Файл: Практическая работа 1 По дисциплине Информационная безопасность (наименование учебной дисциплины согласно учебному плану).docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 22.11.2023
Просмотров: 270
Скачиваний: 11
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
ПЕРВОЕ ВЫСШЕЕ ТЕХНИЧЕСКОЕ УЧЕБНОЕ ЗАВЕДЕНИЕ РОССИИ
МИНИСТЕРСТВО науки и высшего ОБРАЗОВАНИЯ РОССИЙСКОЙ
ФЕДеРАЦИИ
федеральное государственное бюджетное образовательное учреждение
высшего образования
«САНКТ-ПЕТЕРБУРГСКИЙ ГОРНЫЙ УНИВЕРСИТЕТ»
Кафедра информатики и компьютерных технологий
ПРАКТИЧЕСКАЯ РАБОТА 1
По дисциплине Информационная безопасность
(наименование учебной дисциплины согласно учебному плану)
Тема работы: Анализ рисков информационной безопасности
Выполнил: студент гр. САМ-22 Кутуков Д.И.
(шифр группы) (подпись) (Ф.И.О.)
Проверил
руководитель работы:
(должность) (подпись) (Ф.И.О.)
Санкт-Петербург 2023
СОДЕРЖАНИЕ
ЗАДАНИЕ 2
ВЫБОР ИНФОРМАЦИОННОГО АКТИВА 2
УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 2
ОЦЕНКА ЦЕННОСТИ ИНФОРМАЦИОННЫХ АКТИВОВ 3
ОЦЕНКА РИСКОВ 3
ВЫВОД 4
ЗАДАНИЕ
Вариант 14
1. Загрузить ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Ч а с т ь 3 «Методы менеджмента безопасности информационных технологий»
2. Ознакомиться с Приложениями C, D и Е ГОСТа.
3. Выбрать три различных информационных актива организации (см. вариант).
4. Из Приложения D ГОСТа подобрать три конкретных уязвимости системы защиты указанных информационных активов.
5. Пользуясь Приложением С ГОСТа написать три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости.
6. Пользуясь одним из методов (см. вариант) предложенных в Приложении Е ГОСТа произвести оценку рисков информационной безопасности.
7. Оценку ценности информационного актива произвести на основании возможных потерь для организации в случае реализации угрозы.
ВЫБОР ИНФОРМАЦИОННОГО АКТИВА
Выберем три наиболее важных информационных актива:
-
База исполнителей (нотариусы, риэлторы, юристы, программисты и тд.)
Этот информационный актив влияет на качество и количество оказываемых услуг, что влияет на выручку организации, ее репутацию и популярность.
-
Клиентская база данных.
Этот информационный актив очень ценный. В агентстве недвижимости могут находиться данные клиентов, их предпочтения для нахождения наилучшего варианта. Также в клиентской базе данных могут находиться конфиденциальные данные клиентов.
-
Программное обеспечение для работы.
Этот информационный актив отвечает за работу сайта и других информационных сервисов организации, так как большинство организаций работают удаленно, сайт служит связью между клиентом и исполнителем. Соответственно проблемы с программным обеспечение могут привести к уменьшению количества клиентов.
УЯЗВИМОСТИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
Для первого информационного актива уязвимостью может быть отсутствие персонала.
Для второго - отсутствие механизмов идентификации и аутентификации, например, аутентификации пользователей.
Для третьего - отсутствие тестирования или недостаточное тестирование программного обеспечения
УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Угрозы, реализация которых возможна пока в системе не устранены названные в пункте «УЯЗВИМОСТИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ» уязвимости:
При первой уязвимости может возникнуть угроза недостаточного числа работников.
При второй - угроза нелегального проникновения злоумышленников под видом законных пользователей.
При третьей - угроза использования программного обеспечения несанкционированными пользователями.
ОЦЕНКА ЦЕННОСТИ ИНФОРМАЦИОННЫХ АКТИВОВ
Таблица 1
В Таблице 1 выполнена оценка ценности информационных активов.
Оценка рисков производится по следующим критериям: оценка материальных убытков (финансы, денежные компенсации), оценка нематериальных убытков (репутация, популярность, лояльность клиентов). Оценка производится по пятибалльной шкале
| Критерий оценивания/информационный актив | Оценка материальных убытков | Оценка нематериальных убытков | Ранг ценности |
| База исполнителей | 4 | 3 | 2 |
| Клиентская база данных | 5 | 5 | 1 |
| Программное обеспечение для работы | 3 | 2 | 3 |
На основании Таблицы 1 можем сделать вывод о том, что наибольшую ценность имеет информационный актив – клиентская база данных.
ОЦЕНКА РИСКОВ
В Таблице 2 выполнена оценка рисков.
Оценка рисков производится по следующим критериям: оценка воздействия (ценности актива), вероятность возникновения угрозы, мера риска и ранг угрозы. Оценка проводится по пятибалльной шкале.
Таблица 2
| Дескриптор угроз | Оценка воздействия (ценности актива) | Вероятность возникновения угрозы | Мера риска | Ранг угрозы |
| Угроза недостаточного числа сотрудников | 4 | 3 | 12 | 2 |
| Угроза нелегального проникновения злоумышленников под видом законных пользователей | 5 | 4 | 20 | 2 |
| Угроза использования программного обеспечения несанкционированными пользователями | 3 | 3 | 8 | 3 |
На основании Таблицы 2 можем сделать вывод о том, что наиболее сильной угрозой является угроза нелегального проникновения злоумышленников под видом законных пользователей, а наиболее слабой является угроза использования программного обеспечения несанкционированными пользователями.
ВЫВОД
Выполнен анализ рисков информационной безопасности агенства недвижимости . По итогам анализа можно сделать вывод, что наиболее сильной угрозой является угроза нелегального проникновения злоумышленников под видом законных пользователей, а наиболее слабой
является угроза использования программного обеспечения несанкционированными пользователями. Но чтобы не допустить возникновения данных угроз, необходимо ликвидировать уязвимости организации, такие как отсутствие персонала, отсутствие механизмов идентификации и аутентификации и недостаточное тестирование программного обеспечения.