МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра информационной безопасности
Отчет
по практической работе №14
по дисциплине «Основы информационной безопасности»
Тема: Оценка структуры факторов риска
Студент гр. |
|
Преподаватель |
|
Санкт-Петербург
2023
Постановка задачи
Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
Цель работы: провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы;
Отчёт выполняется с расчетом профиля риска в РискМенеджер - Анализ v3.5. и по методике Вихорева, результаты сравнит
Оценка структуры факторов риска по методологии фстек
С помощью методики ФСТЕК построим структуру видов ущерба, относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Таблица 1 – Виды рисков (ущерба) и типовые негативные последствия от реализации угроз безопасности информации
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
У1 |
Ущерб физическому лицу |
Утечка персональных данных (ФИО, дата рождения, паспортные данные). |
Нарушение безопасности физического лица (утечка геоданных). |
||
Финансовый ущерб физическому лицу (утечка банковского счёта). |
||
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. |
||
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
Нарушение законодательства Российской Федерации. |
Недополучение ожидаемой (прогнозируемой) прибыли. |
||
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций.
|
||
|
|
Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств). |
|
|
Срыв запланированной сделки с партнером. |
Таблица 2 – Определение объектов воздействия и видов воздействия на них
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Нарушение конфиденциальности. |
БД |
Утечка данных о пользователях. |
Беспроводные каналы связи |
Кража/подмена данных предприятия. |
|
Финансовый ущерб физическому лицу. |
БД, компьютеры бухгалтеров |
Утеря данных о проекте. |
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. |
БД, компьютеры сотрудников, администраторов, руководства |
Раскрытие данных об авторских проектах, кража объектов интеллектуальной собственности. |
Недополучение ожидаемой (прогнозируемой) прибыли. |
Сайт, веб-сервер, БД, компьютеры сотрудников, бухгалтерии, руководства. |
DDoS-атаки на сервер, временная неработоспособность сервера, утеря данных о проектах, ошибки сотрудников. |
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. |
||
Проникновение в корпоративную сеть неавторизованного пользователя. |
Сотрудники, электронная почта. |
Фишиговые ссылки, подброшенные носители с вредоносным ПО. |
Таблица 3 – Возможные цели реализации угроз безопасности информации нарушителям
Вид нарушителя |
Категория нарушителя |
Возможные цели реализации угроз |
Конкуренты |
Внешний |
Снижение конкурентоспособности организации. |
Сотрудники |
Внутренний |
Непреднамеренные действия, тормозящие работу организации. |
Преднамеренные действия с целью получения выгоды/реализации собственных интересов. |
||
Хакеры |
Внешний |
Любопытство. Тренировка. Получение выгоды. |
Поставщики услуг связи |
Внешний |
Материальная выгода |
Таблица 4 – Оценка целей реализации нарушителями угроз безопасности информации в зависимости от возможных негативных последствий и видов ущерба от их реализации
Виды риска/ущерба и возможные негативные последствия |
Виды и категория нарушителя |
Уровень возможностей |
Нарушение конфиденциальности.
Финансовый ущерб физическому лицу.
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах.
Нарушение законодательства Российской Федерации.
Недополучение ожидаемой (прогнозируемой) прибыли.
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств).
Срыв запланированной сделки с партнером.
|
Хакеры, внешний |
H1 |
Сисадмин, внутренний |
H2 |
|
Сотрудники, внутренний |
H1 |
|
Дополнительный персонал, внутренний |
H1 |
|
Конкуренты, внешний |
H2 |
|
Поставщики услуг связи, внешний |
H2 |
Таблица 5 – Определение актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности
Вид нарушителя, категория |
Объекты воздействия |
Доступные интерфейсы |
Способы реализации |
Хакеры (H2), внешний |
CУБД, сотрудники |
Веб-сайт компании, электронная почта, территория предприятия. |
Использование уязвимостей, инъекций, социальной инженерии. |
Конкуренты (H2), внешний |
|||
Поставщики услуг связи (H2), внешний |
Рабочие места сотрудников, вебсервер |
ПАК предприятия |
Целенаправленный перехват информации, отказ от обслуживания. |
Сисадмин (H2), внутренний |
ПАК предприятия |
ПАК предприятия |
Ошибки в настройке, продажа данных, намеренное или случайное их удаление. |
Сотрудник (H1), внутренний |
Рабочие места сотрудников |
Рабочие места сотрудников |
Пользовательские ошибки |
Дополнительный персонал (H1), внутренний |
- |
- |
Непреднамеренное причинение вреда ПАК, саботаж |