Файл: Практическая работа 1 Оценка риска информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 23.11.2023
Просмотров: 143
Скачиваний: 7
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
– уменьшая вероятность осуществления угроз безопасности;
– ликвидируя уязвимости или уменьшая их величину;
– уменьшая величину возможного ущерба;
– выявляя атаки и другие нарушения безопасности;
– способствуя восстановлению ресурсов ИС, которым был нанесен ущерб.
3. Содержание работы
3.1 Структурная схема и активы.
В начале работы необходимо изобразить вариант структурно функциональной ИС организации с указанием соответствующего оборудования и функциональных связей “закрытого” и “открытого” контуров. Подобную систему характеризует рисунок 1.
Рисунок 1 – Схема структурно функциональной ИС организации
Обращаясь к рисунку, можно обозначить основные отделы организации.
Закрытый контур:
- Отдел разработки (имеет оранжевое обозначение);
- Экономический отдел (имеет зеленое обозначение);
- Отдел конструкторской документации (имеет желтое обозначение);
- Отдел конструкторской документации (имеет желтое обозначение);
- Бухгалтерия (имеет синее обозначение).
Открытый контур:
- Отдел кадров (имеет светло-серое обозначение);
- Отдел материально-технического обеспечения (имеет темно-серое обозначение);
- Отдел договоров и внешних сношений (имеет фиолетовое обозначение);
- Демилитаризированная зона (имеет белое обозначение);
Переходя к описанию ресурсов системы, можно обозначить все основные активы предприятия:
1. Технические активы “закрытого” контура:
- Сервер БД (базы данных);
- СКЗИ (средство криптографической защиты информации);
- Маршрутизатор;
- Однонаправленный межсетевой экран;
- АРМ (всех вышеуказанных отделов контура);
- Коммутаторы.
2. Технические активы “открытого” контура:
- Сервер БД (базы данных);
- Прокси-сервер;
- Маршрутизатор;
- Сервер аутентификации;
- Внешний межсетевой экран;
- АРМ (всех вышеуказанных отделов контура);
- Коммутаторы.
3. Информационные активы “закрытого” контура:
- Документация отдела разработок (проекты/планы);
- Конструкторская информация;
- Бухгалтерская и финансовая информация;
- Электронная почта.
4. Информационные активы “открытого” контура:
- Персональные данные сотрудников и партнёров;
- Контракты и соглашения;
- Электронная почта.
5. Программные активы (обобщённо для обоих контуров):
- ОС (операционная система);
- СУБД (система управления базами данных);
- Прикладное ПО (программное обеспечение).
3.2 Критичность, угрозы, уязвимости и риски.
В ходе дальнейшей работы необходимо обозначить основные угрозы и уязвимости, относящиеся к каждому из представленных активов, а также обозначить критичность ресурсов. Под угрозой понимается действие, которое может привести к нарушению безопасности, уязвимость обозначает слабое место в информационной системе, которое может привести к реализации угрозы, а критичность, свою очередь, характеризует ущерб, который понесет компания от потери определенного ресурса.
Таблица 1 - Модель угроз и уязвимостей аппаратных ресурсов ИС
| Ресурс | Угрозы | Уязвимости |
| 1.Сервер БД (“закрытый” контур) Критичность – 120 у.е. | 1.Проникновение субъекта без права доступа в помещение с сервером | 1.Отсутствие охранных средств в отношении точек доступа к серверной (двери и окна) |
| 2.Отсутствие камер видеонаблюдения | ||
| 2.Возможность стороннего взаимодействия с данными сервера | 1.Отсутствие системы авторизации для получения доступа | |
| 2.Нерегулярное обновление паролей | ||
| 3.Распространение информации из базы данных | 1.Легкодоступность ключей доступа к базе данных | |
| 2.Отсутствие соответствующих договоров о неразглашении | ||
| 2.СКЗИ Критичность – 66 у.е. | 1.Раскрытие принципов криптографических алгоритмов | 1.Устаревшие версии алгоритмов |
| 2.Уязвимости и ошибки в программном коде | ||
| 2.Доступ нарушителя к информации | 1.Отсутствие аутентификации в отношении зашифрованного канала | |
| 2.Использование слабых криптографических алгоритмов | ||
| 3.Отказ обслуживания | 1.Нарушение соединения | |
| 2.Внедрение вредоносных элементов в систему | ||
| 3.Однонаправленный межсетевой экран Критичность – 72 у.е. | 1.Отказ в работе | 1.Малая пропускная способность |
| 2.Отсутствие резервного варианта межсетевого экрана | ||
| 2.Доступ к настройкам межсетевого экрана | 1.Ошибки в настройках авторизации | |
| 2.Слабая система аутентификации | ||
| 3.Доступ к потоку данных | 1.Наличие ошибок криптографического кода | |
| 2.Отсутствие системы контроля доступа к потоку | ||
| Ресурс | Угрозы | Уязвимости |
| 4.Маршрутизатор (“закрытый” контур) Критичность – 82 у.е. | 1.Выход из строя | 1.Легкодоступность маршрутизатора для физического воздействия |
| 2.Хранение проводки в открытом виде | ||
| 2.Перегруженность каналов | 1.Слабая степень защищенности пароля | |
| 2.Использование трафика для нерабочих целей | ||
| 3.Перехват DNS-запросов | 1.Нерегулярная смена пароля | |
| 2.Сохранение стандартных настроек маршрутизатора | ||
| 5.АРМ (“закрытый” контур) Критичность – 64 у.е. | 1.Вход злоумышленника в учетную запись | 1.Чрезмерное число попыток для входа |
| 2.Малое время блокировки после неудачных попыток входа | ||
| 2.Появление вредоносного ПО | 1.Отсутствие контроля физических носителей сотрудников | |
| 2.Установка стороннего ПО с сомнительных источников | ||
| 3.Физическая неисправность | 1.Отсутствие замков на дверях в помещения | |
| 2.Отсутствие камер видеонаблюдения | ||
| 6.Коммутаторы (“закрытый” контур) Критичность – 80 у.е. | 1.Повреждение проводки | 1.Хранение проводки в открытом виде |
| 2.Отсутсвие мер по борьбе с грызунами для защиты проводки | ||
| 2.Доступ к привилегированному трафику | 1.Отсутствие контроля доступа к защищенным каналам | |
| 2.Ошибки в конфигурации средств криптографической защиты | ||
| 3.Ошибки в передаче данных | 1.Легкодоступность терминалов для изменения настроек коммутаторов | |
| 2.Возможность изменения подключения проводов |
| Ресурс | Угрозы | Уязвимости |
| 7.Прокси-сервер Критичность – 76 у.е. | 1.Отказ работы | 1.Неверная конфигурация |
| 2.Отсутствие защитных средств для попадания в демилитаризированную зону | ||
| 2.Обход системы прокси-сервера | 1.Ошибки конфигурации | |
| 2.Редкое обновление информации для получения доступа | ||
| 3.Раскрытие передаваемых данных | 1.Использование прокси сервера, предоставленного ненадёжным источником | |
| 2.Отсутствиедоговоров о неразглашении | ||
| 8.Сервер БД (“открытый” контур) Критичность – 125 у.е. | 1.Длительное удержание вычислительных ресурсов | 1.Некорректные настройки авторизации пользователей |
| 2.Применение слабых механизмов балансировки нагрузки | ||
| 2. Неавторизированный доступ в систему файлов | 1.Ошибки в настройках системы авторизации | |
| 2.Устаревшие технологии защиты файловой системы | ||
| 3. Некорректное использование аппаратного или программного обеспечения | 1.Установка слабых паролей | |
| 2.Ошибки в настройках системы авторизации | ||
| 9.Сервер аутентификации Критичность – 78 у.е. | 1.Обход системы аутентификации | 1.Неверная конфигурация |
| 2.Устаревшие механизмы аутентификации | ||
| 2. Изменение настроек аутентификации | 1.Слабые защитные механизмы сервера | |
| 2.Нерегулярное обновление паролей | ||
| 3. Отказ работы | 1.Неверная конфигурация | |
| 2.Отсутствие защитных средств для попадания в демилитаризированную зону | ||
| Ресурс | Угрозы | Уязвимости |
| 10.Внешний межсетевой экран Критичность – 75 у.е. | 1.Неавторизированный доступ к настройкам | 1.Некорректные настройки авторизации |
| 2.Устаревшие системы хранения паролей | ||
| 2.Разглашение конфигураций устройства | 1.Отсутствие соглашение о неразглашении | |
| 2. Некорректные настройки системы аутентификации | ||
| 3.Отказ в обслуживание | 1. Низка пропускная способность | |
| 2. Отсутствие резервного межсетевого экрана | ||
| 11.Маршрутизатор (“открытый” контур) Критичность – 87 у.е. | 1.Выход из строя | 1.Нахождение маршрутизатора в легкодоступном месте |
| 2.Отсутсвие мер по борьбе с грызунами для защиты проводки | ||
| 2.Перехват DNS-запросов | 1.Отсутствие регламента на смену пароля | |
| 2.Использование стандартных настроек | ||
| 3.Перегруженность каналов | 1.Слабая степень защищенности пароля | |
| 2.Использование трафика для нерабочих целей | ||
| 12.Коммутаторы (“открытый” контур) Критичность – 82 у.е. | 1.Нарушение работы портов | 1.Неаккуратное обращение при работе с проводкой |
| 2.Доступность коммутаторов к физическим угрозам с точки зрения расположения | ||
| 2.Ошибки в передаче данных | 1.Легкодоступность терминалов для изменения настроек коммутаторов | |
| 2.Неверное подключение проводов | ||
| 3.Доступ к привилегированному трафику | 1.Отсутствие контроля доступа к защищенным каналам | |
| 2.Ошибки в конфигурации средств криптографической защиты | ||
| Ресурс | Угрозы | Уязвимости |
| 13. АРМ (“открытый” контур) Критичность – 69 у.е. | 1.Вход злоумышленника в учетную запись | 1.Нерегулярное обновление паролей |
| 2.Малый промежуток блокировки после неудачных попыток входа | ||
| 2.Появление вредоносного ПО | 1.Отсутствие контроля физических носителей сотрудников | |
| 2.Установка стороннего ПО с сомнительных источников | ||
| 3.Физическая неисправность | 1.Отсутствие замков на дверях в помещения | |
| 2.Отсутствие камер видеонаблюдения | ||
| 14. Документация отдела разработок (проекты/планы) Критичность – 50 у.е. | 1.Кража документации | 1.Отсутсвтие специальных мест хранения документов |
| 2.Отсутствие камер видеонаблюдения | ||
| 2.Распространение содержания документов | 1.Отсутствие соглашения о неразглашении | |
| 2.Отсутствие специальных мест хранения документов | ||
| 3.Уничтожение документации | 1.Отсутствие камер видеонаблюдения | |
| 2.Отсутствие системы контроля доступа в помещения с документами | ||
| 15. Конструкторская информация Критичность – 46 у.е. | 1.Уничтожение информации | 1.Отсутствие резервных копий данных |
| 2.Отсутствие системы контроля доступа к информации | ||
| 2.Распространение информации | 1.Отсутствие соглашения о неразглашении | |
| 2.Несогласованность уровней доступа к информации | ||
| 3.Кража информации | 1. Отсутствие камер видеонаблюдения | |
| 2.Отсутствие контроля за копированием данных на сторонние носители | ||
| Ресурс | Угрозы | Уязвимости |
| 16. Бухгалтерская и финансовая информация Критичность – 55 у.е. | 1.Уничтожение информации | 1.Отсутствие резервных копий информации |
| 2.Отсутствие паролей для доступа к данным | ||
| 2.Распространение информации | 1.Отсутствие системы управления правами доступа | |
| 2.Отсутствие соглашения о неразглашении | ||
| 3.Подделывание информации | 1.Отсутствие специальной маркировки | |
| 2.Отсутствие системы восстановления различных версий документов | ||
| 17. Электронная почта (для обоих контуров) Критичность – 41 у.е. | 1.Взлом учетной записи | 1.Редкое обновление паролей |
| 2.Простые принципы составления паролей | ||
| 2.Доступ к содержанию электронных писем | 1.Некорректные настройки системы авторизации | |
| 2.Отсутствие контроля за пересылкой электронных писем на сторонние аккаунты | ||
| 3.Внедрение вирусных элементов через письма | 1.Отсутствие регламента по открытию электронных писем | |
| 2.Отсутствие систем противодействия вирусным элементам | ||
| 18. Персональные данные сотрудников и партнёров Критичность – 49 у.е. | 1.Распространение конфиденциальных данных | 1.Отсутствие соглашения о неразглашении |
| 2.Несогласованность уровней доступа к информации | ||
| 2.Подмена данных | 1.Наличие данных в единичных экземплярах | |
| 2.Отсутствие журнала взаимодействия пользователей с системами данных | ||
| 3.Удаление информации | 1.Отсутствие системы контроля доступа | |
| 2.Редкое обновление паролей | ||
| Ресурс | Угрозы | Уязвимости |
| 19. Контракты и соглашения Критичность – 47 у.е. | 1.Уничтожение соответствующих документов | 1.Устаревшие механизмы работы системы аутентификации |
| 2. Наличие документов в единственном экземпляре | ||
| 2.Подделывание документов | 1.Отсутствие системы контроля доступа к документам | |
| 2.Отсутствие специальной маркировки | ||
| 3.Раскрытие информации | 1.Несогласованность уровней доступа к информации | |
| 2.Отсутствие соглашения о неразглашении | ||
| 20. Операционная система Критичность – 30 у.е. | 1.Изменение настроек системы | 1.Некорректные настройки систем удаленного взаимодействия |
| 2.Ошибки в настройках авторизации | ||
| 2.Полное или частичное разрушение операционной системы | 1.Редкое обновление паролей | |
| 2.Отсутствие проверки физических носителей сотрудников | ||
| 3.Несанкционированный доступ к данным | 1.Ненастроенные политики безопасностей | |
| 2. Установка вирусных ПО | ||
| 21. СУБД Критичность – 33 у.е. | 1.Изменение настроек систем | 1.Неверная настройка прав доступа |
| 2.Некорректная настройка удаленного доступа | ||
| 2.Модификация данных через систему | 1. Некорректная настройка удаленного доступа | |
| 2.Отсутствие журнала взаимодействия с данными | ||
| 3.Частичное или полное удаление системы | 1.Некорретные настройки системы авторизации | |
| 2.Нерегулярное обновление паролей | ||
| Ресурс | Угрозы | Уязвимости |
| 22. Программное обеспечение Критичность – 27 у.е. | 1.Удадение программного обеспечения | 1.Некорректная настройка удаленного доступа |
| 2.Ошибки в работе системы предоставления прав доступа | ||
| 2. Изменение настроек программного обеспечения | 1.Ошибки в настройках системы авторизации | |
| 2.Некорректная настройка удаленного доступа | ||
| 3.Отказ в работе | 1.Ошибки в программном коде | |
| 2.Некорректные настройки программного обеспечения |
В ходе дальнейшей работы будут производиться расчёты вероятности и критичности реализации угроз по соответствующим уязвимостям, после чего вычислить уровень угрозы по уязвимостям, угрозам, а также общее его значения для ресурса.
| Угроза/Уязвимость | Вероятность реализации угрозы через данную уязвимость в течение года (%), P(V) | Критичность реализации угрозы через уязвимость (%), ER |
| Сервер БД (“закрытый контур”) | ||
| Угроза 1/Уязвимость 1 | 90 | 80 |
| Угроза 1/Уязвимость 2 | 85 | 70 |
| Угроза 2/Уязвимость 1 | 70 | 60 |
| Угроза 2/Уязвимость 2 | 80 | 70 |
| Угроза 3/Уязвимость 1 | 65 | 25 |
| Угроза 3/Уязвимость 2 | 75 | 20 |
| СКЗИ | ||
| Угроза 1/Уязвимость 1 | 40 | 35 |
| Угроза 1/Уязвимость 2 | 45 | 35 |
| Угроза 2/Уязвимость 1 | 55 | 60 |
| Угроза 2/Уязвимость 2 | 40 | 40 |
| Угроза 3/Уязвимость 1 | 65 | 55 |
| Угроза 3/Уязвимость 2 | 35 | 45 |
| Однонаправленный межсетевой экран | ||
| Угроза 1/Уязвимость 1 | 85 | 80 |
| Угроза 1/Уязвимость 2 | 65 | 70 |
| Угроза 2/Уязвимость 1 | 85 | 65 |
| Угроза 2/Уязвимость 2 | 70 | 30 |
| Угроза 3/Уязвимость 1 | 80 | 50 |
| Угроза 3/Уязвимость 2 | 60 | 45 |
| Маршрутизатор (“закрытый” контур) | ||
| Угроза 1/Уязвимость 1 | 70 | 45 |
| Угроза 1/Уязвимость 2 | 60 | 55 |
| Угроза 2/Уязвимость 1 | 80 | 70 |
| Угроза 2/Уязвимость 2 | 65 | 50 |
| Угроза 3/Уязвимость 1 | 60 | 45 |
| Угроза 3/Уязвимость 2 | 50 | 30 |
| АРМ (“закрытый” контур) | ||
| Угроза 1/Уязвимость 1 | 60 | 35 |
| Угроза 1/Уязвимость 2 | 70 | 60 |
| Угроза 2/Уязвимость 1 | 90 | 75 |
| Угроза 2/Уязвимость 2 | 65 | 50 |
| Угроза 3/Уязвимость 1 | 80 | 35 |
| Угроза 3/Уязвимость 2 | 55 | 40 |
| Коммутаторы (“закрытый” контур) | ||
| Угроза 1/Уязвимость 1 | 75 | 50 |
| Угроза 1/Уязвимость 2 | 60 | 45 |
| Угроза 2/Уязвимость 1 | 80 | 70 |
| Угроза 2/Уязвимость 2 | 90 | 65 |
| Угроза 3/Уязвимость 1 | 50 | 30 |
| Угроза 3/Уязвимость 2 | 65 | 45 |
| Прокси-сервер | ||
| Угроза 1/Уязвимость 1 | 70 | 45 |
| Угроза 1/Уязвимость 2 | 60 | 55 |
| Угроза 2/Уязвимость 1 | 80 | 65 |
| Угроза 2/Уязвимость 2 | 90 | 80 |
| Угроза 3/Уязвимость 1 | 55 | 35 |
| Угроза 3/Уязвимость 2 | 75 | 60 |
| Сервер БД (“открытый” контур) | ||
| Угроза 1/Уязвимость 1 | 60 | 55 |
| Угроза 1/Уязвимость 2 | 70 | 65 |
| Угроза 2/Уязвимость 1 | 80 | 70 |
| Угроза 2/Уязвимость 2 | 55 | 50 |
| Угроза 3/Уязвимость 1 | 90 | 70 |
| Угроза 3/Уязвимость 2 | 75 | 45 |
| Сервер аутентификации | ||
| Угроза 1/Уязвимость 1 | 65 | 50 |
| Угроза 1/Уязвимость 2 | 70 | 65 |
| Угроза 2/Уязвимость 1 | 80 | 75 |
| Угроза 2/Уязвимость 2 | 60 | 45 |
| Угроза 3/Уязвимость 1 | 75 | 60 |
| Угроза 3/Уязвимость 2 | 80 | 45 |
| Внешний межсетевой экран | ||
| Угроза 1/Уязвимость 1 | 80 | 75 |
| Угроза 1/Уязвимость 2 | 70 | 60 |
| Угроза 2/Уязвимость 1 | 65 | 55 |
| Угроза 2/Уязвимость 2 | 75 | 65 |
| Угроза 3/Уязвимость 1 | 90 | 70 |
| Угроза 3/Уязвимость 2 | 55 | 45 |
| Маршрутизатор (“открытый” контур) | ||
| Угроза 1/Уязвимость 1 | 80 | 70 |
| Угроза 1/Уязвимость 2 | 90 | 75 |
| Угроза 2/Уязвимость 1 | 65 | 50 |
| Угроза 2/Уязвимость 2 | 70 | 60 |
| Угроза 3/Уязвимость 1 | 50 | 45 |
| Угроза 3/Уязвимость 2 | 55 | 50 |
| Коммутаторы (“открытый” контур) | ||
| Угроза 1/Уязвимость 1 | 70 | 65 |
| Угроза 1/Уязвимость 2 | 75 | 60 |
| Угроза 2/Уязвимость 1 | 80 | 70 |
| Угроза 2/Уязвимость 2 | 60 | 45 |
| Угроза 3/Уязвимость 1 | 50 | 35 |
| Угроза 3/Уязвимость 2 | 55 | 45 |
| АРМ (“открытый” контур) | ||
| Угроза 1/Уязвимость 1 | 85 | 75 |
| Угроза 1/Уязвимость 2 | 90 | 80 |
| Угроза 2/Уязвимость 1 | 75 | 70 |
| Угроза 2/Уязвимость 2 | 60 | 45 |
| Угроза 3/Уязвимость 1 | 50 | 35 |
| Угроза 3/Уязвимость 2 | 40 | 25 |
| Документация отдела разработок | ||
| Угроза 1/Уязвимость 1 | 60 | 55 |
| Угроза 1/Уязвимость 2 | 50 | 45 |
| Угроза 2/Уязвимость 1 | 70 | 65 |
| Угроза 2/Уязвимость 2 | 80 | 75 |
| Угроза 3/Уязвимость 1 | 90 | 80 |
| Угроза 3/Уязвимость 2 | 75 | 65 |
| Конструкторская информация | ||
| Угроза 1/Уязвимость 1 | 70 | 65 |
| Угроза 1/Уязвимость 2 | 80 | 70 |
| Угроза 2/Уязвимость 1 | 90 | 85 |
| Угроза 2/Уязвимость 2 | 80 | 75 |
| Угроза 3/Уязвимость 1 | 60 | 45 |
| Угроза 3/Уязвимость 2 | 50 | 35 |
| Бухгалтерская и финансовая информация | ||
| Угроза 1/Уязвимость 1 | 65 | 60 |
| Угроза 1/Уязвимость 2 | 50 | 45 |
| Угроза 2/Уязвимость 1 | 70 | 65 |
| Угроза 2/Уязвимость 2 | 80 | 70 |
| Угроза 3/Уязвимость 1 | 60 | 55 |
| Угроза 3/Уязвимость 2 | 50 | 35 |
| Электронная почта (для обоих контуров) | ||
| Угроза 1/Уязвимость 1 | 70 | 65 |
| Угроза 1/Уязвимость 2 | 60 | 50 |
| Угроза 2/Уязвимость 1 | 55 | 45 |
| Угроза 2/Уязвимость 2 | 50 | 40 |
| Угроза 3/Уязвимость 1 | 75 | 65 |
| Угроза 3/Уязвимость 2 | 60 | 35 |
| Персональные данные сотрудников и партнёров | ||
| Угроза 1/Уязвимость 1 | 80 | 65 |
| Угроза 1/Уязвимость 2 | 75 | 60 |
| Угроза 2/Уязвимость 1 | 55 | 45 |
| Угроза 2/Уязвимость 2 | 40 | 25 |
| Угроза 3/Уязвимость 1 | 70 | 55 |
| Угроза 3/Уязвимость 2 | 65 | 50 |