МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра ИБ
отчет
по практической работе №14
по дисциплине «Основы информационной безопасности»
«Оценка структуры факторов риска»
Студент гр. |
|
Преподаватель |
|
Санкт-Петербург
2023
Цель: Провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы.
ОБЩИЕ ПОЛОЖЕНИЯ
Документы, используемые для оценки угроз безопасности информации и разработки модели угроз: "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" утвержденная Заместителем директора ФСТЭК России 14 февраля 2008г.; "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (выписка), утвержденная Заместителем директора ФСТЭК России 15 февраля 2008г.
Обладатель информации: компания ООО «Сбермаркет», предприятие по доставке еды.
Подразделение, ответственное за обеспечение защиты информации (безопасности) систем и сетей: подразделение информационной безопасности «Сбермаркет».
Оценка структуры факторов риска по методологии ФСТЭК
С помощью методики ФСТЭК построим структуру видов ущерба, относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Негативные последствия приведены в таблице:
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
У1 |
Ущерб физическому лицу |
Нарушение конфиденциальности. |
Финансовый ущерб физическому лицу. |
||
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. |
||
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
Нарушение законодательства Российской Федерации. |
Недополучение ожидаемой (прогнозируемой) прибыли. |
||
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. |
||
Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств). |
||
Срыв запланированной сделки с партнером. |
В таблице 2 приведены объекты воздействия в соответствии с негативными последствиями из первой таблицы.
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Нарушение конфиденциальности. |
БД |
Утечка данных о пользователях. |
Беспроводные каналы связи |
Кража/подмена данных предприятия. |
|
Финансовый ущерб физическому лицу. |
БД, каналы связи |
Утеря данных о проекте. |
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. |
БД, Рабочие места сотрудников, системного администратора |
Раскрытие данных об авторских проектах, кража объектов интеллектуальной собственности. |
Недополучение ожидаемой (прогнозируемой) прибыли. |
Сайт, веб-сервер, БД, рабочие места сотрудников. |
DDoS-атаки на сервер, временная неработоспособность сервера, утеря данных о проектах, ошибки сотрудников. |
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. |
||
Проникновение в корпоративную сеть неавторизованного пользователя. |
Сотрудники, электронная почта. |
Фишиговые ссылки, подброшенные носители с вредоносным ПО. |
Категории и уровни возможных нарушителей представлены в 3 таблице, в которую сведены данные для определения видов риска.
Виды риска/ущерба и возможные негативные последствия |
Виды и категория нарушителя |
Уровень возможностей |
Нарушение конфиденциальности. |
Хакеры, внешний |
H1 |
Финансовый ущерб физическому лицу.
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах.
Нарушение законодательства Российской Федерации.
Недополучение ожидаемой (прогнозируемой) прибыли.
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств).
Срыв запланированной сделки с партнером.
|
Сисадмин, внутренний |
H2 |
Сотрудники, внутренний |
H1 |
|
Дополнительный персонал, внутренний |
H1 |
|
Конкуренты, внешний |
H2 |
|
Поставщики услуг связи, внешний |
H2 |
Потенциальные источники угроз и возможные цели реализации угроз приведены в таблице ниже
Вид нарушителя |
Категория нарушителя |
Возможные цели реализации угроз |
Конкуренты |
Внешний |
Снижение конкурентоспособности организации. |
Сотрудники |
Внутренний |
Непреднамеренные действия, тормозящие работу организации. |
Преднамеренные действия с целью получения выгоды/реализации собственных интересов. |
||
Хакеры |
Внешний |
Любопытство. Тренировка. Получение выгоды. |
Поставщики услуг связи |
Внешний |
Материальная выгода |
Методы реализации негативного воздействия для указаных видов нарушителей представлены в таблице 5.
Вид нарушителя, категория |
Объекты воздействия |
Доступные интерфейсы |
Способы реализации |
Хакеры (H2), внешний |
CУБД, сотрудники |
Веб-сайт компании, электронная почта, территория предприятия. |
Использование уязвимостей, инъекций, социальной инженерии. |
Конкуренты (H2), внешний |
|||
Поставщики услуг связи (H2), внешний |
Рабочие места сотрудников, веб-сервер |
ПАК предприятия |
Целенаправленный перехват информации, отказ от обслуживания. |
Сисадмин (H2), внутренний |
ПАК предприятия |
ПАК предприятия |
Ошибки в настройке, продажа данных, намеренное или случайное их удаление. |
Сотрудник (H1), внутренний |
Рабочие места сотрудников |
Рабочие места сотрудников |
Пользовательские ошибки |
Дополнительный персонал (H1), внутренний |
- |
- |
Непреднамеренное причинение вреда ПАК, саботаж |
Описание базового объекта
Объект располагается в Москве, РФ, спокойная метеорологическая, сейсмическая и гидрологическая обстановка, предприятий в округе нет.
Компания по доставке еды «Сбермаркет» имеет гетерогенную, иерархическую корпоративную информационную сеть:
имеет равенство приоритетов целей ИБ
пользователи имеют разные права доступа к информации
не имеет удаленных и мобильных пользователей
сопряженную с сетью Internet
Перечень актуальных угроз.
№ |
Угроза |
1 |
Несанкционированного копирования защищаемой информации |
2 |
Хищения средств хранения, обработки и (или) ввода/вывода/передачи информации |
3 |
Заражения вирусом |
4 |
Несанкционированного доступа к аутентификационной информации |
5 |
Уничтожение информации |
Представленные мероприятия по обеспечению безопасности можно реализовать с помощью следующих комплексов мер:
комплекс мер по внедрению средств защиты;
комплекс мер по развитию инфраструктуры управления ИБ;
комплекс мер по внедрению политики безопасности.
Комплекс мер по внедрению дополнительного узла
Данные комплексы предполагают устранение одних и тех же угроз, следовательно, необходим анализ каждого комплекса для выявления наиболее выгодного для реализации комплекса. Эти данные были обработаны в ходе лабораторной работы № 1 и был сделан вывод о том, что наиболее выгодным является комплекс мер по внедрению средств защиты.
Рисунок 3 – Комплекс мер
Как видно из графика комплекс мер по внедрению средств защиты имеет самую минимальную стоимость и максимальную эффективность, это было рассмотрено в практической работе №7.
Для доказательства эффективности выбранного комплекса мер рассмотрим уровень остаточного риска из практической работы № 8.
Рисунок 4 – Сравнение оценок остаточного риска
Вывод: При анализе методик можно сделать вывод, что имеются комплексы мер, которые дают эффективный результат и имеют минимальную стоимость. Из полученного можно сделать вывод о том, что после принятия мер риски уменьшились. Оценка остаточного риска менее 30% от первичных рисков. Тогда мы получаем, что комплекс мер самый выгодный и эффективный. В связи с тем, что приемлемым остаточным риском считается риск ниже 2500 руб., следует выбрать сформированный комплект мер, так как он соответствует требованиям.