Федеральное агентство морского и речного транспорта
Федеральное государственное образовательное учреждение
Высшего образования
«Государственный университет морского и речного флота
имени адмирала С.О. Макарова»
Кафедра Комплексного обеспечения информационной
безопасности
Дисциплина: Технические средства и методы защиты информации
Практическая №1
«Анализ рисков информационной безопасности»
Выполнила студентка 4 курса группы ИП-41 Евдокимова К. В.
Руководитель: Кардакова М.В.
Организация: Компания по разработке ПО для сторонних организаций
Активы:
1. Программное обеспечение (так как компания непосредственно связана с ПО(его разработкой), данный актив имеет приоритетное место)
2. Аппаратное обеспечение (выбор обусловлен тем, что компания, разрабатывающая ПО оснащена большим количеством аппаратуры)
3. Персонал (для крупных компаний данный актив является не маловажным, поскольку большое количество сотрудников увеличивает число возможных каналов утечки)
Уязвимости:
1.1.Неясные или неполные технические требования к разработке средств программного обеспечения (возможна, например, угроза программных сбоев)
1.2.Неконтролируемая загрузка и использование программного обеспечения (возможна, например, угроза столкновения с вредоносным программным обеспечением)
1.3.Отсутствие тестирования или недостаточное тестирование программного обеспечения (возможна, например, угроза использования программного обеспечения несанкционированными пользователями)
2.1.Недостаточное обслуживание/неправильная инсталляция запоминающих сред (возможна, например, угроза возникновения ошибки при обслуживании).
2.2.Отсутствие схем периодической замены (возможна, например, угроза ухудшения состояния запоминающей среды).
2.3.Отсутствие контроля за эффективным изменением конфигурации (возможна, например, угроза ошибки операторов).
3.1.Отсутствие механизмов отслеживания (возможна, например, угроза использования программного обеспечения несанкционированным способом).
3.2.Неправильное использование программно-аппаратного обеспечения (возможна, например, угроза ошибки операторов)
3.3.Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц (возможна, например, угроза хищения).
Угрозы:
1.1.Программные сбои
1.2.Вредоносное программное обеспечение
1.3.Использование программного обеспечения несанкционированными пользователями
2.1.Ошибка при обслуживании
2.2.Ухудшение состояния носителей данных
2.3.Ошибка обслуживающего персонала
3.1.Использование программного обеспечения несанкционированным способом
3.2. Ошибка операторов
3.3. Кража
| Программное обеспечение | Неясные или неполные технические требования к разработке средств программного обеспечения | Программные сбои |
| Неконтролируемая загрузка и использование программного обеспечения | Вредоносное программное обеспечение | |
| Отсутствие тестирования или недостаточное тестирование программного обеспечения | Использование программного обеспечения несанкционированными пользователями | |
| Аппаратное обеспечение | Недостаточное обслуживание/неправильная инсталляция запоминающих сред | Ошибка при обслуживании |
| Отсутствие схем периодической замены | Ухудшение состояния носителей данных | |
| Отсутствие контроля за эффективным изменением конфигурации | Ошибка обслуживающего персонала | |
| Персонал | Отсутствие механизмов отслеживания | Использование программного обеспечения несанкционированным способом |
| Неправильное использование программно-аппаратного обеспечения | Ошибка операторов | |
| Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц | Кража |
| Актив | Ценность актива от 0 до 4 | Ценность актива от 1 до 5 |
| Программное обеспечение | ||
| Аппаратное обеспечение | ||
| Персонал |
| Уязвимость | Уровень уязвимости (низкий, средний, высокий) |
| Неясные или неполные технические требования к разработке средств программного обеспечения | низкий |
| Неконтролируемая загрузка и использование программного обеспечения | высокий |
| Отсутствие тестирования или недостаточное тестирование программного обеспечения | средний |
| Недостаточное обслуживание/неправильная инсталляция запоминающих сред | низкий |
| Отсутствие схем периодической замены | средний |
| Отсутствие контроля за эффективным изменением конфигурации | средний |
| Отсутствие механизмов отслеживания | средний |
| Неправильное использование программно-аппаратного обеспечения | низкий |
| Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц | средний |
| Угроза | Уровень угрозы (низкий, средний, высокий) |
| Программные сбои | средний |
| Вредоносное программное обеспечение | высокий |
| Использование программного обеспечения несанкционированными пользователями | высокий |
| Ошибка при обслуживании | низкий |
| Ухудшение состояния носителей данных | средний |
| Ошибка обслуживающего персонала | средний |
| Использование программного обеспечения несанкционированным способом | средний |
| Ошибка операторов | низкий |
| Кража | средний |
Метод 1:
| Риск | Уровень риска |
| Риск угрозы 1.1.1 | |
| Риск угрозы 1.2.1 | |
| Риск угрозы 1.3.1 | |
| Риск угрозы 2.1.1 | |
| Риск угрозы 2.2.1 | |
| Риск угрозы 2.3.1 | |
| Риск угрозы 3.1.1 | |
| Риск угрозы 3.2.1 | |
| Риск угрозы 3.3.1 |
Метод 2:
| Дескриптор угроз | Оценка воздействия (ценности актива) | Вероятность возникновения угрозы | Мера риска | Ранг угрозы |
| Программные сбои | ||||
| Вредоносное программное обеспечение | ||||
| Использование программного обеспечения несанкционированными пользователями | ||||
| Ошибка при обслуживании | ||||
| Ухудшение состояния носителей данных | ||||
| Ошибка обслуживающего персонала | ||||
| Использование программного обеспечения несанкционированным способом | ||||
| Ошибка операторов | ||||
| Кража |
Метод 3:
| Частота угрозы | |
| Частота угрозы 1.1.1 | |
| Частота угрозы 1.2.1 | |
| Частота угрозы 1.3.1 | |
| Частота угрозы 2.1.1 | |
| Частота угрозы 2.2.1 | |
| Частота угрозы 2.3.1 | |
| Частота угрозы 3.1.1 | |
| Частота угрозы 3.2.1 | |
| Частота угрозы 3.3.1 |
| Риск | Уровень риска | % показатель |
| Риск угрозы 1.1.1 | 8,7 | |
| Риск угрозы 1.2.1 | 15,2 | |
| Риск угрозы 1.3.1 | ||
| Риск угрозы 2.1.1 | 8,7 | |
| Риск угрозы 2.2.1 | ||
| Риск угрозы 2.3.1 | ||
| Риск угрозы 3.1.1 | 10,9 | |
| Риск угрозы 3.2.1 | 6,6 | |
| Риск угрозы 3.3.1 | 10,9 | |
| Итого: | 100% |
Метод 4:
| Риск | Допустимость (T) или не допустимость (N) |
| Риск угрозы 1.1.1 | N |
| Риск угрозы 1.2.1 | N |
| Риск угрозы 1.3.1 | N |
| Риск угрозы 2.1.1 | N |
| Риск угрозы 2.2.1 | N |
| Риск угрозы 2.3.1 | N |
| Риск угрозы 3.1.1 | N |
| Риск угрозы 3.2.1 | T |
| Риск угрозы 3.3.1 | N |
Вывод: Угрозы, требующие больше всего внимания: вредоносное программное обеспечение, использование программного обеспечения несанкционированными пользователями и ухудшение состояния носителей данных. Маловажные угрозы - ошибка операторов и ошибка при обслуживании. Таким образом метод 3 дал более точные результаты при решении задачи ранжирования угроз, в то время как метод 4 дал верные, но не позволяющие провести точное ранжирование, результаты.