МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра информационной безопасности
ОТЧЕТ
по лабараторной работе № 14
по дисциплине «Основы информационной безопасности»
Тема: «Оценка структура факторов риска»
Студент гр |
|
Преподаватель |
|
Санкт-Петербург
2023
постановка задачи
1. Описываемая область выбирается студентом на основе собранных
материалов по конкретному предприятию, организации или компании;
2. Цель работы: провести оценку отношений на множестве факторов риска,
расчет профиля риска и определить наиболее значимые факторы;
3. Отчёт выполняется с расчетом профиля риска в РискМенеджер – Анализ
v3.5. и по методике Вихорева, результаты сравнить
ОЦЕНКА СТРУКТУРЫ ФАКТОРОВ РИСКА ПО МЕТОДИКЕ ФСТЭК
С помощью методики ФСТЭК построим структуру видов ущерба,
относящихся к ним субъектов, объектов, видов воздействия и методов
реализации.
Негативные последствия приведены в таблице 1, представленной ниже
Таблица 1 – Виды рисков и негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
Негативные последствия |
У1 |
Ущерб физическому лицу |
Нарушение неприкосновенности частной жизни. Нарушение личной, семейной тайны, утрата чести и доброго имени. Нарушение тайны переписки, телефонных переговоров, иных сообщений. Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. Финансовый, иной материальный ущерб физическому лицу. Нарушение конфиденциальности (утечка) персональных данных. «Травля» гражданина в сети «Интернет». Разглашение персональных данных граждан |
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
Нарушение законодательства Российской Федерации. Недополучение ожидаемой (прогнозируемой) прибыли.
|
Таблица 2 – Возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Разглашение персональных данных граждан (У1) |
База данных информационной системы, содержащая идентификационную информацию граждан |
Утечка идентификационной информации граждан из базы данных |
Удаленное автоматизированное рабочее место (АРМ) пользователя |
Утечка идентификационной информации граждан с АРМ пользователя |
|
Веб-приложение информационной системы, обрабатывающей идентификационную информацию граждан |
Несанкционированный доступ к идентификационной информации граждан, содержащейся в веб-приложении информационной системы |
|
|
|
|
Нарушение законодательства Российской Федерации. (У2)
|
База данных информационной системы, содержащая идентификационную информацию граждан |
Утечка идентификационной информации граждан из базы данных |
Потенциальные источники угроз и возможные цели реализации угроз
приведены в таблице ниже.
Таблица 3 – Условия реализации угроз безопасности нарушителями
№ вида |
Виды нарушителя |
Категории нарушителя |
Возможные цели реализации угроз безопасности информации |
1 |
Отдельные физические лица (хакеры) |
Внешний |
Получение финансовой или иной материальной выгоды. Любопытство или желание самореализации (подтверждение статуса) |
2
|
Разработчики программных, программно- аппаратных средств |
Внутренний |
Внедрение дополнительных функциональных возможностей в программные или программно- аппаратные средства на этапе разработки. Получение конкурентных преимуществ. Получение финансовой или иной материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия |
3 |
Системные администраторы и администраторы безопасности |
Внутренний |
Получение финансовой или иной материальной выгоды. Любопытство или желание самореализации (подтверждение статуса). Месть за ранее совершенные действия. Непреднамеренные, неосторожные или неквалифицированные действия |
4 |
Поставщики вычислительных услуг, услуг связи |
Внутренний |
Получение финансовой или иной материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия. Получение конкурентных преимуществ |
5 |
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ |
Внутренний |
Получение финансовой или иной материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия. Получение конкурентных преимуществ |
Таблица 4 – цели реализации нарушителями угроз безопасности
Виды нарушителей |
Возможные цели реализации угроз безопасности информации |
Соответствие целей видам риска (ущерба) и возможным негативным последствиям |
Нанесение ущерба физическому лицу
|
|
|
Отдельные физические лица (хакеры) |
+ (получение финансовой выгоды за счет шантажа клиентов) |
У1 (утечка и разглашение персональных данных пользователей) |
Разработчики программных, программно- аппаратных средств |
+ (передача информации о пользователях лице третьим лицам) |
У1 (нарушение конфиденциальности персональных данных граждан) У2 (утечка и разглашение персональных данных пользователей)
|
Системные администраторы и администраторы безопасности |
+ (передача информации о пользователях лице третьим лицам) |
У1 (нарушение конфиденциальности персональных данных граждан) У2 (утечка и разглашение персональных данных пользователей)
|
Таблица 5 – определение источников угроз и оценка возможностей нарушителей
№ п/п |
Виды риска (ущерба) и возможные негативные последствия |
Виды актуального нарушителя |
Категория нарушителя |
1 |
У1: нарушение конфиденциальности персональных данных граждан; нарушение личной, семейной тайны, утрата чести и доброго имени; финансовый, иной материальный ущерб физических лиц
|
Отдельные физические лица (хакеры) |
Внешний |
Разработчики программных, программно- аппаратных средств |
Внутренний |
||
Системные администраторы и администраторы безопасности |
Внутренний |
||
|
У2: потеря клиентов; нарушение деловой репутации;
|
Отдельные физические лица (хакеры) |
Внешний |
|
Разработчики программных, программно- аппаратных средств |
Внутренний |
|
|
Системные администраторы и администраторы безопасности |
Внутренний |
Таблица 6 – сценарии реализации угроз безопасности
№ п/п |
Вид нарушителя |
Категория нарушителя |
Объект воздействия |
Доступные интерфейсы |
Способы реализации |
1 |
Отдельные физические лица (хакеры) (Н2)
|
Внешний |
Удаленное автоматизированное рабочее место (АРМ) пользователя: несанкционированный доступ к операционной системе АРМ пользователя; нарушение конфиденциальности информации, содержащейся на АРМ пользователя |
Доступ через локальную вычислительную сеть организации |
Внедрение вредоносного программного обеспечения |
Съемные машинные носители информации, подключаемые к АРМ пользователя |
Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя |
||||
Веб-сайт: отказ в обслуживании веб-сайта |
Веб-интерфейс пользователя веб-сайта
|
Использование уязвимостей кода программного обеспечения веб-сервера Внедрение вредоносного кода в веб-приложение
|
|||
|
|
Сетевые интерфейсы коммутатора сети, где расположен веб-сервер |
Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя |
||
|
|
База данных информационной системы, содержащая идентификационную информацию граждан: несанкционированный доступ к компонентам систем или сетей, защищаемой информации, системным, конфигурационным, иным служебным данным; утечка (нарушение конфиденциальности) защищаемой информации, системных, конфигурационных, иных служебных данных |
Веб-интерфейс удаленного администрирования базы данных информационной системы |
Использование недекларированных возможностей программного обеспечения телекоммуникационного оборудования |
|
|
|
|
Пользовательский веб-интерфейс доступа к базе данных информационной системы |
Использование уязвимостей конфигурации системы управления базами данных |
ОЦЕНКА СТРУКТУРЫ ФАКТОРОВ РИСКА С ПОМОЩЬЮ ПО РискМенеджер – анализ v3.5
Оценка остаточного риска по комплексу мер:
В качестве единиц измерения приняты тыс. руб.
480
тыс. руб.
|
Остаточный риск |
Уменьшение риска |
Модель: ПАО "Ростелеком" |
Риск до принятия мер: 2425,83 |
|
КМ по внедрению политики безопасности |
363,87 |
2061,964 |
|
|
|
Регион: Организация в целом |
Риск до принятия мер: 1455,50 |
|
КМ по внедрению политики безопасности |
1122,55 |
649,95 |
|
|
|
ЛС: Организация в целом |
Риск до принятия мер: 1455,50 |
|
КМ по внедрению политики безопасности |
1122,55 |
649,95 |
|
|
|
ПС: Организация в целом |
Риск до принятия мер: 1455,50 |
|
КМ по внедрению политики безопасности |
1122,55 |
649,95 |
|
|
|
Объект: Организация с АИС |
Риск до принятия мер: 1018,84 |
|
КМ по внедрению политики безопасности |
152,82 |
866,02 |
|
|
|
Объект: Ключевые серверы обработки информации |
Риск до принятия мер: 437,65 |
|
КМ по внедрению политики безопасности |
65,5 |
371,15 |
|
|
|
Регион: Санкт-Петербург |
Риск до принятия мер: 970,33 |
|
КМ по внедрению политики безопасности |
653,33 |
0,00 |
|
|
|
ЛС: Центр обработки данных (ЦОД) |
Риск до принятия мер: 970,33 |
|
КМ по внедрению политики безопасности |
145,55 |
824,78 |
|
|
|
ПС: Базовые сервисы безопасности |
Риск до принятия мер: 542,15 |
|
КМ по внедрению политики безопасности |
81,32 |
460,87 |
|
|
|
Объект: Идентификация и аутентификация |
Риск до принятия мер: 201,85 |
|
КМ по внедрению политики безопасности |
0,00 |
201,85 |
|
|
|
Объект: Межсетевое экранирование |
Риск до принятия мер: 188,28 |
|
КМ по внедрению политики безопасности |
28,24 |
160,03 |
|
|
|
Объект: Шифрование |
Риск до принятия мер: 153,40 |
|
КМ по внедрению политики безопасности |
23,01 |
130,39 |
|
|
|
ПС: Система криптографической защиты |
Риск до принятия мер: 256,13 |
|
КМ по внедрению политики безопасности |
38,41 |
217,71 |
|
|
|
Объект: Криптосервер |
Риск до принятия мер: 256,13 |
|
КМ по внедрению политики безопасности |
83,41 |
217,71 |
|
|
|
ПС: ПО системы криптозащиты |
Риск до принятия мер: 217,07 |
|
КМ по внедрению политики безопасности |
32,56 |
184,50 |
|
|
|
Объект: Криптоменеджер |
Риск до принятия мер: 217,07 |
|
КМ по внедрению политики безопасности |
32,56 |
184,50 |
ВЫВОДЫ
При сравнении рисков, представленных по методике ФСТЭК, были описаны:
• ущерб от их реализации;
• источники;
• методы реализации.
Также была проведена оценка с помощью ПО РискМенеджер - Анализ v3.5. Построены три комплекса мер из которых был выбран самый выгодный по стоимости и сделано заключение о его эффективности. В связи с тем, что приемлемым остаточным риском считается риск ниже 480 тыс. руб., следует выбрать сформированный комплект мер, так как он соответствует требованиям.