Файл: Н. Н. Мошак должность, уч степень, звание подпись, дата инициалы, фамилия.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2023
Просмотров: 87
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Таблица 6.24
| Ресурс | Эффективность  |
| База Данных закрытого контура | 0,978 |
| База Данных открытого контура | 0.825 |
-
Модель угроз и уязвимостей программных ресурсов ИС с одной базовой угрозой
Уровень приемлемого риска принимаем равным 10% от предполагаемого ущерба по ресурсу.
Модель угроз и уязвимостей приведена в табл.7.1:
Таблица 7. 25
| Ресурс | Угрозы | Уязвимости |
| 1.Операционная система закрытого и открытого контура (критичность ресурса 50y.e) | 1. Сотрудники, не обладающие достаточной квалификацией в своей области работы. | 1.Неправильное использование системы |
| 2. Аварийное выключение с поломкой внутренних компонентов | ||
| 2.СУБД открытого и закрытого контуров (критичность ресурса 30y.e) | 1. Некорректное использование | 1. Некорректная настройка прав доступа пользователей к базе данных. |
| 2. Ненадежная система аутентификации. | ||
| 3. Открытое и закрытое программное обеспечение (ПО). (критичность ресурса 20y.e) | 1. Злоумышленники получают доступ к программному обеспечению (ПО). | 1.Отсутствие надежных паролей |
| 2. Некорректное назначение ролей и прав доступа. |
5.29. Расчет вероятности и критичности для одной базовой угрозы для программных ресурсов приведен в табл.7.2.
Таблица 7.26
| Угроза/Уязвимость | Вероятность реализации угрозы через данную уязвимость в течение года (%), P(V) | Критичность реализации угрозы через уязвимость (%), ER |
| ОС | ||
| Угроза1/Уязвимость 1 | 95 | 70 |
| Угроза1/Уязвимость 2 | 75 | 50 |
| СУБД | ||
| Угроза1/Уязвимость 1 | 50 | 50 |
| Угроза1/Уязвимость 2 | 80 | 70 |
| ПО | ||
| Угроза1/Уязвимость 1 | 70 | 30 |
| Угроза1/Уязвимость 2 | 60 | 50 |
-
Расчёт уровня угрозы по уязвимости Th и уровня угрозы по всем уязвимостям, через которые реализуется данная угроза
Результаты расчета приведены в табл. 7.3.
Таблица7. 27
| Угроза/Уязвимость | Уровень угрозы (%),   | Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза (%),  |
| ОС | ||
| Угроза1/Уязвимость 1 | 0,665 | 0,791 |
| Угроза1/Уязвимость 2 | 0,375 | |
| СУБД | ||
| Угроза1/Уязвимость 1 | 0,25 | 0,67 |
| Угроза1/Уязвимость 2 | 0,56 | |
| ПО | ||
| Угроза1/Уязвимость 1 | 0,21 | 0,447 |
| Угроза1/Уязвимость 2 | 0,3 | |
-
Расчет общего уровня угроз, действующих на ресурс, а также вычислим риск каждого ресурса. Результаты приведены в табл. 7.4:
Таблица 7.28
| Угроза/Уязвимость | Общий уровень угроз по ресурсу (%),   | Риск ресурса для режима с одной общей угрозой  (%),   |
| ОС | ||
| Угроза1/Уязвимость 1 Угроза1/Уязвимость 2 | 0,791 | 0,791x50=39,55 |
| СУБД | ||
| Угроза1/Уязвимость 1 Угроза1/Уязвимость 2 | 0,67 | 30x0,67=20,1 |
| ПО | ||
| Угроза1/Уязвимость 1 | 0,447 | 20x0,447=8,94 |
| Угроза1/Уязвимость 2 | ||
-
Контрмеры:
• Организовать проведение дополнительных курсов для повышения квалификации сотрудников;
• Составить соглашение о конфиденциальности для персонала;
• Назначить права доступа отдельным группам пользователей;
• Увеличить минимальную длину пароля.
-
Расчет вероятности реализации угрозы с учетом контрмер. Результаты приведены в табл.7.5:
Таблица7. 29
| Угроза/Уязвимость | Вероятность реализации угрозы через данную уязвимость в течение года (%),  | Критичность реализации угрозы через уязвимость (%),  |
| ОС | ||
| Угроза1/Уязвимость 1 | 1 | 70 |
| Угроза1/Уязвимость 2 | 2 | 50 |
| СУБД | ||
| Угроза1/Уязвимость 1 | 10 | 50 |
| Угроза1/Уязвимость 2 | 10 | 70 |
| ПО | ||
| Угроза1/Уязвимость 1 | 5 | 30 |
| Угроза1/Уязвимость 2 | 8 | 50 |
-
Расчёт уровня угрозы по уязвимости и уровня угрозы по всем уязвимостям, через которые реализуется данная базовая угроза с учетом контрмер.
Результаты расчета приведены в табл.7.6.
Таблица7. 30
| Угроза/Уязвимость | Уровень угрозы (%), | Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза (%), |
| ОС | ||
| Угроза1/Уязвимость 1 | 0,007 | 0,017 |
| Угроза1/Уязвимость 2 | 0,01 | |
| СУБД | ||
| Угроза1/Уязвимость 1 | 0,05 | 0,117 |
| Угроза1/Уязвимость 2 | 0,07 | |
| ПО | ||
| Угроза1/Уязвимость 1 | 0,015 | 0,054 |
| Угроза1/Уязвимость 2 | 0,04 | |
-
Расчет общего уровня угроз, действующих на ресурс и риск ресурса для режима с одной общей угрозой с учетом контрмер. Результаты приведены в табл.7.7.
Таблица7. 31
| Угроза/Уязвимость | Общий уровень угроз по ресурсу (%),  | Риск ресурса для режима с одной общей угрозой (%),   |
| ОС | ||
| Угроза1/Уязвимость 1 | 0,017 | 0,85 |
| Угроза1/Уязвимость 2 | ||
| СУБД | ||
| Угроза1/Уязвимость 1 | 0,117 | 3,51 |
| Угроза1/Уязвимость 2 | ||
| ПО | ||
| Угроза1/Уязвимость 1 | 0,054 | 1,08 |
| Угроза1/Уязвимость 2 | ||
-
Расчет эффективности введения контрмер.
Результат представлен в табл.7.8.
Таблица 7.32
| Ресурс | Эффективность |
| ОС | 0,97 |
| СУБД | 0.825 |
| ПО | 0,879 |
-
Модель угроз и уязвимостей людских ресурсов ИС с одной базовой угрозой
Уровень приемлемого риска принимаем равным 10% от предполагаемого ущерба по ресурсу.
Модель угроз и уязвимостей приведена в табл.8.1:
Таблица 8. 33
| Ресурс | Угрозы | Уязвимости |
| 1.База Данных открытого контура (критичность ресурса 50y.e) | 1.Некомпетентные сотрудники | 1. Некорректное администрирование. |
| 2. Плохой контроль над сотрудниками | ||
| 2. Разработчики (критичность ресурса 30y.e) | 1. Утечка личной информации | 1. Неправильная настройка доступа пользователей к БД |
| 2. Слабая система авторизации | ||
| 3.Программисты (критичность ресурса 20y.e) | 1. Утечка информации | 1.Отсутствие надежных паролей |
| 2.Неправильная выдача ролей и прав |
5.38. Расчет вероятности и критичности для одной базовой угрозы для программных ресурсов приведен в табл.8.2.
Таблица 8.34
| Угроза/Уязвимость | Вероятность реализации угрозы через данную уязвимость в течение года (%), P(V) | Критичность реализации угрозы через уязвимость (%), ER |
| Инженер | ||
| Угроза1/Уязвимость 1 | 95 | 70 |
| Угроза1/Уязвимость 2 | 75 | 50 |
| Разработчики | ||
| Угроза1/Уязвимость 1 | 50 | 50 |
| Угроза1/Уязвимость 2 | 80 | 70 |
| Программисты | ||
| Угроза1/Уязвимость 1 | 70 | 30 |
| Угроза1/Уязвимость 2 | 60 | 50 |
-
Расчёт уровня угрозы по уязвимости Th и уровня угрозы по всем уязвимостям, через которые реализуется данная угроза
Результаты расчета приведены в табл. 8.3.
Таблица8. 35
| Угроза/Уязвимость | Уровень угрозы (%), | Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза (%), |
| Инженеры | ||
| Угроза1/Уязвимость 1 | 0,665 | 0,791 |
| Угроза1/Уязвимость 2 | 0,375 | |
| Разработчики | ||
| Угроза1/Уязвимость 1 | 0,25 | 0,67 |
| Угроза1/Уязвимость 2 | 0,56 | |
| Программисты | ||
| Угроза1/Уязвимость 1 | 0,21 | 0,447 |
| Угроза1/Уязвимость 2 | 0,3 | |