Файл: Государственное образовательное учреждение высшего профессионального образования санктпетербугрский государственный университет телекоммуникаций.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 26.10.2023
Просмотров: 58
Скачиваний: 5
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУГРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ им. проф. М.А. БОНЧ-БРУЕВИЧА»
Факультет Информационных систем и технологий
Кафедра Информационных управляющих систем
РАБОТА
ЗАЩИЩЕНА С ОЦЕНКОЙ
ПРЕПОДАВАТЕЛЬ
| проф., д.т.н. | | Н.Н. Мошак |
| должность, уч. степень, звание | подпись, дата | инициалы, фамилия |
| | | |
ПРАКТИЧЕСКАЯ РАБОТА № 1
«Оценка риска информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей»
по курсу: Безопасность информационных технологий и систем
| РАБОТУ ВЫПОЛНИЛ(А) СТУДЕНТ(КА) ГР. | | | |
| | | подпись, дата | инициалы, фамилия |
Санкт-Петербург
2021
Цель работы: рассчитать риск информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей
Исходные данные:
-
ресурсы (сервер закрытого контура, сервер открытого контура, МЭ открытого контура, СКЗИ закрытого контура, однонаправленный шлюз, оборудование ЛВС закрытого контура, оборудование ЛВС открытого контура); -
критичность ресурса: оборудования, ПО, информационного обеспечения (задать самостоятельно); -
отделы, к которым относятся ресурсы (закрытого и открытого контура); -
угрозы, действующие на ресурсы (сформулировать самостоятельно с учетом лекционного материала); -
уязвимости, через которые реализуются угрозы (сформулировать самостоятельно с учетом лекционного материала); -
задать вероятность реализации угрозы через данную уязвимость (на основе полученной модели проводится анализ вероятности реализации угроз информационной безопасности на каждый ресурс); -
критичность реализации угрозы через данную уязвимость (задать самостоятельно).
Задание:
-
Нарисовать вариант структурно-функциональной ИС организации с указанием оборудования и функциональных связей «закрытого» и «открытого» контуров. -
Задать критичность ресурса: оборудования, ПО, информационного обеспечения -
Описать угрозы/уязвимости (анализируются все угрозы, действующие на информационную систему, и уязвимости, через которые возможна реализация угроз (для каждого ресурса). -
Исходя из введенных владельцем информационной системы данных, построить модель угроз и уязвимостей, актуальных для информационной системы); -
Задать вероятность реализации угрозы через данную уязвимость и критичность реализации угрозы через данную уязвимость. -
Привести расчеты: уровня угрозы; общий уровень угроз, действующий на ресурс; риск ресурса -
Оценить введенные контрмеры. Если уровень риска превышает заданный, то необходимо усилить контрмеры и вычислить новый риск. Довести уровень риска до заданной величины
Содержание отчета
1. Структурно-функциональная ИС организации:
Корпоративная
сеть
Оборудование ЛВС открытого контура
Инженер по ИБ
Сетевые инженеры
Настройка оборудования СКЗИ
Настройка межсетевого экрана
Межсетевой экран
СКЗИ
INTERNET
Работники компании
Настройки однонаправленного шлюза
Однонаправленный шлюз
Настройки коммутаторов и маршрутизаторов закрытого контура
Оборудование ЛВС закрытого контура
Настройки коммутаторов и маршрутизаторов открытого контура
Сайт компании
Сервер открытого контура
ERP-система
Сервер закрытого контура
Локальный доступ
Доступ по VPN2. Задание критичности ресурса: оборудования, ПО, информационного обеспечения
Для уровня приемлемого риска зададим значение 15%. До указанного значения риск считается приемлемым. Свыше указанного значения – неприемлемым.
Построим таблицу, в которой опишем все ресурсы схемы, а также укажем угрозы и уязвимости по каждому из этих ресурсов.
| Ресурс | Угрозы | Уязвимости |
| 1. Сервер закрытого контура (критичность ресурса 80 у.е.) | 1. Неавторизованное проникновение нарушителя внутрь охраняемого периметра | 1. Отсутствие регламента доступа в помещения с ресурсами, содержащими ценную информацию |
| 2. Отсутствие системы видеонаблюдения | ||
| 2. Неавторизованная модификация информации в ERP-системе, хранящейся на ресурсе | 1. Слабая система хранения паролей | |
| 2. Слабая настройка прав и ролей безопасности в системе | ||
| 3. Разглашение конфиденциальной информации сотрудниками организации | 1. Отсутствие соглашений о конфиденциальности | |
| 2. Разделение атрибутов безопасности (ключей доступа, ключей шифрования) между несколькими доверенными сотрудниками | ||
| 2. Сервер открытого контура (критичность ресурса 100 у.е.) | 1. Угроза некорректного использования функционала программного и аппаратного обеспечения | 1. Отсутствие настроек авторизации пользователей |
| 2. Слабая система хранения паролей | ||
| 2. Угроза доступа неавторизованных пользователей к файловой системе | 1. Отсутствие настроек авторизации пользователей | |
| 2. Слабая технология защиты файловой системы | ||
| 3. Угроза длительного удержания вычислительных ресурсов пользователями | 1. Отсутствие настроек авторизации пользователей | |
| 2. Слабый механизм балансировки нагрузки | ||
| 3. Межсетевой экран открытого контура (критичность ресурса 60 у.е.) | 1. Отказ в обслуживании | 1. Отсутствие резервного межсетевого экрана |
| 2. Низкая пропускная способность межсетевого экрана | ||
| 2. Разглашение текущей конфигурации устройства | 1. Отсутствие соглашений о конфиденциальности | |
| 2. Отсутствие системы аутентификации | ||
| 3. Неавторизированный доступ к настройке межсетевого экрана | 1. Отсутствие настроек авторизации пользователей | |
| 2. Использование устаревших алгоритмов аутентификации для хранения паролей | ||
| 4. СКЗИ закрытого контура (критичность ресурса 30 у.е.) | 1. Отказ в обслуживании | 1. Отсутствие межсетевого экрана |
| 2. Отсутствие аутентификации при подключении к зашифрованному каналу | ||
| 2. Угроза анализа криптографических алгоритмов и их реализации | 1. Использование слабых криптографических алгоритмов | |
| 2. Наличие ошибок в программном коде криптографических средств | ||
| 3. Неограниченный доступ нарушителя к информации | 1. Использование слабых криптографических алгоритмов | |
| 2. Отсутствие соглашений о конфиденциальности | ||
| 5. Однонаправленный межсетевой экран (критичность ресурса 68 у.е.) | 1. Отказ в обслуживании | 1. Отсутствие резервного межсетевого экрана |
| 2. Низкая пропускная способность шлюза | ||
| 2. Реализация атаки «MitM» путем возможного подключения к закрытому каналу | 1. Отсутствие криптографических средств, применяемых к передаваемой информации | |
| 2. Отсутствие контроля доступа к закрытому каналу | ||
| 3. Угроза перехвата привилегированного потока | 1. Наличие ошибок в программном коде криптографических средств | |
| 2. Отсутствие аутентификации при подключении к закрытому каналу | ||
| 6. Оборудование ЛВС открытого контура (критичность ресурса 99 у.е.) | 1. Перехват передаваемых сообщений | 1. Неправильная конфигурация СКЗИ |
| 2. Использование алгоритмов шифрования с недостаточной длиной ключа | ||
| 2. Модификация и удаление передаваемых сообщений | 1. Отсутствие алгоритмов аутентификации | |
| 2. Использование устаревшего алгоритма аутентификации | ||
| 3. Прослушивание привилегированного трафика | 1. Отсутствие криптографической защиты, применяемой к пакетам данных | |
| 2. Отсутствие контроля доступа к защищенному каналу | ||
| 7. Оборудование ЛВС закрытого контура (критичность ресурса 70 у.е.) | 1. Прослушивание привилегированного трафика | 1. Отсутствие криптографической защиты, применяемой к пакетам данных |
| 2. Отсутствие контроля доступа к защищенному каналу | ||
| 2. Модификация и удаление передаваемых сообщений | 1. Отсутствие алгоритмов аутентификации | |
| 2. Использование устаревшего алгоритма аутентификации | ||
| | 3. Перехват передаваемых сообщений | 1. Неправильная конфигурация СКЗИ |
| 2. Отсутствие регламента смены пароля |
Входные данные по вероятности реализации угрозы через уязвимости и критичности реализации угрозы через эти же уязвимости
| Угроза\Уязвимость | Вероятность реализации угрозы через данную уязвимость в течение года (%), P(V) | Критичность реализации угрозы через уязвимость (%), ER |
| Сервер закрытого контура | ||
| Угроза 1/Уязвимость 1 | 98 | 80 |
| Угроза 1/Уязвимость 2 | 60 | 45 |
| Угроза 2/Уязвимость 1 | 85 | 90 |
| Угроза 2/Уязвимость 2 | 75 | 80 |
| Угроза 3/Уязвимость 1 | 75 | 15 |
| Угроза 3/Уязвимость 2 | 45 | 15 |
| Сервер открытого контура | ||
| Угроза 1/Уязвимость 1 | 60 | 50 |
| Угроза 1/Уязвимость 2 | 80 | 70 |
| Угроза 2/Уязвимость 1 | 30 | 20 |
| Угроза 2/Уязвимость 2 | 25 | 15 |
| Угроза 3/Уязвимость 1 | 85 | 80 |
| Угроза 3/Уязвимость 2 | 30 | 15 |
| Межсетевой экран открытого контура | ||
| Угроза 1/Уязвимость 1 | 75 | 35 |
| Угроза 1/Уязвимость 2 | 65 | 40 |
| Угроза 2/Уязвимость 1 | 20 | 10 |
| Угроза 2/Уязвимость 2 | 35 | 30 |
| Угроза 3/Уязвимость 1 | 20 | 15 |
| Угроза 3/Уязвимость 2 | 40 | 60 |
| СКЗИ закрытого контура | ||
| Угроза 1/Уязвимость 1 | 35 | 15 |
| Угроза 1/Уязвимость 2 | 90 | 80 |
| Угроза 2/Уязвимость 1 | 25 | 10 |
| Угроза 2/Уязвимость 2 | 30 | 30 |
| Угроза 3/Уязвимость 1 | 25 | 15 |
| Угроза 3/Уязвимость 2 | 50 | 65 |
| Однонаправленный шлюз | ||
| Угроза 1/Уязвимость 1 | 75 | 70 |
| Угроза 1/Уязвимость 2 | 90 | 65 |
| Угроза 2/Уязвимость 1 | 45 | 50 |
| Угроза 2/Уязвимость 2 | 55 | 40 |
| Угроза 3/Уязвимость 1 | 45 | 30 |
| Угроза 3/Уязвимость 2 | 40 | 35 |
| Оборудование ЛВС открытого контура | ||
| Угроза 1/Уязвимость 1 | 15 | 40 |
| Угроза 1/Уязвимость 2 | 55 | 30 |
| Угроза 2/Уязвимость 1 | 75 | 55 |
| Угроза 2/Уязвимость 2 | 45 | 30 |
| Угроза 3/Уязвимость 1 | 15 | 10 |
| Угроза 3/Уязвимость 2 | 45 | 25 |
| Оборудование ЛВС закрытого контура | ||
| Угроза 1/Уязвимость 1 | 70 | 60 |
| Угроза 1/Уязвимость 2 | 55 | 40 |
| Угроза 2/Уязвимость 1 | 85 | 75 |
| Угроза 2/Уязвимость 2 | 90 | 75 |
| Угроза 3/Уязвимость 1 | 60 | 50 |
| Угроза 3/Уязвимость 2 | 65 | 40 |