Курсовая работа: Анализ угроз и разработка политики безопасности информационной системы отделения Пенсионного фонда Российской Федерации
Таблица 6 – Описание зон локализации уязвимостей
Зона локализации уязвимостей | Описание |
Персонал | Уязвимости этой зоны связаны с работниками отделения. Они касаются обученности и осведомленности сотрудников |
Оборудование и аппаратура (все уровни, особенно физический и сетевой), | Уязвимости этой зоны связаны с физической безопасностью рабочих зон и аппаратуры, а также доступа к ним |
Приложения (уровни сетевых и функциональных приложений) | Уязвимости этой зоны связаны с методом, с помощью которого информация обрабатывается для функционирования. Приложение включает обработку ввода для получения вывода |
Коммуникации (физический и сетевой уровни) | Уязвимости этой зоны связаны с электронным движением информации |
Программное обеспечение, относящееся к среде и операционные системы (в особенности уровни ОС и СУБД) | Уязвимости этой зоны связаны с программным обеспечением операционных систем и подсистем, в рамках которых приложения разрабатываются и исполняются |
При проведении оценки рисков должны рассматриваться три основные категории возможных потерь, описанные в таблице 7 .
Таблица 7 – Категории возможных потерь
Категории возможных потерь | Описание |
Денежная потеря | Денежная потеря определяется как потеря ценностей или увеличение стоимости или расходов. В сомнительных случаях необходимо классифицировать более высокий риск денежной потери или более высокое возможное значение потери, более высокий риск функционирования бизнеса. |
Потеря производительности | Потеря производительности происходит тогда, когда персонал не способен продолжать выполнение своих обязанностей или когда необходимо повторять служебные обязанности. Прерывания работы или дублирование усилия могут приводить к недоступности бизнес-функций или к некорректности результатов |
Затруднения для организаций | Эта категория касается ситуаций, оказывающих влияние на установление общественного доверия. Следует учитывать также конфиденциальность, точность и согласованность |
Составим матрицу оценки рисков. Уровни риска подразделяются на: высокий (В) - значительный, средний (С) - нормальный, низкий (Н) минимальная возможность потери.
Таблица 8 - Матрица оценки рисков
ЗОНА УЯЗВИМОСТИ: Физический уровень. Идентифицировать уровень риска, проистекающего из реализации угрозы: | Риск денежной потери | Риск потери производительности | Риск затруднения | ||||||
Пожар | В | В | В | ||||||
Преднамеренное повреждение | С | С | С | ||||||
Авария источника мощности | С | С | С | ||||||
Авария в подаче воды | Н | Н | Н | ||||||
Авария воздушного кондиционирования | Н | Н | Н | ||||||
Неисправности аппаратных средств | С | В | В | ||||||
Колебание мощности | Н | Н | С | ||||||
Экстремальные значения температуры и влажности | Н | Н | Н | ||||||
Пыль | Н | С | С | ||||||
Электромагнитное излучение | Н | С | С | ||||||
Кража | С | С | С | ||||||
Неавторизованное использование среды хранения | Н | Н | Н | ||||||
Износ среды хранения | С | С | Н | ||||||
Операционная ошибка персонала | Н | Н | Н | ||||||
Ошибка технического обслуживания | С | Н | С | ||||||
Авария программного обеспечения | Н | Н | Н | ||||||
Использование программного обеспечения неавторизованными пользователями | Н | Н | Н | ||||||
Использование программного обеспечения неавторизованным способом | Н | Н | Н | ||||||
Подделка идентификатора пользователя | Н | Н | Н | ||||||
Нелегальное использование программного обеспечения | Н | Н | Н | ||||||
Вредоносное программное обеспечение | Н | Н | Н | ||||||
Нелегальный импорт/экспорт программного обеспечения | Н | Н | Н | ||||||
Доступ к сети неавторизованных пользователей | Н | Н | Н | ||||||
Ошибка операционного персонала | Н | Н | Н | ||||||
Ошибка технического обслуживания | С | В | В | ||||||
Техническая неисправность компонентов сети | С | С | С | ||||||
Ошибки при передаче | Н | Н | Н | ||||||
Повреждения в линиях связи | С | В | В | ||||||
Перегрузка трафика | Н | Н | Н | ||||||
Перехват | Н | Н | Н | ||||||
Проникновение в коммуникации | Н | Н | С | ||||||
Ошибочная маршрутизация сообщений | Н | Н | Н | ||||||
Повторная маршрутизация сообщений | Н | Н | Н | ||||||
Отрицание | Н | Н | Н | ||||||
Неисправность услуг связи (то есть, услуг сети) | Н | С | Н | ||||||
Ошибки пользователя | Н | Н | Н | ||||||
Неправильное использование ресурсов | Н | Н | Н | ||||||
Дефицит персонала | Н | Н | Н | ||||||
Пожар | С | В | В | ||||||
Преднамеренное повреждение | С | В | В | ||||||
Авария источника мощности | Н | В | В | ||||||
Авария в подаче воды | Н | Н | Н | ||||||
Авария воздушного кондиционирования | Н | Н | Н | ||||||
Неисправности аппаратных средств | С | С | В | ||||||
Колебание мощности | Н | С | С | ||||||
Экстремальные значения температуры и влажности | Н | С | С | ||||||
Пыль | Н | Н | Н | ||||||
Электромагнитное излучение | Н | В | С | ||||||
Кража | Н | С | С | ||||||
Неавторизованное использование среды хранения | Н | Н | Н | ||||||
Износ среды хранения | Н | Н | Н | ||||||
Операционная ошибка персонала | Н | Н | С | ||||||
Ошибка технического обслуживания | С | С | В | ||||||
Авария программного обеспечения | Н | Н | С | ||||||
Использование программного обеспечения неавторизованными пользователями | Н | С | С | ||||||
Использование программного обеспечения неавторизованным способом | Н | С | С | ||||||
Подделка идентификатора пользователя | Н | Н | Н | ||||||
Нелегальное использование программного обеспечения | Н | С | С | ||||||
Вредоносное программное обеспечение | Н | Н | Н | ||||||
Нелегальный импорт/экспорт программного обеспечения | Н | Н | Н | ||||||
Доступ к сети неавторизованных пользователей | Н | С | С | ||||||
Ошибка операционного персонала | Н | С | Н | ||||||
Ошибка технического обслуживания | С | С | С | ||||||
Техническая неисправность компонентов сети | С | В | С | ||||||
Ошибки при передаче | С | С | С | ||||||
Повреждения в линиях связи | С | С | С | ||||||
Перегрузка трафика | Н | Н | Н | ||||||
Перехват | Н | Н | Н | ||||||
Проникновение в коммуникации | Н | Н | Н | ||||||
Ошибочная маршрутизация сообщений | Н | С | С | ||||||
Повторная маршрутизация сообщений | Н | С | С | ||||||
Отрицание | Н | Н | Н | ||||||
Неисправность услуг связи (то есть, услуг сети) | Н | С | С | ||||||
Ошибки пользователя | Н | Н | Н | ||||||
Неправильное использование ресурсов | Н | Н | Н | ||||||
Дефицит персонала | Н | Н | Н | ||||||
Пожар | С | С | Н | ||||||
Преднамеренное повреждение | С | С | Н | ||||||
Авария источника мощности | Н | Н | Н | ||||||
Авария в подаче воды | Н | Н | Н | ||||||
Авария воздушного кондиционирования | Н | Н | Н | ||||||
Неисправности аппаратных средств | Н | Н | Н | ||||||
Колебание мощности | С | С | С | ||||||
Экстремальные значения температуры и влажности | С | С | С | ||||||
Пыль | Н | Н | Н | ||||||
Электромагнитное излучение | Н | Н | Н | ||||||
Кража | С | Н | Н | ||||||
Неавторизованное использование среды хранения | Н | Н | Н | ||||||
Износ среды хранения | Н | Н | Н | ||||||
Операционная ошибка персонала | Н | С | С | ||||||
Ошибка технического обслуживания | С | С | Н | ||||||
Авария программного обеспечения | С | В | В | ||||||
Использование программного обеспечения неавторизованными пользователями | Н | С | С | ||||||
Использование программного обеспечения неавторизованным способом | Н | С | С | ||||||
Подделка идентификатора пользователя | Н | С | С | ||||||
Нелегальное использование программного обеспечения | Н | Н | С | ||||||
Вредоносное программное обеспечение | С | В | В | ||||||
Нелегальный импорт/экспорт программного обеспечения | С | С | С | ||||||
Доступ к сети неавторизованных пользователей | Н | Н | С | ||||||
Ошибка операционного персонала | Н | С | С | ||||||
Ошибка технического обслуживания | Н | С | Н | ||||||
Техническая неисправность компонентов сети | Н | С | Н | ||||||
Ошибки при передаче | С | С | С | ||||||
Повреждения в линиях связи | Н | С | Н | ||||||
Перегрузка трафика | Н | С | С | ||||||
Перехват | С | С | Н | ||||||
Проникновение в коммуникации | Н | Н | Н | ||||||
Ошибочная маршрутизация сообщений | С | В | В | ||||||
Повторная маршрутизация сообщений | С | С | С | ||||||
Отрицание | Н | Н | Н | ||||||
Неисправность услуг связи (то есть, услуг сети) | С | С | Н | ||||||
Ошибки пользователя | С | С | С | ||||||
Неправильное использование ресурсов | Н | В | С | ||||||
Дефицит персонала | Н | Н | Н | ||||||
Пожар | В | В | В | ||||||
Преднамеренное повреждение | С | С | С | ||||||
Авария источника мощности | С | С | С | ||||||
Авария в подаче воды | Н | Н | Н | ||||||
Авария воздушного кондиционирования | Н | Н | Н | ||||||
Неисправности аппаратных средств | С | В | В | ||||||
Колебание мощности | Н | С | С | ||||||
Экстремальные значения температуры и влажности | Н | Н | Н | ||||||
Пыль | Н | Н | Н | ||||||
Электромагнитное излучение | С | С | С | ||||||
Кража | Н | Н | Н | ||||||
Неавторизованное использование среды хранения | Н | Н | Н | ||||||
Износ среды хранения | Н | Н | Н | ||||||
Операционная ошибка персонала | Н | Н | С | ||||||
Ошибка технического обслуживания | Н | Н | Н | ||||||
Авария программного обеспечения | С | В | В | ||||||
Использование программного обеспечения неавторизованными пользователями | Н | Н | С | ||||||
Использование программного обеспечения неавторизованным способом | С | Н | С | ||||||
Подделка идентификатора пользователя | Н | С | С | ||||||
Нелегальное использование программного обеспечения | Н | Н | Н | ||||||
Вредоносное программное обеспечение | В | В | В | ||||||
Нелегальный импорт/экспорт программного обеспечения | С | Н | Н | ||||||
Доступ к сети неавторизованных пользователей | Н | С | С | ||||||
Ошибка операционного персонала | С | С | В | ||||||
Ошибка технического обслуживания | Н | С | С | ||||||
Техническая неисправность компонентов сети | Н | С | С | ||||||
Ошибки при передаче | Н | Н | С | ||||||
Повреждения в линиях связи | Н | С | С | ||||||
Перегрузка трафика | Н | Н | С | ||||||
Перехват | Н | С | С | ||||||
Проникновение в коммуникации | Н | Н | Н | ||||||
Ошибочная маршрутизация сообщений | Н | Н | С | ||||||
Повторная маршрутизация сообщений | Н | Н | С | ||||||
Отрицание | Н | Н | Н | ||||||
Неисправность услуг связи (то есть, услуг сети) | Н | Н | Н | ||||||
Ошибки пользователя | Н | С | С | ||||||
Неправильное использование ресурсов | Н | В | В | ||||||
Дефицит персонала | Н | Н | Н | ||||||
Пожар | В | В | В | ||||||
Преднамеренное повреждение | В | В | В | ||||||
Авария источника мощности | С | С | С | ||||||
Авария в подаче воды | Н | Н | Н | ||||||
Авария воздушного кондиционирования | Н | Н | Н | ||||||
Неисправности аппаратных средств | В | В | В | ||||||
Колебание мощности | С | С | С | ||||||
Экстремальные значения температуры и влажности | Н | Н | Н | ||||||
Пыль | Н | Н | Н | ||||||
Электромагнитное излучение | С | С | С | ||||||
Кража | В | С | С | ||||||
Неавторизованное использование среды хранения | В | С | С | ||||||
Износ среды хранения | В | В | В | ||||||
Операционная ошибка персонала | В | С | С | ||||||
Ошибка технического обслуживания | Н | Н | Н | ||||||
Авария программного обеспечения | В | В | В | ||||||
Использование программного обеспечения неавторизованными пользователями | В | С | С | ||||||
Использование программного обеспечения неавторизованным способом | С | В | С | ||||||
Подделка идентификатора пользователя | С | В | В | ||||||
Нелегальное использование программного обеспечения | В | С | С | ||||||
Вредоносное программное обеспечение | В | В | В | ||||||
Нелегальный импорт/экспорт программного обеспечения | В | В | В | ||||||
Доступ к сети неавторизованных пользователей | В | В | С | ||||||
Ошибка операционного персонала | В | В | С | ||||||
Ошибка технического обслуживания | С | С | В | ||||||
Техническая неисправность компонентов сети | В | В | В | ||||||
Ошибки при передаче | С | В | В | ||||||
Повреждения в линиях связи | В | С | В | ||||||
Перегрузка трафика | Н | В | С | ||||||
Перехват | В | В | Н | ||||||
Проникновение в коммуникации | Н | Н | Н | ||||||
Ошибочная маршрутизация сообщений | С | В | В | ||||||
Повторная маршрутизация сообщений | С | В | В | ||||||
Отрицание | Н | Н | С | ||||||
Неисправность услуг связи (то есть, услуг сети) | Н | С | С | ||||||
Ошибки пользователя | С | С | С | ||||||
Неправильное использование ресурсов | Н | В | В | ||||||
Дефицит персонала | С | С | С | ||||||
Пожар | В | В | В | ||||||
Преднамеренное повреждение | С | С | С | ||||||
Авария источника мощности | С | С | С | ||||||
Авария в подаче воды | Н | Н | Н | ||||||
Авария воздушного кондиционирования | Н | Н | Н | ||||||
Неисправности аппаратных средств | С | С | С | ||||||
Колебание мощности | С | С | С | ||||||
Экстремальные значения температуры и влажности | Н | Н | Н | ||||||
Пыль | Н | Н | Н | ||||||
Электромагнитное излучение | Н | Н | Н | ||||||
Кража | Н | Н | С | ||||||
Неавторизованное использование среды хранения | Н | Н | С | ||||||
Износ среды хранения | Н | Н | С | ||||||
Операционная ошибка персонала | Н | С | С | ||||||
Ошибка технического обслуживания | Н | Н | Н | ||||||
Авария программного обеспечения | С | С | С | ||||||
Использование программного обеспечения неавторизованными пользователями | Н | Н | Н | ||||||
Использование программного обеспечения неавторизованным способом | Н | Н | Н | ||||||
Подделка идентификатора пользователя | Н | С | С | ||||||
Нелегальное использование программного обеспечения | Н | Н | Н | ||||||
Вредоносное программное обеспечение | С | С | С | ||||||
Нелегальный импорт/экспорт программного обеспечения | С | С | В | ||||||
Доступ к сети неавторизованных пользователей | Н | Н | Н | ||||||
Ошибка операционного персонала | Н | С | С | ||||||
Ошибка технического обслуживания | Н | Н | Н | ||||||
Техническая неисправность компонентов сети | Н | С | Н | ||||||
Ошибки при передаче | Н | С | С | ||||||
Повреждения в линиях связи | Н | Н | С | ||||||
Перегрузка трафика | Н | Н | Н | ||||||
Перехват | Н | Н | Н | ||||||
Проникновение в коммуникации | Н | С | С | ||||||
Ошибочная маршрутизация сообщений | Н | С | С | ||||||
Повторная маршрутизация сообщений | Н | С | С | ||||||
Отрицание | Н | Н | Н | ||||||
Неисправность услуг связи (то есть, услуг сети) | Н | С | Н | ||||||
Ошибки пользователя | Н | С | С | ||||||
Неправильное использование ресурсов | Н | С | В | ||||||
Дефицит персонала | Н | Н | Н | ||||||
Пожар | Н | В | В | ||||||
Преднамеренное повреждение | С | В | В | ||||||
Авария источника мощности | С | В | В | ||||||
Авария в подаче воды | Н | Н | Н | ||||||
Авария воздушного кондиционирования | Н | Н | Н | ||||||
Неисправности аппаратных средств | Н | В | В | ||||||
Колебание мощности | С | В | С | ||||||
Экстремальные значения температуры и влажности | Н | Н | С | ||||||
Пыль | Н | Н | Н | ||||||
Электромагнитное излучение | Н | Н | С | ||||||
Кража | В | В | В | ||||||
Неавторизованное использование среды хранения | Н | С | С | ||||||
Износ среды хранения | С | Н | С | ||||||
Операционная ошибка персонала | Н | Н | С | ||||||
Ошибка технического обслуживания | Н | С | С | ||||||
Авария программного обеспечения | Н | С | В | ||||||
Использование программного обеспечения неавторизованными пользователями | Н | С | С | ||||||
Использование программного обеспечения неавторизованным способом | Н | Н | С | ||||||
Подделка идентификатора пользователя | С | Н | С | ||||||
Нелегальное использование программного обеспечения | Н | Н | Н | ||||||
Вредоносное программное обеспечение | В | С | В | ||||||
Нелегальный импорт/экспорт программного обеспечения | С | С | Н | ||||||
Доступ к сети неавторизованных пользователей | С | Н | Н | ||||||
Ошибка операционного персонала | С | С | С | ||||||
Ошибка технического обслуживания | С | С | С | ||||||
Техническая неисправность компонентов сети | Н | С | С | ||||||
Ошибки при передаче | С | С | С | ||||||
Повреждения в линиях связи | С | В | В | ||||||
Перегрузка трафика | Н | С | С | ||||||
Перехват | С | С | Н | ||||||
Проникновение в коммуникации | С | С | С | ||||||
Ошибочная маршрутизация сообщений | С | В | В | ||||||
Повторная маршрутизация сообщений | Н | В | В | ||||||
Отрицание | С | В | Н | ||||||
Неисправность услуг связи (то есть, услуг сети) | С | С | В | ||||||
Ошибки пользователя | С | В | С | ||||||
Неправильное использование ресурсов | Н | Н | В | ||||||
Дефицит персонала | Н | В | В |
Таблица 9 – Таблица оценки риска