Курсовая работа: Анализ угроз и разработка политики безопасности информационной системы отделения Пенсионного фонда Российской Федерации
возможная мотивация действий – неосторожность
Ошибка технического обслуживания
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – невнимательность техника, методы нападения – неэффективная установка компьютерных компонентов, устройств сети.
Объект нападения аппаратные и сетевые средства.
Тип потери – затруднение в деятельности
Масштаб ущерба – средний
Источник угроз техническое обслуживание
опыт – высокий
знания – обязательны
доступные ресурсы – аппаратные
возможная мотивация действий – небрежность
Авария программного обеспечения
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – внутренний дефект ПО, методы нападения – удаление файла.
Объект нападения программное обеспечение.
Тип потери – целостности информации, затруднения в деятельности
Масштаб ущерба – высокий
Источник угроз работники отделения
опыт – минимальный
знания – необходимы
доступные ресурсы программное обеспечение
возможная мотивация действий – неосторожность
Использование программного обеспечения неавторизованным пользователями
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – возможность неавторизованного входа, методы нападения использование программы для взлома сетей.
Объект нападения – БД
Тип потери конфиденциальность информации, затруднения в деятельности
Масштаб ущерба – высокий
Источник угроз пользователь АРМ
опыт – не обязателен
знания – не обязательны
доступные ресурсы информационные ресурсы
возможная мотивация действий – самоутверждение
Использование программного обеспечения неавторизованными способом
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – отсутствие проверки прав и возможностей пользователя, методы нападения – использование программы для взлома сетей.
Объект нападения – сервер
Тип потери конфиденциальность информации, материальные потери
Масштаб ущерба – высокий
Источник угроз – хакер
опыт – максимальный
знания – отличные
доступные ресурсы информационные ресурсы
возможная мотивация действий – осуществление несанкционированного доступа.
Подделка идентификатора пользователя
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – несовершенство защиты ПО, методы нападения – применение чужого пароля.
Объект нападения информация
Тип потери конфиденциальность
Масштаб ущерба – высокий
Источник угроз – персонал
опыт – высокий уровень
знания – необходимы
доступные ресурсы информационные
возможная мотивация действий –умысел.
Нелегальное использование программного обеспечения
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – вредоносные подпрограммы встроенные в программы, методы нападения закачивание вируса.
Объект нападения системы, ОС, ПО
Тип потери – доступность
Масштаб ущерба – средний
Источник угроз нелегальное ПО
Вредоносное программное обеспечение
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность высоковероятная, уязвимость – нарушение работы ОС, методы нападения – внедрение вредоносной программы.
Объект нападения программы и информация
Тип потери – целостность, доступность, затруднение в деятельности, денежные затраты
Масштаб ущерба – высокий
Источник угроз вредоносное ПО, постороннее лицо
опыт – наличие опыта
знания – обязательны
доступные ресурсы сетевые
возможная мотивация действий – умысел.
Нелегальный импорт / экспорт программного обеспечения
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность высоковероятная, уязвимость – конфиденциальность ПО, методы нападения – кража.
Объект нападения – ПО
Тип потери конфиденциальность ПО
Масштаб ущерба – высокий
Источник угроз – внешнее и внутреннее лица
опыт – присутствует для внешнего лица, отсутствуют для внутреннего
знания – аналогично как опыт
доступные ресурсы – для внутренних – внешние носители, для хакеров - сеть
возможная мотивация действий – для внутреннего – умысел, халатность, для внешнего – только умысел.
Доступ к сети неавторизованных пользователей
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – сетевые данные, методы нападения – проникновение в сеть неавторизованных пользователей.
Объект нападения – сеть, данные
Тип потери – целостность, доступность
Масштаб ущерба – средний
Источник угроз – для глобальной сети – внешние источники, для локальной – внутренние (рабочие отделения)
опыт – присутствует
знания – обязательны
доступные ресурсы информационные, сетевые данные
возможная мотивация действий –умышленно.
Ошибка операционного персонала
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность высоковероятная, уязвимость – неосторожность обращения с ресурсами, методы нападения – ошибочное использование нелегального ПО (по неосторожности).
Объект нападения информация, БД, сеть
Тип потери – целостность, доступность, затруднение в деятельности
Масштаб ущерба – средний
Источник угроз операционный персонал
опыт – средний уровень
знания – необходимы
доступные ресурсы технические и программные средства
возможная мотивация действий – халатность, неосмотрительность.
Ошибка технического обслуживания
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – электрическая и локальная сеть, информация, методы нападения использование технического оборудования и ПО.
Объект нападения электрическая и локальная сеть, информация
Тип потери – целостность, доступность, затруднение в деятельности, денежные затраты на оборудование
Масштаб ущерба – средний
Источник угроз техническое обслуживание
опыт – присутствует
знания – необходимы
доступные ресурсы технические и программные средства
возможная мотивация действий – небрежность, халатность
Техническая неисправность компонентов системы
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – устарелость, методы нападения – некачественное использование компонентов сети.
Объект нападения компоненты сети
Тип потери – целостность, доступность, затруднение в деятельности, оборудование
Масштаб ущерба – низкий
Источник угроз периферийные устройства.
Ошибка при передаче
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – коллизии, методы нападения – неправильное вычисление контрольной суммы.
Объект нападения информация.
Тип потери – целостность, затруднение в деятельности
Масштаб ущерба – средний
Источник угроз – сеть, внешние воздействия
Повреждение в линиях связи
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность высоковероятная, уязвимость – незащищенность линий связи, методы нападения случайный обрыв линий связи.
Объект нападения – линии связи.
Тип потери – затруднение в деятельности
Масштаб ущерба – средний
Источник угроз – рабочий персонал
опыт – отсутствует
знания – не обязательны
доступные ресурсы информационные
возможная мотивация действий – неосторожность
Перегрузка трафика
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – перегрузка сети, сетевые устройства, методы нападения одновременная посылка (запрос) сообщений с разных станций.
Объект нападения – сеть
Тип потери – доступность, затруднение в деятельности
Масштаб ущерба – средний
Источник угроз пользователь АРМ
опыт – отсутствие
знания – не обязательны
доступные ресурсы сетевые
возможная мотивация действий – отсутствует.
Перехват
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – незащищенность канала связи при передачи, методы нападения перехват информации.
Объект нападения информация
Тип потери – целостность, правильность передачи
Масштаб ущерба – высокий
Источник угроз постороннее лицо
опыт – высокий уровень
знания – нужны
доступные ресурсы информационные и программные
возможная мотивация действий – умысел
Проникновение в коммуникации
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – незащищенность коммуникаций, методы нападения – с помощью программных и аппаратных средств (жучки, прослушка).
Объект нападения информация, данные
Тип потери конфиденциальность
Масштаб ущерба – средний
Источник угроз посторонние лица (шпионы)
опыт – высокий
знания – необходимы
доступные ресурсы – информационные
возможная мотивация действий – умысел.
Ошибочная маршрутизация сообщений
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – неисправность работы маршрутизатора, устарелость, методы нападения ошибочная адресация.
Объект нападения информация, данные
Тип потери – доступность, конфиденциальность, целостность, затруднения в деятельности
Масштаб ущерба – средний
Источник угроз периферийное устройство (маршрутизатор)
Повторная маршрутизация сообщений
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – неисправность работы маршрутизатора, методы нападения– повторная адресация.
Объект нападения информация, данные
Тип потери – затруднение в деятельности
Масштаб ущерба – средний
Источник угроз маршрутизатор
Отрицание
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность маловероятная, уязвимость – отсутствие средств добиться отказуемости, методы нападения – отказ в признании пересылаемого.
Объект нападения информация
Тип потери – затруднение в деятельности
Масштаб ущерба – низкий
Источник угроз – внешнее / внутреннее лицо
опыт – отсутствие
знания – не обязательны
доступные ресурсы – информационные
возможная мотивация действий – злоумышленность.
Неисправность услуг связи (т.е. услуг сети)
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность высоковероятная, уязвимость – отсутствие должного контроля за работоспособностью сети, методы нападения – неисправная работа сети.
Объект нападения работоспособность связи
Тип потери – затруднение в деятельности
Масштаб ущерба – низкий
Источник угроз – внешнее воздействие, ПО.
Ошибки пользователя
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – некомпетентность, методы – случайное удаление сведений.
Объект нападения – БД.
Тип потери информационный
Масштаб ущерба – высокий
Источник угроз – рабочий персонал
знания – не обязательны
доступные ресурсы вычислительные, информационные
возможная мотивация действий – небрежность, недобросовестность
Неправильное использование ресурсов
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – неквалифицированный персонал, методы – использование не по назначению.
Объект нападения программное обеспечение.
Тип потери – временные
Масштаб ущерба – низкий
Источник угроз неквалифицированный персонал
опыт – начальный уровень
знания – минимальные
доступные ресурсы информационные
возможная мотивация действий – отсутствие опыта работы, знаний в данной области.
Дефицит персонала
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность маловероятная, уязвимость – накопление работы, методы – массовое увольнение.
Объект нападения работники отделения.
Тип потери – потеря производительности (работа будет выполняться не вовремя)
Масштаб ущерба – средний
Источник угроз руководитель
опыт – необязателен
знания – присутствуют
доступные ресурсы – любые
возможная мотивация действий – некомпетентность, жесткие условия труда.
Главным объектом нападения будет чувствительная информация, а опасными угрозами – преднамеренное незаконное действие (постороннее лицо, злоумышленник), вредоносное программного обеспечения и ошибки работников отделения. В результате основными потерями являются информационные ресурсы, их конфиденциальность, денежные потери и затруднения в деятельности.
3. Квалификация угроз актуальных для информационной системы
Точный прогноз актуальных угроз позволяет снизить риск нарушения ИБ при минимизации затрат ресурсов организации. В процессе анализа возможных и выявления актуальных для активов организации угроз должен оцениваться риск, возникающий вследствие потенциального воздействия определенной угрозы. После оценивания риска должно быть принято решение, является ли он допустимым. Если риск является недопустимым, уровень риска подлежит снижению до допустимого путем принятия защитных мер.
Необходимо оценивать все угрозы, уязвимости и риски для обеспечения уверенности в том, что процесс оценки рисков в организации является полным. В таблице 0 приведены основные компоненты процесса оценки рисков по данной методике.
Таблица 4 - Типичные компоненты процесса оценки рисков
| Если кто-либо захочет проследить угрозы | Через зоны уязвимостей | То они приведут в результате к какому-нибудь из следующих рисков |
|
Неавторизованное использование ПО и среды хранения Вредоносное ПО, ошибка операционного персонала, электромагнитное излучение, колебание мощности Подделка идентификатора пользователя, кража, перехват, проникновение в коммуникации, преднамеренное повреждение Пожар, авария источника мощности, авария ПО |
Работники отделения Оборудование и аппаратура Приложения Коммуникации Программное обеспечение Операционные системы Среда хранения |
Денежная потеря Потеря производительности Затруднения Потеря конфиденциальности, доступности и целостности информации |
В таблице 5 описывает действие каждой из четырех высоко-уровневых угроз.
| Угрозы | Описание |
| Неавторизованное использование ПО и среды хранения | Эти угрозы являются случайным или преднамеренным использование информации, места локализации, что ведет к изменениям или разрушениям информации людьми, с осуществлением или без осуществления доступа к рабочему процессу во время выполнения их обычных обязанностей |
| Вредоносное ПО, ошибка пользователя, электромагнитное излучение, колебание мощности | Эти угрозы являются неосторожной, из-за небрежности, или случайной потерей, дополнением, изменением или уничтожением информации. Эта угроза может проистекать вследствие действий или бездействия людей; неправильного функционирования аппаратных средств, программного обеспечения или коммуникаций; и природных бедствий, возможна временная приостановка работы |
| Пожар, авария источника мощности, авария ПО | Эти угрозы являются случайными, незапланированными, ведущие к потери информации, оборудования, снижению производительности, затруднению в деятельности; могут быть вызваны стихией |
| Подделка идентификатора пользователя, кража, перехват, проникновение в коммуникации, преднаме-ренное повреждение | Такие угрозы являются умышленными, способ получения информации несанкционированным доступом, что влечет потерю конфиденциальности, доступности и целостности сведений, их потерю. |
Описание зон локализации уязвимостей приведено в таблице 6.
