МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ ПО ЛАБАРАТОРНОЙ РАБОТЕ № 14
по дисциплине «Основы информационной безопасности» Тема: «Оценка структура факторов риска»
Студент гр.
Преподаватель
Санкт-Петербург
2023
ПОСТАНОВКА ЗАДАЧИ
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
2.Цель работы: провести оценку отношений на множестве факторов риска,
расчет профиля риска и определить наиболее значимые факторы;
3.Отчёт выполняется с расчетом профиля риска в РискМенеджер – Анализ v3.5. и по методике Вихорева, результаты сравнить
ОЦЕНКА СТРУКТУРЫ ФАКТОРОВ РИСКА ПО МЕТОДИКЕ ФСТЭК
С помощью методики ФСТЭК построим структуру видов ущерба,
относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Негативные последствия приведены в таблице 1, представленной ниже
Таблица 1 – Виды рисков и негативные последствия от реализации угроз
№ |
Виды |
Негативные последствия |
|
||
|
риска (ущерба) |
|
|
|
|
У1 |
Ущерб физическому лицу |
Нарушение неприкосновенности частной жизни. |
|||
|
|
Нарушение личной, семейной тайны, утрата чести и |
|||
|
|
доброго имени. Нарушение тайны переписки, |
|||
|
|
телефонных переговоров, иных сообщений. |
|||
|
|
Нарушение иных прав и свобод гражданина, |
|||
|
|
закрепленных |
в |
Конституции |
Российской |
|
|
Федерации и федеральных законах. Финансовый, |
|||
|
|
иной материальный ущерб физическому лицу. |
|||
|
|
Нарушение |
конфиденциальности |
(утечка) |
|
|
|
персональных данных. «Травля» гражданина в сети |
|||
|
|
«Интернет». Разглашение персональных данных |
|||
|
|
граждан |
|
|
|
У2 |
Риски юридическому лицу, |
Нарушение законодательства Российской |
|||
|
индивидуальному |
Федерации. |
|
|
|
|
предпринимателю, связанные с |
|
|
|
|
|
Недополучение ожидаемой (прогнозируемой) |
||||
|
хозяйственной деятельностью |
||||
|
прибыли. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 2 – Возможные объекты воздействия угроз безопасности информации
Негативные |
Объекты воздействия |
Виды воздействия |
|
последствия |
|
|
|
|
|
|
|
|
База данных |
Утечка идентификационной информации |
|
|
информационной |
граждан из базы данных |
|
|
системы, содержащая |
|
|
|
идентификационную |
|
|
|
информацию граждан |
|
|
Разглашение |
Удаленное |
Утечка идентификационной информации |
|
автоматизированное |
граждан с АРМ пользователя |
||
персональных |
|||
рабочее место (АРМ) |
|
||
данных граждан |
|
||
пользователя |
|
||
(У1) |
|
||
Веб-приложение |
Несанкционированный доступ к |
||
|
|||
|
информационной |
идентификационной информации граждан, |
|
|
системы, |
содержащейся в веб-приложении |
|
|
обрабатывающей |
||
|
информационной системы |
||
|
идентификационную |
||
|
|
||
|
информацию граждан |
|
|
Нарушение |
База данных |
Утечка идентификационной информации |
|
законодательства |
информационной |
граждан из базы данных |
|
Российской |
системы, содержащая |
|
|
идентификационную |
|
||
Федерации. |
|
||
информацию граждан |
|
||
(У2) |
|
||
|
|
||
|
|
|
Потенциальные источники угроз и возможные цели реализации угроз
приведены в таблице ниже.
Таблица 3 – Условия реализации угроз безопасности нарушителями
№ |
Виды |
Категории |
Возможные цели реализации угроз |
||||
вида |
нарушителя |
нарушителя |
безопасности информации |
|
|||
1 |
Отдельные физические |
Внешний |
Получение |
финансовой |
или |
иной |
|
|
лица (хакеры) |
|
материальной выгоды. |
|
|
||
|
|
|
Любопытство |
|
или |
желание |
|
|
|
|
самореализации (подтверждение статуса) |
||||
2 |
Разработчики |
Внутренний |
Внедрение |
|
дополнительных |
||
|
программных, |
|
функциональных |
возможностей |
в |
||
|
программно- |
|
программные |
или |
программно- |
||
|
аппаратных средств |
|
аппаратные средства на этапе разработки. |
||||
|
|
|
Получение конкурентных преимуществ. |
||||
|
|
|
Получение |
финансовой |
или |
иной |
|
|
|
|
материальной выгоды. |
|
|
||
|
|
|
Непреднамеренные, |
неосторожные |
или |
||
|
|
|
неквалифицированные действия |
|
|||
3 |
Системные |
|
Внутренний |
Получение |
финансовой |
или |
иной |
|
администраторы |
и |
|
материальной выгоды. |
|
|
|
|
администраторы |
|
|
Любопытство |
или |
|
желание |
|
безопасности |
|
|
самореализации (подтверждение статуса). |
|||
|
|
|
|
Месть за ранее совершенные действия. |
|||
|
|
|
|
Непреднамеренные, неосторожные или |
|||
|
|
|
|
неквалифицированные действия |
|
||
|
|
|
|
|
|
||
4 |
Поставщики |
|
Внутренний |
Получение финансовой или иной |
|
||
|
вычислительных услуг, |
|
материальной выгоды. |
|
|
||
|
услуг связи |
|
|
Непреднамеренные, неосторожные или |
|||
|
|
|
|
||||
|
|
|
|
неквалифицированные действия. |
|
||
|
|
|
|
Получение конкурентных преимуществ |
|||
|
|
|
|
|
|||
5 |
Лица, привлекаемые для |
Внутренний |
Получение финансовой или иной |
|
|||
|
установки, настройки, |
|
материальной выгоды. Непреднамеренные, |
||||
|
испытаний, |
|
|
неосторожные или неквалифицированные |
|||
|
пусконаладочных и |
|
|
действия. |
|
|
|
|
иных видов работ |
|
|
Получение конкурентных преимуществ |
|||
|
|
|
|
|
|
|
|
Таблица 4 – цели реализации нарушителями угроз безопасности
|
Виды |
|
|
|
|
|
Возможные цели |
|
|
Соответствие целей видам |
||||||||
нарушителей |
|
|
|
реализации угроз |
|
|
риска (ущерба) и возможным |
|||||||||||
|
|
|
|
|
|
|
|
|
безопасности |
|
|
негативным последствиям |
||||||
|
|
|
|
|
|
|
|
|
информации |
|
|
|
|
|
|
|
||
|
|
|
|
|
|
Нанесение ущерба физическому |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
лицу |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Отдельные физические |
|
|
|
|
|
|
+ |
|
|
|
|
У1 |
|
|
||||
лица (хакеры) |
|
|
(получение финансовой выгоды за |
|
|
(утечка |
и |
разглашение |
||||||||||
|
|
|
|
|
счет шантажа клиентов) |
|
персональных |
данных |
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
пользователей) |
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Разработчики |
|
|
|
|
|
|
|
+ |
|
|
|
|
У1 |
|
|
|||
программных, |
|
|
|
(передача информации о пользователях |
|
|
|
(нарушение |
||||||||||
программноаппаратных |
|
|
|
лице третьим лицам) |
|
|
конфиденциальности |
|||||||||||
средств |
|
|
|
|
|
|
|
|
|
|
|
|
персональных данных |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
граждан) |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
У2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(утечка и разглашение |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
персональных |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
данных |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
пользователей) |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
Системные администраторы и |
|
|
|
|
+ |
|
|
|
|
У1 |
|
|
||||||
администраторы безопасности |
(передача информации о пользователях |
|
|
|
(нарушение |
|||||||||||||
|
|
|
|
|
|
|
|
лице третьим лицам) |
|
|
конфиденциальности |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
персональных данных |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
граждан) |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
У2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(утечка и разглашение |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
персональных данных |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
пользователей) |
|
|
||
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
Таблица 5 – определение источников угроз и оценка возможностей нарушителей |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
№ |
|
Виды риска (ущерба) и |
|
|
|
|
Виды |
|
|
|
Категория |
|
|||||
|
п/п |
|
возможные негативные |
|
|
|
|
актуального |
|
|
|
нарушителя |
|
|||||
|
|
|
последствия |
|
|
|
|
нарушителя |
|
|
|
|
|
|
||||
|
1 |
|
|
У1: |
|
|
|
|
Отдельные |
|
|
|
Внешний |
|
||||
|
|
|
нарушение |
|
|
|
|
физические лица(хакеры) |
|
|
|
|
||||||
|
|
|
конфиденциальности |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
персональных данных граждан; |
|
Разработчики |
|
|
|
Внутренний |
|
||||||||
|
|
|
|
программных, |
|
|
|
|
|
|
||||||||
|
|
|
нарушение личной, |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
программно- |
|
|
|
|
|
|
||||||
|
|
|
семейной тайны, утрата |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
аппаратных средств |
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
чести и доброго имени; |
Системные |
Внутренний |
|
финансовый, иной |
администраторы и |
|
|
материальный ущерб физических |
администраторы |
|
|
безопасности |
|
|
|
лиц |
|
|
|
|
|
|
|
|
|
|
|
|
Отдельные физические |
Внешний |
|
|
лица (хакеры) |
|
|
|
|
|
|
У2: |
Разработчики |
Внутренний |
|
программных, |
|
|
|
потеря клиентов; |
|
|
|
программно- |
|
|
|
нарушение деловой репутации; |
|
|
|
аппаратных средств |
|
|
|
|
|
|
|
|
Системные |
Внутренний |
|
|
администраторы и |
|
|
|
администраторы |
|
|
|
безопасности |
|
Таблица 6 – сценарии реализации угроз безопасности
№ |
Вид нарушителя |
Категория |
Объект |
Доступные |
Способы |
|
|
п/п |
|
нарушителя |
воздействия |
интерфейсы |
реализации |
|
|
1 |
Отдельные |
Внешний |
Удаленное |
Доступ |
|
Внедрение |
|
|
физические |
|
автоматизир |
|
чере |
вр |
|
|
|
|
ованное |
злокальную |
едоносного |
|
|
|
лица(хакеры) |
|
рабочее |
вычислительную |
программного |
|
|
|
(Н2) |
|
|
|
сеть |
обеспечения |
|
|
|
|
место |
организации |
|
|
|
|
|
|
(АРМ) |
Съемные |
машинные |
Использование |
|
|
|
|
носители |
информации, |
уязвимостей |
|
|
|
|
|
пользовател |
|
|||
|
|
|
подключаемые к АРМ |
конфигурации |
|
||
|
|
|
я: |
|
|||
|
|
|
пользователя |
системы |
|
||
|
|
|
несанкциони |
|
|||
|
|
|
|
|
|
|
|
|
|
|
рованный |
|
|
управления |
|
|
|
|
доступ к |
|
|
|
|
|
|
|
|
|
доступом |
к |
|
|
|
|
операционн |
|
|
||
|
|
|
|
|
|
|
|
|
|
|
ой |
|
|
АРМ |
|
|
|
|
|
|
|
|
|
|
|
|
системе |
|
|
пользователя |
|
|
|
|
|
|
|
|
|
|
|
|
АРМ |
|
|
|
|
|
|
|
пользовател |
|
|
|
|
|
|
|
я; |
|
|
|
|
|
|
|
нарушение |
|
|
|
|
|
|
|
конфиденци |
|
|
|
|
|
|
|
альности |
|
|
|
|
|
|
|
информации |
|
|
|
|
|
|
|
, |
|
|
|
|
|
|
|
содержащей |
|
|
|
|
|
|
|
ся наАРМ |
|
|
|
|
пользовател
я
|
Веб-интерфейс |
Использование |
|
|
пользователя веб-сайта |
уязвимостей |
|
|
|
кода |
|
|
|
программного |
|
|
|
обеспечениявеб- |
|
|
|
сервера |
|
|
|
Внедрение |
|
|
|
вре |
|
Веб-сайт: |
|
доносного |
|
|
кода в веб- |
||
отказ в |
|
||
|
приложение |
||
обслуживан |
|
||
|
|
||
ии веб-сайта |
|
|
|
Сетевые интерфейсы |
Использование |
||
|
|||
|
коммутатора сети, где |
уязвимостей |
|
|
расположен веб-сервер |
конфигурации |
|
|
|
системы |
|
|
|
управления |
|
|
|
доступом |
|
|
|
к АРМ |
|
|
|
пользователя |
|
База данных |
Веб-интерфейс |
Использование |
|
информацион |
удаленного |
недекларированн |
|
ной системы, |
администрирования |
ых |
|
содерж |
базы данных |
возможностей |
|
ащая |
информационной |
программного |
|
идентификац |
системы |
обеспечения |
|
телекоммуникац |
|||
ионную |
|
||
|
ионного |
||
информацию |
|
||
|
оборудования |
||
граждан: |
|
||
Пользовательский веб- |
Использование |
||
несанкциони |
|||
интерфейс доступа к |
уязвимостей |
||
рованный |
|||
базе данных |
конфигурации |
||
доступ к |
|||
информационной |
системы |
||
компонентам |
|||
управления |
|||
системы |
|||
систем или |
|||
базами данных |
|||
|
|||
сетей, |
|
||
|
|
||
защищаемой |
|
|
|
информ |
|
|
|
ации, |
|
|
|
системным, |
|
|
|
конфигурацио |
|
|
|
нным, иным |
|
|
служебным данным;
утечка (нарушение
конфиденци альности) защищаемой
информации , системных, конфигурац ионных, иных служебных данных
ОЦЕНКА СТРУКТУРЫ ФАКТОРОВ РИСКА С ПОМОЩЬЮ ПО |
||||||
|
РискМенеджер – анализ v3.5 |
|
|
|||
Оценка остаточного риска по комплексу мер: |
|
|
|
|||
|
КМ по внедрению политики безопасности |
|
|
|||
До принятия мер |
|
|
|
|
2425,8 |
|
После принятия мер |
363,87 |
|
|
|
|
|
0 |
500 |
1000 |
1500 |
2000 |
2500 |
3000 |
В качестве единиц измерения приняты тыс. руб. |
|
|
||||
|
КМ по внедрению политики безопасности |
|
|
|||
2500 |
|
|
|
|
|
|
2000 |
|
|
|
|
|
|
1500 |
|
|
|
|
|
|
|
|
|
|
2425,8 |
|
|
1000 |
|
|
|
|
|
|
|
480 тыс. руб. |
|
|
|
|
|
500 |
|
|
|
|
|
|
|
363,87 |
|
|
|
|
|
0 |
|
|
|
|
|
|
|
После принятия мер |
|
|
До принятия мер |
|
|