МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по практической работе №14
по дисциплине «Основы информационной безопасности» Тема: Оценка структуры факторов риска
Студентка гр.
Преподаватель
Санкт-Петербург
2023
ПОСТАНОВКА ЗАДАЧИ
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
2.Цель работы: провести оценку отношений на множестве факторов риска,
расчет профиля риска и определить наиболее значимые факторы;
3.Отчёт выполняется с расчетом профиля риска в РискМенеджер - Анализ v3.5.
ипо методике Вихорева, результаты сравнить.
1. Оценка структуры факторов риска по методологии ФСТЭК
С помощью методики ФСТЭК построим структуру видов ущерба, относящихся к ним субъектов, объектов, видов воздействия и методов реализации. Негативные последствия приведены в таблице 1.
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
|
|
|
У1 |
Ущерб физическому |
Нарушение конфиденциальности. |
|
лицу |
|
|
Нарушение иных прав и свобод гражданина, закрепленных в |
|
|
|
Конституции Российской |
|
|
Федерации и федеральных законах. |
|
|
|
У2 |
Риски юридическому |
Нарушение законодательства Российской |
|
лицу, |
Федерации. |
|
|
|
|
индивидуальному |
Нарушение штатного режима функционирования |
|
|
|
|
предпринимателю, |
автоматизированной |
|
|
|
|
связанные с |
системы |
|
|
|
|
хозяйственной |
Необходимость дополнительных |
|
|
|
|
деятельностью |
(незапланированных) затрат на выплаты штрафов (неустоек) или |
|
|
|
|
|
компенсаций. |
|
|
|
|
|
Невозможность решения задач или |
|
|
снижение эффективности решения задач |
|
|
|
|
|
Публикация недостоверной информации на |
|
|
веб-ресурсах организации. |
|
|
|
Таблица 1. Виды рисков и негативные последствия от реализации угроз.
В таблице 2 приведены объекты воздействия в соответствии с негативными
последствиями из первой таблицы:
Негативные последствия |
Объекты воздействия |
Виды воздействия |
|
|
|
Нарушение |
База аутентификационных |
Утечка аутентификационных |
конфиденциальности. |
данных |
данных пользователей из БД |
|
|
|
|
АРМ, расположенные в |
Утечка учетной информации, |
|
библиотеке Tele2 |
вводимой пользователями при |
|
|
использовании АРМ |
|
|
|
|
Проводные и беспроводные |
Перехват информации, |
|
|
|
||
|
каналы передачи данных. |
содержащей учетные данные |
|
|
|
||
|
|
пользователей, передаваемой |
|
|
|
по каналам |
|
|
|
|
|
Нарушение иных прав и |
Файловый сервер |
Утечка материалов ЭБС, |
|
свобод гражданина, |
|
защищаемых авторским |
|
закрепленных в Конституции |
|
правом |
|
Российской Федерации и |
|
|
|
АРМ, расположенные в |
Утечка материалов ЭБС, |
||
федеральных законах. |
библиотеке Tele2 |
защищаемых авторским |
|
|
|
правом |
|
|
|
|
|
Нарушение законодательства |
База аутентификационных |
Утечка аутентификационных |
|
|
|||
РФ, необходимость |
данных |
данных пользователей, |
|
|
|||
дополнительных затрат на |
|
защищаемых законом «О |
|
|
|
||
выплаты штрафов (У2) |
|
персональных данных» |
|
|
|
||
|
|
(предусмотрены штрафы) |
|
|
|
|
|
|
Файловый сервер |
Утечка материалов ЭБС, |
|
|
|
||
|
|
защищаемых законом |
|
|
|
«Об авторском праве и |
|
|
|
смежных правах» |
|
|
|
(предусмотрены штрафы) |
|
|
|
|
|
Нарушение штатного |
ПО для администрирования |
Несанкционированный доступ, |
|
режима |
|
нарушение функционирования |
|
функционирования |
|
программно-аппаратных |
|
автоматизированной |
|
средств-администрирования |
|
системы, невозможность |
|
ЭБС |
|
решения задач или |
|
|
|
снижение |
|
|
|
АРМ, расположенные в |
Нарушение |
||
эффективности решения |
библиотеке Tele2 |
функционирования АРМ |
|
|
|||
задач (У2) |
|
|
|
Файловый сервер |
Нарушение |
||
|
|||
|
|
функционирования ЭБС |
|
|
|
(удаление информации, |
|
|
|
необходимой для |
|
|
|
решения задач ЭБС) |
|
|
|
|
|
Публикация недостоверной |
Файловый сервер, СУБД |
Несанкционированная |
|
информации на вебресурсах |
|
модификация, подмена, |
|
организации |
|
искажение информации |
|
|
|
|
Таблица 2. Возможные объекты воздействия угроз безопасности информации
Категории и уровни возможных нарушителей представлены в 3 таблице, в которую
сведены данные для определения видов риска:
№ |
|
Виды риска |
(ущерба) |
и |
|
Виды |
|
Категория |
|
Уровень |
|
|
|
возможные |
негативные |
|
|
актуального |
|
нарушителя |
|
возможностей |
|
|
|
последствия |
|
|
|
нарушителя |
|
|
|
нарушителя |
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
|
У1: |
|
|
|
Хакеры |
|
Внешний |
|
Н2 |
(базовые |
|
|
Нарушение |
|
|
|
|
|
|
|
повышенные |
|
|
|
конфиденциальности (утечка) |
|
|
|
|
|
возможности) |
|||
|
|
персональных данных; |
|
|
|
|
|
|
|
|
|
|
|
|
|
Конкурирующие |
|
Внешний |
|
Н2 |
(базовые |
||
|
|
нарушение иных прав и свобод |
|
организации |
|
|
|
повышенные |
|||
|
|
гражданина, закрепленных в |
|
|
|
|
|
возможности) |
|||
|
|
Конституции РФ и |
|
|
|
|
|
|
|
|
|
|
|
|
|
Администратор |
|
Внутренний |
|
Н2 |
(базовые |
||
|
|
федеральных законах |
|
|
ы ЭБС |
|
|
|
повышенные |
||
|
|
|
|
|
|
|
|
|
|
возможности) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Авторизованные |
|
Внутренний |
|
Н1 |
(базовые |
|
|
|
|
|
|
пользователи |
|
|
|
возможности) |
|
|
|
|
|
|
|
ЭБС |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2 |
|
У2: |
|
|
|
Хакеры |
|
Внешний |
|
Н2 |
(базовые |
|
|
Нарушение законодательства |
|
|
|
|
|
повышенные |
|||
|
|
РФ; |
|
|
|
|
|
|
|
возможности) |
|
|
|
Необходимость |
|
|
|
|
|
|
|
|
|
|
|
|
|
Конкурирующие |
|
Внешний |
|
Н2 |
(базовые |
||
|
|
дополнительных затрат на |
|
|
организации |
|
|
|
повышенные |
||
|
|
выплаты штрафов; |
|
|
|
|
|
|
возможности) |
||
|
|
нарушение штатного режима |
|
|
|
|
|
|
|
||
|
|
|
Администратор |
|
Внутренний |
|
Н2 |
(базовые |
|||
|
|
|
|
|
|
|
|
||||
|
|
функционирования |
|
|
ы ЭБС |
|
|
|
повышенные |
||
|
|
|
|
|
|
|
|
|
|||
|
|
автоматизированной системы; |
|
|
|
|
|
возможности) |
|||
|
|
|
|
|
|
|
|
|
|
||
|
|
невозможность решения задач |
|
|
|
|
|
|
|
||
|
|
или снижение эффективности |
|
Авторизованные |
|
Внутренний |
|
Н1 (базовые |
|||
|
|
|
|
|
|
|
|
|
|||
|
|
решения задач; |
|
|
пользователи |
|
|
|
возможности) |
||
|
|
|
|
|
|
|
|
|
|
||
|
|
публикация недостоверной |
|
|
ЭБС |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
информации на веб-ресурсах |
|
|
|
|
|
|
|
||
|
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 3. Актуальные нарушители
Потенциальные источники угроз и возможные цели реализации угроз приведены в таблице ниже:
|
Виды актуального |
Категории |
Возможные цели реализации угроз |
№ |
нарушителя |
нарушителя |
безопасности информации |
|
|
|
|
|
Хакеры |
Внешний |
Получение финансовой или иной материальной |
1 |
|
|
выгоды |
|
|
|
|
|
Конкурирующие |
Внешний |
Получение материальной выгоды |
2 |
организации |
|
|
|
|
|
|
|
Администраторы ЭБС |
Внутренний |
Получение финансовой или иной материальной |
3 |
|
|
выгоды |
|
|
|
|
|
|
|
Непреднамеренные, неосторожные или |
|
|
|
неквалифицированные действия |
|
|
|
|
|
Авторизованные |
Внутренний |
Получение финансовой или иной материальной |
4 |
пользователи ЭБС |
|
выгоды |
|
|
|
|
|
|
|
Любопытство или желание самореализации |
|
|
|
|
|
|
|
Месть за ранее совершенные действия |
|
|
|
|
|
|
|
Непреднамеренные, неосторожные или |
|
|
|
неквалифицированные действия |
|
|
|
|
Таблица 4. Потенциальные источники угроз и возможные цели
Методы реализации негативного воздействия для указанных видов нарушителей представлены в таблице 5:
Вид нарушителя, |
Объекты воздействия |
Доступные |
Способы реализации |
категория |
|
интерфейсы |
|
|
|
|
|
Хакеры и |
База аутентификационных |
Пользовательский |
Использование |
конкуренты (H2), |
данных: |
веб-интерфейс |
уязвимостей, |
внешний |
утечка аутентификационных |
сайта библиотеки |
инъекций |
|
данных пользователей из БД |
Tele2 |
|
|
|
|
|
|
Файловый сервер: утечка |
Пользовательский |
Использование |
|
материалов ЭБС, защищаемых |
интерфейс доступа |
уязвимостей ПО, |
|
авторским правом; нарушение |
к файловому |
предназначенного |
|
функционирования ЭБС |
серверу ЭБС |
для доступа |
|
(удаление информации, |
|
пользователей к |
|
необходимой для решения |
|
ресурсам файлового |
|
задач ЭБС); |
|
сервера |
|
несанкционированная |
|
|
|
модификация, подмена, |
|
|
|
|
|
|
|
искажение информации |
|
|
|
|
|
|
Администратор |
АРМ, расположенные в |
ПО для |
Ошибочные |
(H2), внутренний |
библиотеке Tele2: утечка |
администрировани |
действия при |
|
аутентификационной |
я системы |
настройке ПО для |
|
информации, вводимой |
(системные и |
администрирования |
|
пользователями при |
сетевые утилиты) |
Внедрение |
|
использовании АРМ; утечке |
|
вредоносного ПО |
|
электронных материалов ЭБС; |
|
через |
|
нарушение функционирования |
|
средства |
|
АРМ |
|
установки/обновлен |
|
|
|
ия |
|
|
|
ПО |
|
|
|
|
Пользователь |
АРМ, расположенные в |
АРМ, |
Ошибочные |
(H1), внутренний |
библиотеке Tele2 |
расположенные в |
действия при |
|
|
библиотеке Tele2 |
пользовании АРМ |
|
|
|
|
Таблица 5. Актуальные способы реализации угроз и соответствующие виды нарушителей
2. Рассмотрим Комплекс Мер ПО РискМенеджер - Анализ v3.5.контрмер:
КМ1
КМ2
Модель: ЭБС и локальная сеть библиотеки Tele2
Комплекс мер: КМ1
Потенциал снижения риска: 50,00 |
Экспертная оценка стоимости: 35,00 |
||
Расчетная стоимость: 47,00 |
|
Экспертно-расчетная оценка стоимости: 40,00 |
|
Мера: М.09. Планирование бесперебойной работы организации |
|||
Регион: Санкт-Петербург |
|
|
|
ЛС: Библиотека Tele2 |
|
|
|
ПС: система ИРБИС |
|
|
|
Объект: ПО «Администратор» |
|
|
|
Потенциал снижения |
Расчетная стоимость: 0,00 Экспертная оценка |
Код упорядочивания: |
|
риска: 13,45 |
|
стоимости: 0,00 |
|
|
|||
Мера: М.03.02. Классификация информации по уровням секретности |
|||
|
|
|
|
Регион: Санкт-Петербург |
|
|
|
ЛС: Библиотека Tele2 |
|
|
|
ПС: ЭБС |
|
|
|
Объект: Сервер БД |
|
|
|
Потенциал снижения риска: |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
10,00 |
17,00 |
стоимости: 0,00 |
|
Мера: М.03.01. Обеспечение ответственности за информационные ресурсы
Регион:
СанктПетербург
ЛС: Библиотека Tele2
ПС: ЭБС
Объект: Файловый сервер
Потенциал |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 2 |
снижения риска: |
9,00 |
стоимости: 25,00 |
|
14,45 |
|
|
|
Комплекс мер: КМ2 |
|
|
|
Потенциал снижения риска: 50,00 |
Экспертная оценка стоимости: 47,00 |
||
Расчетная стоимость: 40,00 |
Экспертно-расчетная оценка стоимости: 38,00 |
||
Мера: М.02.01 Создание инфраструктуры управления информационной безопасностью
Регион:
СанктПетербург
ЛС: Библиотека Tele2
ПС: система ИРБИС
Объект: ПО «Администратор» |
|
|
|
Потенциал |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 1 |
снижения риска: |
29,00 |
стоимости: 27,00 |
|
31,00 |
|
|
|
Мера: М.01.01. Разработка, внедрение и поддержка политики безопасности
Регион:
СанктПетербург
ЛС: Библиотека Tele2
ПС: система ИРБИС
Объект: ПО «Администратор» |
|
|
|
Потенциал |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 2 |
снижения риска: |
11,00 |
стоимости: 20,00 |
|
19,00 |
|
|
|
Лучшим комплексом мер является комплекс мер 1 по внедрению средств защиты, так
как стоимость минимальная.
Выбор комплекса контрмер
В связи с тем, что приемлемым остаточным риском считается риск ниже 750,5 руб.,
следует выбрать сформированный комплект мер, так как он соответствует требованиям.
КМ 1
|
Остаточный риск |
Уменьше |
|
|
ние |
|
|
риска |
Модель: ЭБС и локальная сеть библиотеки БИЛАЙН |
Риск до принятия мер: 2425,83 |
|
КМ1 |
600,00 |
1825,83 |
Регион: Санкт-Петербург |
Риск до принятия мер: 1772,50 |
|
КМ1 |
0,00 |
1772,50 |
ЛС: Библиотека БИЛАЙН |
Риск до принятия мер: 1772,50 |
|
КМ1 |
0,00 |
1772,50 |
ПС: система ИРБИС |
Риск до принятия мер: 1772,50 |
|
КМ1 |
0,00 |
1772,50 |
Объект: ПО «Читатель» |
Риск до принятия мер: 1572,50 |
|
КМ1 |
0,00 |
1572,50 |
Объект: ПО «Администратор» |
Риск до принятия мер: 200,00 |
|
КМ1 |
0,00 |
200,00 |
Объект: ПО «Каталогизатор» |
Риск до принятия мер: 653,33 |
|
КМ1 |
600,00 |
53,33 |
ПС: ЭБС |
Риск до принятия мер: 100,00 |
|
КМ1 |
100,00 |
0,00 |
Объект: АРМ администратора |
Риск до принятия мер: 500,00 |
|
КМ1 |
500,00 |
0,00 |
Объект: АРМ читателя |
Риск до принятия мер: 0,00 |
|
КМ1 |
0,00 |
0,00 |