_{МИНОБРНАУКИ РОССИИ}

Санкт-Петербургский государственный

электротехнический университет

«ЛЭТИ» им. В.И. Ульянова (Ленина)

Кафедра Информационной безопасности

отчет №7

по «Основы информационной безопасности» практике

Тема: Оценка структуры факторов риска

Студент гр. 1363		Владимиров П.А.
Руководитель		Воробьев Е. Г.

Санкт-Петербург

2022

ЦЕЛЬ РАБОТЫ

Провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы.

ОБЩИЕ ПОЛОЖЕНИЯ

Документы, используемые для оценки угроз безопасности информации и разработки модели угроз:

"Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" утвержденная Заместителем директора ФСТЭК России 14 февраля 2008г.;

"Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (выписка), утвержденная Заместителем директора ФСТЭК России 15 февраля 2008г.

Обладатель информации: дочернее предприятие «Яндекс.Еда», сервиса по доставке еды

Подразделение, ответственное за обеспечение защиты информации (безопасности) систем и сетей: отдел информационной безопасности «Яндекс.Еды».

Описание систем и сетей и их характеристика как объектов защиты

Исходными данными для оценки угроз безопасности информации являются:

Общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России, модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;

Описания векторов компьютерных атак, содержащиеся в базах данных и иных источниках, опубликованных в сети «Интернет» (CAPEC, ATT&CK, OWASP, STIX, WASC и др.);

Техническое задание на создание систем и сетей, частное техническое задание на создание системы защиты, программная (конструкторская) и эксплуатационная документация, содержащая сведения о назначении и функциях, составе и архитектуре систем и сетей, о группах пользователей, уровне их полномочий и типах доступа, о внешних и внутренних интерфейсах, а также иные документы на системы и сети, разработка которых предусмотрена требованиями по защите информации;

Рисунок 1 – Уровни архитектуры систем и сетей, на которых определяются объекты воздействия

Нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и функционирует система предприятия:

Федеральный закон от 27 июля 2006 г. N 149-ФЗ;

Федеральный закон от 9.02.2009 г. № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»;

Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;

Постановление Правительства РФ от 28.11.2011 № 977 «О федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-т ехнологическое взаимодействие информационных систем»;

Рисунок 2 – Оценка угроз безопасности информации в информационной инфраструктуре на базе центра обработки данных

Возможные негативные последствия от реализации (возникновения) угроз безопасности информации

Таблица 1 – Виды рисков и типовые негативные последствия от

реализации угроз безопасности информации

№	Виды риска (ущерба)	Возможные типовые негативные последствия
У2	Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью	Неполучение прогнозируемой прибыли. Необходимость дополнительных затрат на выплаты штрафов или компенсаций. Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса. Потеря клиентов, поставщиков. Потеря конкурентного преимущества. Нарушение деловой репутации. Снижение престижа. Утрата доверия. Причинение имущественного ущерба. Неспособность выполнения договорных обязательств. Принятие неправильных решений. Утечка конфиденциальной информации