ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 12.01.2024
Просмотров: 277
Скачиваний: 5
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
| Продолжение таблицы 3 | ||||||||
| | 1 | 2 | 3 | 4 | | |||
| | Утечка, хищение но- сителей информации содержащих ком- мерческую тайну | Отсутствие учета носителей содер- жащих коммерче- скую тайну | Высокая вероят- ность | |||||
| Отсутствие пропу- скного режима | ||||||||
| Отсутствие пломбирования корпуса АРМ | ||||||||
| Автоматизиро- ванные рабочие места сотрудни- ков, на которых обрабатывается защищаемая ин- формация | Угрозы несанкционированного доступа | |||||||
| Несанкционирован- ный доступ к АРМ сотрудников | Отсутствие регла- мента доступа к АРМ | Высокая вероят- ность | ||||||
| Отсутствие средств защиты от НСД | ||||||||
| Отсутствие плом- бирования корпу- са АРМ | ||||||||
| Отсутствие видео- наблюдения | ||||||||
| Угрозы несанкционированного доступа по каналам связи | ||||||||
| Анализ сетевого трафика с перехва- том передаваемой по сети информации | Отсутствие СЗИ | Низкая вероят- ность | ||||||
| Сканирования, на- правленные на вы- явление типа опера- ционной системы АРМ, от- крытых портов и служб, открытых со- единений | Отсутствие систе- мы обнаружения вторжений | Маловероятно | ||||||
| Выявление паролей | Отсутствие ис- пользования одно- разовых паролей | Средняя вероят- ность | ||||||
| Получение НСД пу- тем подмены дове- ренного объекта | Отсутствие СЗИ от НСД | Низкая вероят- ность | ||||||
| Отказ в обслужива- нии | Отсутствие VPN | Средняя вероят- ность | ||||||
| | ||||||||
| | ЮУрГУ–10.05.05.2017.350.ПЗВКР | Лист | ||||||
| 19 | ||||||||
| Продолжение таблицы 3 | |||||||
| | 1 | 2 | 3 | 4 | | ||
| Сервер | Угрозы несанкционированного доступа | ||||||
| Проникновение на- рушителя в помеще- ние с сервером | Отсутствие видео- наблюдения | Средняя вероят- ность | |||||
| Отсутствие пропу- скного режима | |||||||
| Угрозы несанкционированного доступа по каналам связи | |||||||
| Несанкционирован- ный доступ к базам данных хранящимся на сервере | Установка про- граммного обес- печения, которое может создать ус- ловия для НСД | Средняя вероят- ность | |||||
| Отсутствие регла- мента эксплуата- ции средств анти- вирусной защиты | |||||||
| Анализ сетевого трафика | Отсутствие СЗИ | Низкая вероят- ность | |||||
| Сканирование сети | Отсутствие систе- мы обнаружения вторжений | Маловероятно | |||||
| Подмена доверенно- го объекта сети и присвоение прав доступа | Отсутствие СЗИ от НСД | Низкая вероят- ность | |||||
| Отказ в обслужива- нии | Отсутствие VPN | Средняя вероят- ность | |||||
| 1.7. Расчет рисков важных объектов защиты ООО “Диджитер” Одним из важных этапов в создании комплексной системы защиты информации является расчет рисков. Данный расчет рисков служит для выявления наиболее вероятных угроз, связанных с объектами информации, а также, уязвимостей, через которые данные угрозы могут быть реализованы. Для расчета рисков важных объектов была использована «Методика определения актуальных угроз безопасности персональных данных при их обработки в информационных системах персональных данных» (утв. ФСТЭК РФ от 14 февраля 2008г), так как утверждённой методики для коммерческой тайны нет. | |||||||
| | ЮУрГУ–10.05.05.2017.350.ПЗВКР | Лист | |||||
| 20 | |||||||
| Перед оценкой возможности реализации угрозы необходимо установить уровень исходной защищенности ИС. Для этого составим таблицу (Таблица 4). Таблица 4 – Исходный уровень защищенности ИС | |||||
| | Технические и эксплуатационные характеристики инфор- мационной системы | Уровень защищен- ности ИС | | ||
| По территориальному размещению: локальная ИС | Высокий | ||||
| По наличию соединения с сетями общего пользования: имеющая одноточечный выход в сеть общего пользования | Средний | ||||
| По встроенным (легальным) операциям с записями баз персональных данных: запись, удаление, сортировка | Средний | ||||
| По разграничению доступа к информации: ИС, к которой имеют доступ определенные перечнем сотрудники организации | Средний | ||||
| По наличию соединений с другими базами данных и дру- гими ИС: в которой используется одна база данных, при- надлежащая организации – владельцу данной ИС | Высокий | ||||
| По объему данных, которые предоставляются сторонним пользователям системы без предварительной обработки: предоставляющая часть | Средний | ||||
| На основании составленной таблицы можно сделать вывод, что исходный уровень защищенности информационной системы является «средним», так как 4 показателя из 6 имеют средний уровень защищенности. В связи с этим, числовой коэффициент Y1 равен 5 (Y1 = 5). Далее необходимо определить вероятность реализации угрозы Y2. В зависимости от вероятности реализации угрозы (маловероятно, низкая вероятность, средняя вероятность и высокая вероятность), каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2, а именно: 0, 2, 5 и 10 соответственно. Составим таблицу вероятности для актуальных угроз в соответствии с числовыми коэффициентам (Таблица 5). | |||||
| | ЮУрГУ–10.05.05.2017.350.ПЗВКР | Лист | |||
| 21 | |||||
| Таблица 5 - Вероятность реализации угроз | |||||||
| | Объект | Угроза | Уровень вероят- | Вероятность | | ||
| | | ности реализа- | реализации | ||||
| | | ции угрозы | угрозы, Y2 | ||||
| 1 | 2 | 3 | 4 | ||||
| Персонал | Угрозы связанные с нарушением свойства информации | ||||||
| | Разглашение, копирова- | Высокая вероят- | 10 | ||||
| | ние, хищение информа- | ность | | ||||
| | ции составляющей ком- | | | ||||
| | мерческую тайну | | | ||||
| | Уничтожение, модифи- | Средняя вероят- | 5 | ||||
| | кация, блокировка носи- | ность | | ||||
| | телей информации со- | | | ||||
| | держащих коммерческую | | | ||||
| | тайну, АРМ сотрудников, | | | ||||
| | серверного оборудования | | | ||||
| | Утечка, хищение носите- | Высокая вероят- | 10 | ||||
| | лей информации содер- | ность | | ||||
| | жащих коммерческую | | | ||||
| | тайну | | | ||||
| Автоматизирован- | Угрозы несанкционированного доступа | ||||||
| ные рабочие места | Несанкционированный | Высокая вероят- | 10 | ||||
| сотрудников, на | доступ к АРМ сотрудни- | ность | | ||||
| которых обраба- | ков | | | ||||
| тывается защи- | |||||||
| Угрозы несанкционированного доступа по каналам связи | |||||||
| щаемая информа- ция | |||||||
| Анализ сетевого трафика с перехватом передавае- | Маловероятно | 0 | |||||
| | мой по сети информации | | | ||||
| | Сканирования, направ- | Маловероятно | 0 | ||||
| | ленные на выявление ти- | | | ||||
| | па операционной | | | ||||
| | системы АРМ, открытых | | | ||||
| | портов и служб, откры- | | | ||||
| | тых соединений | | | ||||
| | Выявление паролей | Средняя вероят- | 5 | ||||
| | | ность | | ||||
| | Получение НСД путем | Низкая вероят- | 2 | ||||
| | подмены доверенного | ность | | ||||
| | объекта | | | ||||
| | Отказ в обслуживании | Средняя вероят- | 5 | ||||
| | | ность | | ||||
| | |||||||
| | ЮУрГУ–10.05.05.2017.350.ПЗВКР | Лист | |||||
| 22 | |||||||
| Продолжение таблицы 5 Полученные значения Y1 и Y2, необходимы для расчёта коэффициента реализуемости угрозы Y. Данный коэффициент рассчитывается по формуле: ???? = (????1 + ????2)/20 Рассчитаем коэффициент реализуемости угроз и внесём результаты в таблицу (Таблица 6). Таблица 6 - Коэффициент реализуемости угроз | ||
| | ЮУрГУ–10.05.05.2017.350.ПЗВКР | Лист |
| 23 | ||
| 1 | 2 | 3 | 4 |
| Сервер | Угрозы несанкционированного доступа | ||
| Проникновение наруши- теля в помещение с сер- вером | Средняя вероят- ность | 5 | |
| Угрозы несанкционированного доступа по каналам связи | |||
| Несанкционированный доступ к базам данных хранящимся на сервере | Средняя вероят- ность | 5 | |
| Анализ сетевого трафика | Маловероятно | 0 | |
| Сканирование сети | Маловероятно | 0 | |
| Подмена доверенного объекта сети и присвоение прав доступа | Низкая вероят- ность | 2 | |
| Отказ в обслуживании | Средняя вероят- ность | 5 | |
| Объект | Угроза | Коэффициент реа- лизации угрозы, Y | Возможность реализации угрозы |
| 1 | 2 | 3 | 4 |
| Персонал | Угрозы связанные с нарушением свойства информации | ||
| Разглашение, копирова- ние, хищение информа- ции составляющей ком- мерческую тайну | 0,75 | Высокая | |