Курсовая работа: Анализ угроз и разработка политики безопасности информационной системы отделения Пенсионного фонда Российской Федерации
Таблица 6 – Описание зон локализации уязвимостей
| Зона локализации уязвимостей | Описание |
| Персонал | Уязвимости этой зоны связаны с работниками отделения. Они касаются обученности и осведомленности сотрудников |
| Оборудование и аппаратура (все уровни, особенно физический и сетевой), | Уязвимости этой зоны связаны с физической безопасностью рабочих зон и аппаратуры, а также доступа к ним |
| Приложения (уровни сетевых и функциональных приложений) | Уязвимости этой зоны связаны с методом, с помощью которого информация обрабатывается для функционирования. Приложение включает обработку ввода для получения вывода |
| Коммуникации (физический и сетевой уровни) | Уязвимости этой зоны связаны с электронным движением информации |
| Программное обеспечение, относящееся к среде и операционные системы (в особенности уровни ОС и СУБД) | Уязвимости этой зоны связаны с программным обеспечением операционных систем и подсистем, в рамках которых приложения разрабатываются и исполняются |
При проведении оценки рисков должны рассматриваться три основные категории возможных потерь, описанные в таблице 7 .
Таблица 7 – Категории возможных потерь
| Категории возможных потерь | Описание |
| Денежная потеря | Денежная потеря определяется как потеря ценностей или увеличение стоимости или расходов. В сомнительных случаях необходимо классифицировать более высокий риск денежной потери или более высокое возможное значение потери, более высокий риск функционирования бизнеса. |
| Потеря производительности | Потеря производительности происходит тогда, когда персонал не способен продолжать выполнение своих обязанностей или когда необходимо повторять служебные обязанности. Прерывания работы или дублирование усилия могут приводить к недоступности бизнес-функций или к некорректности результатов |
| Затруднения для организаций | Эта категория касается ситуаций, оказывающих влияние на установление общественного доверия. Следует учитывать также конфиденциальность, точность и согласованность |
Составим матрицу оценки рисков. Уровни риска подразделяются на: высокий (В) - значительный, средний (С) - нормальный, низкий (Н) минимальная возможность потери.
Таблица 8 - Матрица оценки рисков
| ЗОНА УЯЗВИМОСТИ: Физический уровень. Идентифицировать уровень риска, проистекающего из реализации угрозы: | Риск денежной потери | Риск потери производительности | Риск затруднения | ||||||
| Пожар | В | В | В | ||||||
| Преднамеренное повреждение | С | С | С | ||||||
| Авария источника мощности | С | С | С | ||||||
| Авария в подаче воды | Н | Н | Н | ||||||
| Авария воздушного кондиционирования | Н | Н | Н | ||||||
| Неисправности аппаратных средств | С | В | В | ||||||
| Колебание мощности | Н | Н | С | ||||||
| Экстремальные значения температуры и влажности | Н | Н | Н | ||||||
| Пыль | Н | С | С | ||||||
| Электромагнитное излучение | Н | С | С | ||||||
| Кража | С | С | С | ||||||
| Неавторизованное использование среды хранения | Н | Н | Н | ||||||
| Износ среды хранения | С | С | Н | ||||||
| Операционная ошибка персонала | Н | Н | Н | ||||||
| Ошибка технического обслуживания | С | Н | С | ||||||
| Авария программного обеспечения | Н | Н | Н | ||||||
| Использование программного обеспечения неавторизованными пользователями | Н | Н | Н | ||||||
| Использование программного обеспечения неавторизованным способом | Н | Н | Н | ||||||
| Подделка идентификатора пользователя | Н | Н | Н | ||||||
| Нелегальное использование программного обеспечения | Н | Н | Н | ||||||
| Вредоносное программное обеспечение | Н | Н | Н | ||||||
| Нелегальный импорт/экспорт программного обеспечения | Н | Н | Н | ||||||
| Доступ к сети неавторизованных пользователей | Н | Н | Н | ||||||
| Ошибка операционного персонала | Н | Н | Н | ||||||
| Ошибка технического обслуживания | С | В | В | ||||||
| Техническая неисправность компонентов сети | С | С | С | ||||||
| Ошибки при передаче | Н | Н | Н | ||||||
| Повреждения в линиях связи | С | В | В | ||||||
| Перегрузка трафика | Н | Н | Н | ||||||
| Перехват | Н | Н | Н | ||||||
| Проникновение в коммуникации | Н | Н | С | ||||||
| Ошибочная маршрутизация сообщений | Н | Н | Н | ||||||
| Повторная маршрутизация сообщений | Н | Н | Н | ||||||
| Отрицание | Н | Н | Н | ||||||
| Неисправность услуг связи (то есть, услуг сети) | Н | С | Н | ||||||
| Ошибки пользователя | Н | Н | Н | ||||||
| Неправильное использование ресурсов | Н | Н | Н | ||||||
| Дефицит персонала | Н | Н | Н | ||||||
| Пожар | С | В | В | ||||||
| Преднамеренное повреждение | С | В | В | ||||||
| Авария источника мощности | Н | В | В | ||||||
| Авария в подаче воды | Н | Н | Н | ||||||
| Авария воздушного кондиционирования | Н | Н | Н | ||||||
| Неисправности аппаратных средств | С | С | В | ||||||
| Колебание мощности | Н | С | С | ||||||
| Экстремальные значения температуры и влажности | Н | С | С | ||||||
| Пыль | Н | Н | Н | ||||||
| Электромагнитное излучение | Н | В | С | ||||||
| Кража | Н | С | С | ||||||
| Неавторизованное использование среды хранения | Н | Н | Н | ||||||
| Износ среды хранения | Н | Н | Н | ||||||
| Операционная ошибка персонала | Н | Н | С | ||||||
| Ошибка технического обслуживания | С | С | В | ||||||
| Авария программного обеспечения | Н | Н | С | ||||||
| Использование программного обеспечения неавторизованными пользователями | Н | С | С | ||||||
| Использование программного обеспечения неавторизованным способом | Н | С | С | ||||||
| Подделка идентификатора пользователя | Н | Н | Н | ||||||
| Нелегальное использование программного обеспечения | Н | С | С | ||||||
| Вредоносное программное обеспечение | Н | Н | Н | ||||||
| Нелегальный импорт/экспорт программного обеспечения | Н | Н | Н | ||||||
| Доступ к сети неавторизованных пользователей | Н | С | С | ||||||
| Ошибка операционного персонала | Н | С | Н | ||||||
| Ошибка технического обслуживания | С | С | С | ||||||
| Техническая неисправность компонентов сети | С | В | С | ||||||
| Ошибки при передаче | С | С | С | ||||||
| Повреждения в линиях связи | С | С | С | ||||||
| Перегрузка трафика | Н | Н | Н | ||||||
| Перехват | Н | Н | Н | ||||||
| Проникновение в коммуникации | Н | Н | Н | ||||||
| Ошибочная маршрутизация сообщений | Н | С | С | ||||||
| Повторная маршрутизация сообщений | Н | С | С | ||||||
| Отрицание | Н | Н | Н | ||||||
| Неисправность услуг связи (то есть, услуг сети) | Н | С | С | ||||||
| Ошибки пользователя | Н | Н | Н | ||||||
| Неправильное использование ресурсов | Н | Н | Н | ||||||
| Дефицит персонала | Н | Н | Н | ||||||
| Пожар | С | С | Н | ||||||
| Преднамеренное повреждение | С | С | Н | ||||||
| Авария источника мощности | Н | Н | Н | ||||||
| Авария в подаче воды | Н | Н | Н | ||||||
| Авария воздушного кондиционирования | Н | Н | Н | ||||||
| Неисправности аппаратных средств | Н | Н | Н | ||||||
| Колебание мощности | С | С | С | ||||||
| Экстремальные значения температуры и влажности | С | С | С | ||||||
| Пыль | Н | Н | Н | ||||||
| Электромагнитное излучение | Н | Н | Н | ||||||
| Кража | С | Н | Н | ||||||
| Неавторизованное использование среды хранения | Н | Н | Н | ||||||
| Износ среды хранения | Н | Н | Н | ||||||
| Операционная ошибка персонала | Н | С | С | ||||||
| Ошибка технического обслуживания | С | С | Н | ||||||
| Авария программного обеспечения | С | В | В | ||||||
| Использование программного обеспечения неавторизованными пользователями | Н | С | С | ||||||
| Использование программного обеспечения неавторизованным способом | Н | С | С | ||||||
| Подделка идентификатора пользователя | Н | С | С | ||||||
| Нелегальное использование программного обеспечения | Н | Н | С | ||||||
| Вредоносное программное обеспечение | С | В | В | ||||||
| Нелегальный импорт/экспорт программного обеспечения | С | С | С | ||||||
| Доступ к сети неавторизованных пользователей | Н | Н | С | ||||||
| Ошибка операционного персонала | Н | С | С | ||||||
| Ошибка технического обслуживания | Н | С | Н | ||||||
| Техническая неисправность компонентов сети | Н | С | Н | ||||||
| Ошибки при передаче | С | С | С | ||||||
| Повреждения в линиях связи | Н | С | Н | ||||||
| Перегрузка трафика | Н | С | С | ||||||
| Перехват | С | С | Н | ||||||
| Проникновение в коммуникации | Н | Н | Н | ||||||
| Ошибочная маршрутизация сообщений | С | В | В | ||||||
| Повторная маршрутизация сообщений | С | С | С | ||||||
| Отрицание | Н | Н | Н | ||||||
| Неисправность услуг связи (то есть, услуг сети) | С | С | Н | ||||||
| Ошибки пользователя | С | С | С | ||||||
| Неправильное использование ресурсов | Н | В | С | ||||||
| Дефицит персонала | Н | Н | Н | ||||||
| Пожар | В | В | В | ||||||
| Преднамеренное повреждение | С | С | С | ||||||
| Авария источника мощности | С | С | С | ||||||
| Авария в подаче воды | Н | Н | Н | ||||||
| Авария воздушного кондиционирования | Н | Н | Н | ||||||
| Неисправности аппаратных средств | С | В | В | ||||||
| Колебание мощности | Н | С | С | ||||||
| Экстремальные значения температуры и влажности | Н | Н | Н | ||||||
| Пыль | Н | Н | Н | ||||||
| Электромагнитное излучение | С | С | С | ||||||
| Кража | Н | Н | Н | ||||||
| Неавторизованное использование среды хранения | Н | Н | Н | ||||||
| Износ среды хранения | Н | Н | Н | ||||||
| Операционная ошибка персонала | Н | Н | С | ||||||
| Ошибка технического обслуживания | Н | Н | Н | ||||||
| Авария программного обеспечения | С | В | В | ||||||
| Использование программного обеспечения неавторизованными пользователями | Н | Н | С | ||||||
| Использование программного обеспечения неавторизованным способом | С | Н | С | ||||||
| Подделка идентификатора пользователя | Н | С | С | ||||||
| Нелегальное использование программного обеспечения | Н | Н | Н | ||||||
| Вредоносное программное обеспечение | В | В | В | ||||||
| Нелегальный импорт/экспорт программного обеспечения | С | Н | Н | ||||||
| Доступ к сети неавторизованных пользователей | Н | С | С | ||||||
| Ошибка операционного персонала | С | С | В | ||||||
| Ошибка технического обслуживания | Н | С | С | ||||||
| Техническая неисправность компонентов сети | Н | С | С | ||||||
| Ошибки при передаче | Н | Н | С | ||||||
| Повреждения в линиях связи | Н | С | С | ||||||
| Перегрузка трафика | Н | Н | С | ||||||
| Перехват | Н | С | С | ||||||
| Проникновение в коммуникации | Н | Н | Н | ||||||
| Ошибочная маршрутизация сообщений | Н | Н | С | ||||||
| Повторная маршрутизация сообщений | Н | Н | С | ||||||
| Отрицание | Н | Н | Н | ||||||
| Неисправность услуг связи (то есть, услуг сети) | Н | Н | Н | ||||||
| Ошибки пользователя | Н | С | С | ||||||
| Неправильное использование ресурсов | Н | В | В | ||||||
| Дефицит персонала | Н | Н | Н | ||||||
| Пожар | В | В | В | ||||||
| Преднамеренное повреждение | В | В | В | ||||||
| Авария источника мощности | С | С | С | ||||||
| Авария в подаче воды | Н | Н | Н | ||||||
| Авария воздушного кондиционирования | Н | Н | Н | ||||||
| Неисправности аппаратных средств | В | В | В | ||||||
| Колебание мощности | С | С | С | ||||||
| Экстремальные значения температуры и влажности | Н | Н | Н | ||||||
| Пыль | Н | Н | Н | ||||||
| Электромагнитное излучение | С | С | С | ||||||
| Кража | В | С | С | ||||||
| Неавторизованное использование среды хранения | В | С | С | ||||||
| Износ среды хранения | В | В | В | ||||||
| Операционная ошибка персонала | В | С | С | ||||||
| Ошибка технического обслуживания | Н | Н | Н | ||||||
| Авария программного обеспечения | В | В | В | ||||||
| Использование программного обеспечения неавторизованными пользователями | В | С | С | ||||||
| Использование программного обеспечения неавторизованным способом | С | В | С | ||||||
| Подделка идентификатора пользователя | С | В | В | ||||||
| Нелегальное использование программного обеспечения | В | С | С | ||||||
| Вредоносное программное обеспечение | В | В | В | ||||||
| Нелегальный импорт/экспорт программного обеспечения | В | В | В | ||||||
| Доступ к сети неавторизованных пользователей | В | В | С | ||||||
| Ошибка операционного персонала | В | В | С | ||||||
| Ошибка технического обслуживания | С | С | В | ||||||
| Техническая неисправность компонентов сети | В | В | В | ||||||
| Ошибки при передаче | С | В | В | ||||||
| Повреждения в линиях связи | В | С | В | ||||||
| Перегрузка трафика | Н | В | С | ||||||
| Перехват | В | В | Н | ||||||
| Проникновение в коммуникации | Н | Н | Н | ||||||
| Ошибочная маршрутизация сообщений | С | В | В | ||||||
| Повторная маршрутизация сообщений | С | В | В | ||||||
| Отрицание | Н | Н | С | ||||||
| Неисправность услуг связи (то есть, услуг сети) | Н | С | С | ||||||
| Ошибки пользователя | С | С | С | ||||||
| Неправильное использование ресурсов | Н | В | В | ||||||
| Дефицит персонала | С | С | С | ||||||
| Пожар | В | В | В | ||||||
| Преднамеренное повреждение | С | С | С | ||||||
| Авария источника мощности | С | С | С | ||||||
| Авария в подаче воды | Н | Н | Н | ||||||
| Авария воздушного кондиционирования | Н | Н | Н | ||||||
| Неисправности аппаратных средств | С | С | С | ||||||
| Колебание мощности | С | С | С | ||||||
| Экстремальные значения температуры и влажности | Н | Н | Н | ||||||
| Пыль | Н | Н | Н | ||||||
| Электромагнитное излучение | Н | Н | Н | ||||||
| Кража | Н | Н | С | ||||||
| Неавторизованное использование среды хранения | Н | Н | С | ||||||
| Износ среды хранения | Н | Н | С | ||||||
| Операционная ошибка персонала | Н | С | С | ||||||
| Ошибка технического обслуживания | Н | Н | Н | ||||||
| Авария программного обеспечения | С | С | С | ||||||
| Использование программного обеспечения неавторизованными пользователями | Н | Н | Н | ||||||
| Использование программного обеспечения неавторизованным способом | Н | Н | Н | ||||||
| Подделка идентификатора пользователя | Н | С | С | ||||||
| Нелегальное использование программного обеспечения | Н | Н | Н | ||||||
| Вредоносное программное обеспечение | С | С | С | ||||||
| Нелегальный импорт/экспорт программного обеспечения | С | С | В | ||||||
| Доступ к сети неавторизованных пользователей | Н | Н | Н | ||||||
| Ошибка операционного персонала | Н | С | С | ||||||
| Ошибка технического обслуживания | Н | Н | Н | ||||||
| Техническая неисправность компонентов сети | Н | С | Н | ||||||
| Ошибки при передаче | Н | С | С | ||||||
| Повреждения в линиях связи | Н | Н | С | ||||||
| Перегрузка трафика | Н | Н | Н | ||||||
| Перехват | Н | Н | Н | ||||||
| Проникновение в коммуникации | Н | С | С | ||||||
| Ошибочная маршрутизация сообщений | Н | С | С | ||||||
| Повторная маршрутизация сообщений | Н | С | С | ||||||
| Отрицание | Н | Н | Н | ||||||
| Неисправность услуг связи (то есть, услуг сети) | Н | С | Н | ||||||
| Ошибки пользователя | Н | С | С | ||||||
| Неправильное использование ресурсов | Н | С | В | ||||||
| Дефицит персонала | Н | Н | Н | ||||||
| Пожар | Н | В | В | ||||||
| Преднамеренное повреждение | С | В | В | ||||||
| Авария источника мощности | С | В | В | ||||||
| Авария в подаче воды | Н | Н | Н | ||||||
| Авария воздушного кондиционирования | Н | Н | Н | ||||||
| Неисправности аппаратных средств | Н | В | В | ||||||
| Колебание мощности | С | В | С | ||||||
| Экстремальные значения температуры и влажности | Н | Н | С | ||||||
| Пыль | Н | Н | Н | ||||||
| Электромагнитное излучение | Н | Н | С | ||||||
| Кража | В | В | В | ||||||
| Неавторизованное использование среды хранения | Н | С | С | ||||||
| Износ среды хранения | С | Н | С | ||||||
| Операционная ошибка персонала | Н | Н | С | ||||||
| Ошибка технического обслуживания | Н | С | С | ||||||
| Авария программного обеспечения | Н | С | В | ||||||
| Использование программного обеспечения неавторизованными пользователями | Н | С | С | ||||||
| Использование программного обеспечения неавторизованным способом | Н | Н | С | ||||||
| Подделка идентификатора пользователя | С | Н | С | ||||||
| Нелегальное использование программного обеспечения | Н | Н | Н | ||||||
| Вредоносное программное обеспечение | В | С | В | ||||||
| Нелегальный импорт/экспорт программного обеспечения | С | С | Н | ||||||
| Доступ к сети неавторизованных пользователей | С | Н | Н | ||||||
| Ошибка операционного персонала | С | С | С | ||||||
| Ошибка технического обслуживания | С | С | С | ||||||
| Техническая неисправность компонентов сети | Н | С | С | ||||||
| Ошибки при передаче | С | С | С | ||||||
| Повреждения в линиях связи | С | В | В | ||||||
| Перегрузка трафика | Н | С | С | ||||||
| Перехват | С | С | Н | ||||||
| Проникновение в коммуникации | С | С | С | ||||||
| Ошибочная маршрутизация сообщений | С | В | В | ||||||
| Повторная маршрутизация сообщений | Н | В | В | ||||||
| Отрицание | С | В | Н | ||||||
| Неисправность услуг связи (то есть, услуг сети) | С | С | В | ||||||
| Ошибки пользователя | С | В | С | ||||||
| Неправильное использование ресурсов | Н | Н | В | ||||||
| Дефицит персонала | Н | В | В | ||||||
Таблица 9 – Таблица оценки риска
