Файл: Практическая работа 1 Оценка риска информационной безопасности корпоративной информационной системы на основе модели угроз и уязвимостей по курсу Безопасность информационных технологий и систем.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 11.01.2024
Просмотров: 272
Скачиваний: 16
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУГРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ им. проф. М.А. БОНЧ-БРУЕВИЧА»
Факультет Информационных систем и технологий
Кафедра Информационных управляющих систем
ПРАКТИЧЕСКАЯ РАБОТА № 1
«Оценка риска информационной безопасности корпоративной информационной
системы на основе модели угроз и уязвимостей»
по курсу: Безопасность информационных технологий и систем
Выполнил:
Соловьёв. А. М.
Группа: ИБ_12з
05.04.2023
Проверил:
проф., д.т.н. Н.Н. Мошак
подпись,
дата
Санкт-Петербург
2023
В качестве предприятия был выбран Санкт-Петербургский Колледж Телекоммуникаций на Адмиралтейской.
Он включает в себя следующие отделения:
Отделение №1
зав. отделением - Журавлева Татьяна Юрьевна
09.02.02 Компьютерные сети
11.02.09 Многоканальные телекоммуникационные системы
11.02.11 Сети связи и системы коммутации
11.02.15 Инфокоммуникационные сети и системы связи
38.02.03 Операционная деятельность в логистике
Отделение №2
зав. отделением - Воробьева Дарья Михайловна
09.02.06 Сетевое и системное администрирование
10.02.04 Обеспечение информационной безопасности телекоммуникационных систем
11.02.10 Радиосвязь, радиовещание и телевидение
11.02.08 Средства связи с подвижными объектами
Отделение №3
зав. отделением - Маслов Дмитрий Владимирович
09.02.03 Программирование в компьютерных системах
09.02.05 Прикладная информатика (по отраслям)
09.02.07 Информационные системы и программирование
Исходные ресурсы предприятия:
На данном предприятии в качестве сервера используются сервер баз данных и файловые серверы.
Серверы баз данных обслуживает запросы клиентов, связанные с обработкой данных. Также они позволяют хранить на стороне сервера программные модули. Файловые серверы выполняют операции ввода-вывода, а также обеспечивают подключение пользователей к сетевой системе хранения данных (СХД).
Архитектуры "клиент/сервер" включает в себя следующая модель:
Модель комплексного сервера (на сервере сконцентрированы как данные и менеджер ресурсов, так и прикладной компонент) - DataBase Server - DBS;
В основе безопасности организации и безопасности ее ИС в первую очередь лежит политика информационной безопасности.
Исходные данные:
· Ресурсы;
· Критичность ресурса;
· Отделы, к которым относятся ресурсы;
· Угрозы, действующие на ресурсы;
· Уязвимости, через которые реализуются угрозы;
· Вероятность реализации угрозы через данную уязвимость;
· Критичность реализации угрозы через данную уязвимость.
Базовые угрозы информационной безопасности – нарушение конфиденциальности,
нарушение целостности и отказ в обслуживании.
Ресурс – любой контейнер, предназначенный для хранения информации, подверженный
угрозам информационной безопасности (сервер, рабочая станция, переносной
компьютер).
Свойствами ресурса являются: перечень угроз, воздействующих на него, и критичность
ресурса.
Угроза – действие, которое потенциально может привести к нарушению безопасности.
Свойством угрозы является перечень уязвимостей, при помощи которых может быть
реализована угроза.
Уязвимость – это слабое место в информационной системе, которое может привести к
нарушению безопасности путем реализации некоторой угрозы. Свойствами
уязвимости являются: вероятность (простота) реализации угрозы через данную
уязвимость и критичность реализации угрозы через данную уязвимость.
Критичность ресурса (D) – ущерб, который понесет компания от потери ресурса.
Задается в уровнях (количество уровней может быть в диапазоне от 2 до или в деньгах.
В зависимости от выбранного режима работы, может состоять из критичности ресурса
по конфиденциальности, целостности и доступности (Dс, Di, Da).
Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс,
т.е. как сильно реализация угрозы повлияет на работу ресурса. Задается в процентах.
Состоит из критичности реализации угрозы по конфиденциальности, целостности и
доступности (ERc, ERi, ERa).
Вероятность реализации угрозы через данную уязвимость в течение года (P(V)) –
степень возможности реализации угрозы через данную уязвимость в тех или иных
условиях. Указывается в процентах.
Максимальное критичное время простоя (Tmax) – значение времени простоя, которое
является критичным для организации. Т.е. ущерб, нанесенный организации при
простаивании ресурса в течение критичного времени простоя, максимальный. При
простаивании ресурса в течение времени, превышающего критичное, ущерб,
нанесенный организации, не увеличивается.
МЭ
Ведомственные системы
(закрытые)
ПИБ ИС
Однонаправленный шлюз
Сеть общего пользования
ЛВС закрытого контура «С»
ЛВС открытого контура «О»
СКЗИ
Рис. 1 Схема структурно-функциональной ИС организации
ПО
ПО
ПО
АРМ
АРМ
АРМ
Кабель
Сервер
ПО
Закрытого
контура
Рис. 2 ЛВС закрытого контура
Таблица 1. Входные данные. Модель угроз и уязвимостей, актуальных для информационной системы
| Ресурс | Угрозы | Уязвимости |
| Сервер (критичность ресурса 100 у.е.) | Угроза 1 Неавторизованное проникновение нарушителя на сервер | Уязвимость 1 Нестабильная электросеть |
| Уязвимость 2 Отсутствие системы наблюдения за объектом | ||
| Угроза 2 Неавторизованная модификация и хищение информации в системе электронной почты, хранящейся на данном ресурсе | Уязвимость 1 Отсутствие авторизации для внесения изменений в систему электронной почты | |
| Уязвимость 2 Отсутствие регламента работы с системой криптографической защиты информации | ||
| Угроза 3 Разглашение конфиденциальной информации сотрудниками организации | Уязвимость 1 Отсутствие соглашений о конфиденциальности | |
| Уязвимость 2 Распределение атрибутов безопасности (ключи доступа, шифрования) между несколькими доверенными сотрудниками | ||
| Интернет-кабель (критичность ресурса 90 у.е.) | Угроза 1 Обрыв кабеля | Уязвимость 1 Неизвестное местонахождение кабеля в земле |
| Уязвимость 2 Обрыв кабеля по вине строителей во время ремонта колледжа или при земляных работах. | ||
| ПО (критичность ресурса 50 у.е.) | Угроза 1 Компьютерные вирусы | Уязвимость 1 Не обновлённая версия антивирусной программы |
| Уязвимость 2 Несанкционированный доступ к usb-порту (флешки) | ||
| Угроза 2 DDOS-атаки | Уязвимость 1 Отсутствие защитных фильтров. | |
| Уязвимость 2 Слабая мощность сервера | ||
| Угроза 3 Неквалифицированные пользователи | Уязвимость 1 | |
| Слабая защита аккаунтов. | ||
| Уязвимость 2 Отсутствие резервных копий | ||
| Информационное обеспечение (критичность ресурса 60 у.е.) | Угроза 1 Спам | Уязвимость 1 Не установлена фильтрация на спам |
| Уязвимость 2 В спам попадают важные сообщения электронной почты | ||
| Угроза 2 Вирусы по электронной почте | Уязвимость 1 Низкая информационная гигиена пользователя | |
| Уязвимость 2 В почте отсутствует антивирусная программа |
| Угроза/Уязвимость | Вероятность реализации угрозы через данную уязвимость в течение года (%), P(V) | Критичность реализации угрозы через уязвимость (%), ER |
| Угроза 1/Уязвимость 1 | 60 | 90 |
| Угроза 1/Уязвимость 2 | 30 | 60 |
| Угроза 2/Уязвимость 1 | 20 | 50 |
| Угроза 2/Уязвимость 2 | 30 | 70 |
| Угроза 3/Уязвимость 1 | 40 | 80 |
| Угроза 3/Уязвимость 2 | 10 | 70 |
| Угроза 1/Уязвимость 1 | 50 | 70 |
| Угроза 1/Уязвимость 2 | 30 | 60 |
| Угроза 1/Уязвимость 1 | 50 | 80 |
| Угроза 1/Уязвимость 2 | 60 | 70 |
| Угроза 2/Уязвимость 1 | 20 | 60 |
| Угроза 2/Уязвимость 2 | 30 | 60 |
| Угроза 3/Уязвимость 1 | 30 | 90 |
| Угроза 3/Уязвимость 2 | 40 | 80 |
| Угроза 1/Уязвимость 1 | 50 | 80 |
| Угроза 1/Уязвимость 2 | 40 | 90 |
| Угроза 2/Уязвимость 1 | 50 | 70 |
| Угроза 2/Уязвимость 2 | 40 | 60 |
1. На первом этапе рассчитывается уровень угрозы по уязвимости Th на основе критичности и вероятности реализации угрозы через данную уязвимость.
На 2 этапе рассчитывается уровень угрозы по всем уязвимостям CTh. Пример расчёта по 2 этапам указаны в таблице 2.
Таблица 2. Уровень угрозы
| Угроза/Уязвимость | Уровень угрозы (%), Th  | Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза (%), СTh  |
| Угроза 1/Уязвимость 1 | 0,54 | 0,6228 |
| Угроза 1/Уязвимость 2 | 0,18 | |
| Угроза 2/Уязвимость 1 | 0,1 | 0,289 |
| Угроза 2/Уязвимость 2 | 0,21 | |
| Угроза 3/Уязвимость 1 | 0,32 | 0,3676 |
| Угроза 3/Уязвимость 2 | 0,07 | |
| Угроза 1/Уязвимость 1 | 0,35 | 0,467 |
| Угроза 1/Уязвимость 2 | 0,18 | |
| Угроза 1/Уязвимость 1 | 0,4 | 0,652 |
| Угроза 1/Уязвимость 2 | 0,42 | |
| Угроза 2/Уязвимость 1 | 0,12 | 0,2784 |
| Угроза 2/Уязвимость 2 | 0,18 | |
| Угроза 3/Уязвимость 1 | 0,27 | 0,5036 |
| Угроза 3/Уязвимость 2 | 0,32 | |
| Угроза 1/Уязвимость 1 | 0,4 | 0,616 |
| Угроза 1/Уязвимость 2 | 0,36 | |
| Угроза 2/Уязвимость 1 | 0,35 | 0,506 |
| Угроза 2/Уязвимость 2 | 0,24 |