Файл: Практическая работа 1 Оценка риска информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 23.11.2023

Просмотров: 143

Скачиваний: 7

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.


– уменьшая вероятность осуществления угроз безопасности;

– ликвидируя уязвимости или уменьшая их величину;

– уменьшая величину возможного ущерба;

– выявляя атаки и другие нарушения безопасности;

– способствуя восстановлению ресурсов ИС, которым был нанесен ущерб.

3. Содержание работы
3.1 Структурная схема и активы.

В начале работы необходимо изобразить вариант структурно функциональной ИС организации с указанием соответствующего оборудования и функциональных связей “закрытого” и “открытого” контуров. Подобную систему характеризует рисунок 1.


Рисунок 1 – Схема структурно функциональной ИС организации
Обращаясь к рисунку, можно обозначить основные отделы организации.
Закрытый контур:

- Отдел разработки (имеет оранжевое обозначение);

- Экономический отдел (имеет зеленое обозначение);

- Отдел конструкторской документации (имеет желтое обозначение);

- Отдел конструкторской документации (имеет желтое обозначение);

- Бухгалтерия (имеет синее обозначение).
Открытый контур:

- Отдел кадров (имеет светло-серое обозначение);

- Отдел материально-технического обеспечения (имеет темно-серое обозначение);

- Отдел договоров и внешних сношений (имеет фиолетовое обозначение);

- Демилитаризированная зона (имеет белое обозначение);


Переходя к описанию ресурсов системы, можно обозначить все основные активы предприятия:


1. Технические активы “закрытого” контура:

- Сервер БД (базы данных);

- СКЗИ (средство криптографической защиты информации);

- Маршрутизатор;

- Однонаправленный межсетевой экран;

- АРМ (всех вышеуказанных отделов контура);

- Коммутаторы.



2. Технические активы “открытого” контура:

- Сервер БД (базы данных);

- Прокси-сервер;

- Маршрутизатор;

- Сервер аутентификации;

- Внешний межсетевой экран;

- АРМ (всех вышеуказанных отделов контура);

- Коммутаторы.

3. Информационные активы “закрытого” контура:

- Документация отдела разработок (проекты/планы);

- Конструкторская информация;

- Бухгалтерская и финансовая информация;

- Электронная почта.
4. Информационные активы “открытого” контура:

- Персональные данные сотрудников и партнёров;

- Контракты и соглашения;

- Электронная почта.

5. Программные активы (обобщённо для обоих контуров):

- ОС (операционная система);

- СУБД (система управления базами данных);

- Прикладное ПО (программное обеспечение).
3.2 Критичность, угрозы, уязвимости и риски.

В ходе дальнейшей работы необходимо обозначить основные угрозы и уязвимости, относящиеся к каждому из представленных активов, а также обозначить критичность ресурсов. Под угрозой понимается действие, которое может привести к нарушению безопасности, уязвимость обозначает слабое место в информационной системе, которое может привести к реализации угрозы, а критичность, свою очередь, характеризует ущерб, который понесет компания от потери определенного ресурса.

Таблица 1 - Модель угроз и уязвимостей аппаратных ресурсов ИС

Ресурс

Угрозы

Уязвимости

1.Сервер БД

(“закрытый” контур)

Критичность – 120 у.е.

1.Проникновение субъекта без права доступа в помещение с сервером

1.Отсутствие охранных средств в отношении точек доступа к серверной (двери и окна)

2.Отсутствие камер видеонаблюдения

2.Возможность стороннего взаимодействия с данными сервера

1.Отсутствие системы авторизации для получения доступа

2.Нерегулярное обновление паролей

3.Распространение информации из базы данных

1.Легкодоступность ключей доступа к базе данных

2.Отсутствие соответствующих договоров о неразглашении

2.СКЗИ

Критичность – 66 у.е.

1.Раскрытие принципов криптографических алгоритмов

1.Устаревшие версии алгоритмов

2.Уязвимости и ошибки в программном коде

2.Доступ нарушителя к информации

1.Отсутствие аутентификации в отношении зашифрованного канала

2.Использование слабых криптографических алгоритмов

3.Отказ обслуживания

1.Нарушение соединения

2.Внедрение вредоносных элементов в систему

3.Однонаправленный межсетевой экран

Критичность – 72 у.е.


1.Отказ в работе

1.Малая пропускная способность

2.Отсутствие резервного варианта межсетевого экрана

2.Доступ к настройкам межсетевого экрана

1.Ошибки в настройках авторизации

2.Слабая система аутентификации

3.Доступ к потоку данных

1.Наличие ошибок криптографического кода

2.Отсутствие системы контроля доступа к потоку

Ресурс

Угрозы

Уязвимости

4.Маршрутизатор (“закрытый” контур)

Критичность – 82 у.е.

1.Выход из строя

1.Легкодоступность маршрутизатора для физического воздействия

2.Хранение проводки в открытом виде

2.Перегруженность каналов

1.Слабая степень защищенности пароля

2.Использование трафика для нерабочих целей

3.Перехват DNS-запросов

1.Нерегулярная смена пароля

2.Сохранение стандартных настроек маршрутизатора

5.АРМ (“закрытый” контур)

Критичность – 64 у.е.

1.Вход злоумышленника в учетную запись

1.Чрезмерное число попыток для входа

2.Малое время блокировки после неудачных попыток входа

2.Появление вредоносного ПО

1.Отсутствие контроля физических носителей сотрудников

2.Установка стороннего ПО с сомнительных источников

3.Физическая неисправность

1.Отсутствие замков на дверях в помещения

2.Отсутствие камер видеонаблюдения

6.Коммутаторы

(“закрытый” контур)

Критичность – 80 у.е.

1.Повреждение проводки

1.Хранение проводки в открытом виде


2.Отсутсвие мер по борьбе с грызунами для защиты проводки

2.Доступ к привилегированному трафику

1.Отсутствие контроля доступа к защищенным каналам

2.Ошибки в конфигурации средств криптографической защиты

3.Ошибки в передаче данных

1.Легкодоступность терминалов для изменения настроек коммутаторов

2.Возможность изменения подключения проводов





Ресурс

Угрозы

Уязвимости

7.Прокси-сервер

Критичность – 76 у.е.

1.Отказ работы

1.Неверная конфигурация

2.Отсутствие защитных средств для попадания в демилитаризированную зону

2.Обход системы прокси-сервера

1.Ошибки конфигурации

2.Редкое обновление информации для получения доступа

3.Раскрытие передаваемых данных


1.Использование прокси сервера, предоставленного ненадёжным источником

2.Отсутствиедоговоров о неразглашении

8.Сервер БД

(“открытый” контур)

Критичность – 125 у.е.

1.Длительное удержание вычислительных ресурсов

1.Некорректные настройки авторизации пользователей

2.Применение слабых механизмов балансировки нагрузки

2. Неавторизированный доступ в систему файлов

1.Ошибки в настройках системы авторизации

2.Устаревшие технологии защиты файловой системы

3. Некорректное использование аппаратного или программного обеспечения

1.Установка слабых паролей

2.Ошибки в настройках системы авторизации

9.Сервер аутентификации

Критичность – 78 у.е.


1.Обход системы аутентификации

1.Неверная конфигурация

2.Устаревшие механизмы аутентификации

2. Изменение настроек аутентификации

1.Слабые защитные механизмы сервера

2.Нерегулярное обновление паролей

3. Отказ работы

1.Неверная конфигурация

2.Отсутствие защитных средств для попадания в демилитаризированную зону

Ресурс

Угрозы

Уязвимости

10.Внешний межсетевой экран

Критичность – 75 у.е.


1.Неавторизированный доступ к настройкам

1.Некорректные настройки авторизации

2.Устаревшие системы хранения паролей

2.Разглашение конфигураций устройства

1.Отсутствие соглашение о неразглашении

2. Некорректные настройки системы аутентификации

3.Отказ в обслуживание

1. Низка пропускная способность

2. Отсутствие резервного межсетевого экрана

11.Маршрутизатор (“открытый” контур)

Критичность – 87 у.е.


1.Выход из строя

1.Нахождение маршрутизатора в легкодоступном месте

2.Отсутсвие мер по борьбе с грызунами для защиты проводки

2.Перехват DNS-запросов

1.Отсутствие регламента на смену пароля

2.Использование стандартных настроек

3.Перегруженность каналов

1.Слабая степень защищенности пароля

2.Использование трафика для нерабочих целей

12.Коммутаторы (“открытый” контур)

Критичность – 82 у.е.


1.Нарушение работы портов

1.Неаккуратное обращение при работе с проводкой

2.Доступность коммутаторов к физическим угрозам с точки зрения расположения

2.Ошибки в передаче данных

1.Легкодоступность терминалов для изменения настроек коммутаторов

2.Неверное подключение проводов

3.Доступ к привилегированному трафику

1.Отсутствие контроля доступа к защищенным каналам

2.Ошибки в конфигурации средств криптографической защиты

Ресурс

Угрозы

Уязвимости

13. АРМ

(“открытый” контур)

Критичность – 69 у.е.


1.Вход злоумышленника в учетную запись

1.Нерегулярное обновление паролей

2.Малый промежуток блокировки после неудачных попыток входа

2.Появление вредоносного ПО

1.Отсутствие контроля физических носителей сотрудников

2.Установка стороннего ПО с сомнительных источников

3.Физическая неисправность

1.Отсутствие замков на дверях в помещения

2.Отсутствие камер видеонаблюдения

14. Документация отдела разработок (проекты/планы)

Критичность – 50 у.е.


1.Кража документации

1.Отсутсвтие специальных мест хранения документов

2.Отсутствие камер видеонаблюдения

2.Распространение содержания документов

1.Отсутствие соглашения о неразглашении

2.Отсутствие специальных мест хранения документов

3.Уничтожение документации

1.Отсутствие камер видеонаблюдения

2.Отсутствие системы контроля доступа в помещения с документами

15. Конструкторская информация

Критичность – 46 у.е.


1.Уничтожение информации

1.Отсутствие резервных копий данных

2.Отсутствие системы контроля доступа к информации

2.Распространение

информации

1.Отсутствие соглашения о неразглашении

2.Несогласованность уровней доступа к информации

3.Кража информации

1. Отсутствие камер видеонаблюдения

2.Отсутствие контроля за копированием данных на сторонние носители

Ресурс

Угрозы

Уязвимости

16. Бухгалтерская и финансовая информация

Критичность – 55 у.е.


1.Уничтожение информации

1.Отсутствие резервных копий информации

2.Отсутствие паролей для доступа к данным

2.Распространение

информации

1.Отсутствие системы управления правами доступа

2.Отсутствие соглашения о неразглашении

3.Подделывание информации

1.Отсутствие специальной маркировки

2.Отсутствие системы восстановления различных версий документов

17. Электронная почта

(для обоих контуров)

Критичность – 41 у.е.

1.Взлом учетной записи

1.Редкое обновление паролей

2.Простые принципы составления паролей

2.Доступ к содержанию электронных писем


1.Некорректные настройки системы авторизации

2.Отсутствие контроля за пересылкой электронных писем на сторонние аккаунты

3.Внедрение вирусных

элементов через письма

1.Отсутствие регламента по открытию электронных писем

2.Отсутствие систем противодействия вирусным элементам

18. Персональные данные сотрудников и партнёров

Критичность – 49 у.е.


1.Распространение конфиденциальных данных

1.Отсутствие соглашения о неразглашении

2.Несогласованность уровней доступа к информации

2.Подмена данных


1.Наличие данных в единичных экземплярах

2.Отсутствие журнала взаимодействия пользователей с системами данных

3.Удаление информации

1.Отсутствие системы контроля доступа

2.Редкое обновление паролей

Ресурс

Угрозы

Уязвимости

19. Контракты и соглашения

Критичность – 47 у.е.


1.Уничтожение соответствующих документов

1.Устаревшие механизмы работы системы аутентификации

2. Наличие документов в единственном экземпляре

2.Подделывание документов

1.Отсутствие системы контроля доступа к документам

2.Отсутствие специальной маркировки

3.Раскрытие информации

1.Несогласованность уровней доступа к информации

2.Отсутствие соглашения о неразглашении

20. Операционная система

Критичность – 30 у.е.


1.Изменение настроек системы

1.Некорректные настройки систем удаленного взаимодействия

2.Ошибки в настройках авторизации

2.Полное или частичное разрушение операционной системы


1.Редкое обновление паролей

2.Отсутствие проверки физических носителей сотрудников

3.Несанкционированный доступ к данным

1.Ненастроенные политики безопасностей

2. Установка вирусных ПО

21. СУБД

Критичность – 33 у.е.

1.Изменение настроек систем

1.Неверная настройка прав доступа

2.Некорректная настройка удаленного доступа

2.Модификация данных через систему


1. Некорректная настройка удаленного доступа

2.Отсутствие журнала взаимодействия с данными

3.Частичное или полное удаление системы

1.Некорретные настройки системы авторизации

2.Нерегулярное обновление паролей

Ресурс

Угрозы

Уязвимости

22. Программное обеспечение

Критичность – 27 у.е.


1.Удадение программного обеспечения

1.Некорректная настройка удаленного доступа

2.Ошибки в работе системы предоставления прав доступа

2. Изменение настроек программного обеспечения

1.Ошибки в настройках системы авторизации

2.Некорректная настройка удаленного доступа

3.Отказ в работе

1.Ошибки в программном коде

2.Некорректные настройки программного обеспечения



В ходе дальнейшей работы будут производиться расчёты вероятности и критичности реализации угроз по соответствующим уязвимостям, после чего вычислить уровень угрозы по уязвимостям, угрозам, а также общее его значения для ресурса.



Угроза/Уязвимость

Вероятность реализации угрозы через данную уязвимость в течение года (%), P(V)

Критичность реализации угрозы через уязвимость (%), ER

Сервер БД (закрытый контур)

Угроза 1/Уязвимость 1

90

80

Угроза 1/Уязвимость 2

85

70

Угроза 2/Уязвимость 1

70

60

Угроза 2/Уязвимость 2

80

70

Угроза 3/Уязвимость 1

65

25

Угроза 3/Уязвимость 2

75

20

СКЗИ

Угроза 1/Уязвимость 1

40

35

Угроза 1/Уязвимость 2

45

35

Угроза 2/Уязвимость 1

55

60

Угроза 2/Уязвимость 2

40

40

Угроза 3/Уязвимость 1

65

55

Угроза 3/Уязвимость 2

35

45

Однонаправленный межсетевой экран

Угроза 1/Уязвимость 1

85

80

Угроза 1/Уязвимость 2

65

70

Угроза 2/Уязвимость 1

85

65

Угроза 2/Уязвимость 2

70

30

Угроза 3/Уязвимость 1

80

50

Угроза 3/Уязвимость 2

60

45

Маршрутизатор (закрытый контур)

Угроза 1/Уязвимость 1

70

45

Угроза 1/Уязвимость 2

60

55

Угроза 2/Уязвимость 1

80

70

Угроза 2/Уязвимость 2

65

50

Угроза 3/Уязвимость 1

60

45

Угроза 3/Уязвимость 2

50

30

АРМ (закрытый контур)

Угроза 1/Уязвимость 1

60

35

Угроза 1/Уязвимость 2

70

60

Угроза 2/Уязвимость 1

90

75

Угроза 2/Уязвимость 2

65

50

Угроза 3/Уязвимость 1

80

35

Угроза 3/Уязвимость 2

55

40

Коммутаторы (закрытый контур)

Угроза 1/Уязвимость 1

75

50

Угроза 1/Уязвимость 2

60

45

Угроза 2/Уязвимость 1

80

70

Угроза 2/Уязвимость 2

90

65

Угроза 3/Уязвимость 1

50

30

Угроза 3/Уязвимость 2

65

45

Прокси-сервер

Угроза 1/Уязвимость 1

70

45

Угроза 1/Уязвимость 2

60

55

Угроза 2/Уязвимость 1

80

65

Угроза 2/Уязвимость 2

90

80

Угроза 3/Уязвимость 1

55

35

Угроза 3/Уязвимость 2

75

60

Сервер БД (“открытый” контур)

Угроза 1/Уязвимость 1

60

55

Угроза 1/Уязвимость 2

70

65

Угроза 2/Уязвимость 1

80

70

Угроза 2/Уязвимость 2

55

50

Угроза 3/Уязвимость 1

90

70

Угроза 3/Уязвимость 2

75

45

Сервер аутентификации

Угроза 1/Уязвимость 1

65

50

Угроза 1/Уязвимость 2

70

65

Угроза 2/Уязвимость 1

80

75

Угроза 2/Уязвимость 2

60

45

Угроза 3/Уязвимость 1

75

60

Угроза 3/Уязвимость 2

80

45

Внешний межсетевой экран

Угроза 1/Уязвимость 1

80

75

Угроза 1/Уязвимость 2

70

60

Угроза 2/Уязвимость 1

65

55

Угроза 2/Уязвимость 2

75

65

Угроза 3/Уязвимость 1

90

70

Угроза 3/Уязвимость 2

55

45

Маршрутизатор (“открытый” контур)

Угроза 1/Уязвимость 1

80

70

Угроза 1/Уязвимость 2

90

75

Угроза 2/Уязвимость 1

65

50

Угроза 2/Уязвимость 2

70

60

Угроза 3/Уязвимость 1

50

45

Угроза 3/Уязвимость 2

55

50

Коммутаторы (“открытый” контур)

Угроза 1/Уязвимость 1

70

65

Угроза 1/Уязвимость 2

75

60

Угроза 2/Уязвимость 1

80

70

Угроза 2/Уязвимость 2

60

45

Угроза 3/Уязвимость 1

50

35

Угроза 3/Уязвимость 2

55

45

АРМ (“открытый” контур)

Угроза 1/Уязвимость 1

85

75

Угроза 1/Уязвимость 2

90

80

Угроза 2/Уязвимость 1

75

70

Угроза 2/Уязвимость 2

60

45

Угроза 3/Уязвимость 1

50

35

Угроза 3/Уязвимость 2

40

25

Документация отдела разработок

Угроза 1/Уязвимость 1

60

55

Угроза 1/Уязвимость 2

50

45

Угроза 2/Уязвимость 1

70

65

Угроза 2/Уязвимость 2

80

75

Угроза 3/Уязвимость 1

90

80

Угроза 3/Уязвимость 2

75

65





Конструкторская информация

Угроза 1/Уязвимость 1

70

65

Угроза 1/Уязвимость 2

80

70

Угроза 2/Уязвимость 1

90

85

Угроза 2/Уязвимость 2

80

75

Угроза 3/Уязвимость 1

60

45

Угроза 3/Уязвимость 2

50

35

Бухгалтерская и финансовая информация

Угроза 1/Уязвимость 1

65

60

Угроза 1/Уязвимость 2

50

45

Угроза 2/Уязвимость 1

70

65

Угроза 2/Уязвимость 2

80

70

Угроза 3/Уязвимость 1

60

55

Угроза 3/Уязвимость 2

50

35

Электронная почта (для обоих контуров)

Угроза 1/Уязвимость 1

70

65

Угроза 1/Уязвимость 2

60

50

Угроза 2/Уязвимость 1

55

45

Угроза 2/Уязвимость 2

50

40

Угроза 3/Уязвимость 1

75

65

Угроза 3/Уязвимость 2

60

35

Персональные данные сотрудников и партнёров

Угроза 1/Уязвимость 1

80

65

Угроза 1/Уязвимость 2

75

60

Угроза 2/Уязвимость 1

55

45

Угроза 2/Уязвимость 2

40

25

Угроза 3/Уязвимость 1

70

55

Угроза 3/Уязвимость 2

65

50