МИНОБРНАУКИ РОССИИ
САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
«ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА)
Кафедра Информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА № 14
по дисциплине «Основы информационной безопасности»
Тема: Оценка структуры факторов риска
-
Студент гр.
Преподаватель
Санкт Петербург
2023
Постановка задачи
Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
Цель работы: провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы;
Отчёт выполняется с расчетом профиля риска в РискМенеджер - Анализ v3.5. и по методике Вихорева, результаты сравнить
Оценка структуры факторов риска по методологии фстэк
С помощью методики ФСТЭК построим структуру видов ущерба,
относящихся к ним субъектов, объектов, видов воздействия и методов реализации.
Негативные последствия приведены в таблице 1, представленной ниже
Таблица 1 – Виды рисков и негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
У1 |
Ущерб физическому лицу |
Нарушение конфиденциальности. |
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. |
||
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
Нарушение законодательства Российской Федерации. |
Нарушение штатного режима функционирования автоматизированной системы |
||
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. |
||
Невозможность решения задач или снижение эффективности решения задач |
||
Публикация недостоверной информации на веб-ресурсах организации. |
В таблице 2 приведены объекты воздействия в соответствии с негативными последствиями из первой таблицы.
Таблица 2 – Возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Нарушение конфиденциальности. |
База аутентификационных данных |
Утечка аутентификационных данных пользователей из БД |
АРМ сотрудников |
Утечка учетной информации, вводимой пользователями при использовании АРМ |
|
Проводные и беспроводные каналы передачи данных. |
Перехват информации, содержащей учетные данные пользователей, передаваемой по каналам |
|
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. |
Файловый сервер |
Утечка материалов ЭБС, защищаемых авторским правом |
АРМ сотрудниколв |
Утечка материалов ЭБС, защищаемых авторским правом |
|
Нарушение законодательства РФ, необходимость дополнительных затрат на выплаты штрафов (У2) |
База аутентификационных данных |
Утечка аутентификационных данных пользователей, защищаемых законом «О персональных данных» (предусмотрены штрафы) |
Файловый сервер |
Утечка материалов ЭБС, защищаемых законом «Об авторском праве и смежных правах» (предусмотрены штрафы) |
|
Нарушение штатного режима функционирования автоматизированной системы, невозможность решения задач или снижение эффективности решения задач (У2) |
ПО для администрирования |
Несанкционированный доступ, нарушение функционирования программно- аппаратных средств-администрирования ЭБС |
АРМ сотрудников
|
Нарушение функционирования АРМ |
|
Файловый сервер |
Нарушение функционирования ЭБС (удаление информации, необходимой для решения задач ИС) |
Публикация недостоверной информации на веб- ресурсах организации |
Файловый сервер, СУБД |
Несанкционированная модификация, подмена, искажение информации |
Категории и уровни возможных нарушителей
представлены в 3 таблице, в
которую
сведены данные
для
определения видов
риска.
Таблица 3 – Актуальные нарушители
№ |
Виды риска (ущерба) и возможные негативные последствия |
Виды актуального нарушителя |
Категория нарушителя |
Уровень возможностей нарушителя |
1 |
У1: нарушение конфиденциальности (утечка) персональных данных; нарушение иных прав и свобод гражданина, закрепленных в Конституции РФ и федеральных законах |
Хакеры |
Внешний |
Н2 (базовые повышенные возможности) |
Конкурирующие организации |
Внешний |
Н2 (базовые повышенные возможности) |
||
Администраторы |
Внутренний |
Н2 (базовые повышенные возможности) |
||
Сотрудники |
Внутренний |
Н1 (базовые возможности) |
||
2 |
У2: нарушение законодательства РФ; необходимость дополнительных затрат на выплаты штрафов; |
Хакеры |
Внешний |
Н2 (базовые повышенные возможности) |
Конкурирующие организации |
Внешний |
Н2 (базовые повышенные возможности) |
|
нарушение штатного режима функционирования автоматизированной системы; невозможность решения задач или снижение эффективности решения задач; публикация недостоверной информации на веб-ресурсах организации |
Администраторы |
Внутренний |
Н2 (базовые повышенные возможности) |
Сотрудники |
Внутренний |
Н1 (базовые возможности) |
Потенциальные источники угроз и возможные цели реализации угроз приведены в таблице ниже
№ |
Виды актуального нарушителя |
Категории нарушителя |
Возможные цели реализации безопасности информации |
угроз |
1 |
Хакеры |
Внешний |
Получение финансовой или материальной выгоды |
иной |
2 |
Конкурирующие организации |
Внешний |
Получение материальной выгоды |
|
3 |
Администраторы ЭБС |
Внутренний |
Получение финансовой или материальной выгоды |
иной |
Непреднамеренные, неосторожные неквалифицированные действия |
или |
|||
4 |
Авторизованные пользователи ЭБС |
Внутренний |
Получение финансовой или материальной выгоды |
|
Любопытство или желание самореализации |
||||
Месть за ранее совершенные действия |
||||
Непреднамеренные, неосторожные неквалифицированные действия |
или |
|||
Методы реализации негативного воздействия для указаных видов нарушителей представлены в таблице 5.
Таблица 5 – Актуальные способы реализации угроз и соответствующие виды нарушителей
Вид нарушителя, категория |
Объекты воздействия |
Доступные интерфейсы |
Способы реализации |
|
Хакеры и конкуренты (H2), внешний |
База аутентификационных данных: утечка аутентификационных данных пользователей из |
Пользовательский веб-интерфейс сайта
|
Использование уязвимостей, инъекций |
|
|
БД |
|
|
|
|
Файловый сервер: утечка материалов, нарушение функционирования ИС (удаление информации, необходимой для решения задач); несанкционированная модификация, подмена, искажение информации |
Пользовательский интерфейс доступа к файловому серверу ЭБС |
Использование уязвимостей ПО, предназначенного для доступа пользователей к ресурсам файлового сервера |
|
Администартор |
АРМ сотрудников: |
ПО для |
Ошибочные действия |
|
(H2),внутренний |
утечка |
администрирования |
при настройке ПО для |
|
|
аутентификационной |
системы (системные |
администрирования |
|
|
информации, вводимой |
и сетевые утилиты) |
Внедрение |
|
|
пользователями при |
|
вредоносного ПО через |
|
|
использовании АРМ; утечке |
|
средства |
|
|
электронных материалов |
|
установки/обновления |
|
|
ЭБС; нарушение |
|
ПО |
|
|
функционирования АРМ |
|
|
|
Пользователь (H1), внутренний |
АРМ сотрудников |
АРМ сотрудников
|
Ошибочные действия при пользовании АРМ |
|