспертная оценка стоимости: 47,00 |
Расчетная стоимость: 40,00 |
Экспертно-расчетная оценка стоимости: 38,00 |
Мера: М.02.01 Создание инфраструктуры управления информационной безопасностью
Регион: г. Санкт-Петербург
ЛС: Центральный офис
ПС: Сетевые сервисы
Объект: ПО «Администратор»
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 1 |
риска: 31,00 |
29,00 |
стоимости: 27,00 |
|
Мера: М.01.01. Разработка, внедрение и поддержка политики безопасности
Регион: г. Санкт-Петербург
ЛС: Центральный офис
ПС: Сетевые сервисы
Объект: ПО «Администратор»
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 2 |
риска: 19,00 |
11,00 |
стоимости: 20,00 |
|
Лучшим комплексом мер является комплекс мер 1 по внедрению средств защиты, так как стоимость минимальная.
Выбор комплекса контрмер
В связи с тем, что приемлемым остаточным риском считается риск ниже
750 руб., следует выбрать сформированный комплект мер, так как он соответствует требованиям.
750 руб. –
приемлемый уровень риска
КМ 1
|
Остаточный риск |
Уменьше |
|
|
|
|
ние |
|
|
|
риска |
Модель: ООО «Lux» |
Риск до принятия мер: 2425,83 |
||
|
|||
|
|
|
|
КМ1 |
600,00 |
|
1825,83 |
Регион: г. Санкт-Петербург |
Риск до принятия мер: 1772,50 |
||
КМ1 |
0,00 |
|
1772,50 |
ЛС: Центральный офис |
|
|
|
Риск до принятия мер: 1772,50 |
|||
КМ1 |
0,00 |
|
1772,50 |
|
|
|
|
ПС: Сетевые сервисы |
Риск до принятия мер: 1772,50 |
||
КМ1 |
0,00 |
|
1772,50 |
Объект: ПО «Сотрудник» |
Риск до принятия мер: 1572,50 |
||
КМ1 |
0,00 |
|
1572,50 |
|
|
|
|
Объект: ПО «Администратор» |
Риск до принятия мер: 200,00 |
||
КМ1 |
0,00 |
|
200,00 |
Объект: ПО «Финансы» |
Риск до принятия мер: 653,33 |
||
КМ1 |
600,00 |
|
53,33 |
ПС: Сетевые сервисы |
Риск до принятия мер: 100,00 |
||
КМ1 |
100,00 |
|
0,00 |
Объект: АРМ администратора |
Риск до принятия мер: 500,00 |
||
КМ1 |
500,00 |
|
0,00 |
Объект: АРМ сотрудника |
Риск до принятия мер: 0,00 |
||
КМ1 |
0,00 |
|
0,00 |
|
|
|
|
Объект: АРМ каталогизатора |
Риск до принятия мер: 0,00 |
||
КМ1 |
0,00 |
|
53,33 |
|
|
|
|