Файл: Практическая работа 1 По дисциплине Информационная безопасность (наименование учебной дисциплины согласно учебному плану).docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 22.11.2023

Просмотров: 278

Скачиваний: 11

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

ПЕРВОЕ ВЫСШЕЕ ТЕХНИЧЕСКОЕ УЧЕБНОЕ ЗАВЕДЕНИЕ РОССИИ



МИНИСТЕРСТВО науки и высшего ОБРАЗОВАНИЯ РОССИЙСКОЙ

ФЕДеРАЦИИ

федеральное государственное бюджетное образовательное учреждение

высшего образования

«САНКТ-ПЕТЕРБУРГСКИЙ ГОРНЫЙ УНИВЕРСИТЕТ»

Кафедра информатики и компьютерных технологий

ПРАКТИЧЕСКАЯ РАБОТА 1

По дисциплине Информационная безопасность

(наименование учебной дисциплины согласно учебному плану)

Тема работы: Анализ рисков информационной безопасности

Выполнил: студент гр. САМ-22 Кутуков Д.И.

(шифр группы) (подпись) (Ф.И.О.)

Проверил

руководитель работы:

(должность) (подпись) (Ф.И.О.)

Санкт-Петербург 2023

СОДЕРЖАНИЕ

ЗАДАНИЕ 2

ВЫБОР ИНФОРМАЦИОННОГО АКТИВА 2

УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 2

ОЦЕНКА ЦЕННОСТИ ИНФОРМАЦИОННЫХ АКТИВОВ 3

ОЦЕНКА РИСКОВ 3

ВЫВОД 4

ЗАДАНИЕ


Вариант 14

1. Загрузить ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Ч а с т ь 3 «Методы менеджмента безопасности информационных технологий»

2. Ознакомиться с Приложениями C, D и Е ГОСТа.

3. Выбрать три различных информационных актива организации (см. вариант).

4. Из Приложения D ГОСТа подобрать три конкретных уязвимости системы защиты указанных информационных активов.

5. Пользуясь Приложением С ГОСТа написать три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости.

6. Пользуясь одним из методов (см. вариант) предложенных в Приложении Е ГОСТа произвести оценку рисков информационной безопасности.

7. Оценку ценности информационного актива произвести на основании возможных потерь для организации в случае реализации угрозы.

ВЫБОР ИНФОРМАЦИОННОГО АКТИВА


Выберем три наиболее важных информационных актива:

  1. База исполнителей (нотариусы, риэлторы, юристы, программисты и тд.)

Этот информационный актив влияет на качество и количество оказываемых услуг, что влияет на выручку организации, ее репутацию и популярность.


  1. Клиентская база данных.

Этот информационный актив очень ценный. В агентстве недвижимости могут находиться данные клиентов, их предпочтения для нахождения наилучшего варианта. Также в клиентской базе данных могут находиться конфиденциальные данные клиентов.

  1. Программное обеспечение для работы.

Этот информационный актив отвечает за работу сайта и других информационных сервисов организации, так как большинство организаций работают удаленно, сайт служит связью между клиентом и исполнителем. Соответственно проблемы с программным обеспечение могут привести к уменьшению количества клиентов.

УЯЗВИМОСТИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

Для первого информационного актива уязвимостью может быть отсутствие персонала.

Для второго - отсутствие механизмов идентификации и аутентификации, например, аутентификации пользователей.

Для третьего - отсутствие тестирования или недостаточное тестирование программного обеспечения

УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


Угрозы, реализация которых возможна пока в системе не устранены названные в пункте «УЯЗВИМОСТИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ» уязвимости:

При первой уязвимости может возникнуть угроза недостаточного числа работников.

При второй - угроза нелегального проникновения злоумышленников под видом законных пользователей.

При третьей - угроза использования программного обеспечения несанкционированными пользователями.

ОЦЕНКА ЦЕННОСТИ ИНФОРМАЦИОННЫХ АКТИВОВ


Таблица 1

В Таблице 1 выполнена оценка ценности информационных активов.

Оценка рисков производится по следующим критериям: оценка материальных убытков (финансы, денежные компенсации), оценка нематериальных убытков (репутация, популярность, лояльность клиентов). Оценка производится по пятибалльной шкале

Критерий оценивания/информационный актив

Оценка материальных убытков

Оценка нематериальных убытков

Ранг ценности

База исполнителей

4

3

2

Клиентская база данных

5

5

1

Программное обеспечение для работы

3

2

3


На основании Таблицы 1 можем сделать вывод о том, что наибольшую ценность имеет информационный актив – клиентская база данных.

ОЦЕНКА РИСКОВ


В Таблице 2 выполнена оценка рисков.

Оценка рисков производится по следующим критериям: оценка воздействия (ценности актива), вероятность возникновения угрозы, мера риска и ранг угрозы. Оценка проводится по пятибалльной шкале.

Таблица 2

Дескриптор угроз

Оценка воздействия (ценности актива)

Вероятность возникновения угрозы

Мера риска

Ранг угрозы

Угроза недостаточного числа сотрудников

4

3

12

2

Угроза нелегального проникновения злоумышленников под видом законных пользователей

5

4

20

2

Угроза использования программного обеспечения несанкционированными пользователями

3

3

8

3

На основании Таблицы 2 можем сделать вывод о том, что наиболее сильной угрозой является угроза нелегального проникновения злоумышленников под видом законных пользователей, а наиболее слабой является угроза использования программного обеспечения несанкционированными пользователями.

ВЫВОД


Выполнен анализ рисков информационной безопасности агенства недвижимости . По итогам анализа можно сделать вывод, что наиболее сильной угрозой является угроза нелегального проникновения злоумышленников под видом законных пользователей, а наиболее слабой

является угроза использования программного обеспечения несанкционированными пользователями. Но чтобы не допустить возникновения данных угроз, необходимо ликвидировать уязвимости организации, такие как отсутствие персонала, отсутствие механизмов идентификации и аутентификации и недостаточное тестирование программного обеспечения.