ФГБОУ ВО НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ «МЭИ»
Инженерно-экономический институт
Кафедра информационной и экономической безопасности
Отчет по деловой игре на тему:
«Моделирование рисков
Информационной безопасности»
Выполнил: Никифоров А.А.
Группа ИЭ - 41м - 11
Проверил: Минзов А.С.
Москва-2016
Инвентаризация и классификация информационных активов.
Информационные активы(А) (вариант № 12) представлены в таблице 1.
Таблица 1. Основные активы АКБ
№№ | Наименование активов |
Банковский технологический процесс генерации отчетов для ЦБ РФ (выполняется в отделении по работе с юридическими лицами). | |
Системная документация по АСУ, программному обеспечению, операционным системам. | |
Средства криптографической защиты информации (СКЗИ): электронные системы аутентификации пользователей; системы шифрования дисковых данных; системы шифрования данных, передаваемых по сетям; средства управления ключевой информацией. | |
Персональные данные сотрудников и клиентов банка (электронная и бумажная форма) хранятся в кабинете управляющего. В электронном виде эта информация доступна только для управляющего банка и его заместителю. | |
Информационные базы и информационные архивы, являющиеся результатом финансовой, экономической и управленческой деятельности банка (в бумажном и электронном формах). Имеют статус «банковская тайна», размещаются в кабинете управляющего банком. | |
Системы международных платежей и переводов. Технология переводов с использованием крипто ключей осуществляется операторами-кассирами. Генерация крипто ключей проводится сотрудником службы безопасности АКБ. |
Уязвимости (Ny), выявленные при аудите представлены в табл.2
Таблица 2. Уязвимости (Ny), выявленные при аудите
№№ | Наименование уязвимостей системы ИБ, выявленных при аудите |
Датчики на проникновение в помещение в ночное время отсутствуют. | |
Отсутствует сигнализация на сейфе управляющего и сейфе начальника службы ИБ для хранения документации, электронных ключей и криптографических средств. | |
Отсутствуют датчики пожарной сигнализации. | |
В помещениях отсутствуют кондиционеры, что приводит к повышению температуры в помещении в летнее время до +35 град С. | |
Во всех помещения используются установки автоматического водяного пожаротушения, это может привести к выводу из строя оборудования. | |
Отсутствует средство резервного копирования и хранения БД АСУ | |
Телекоммуникации и связь не имеют резервных каналов. | |
Электрообеспечение на случай аварий не предусмотрено. Блоки бесперебойного питания не контролируются на обеспечение аварийного завершения бизнес-процессов. | |
Общее программное обеспечение (операционные системы, офисные приложения, графические программы не являются лицензионными). Система восстановления сбоев операционных систем основана на повторной их инсталляции. | |
На компьютерах установлено программное обеспечение неизвестного авторства и не сертифицированное. | |
Антивирусные программы используются не на всех рабочих местах. Обновления баз данных сигнатур делается самостоятельно на каждом рабочем месте. | |
Система управления информационной безопасностью находится на невысоком уровне зрелости администрации АКБ. | |
Все сотрудники имеют неограниченный доступ в Интернет и могут использовать практически все его ресурсы. | |
Служебная информация может свободно копироваться на внешние носители: DVD, CD, USB. | |
Не организован учет носителей информации, а сами носители не имеют маркировки (коммерческая тайна, банковская тайна). Для передачи информации используются личные носители (FLASH) информации. | |
Бумажные носители информации с ошибками оформления договоров, копии документов не уничтожались, а выбрасывались в мусорные корзины. | |
Архивирование баз данных, размещенных на сервере не производится регулярно. | |
Бумажные копии договоров хранятся в открытом виде в шкафах помещений для работы с клиентами. | |
Отсутствует резервное оборудование, что приводит к остановке бизнес-процессов. | |
Парольная политика доступа к информационным активам не соответствует требованиям защиты банковской тайны. | |
В помещениях, где проводится обработка конфиденциальной информации (банковской тайны) не обеспечена защита от утечки информации. | |
Помещение управляющего не сертифицировано на обеспечение безопасности коммерческой и банковской тайн. | |
Обучение сотрудников методам и технологиям защиты информации не производится, а инструктажей не делается. | |
Договора с сотрудниками не включают требования к ним по хранению коммерческой и банковской тайны. |
Uta- Оценка ущерба:
ü 0-до 30000 (не значимый);
ü 1- от 30000 до 200000 руб.(малозначимый);
ü 2- от 200000 до 500000 руб.(средний);
ü 3- от 500000 до 1000000 руб.(высокий);
ü 4- от 1000000 до 3000000 руб.(критичный).
T- класификация угроз:
ü 0 - низкая угроза;
ü 1 - средняя угроза;
ü 2 - высокаяя угроза.
Yta- уязвимость актива:
ü 0 – низкая;
ü 1 - средняя;
ü 2 – высокая.
Обработка рисков представлена в таблице 3.
Таблица 3. Обработка рисков
Nt | T | A | Ny | Yta | Uta (руб) | Uta | M | Var | Mc | Zat |
1,1 | 2 465 698,00р. | Снижение риска | Покупка датчиков пожарной сигнализации | 15 000,00р. | ||||||
2,1 | 2 367 306,00р. | Снижение риска | Покупка кондиционеров | 30 000,00р. | ||||||
1,2 | 1 359 500,00р. | Сохранение риска | Принятие риска | 0,00р. | ||||||
1,1 | 2 543 843,00р. | Снижение риска | Покупка датчиков пожарной сигнализации | 15 000,00р. | ||||||
2,1 | 2 228 226,00р. | Снижение риска | Покупка кондиционеров | 30 000,00р. | ||||||
1,2 | 1 829 666,00р. | Сохранение риска | Принятие риска | 0,00р. | ||||||
1,1 | 2 681 439,00р. | Снижение риска | Покупка датчиков пожарной сигнализации | 15 000,00р. | ||||||
2,1 | 1 704 665,00р. | Снижение риска | Покупка кондиционеров | 30 000,00р. | ||||||
1,2 | 2 769 171,00р. | Сохранение риска | Принятие риска | 0,00р. | ||||||
1,1 | 2 062 808,00р. | Снижение риска | Покупка датчиков пожарной сигнализации | 15 000,00р. | ||||||
2,1 | 2 925 570,00р. | Снижение риска | Покупка кондиционеров | 30 000,00р. | ||||||
1,2 | 1 016 001,00р. | Сохранение риска | Принятие риска | 0,00р. | ||||||
3,1 | 845 374,00р. | Снижение риска | Покупка кондиционеров | 30 000,00р. | ||||||
3,1 | 636 422,00р. | Снижение риска | Покупка кондиционеров | 30 000,00р. | ||||||
3,1 | 645 781,00р. | Снижение риска | Покупка кондиционеров | 30 000,00р. | ||||||
3,1 | 972 364,00р. | Снижение риска | Покупка кондиционеров | 30 000,00р. | ||||||
3,2 | 922 566,00р. | Снижение риска | Средство резервного копирования и хранения БД АСУ | 10 000,00р. | ||||||
3,2 | 469 286,00р. | Сохранение риска | Принятие риска | 0,00р. | ||||||
3,2 | 819 839,00р. | Снижение риска | Покупка сертифицированного ПО | 40 000,00р. | ||||||
3,2 | 387 193,00р. | Сохранение риска | Принятие риска | 0,00р. | ||||||
3,2 | 965 837,00р. | Снижение риска | Покупка сертифицированного ПО | 40 000,00р. | ||||||
3,2 | 1 778 560,00р. | Снижение риска | Покупка сертифицированного ПО | 40 000,00р. | ||||||
3,2 | 793 563,00р. | Снижение риска | Докупка Антивирусных программ | 10 000,00р. | ||||||
3,2 | 2 707 681,00р. | Снижение риска | Покупка сертифицированного ПО | 40 000,00р. | ||||||
3,2 | 139 152,00р. | Сохранение риска | Незначительный риск | 0,00р. | ||||||
3,2 | 905 387,00р. | Снижение риска | Средство резервного копирования и хранения БД АСУ | 10 000,00р. | ||||||
3,2 | 772 370,00р. | Снижение риска | Докупка Антивирусных программ | 10 000,00р. | ||||||
3,3 | 965 563,00р. | Снижение риска | Создание резервных каналов связи и телекоммуникаций | 100 000,00р. | ||||||
3,3 | 859 314,00р. | Снижение риска | Создание резервных каналов связи и телекоммуникаций | 100 000,00р. | ||||||
3,3 | 693 282,00р. | Снижение риска | Создание резервных каналов связи и телекоммуникаций | 100 000,00р. | ||||||
5,4 | 141 075,00р. | Сохранение риска | Незначительный риск | 0,00р. | ||||||
5,4 | 179 058,00р. | Сохранение риска | Незначительный риск | 0,00р. | ||||||
5,4 | 155 815,00р. | Сохранение риска | Незначительный риск | 0,00р. | ||||||
5,4 | 37 542,00р. | Сохранение риска | Незначительный риск | 0,00р. | ||||||
5,4 | 2 947 505,00р. | Снижение риска | Убрать дисководы с компьютеров | 0,00р. | ||||||
5,4 | 1 762 475,00р. | Снижение риска | Организовать учет носителей информации | 0,00р. | ||||||
5,4 | 1 086 449,00р. | Снижение риска | Покупка измельчителя бумаги | 5 000,00р. | ||||||
5,4 | 1 162 646,00р. | Снижение риска | Покупка шкафов для хранения копий договоров | 30 000,00р. | ||||||
6,1 | 916 715,00р. | Снижение риска | Регулярное архивирование БД | 0,00р. | ||||||
6,1 | 739 149,00р. | Снижение риска | Покупка резервного оборудования | 50 000,00р. | ||||||
6,1 | 518 554,00р. | Снижение риска | Регулярное архивирование БД | 0,00р. | ||||||
6,1 | 677 876,00р. | Снижение риска | Покупка резервного оборудования | 50 000,00р. | ||||||
6,1 | 889 612,00р. | Снижение риска | Регулярное архивирование БД | 0,00р. | ||||||
6,1 | 909 967,00р. | Снижение риска | Покупка резервного оборудования | 50 000,00р. | ||||||
7,5 | 861 739,00р. | Снижение риска | Покупка СрЗИ | 100 000,00р. | ||||||
7,5 | 762 081,00р. | Снижение риска | Сертифицирование кабинета | 250 000,00р. | ||||||
7,5 | 992 601,00р. | Снижение риска | Покупка СрЗИ | 100 000,00р. | ||||||
7,5 | 883 631,00р. | Снижение риска | Сертифицирование кабинета | 250 000,00р. | ||||||
7,5 | 7 811,00р. | Сохранение риска | Незначительный риск | 0,00р. | ||||||
7,5 | 1 820 821,00р. | Снижение риска | Покупка СрЗИ | 100 000,00р. | ||||||
7,5 | 1 497 459,00р. | Снижение риска | Сертифицирование кабинета | 250 000,00р. | ||||||
7,3 | 389 308,00р. | Сохранение риска | Повышение уровня зрелости администрации АКБ | 0,00р. | ||||||
7,3 | 208 050,00р. | Сохранение риска | Принятие риска | 0,00р. | ||||||
7,3 | 1 912 863,00р. | Снижение риска | Изменить парольную политику доступа | 0,00р. | ||||||
7,4 | 283 073,00р. | Сохранение риска | Принятие риска | 0,00р. | ||||||
7,1 | 2 825 123,00р. | Снижение риска | Ограничение доступа в интернет | 0,00р. | ||||||
7,1 | 1 177 999,00р. | Снижение риска | Ограничение доступа в интернет | 0,00р. | ||||||
8,5 | 708 299,00р. | Снижение риска | Покупка кондиционеров | 30 000,00р. | ||||||
8,5 | 657 886,00р. | Снижение риска | Покупка кондиционеров | 30 000,00р. | ||||||
8,1 | 1 957 215,00р. | Снижение риска | Провести инструктаж сотрудников | 0,00р. | ||||||
8,1 | 968 933,00р. | Снижение риска | Провести инструктаж сотрудников | 0,00р. |
По результатам анализа моделирования угроз и обработки рисков можно сделать следующие выводы:
1) Большинство угроз имеют высокую вероятность реализации и могут принести высокий ущерб от их реализации;
2) Реализация самых опасных угроз наиболее актуальна для самых ценных активов;
3) Наибольшее количество угроз могут быть реализованы против самых уязвимых и ценных активов.
Моделирование плана обработки рисков представлено на рисунках 1,2.
Рис.1. Результаты моделирования плана обработки рисков
Рис.2. Моделирование плана обработки рисков