- •Описание систем и сетей и их характеристика как объектов защиты
- •Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
- •Возможные объекты воздействия угроз безопасности информации
- •Источники угроз безопасности информации
- •Способы реализации (возникновения) угроз безопасности информации
- •Актуальные угрозы безопасности информации
- •Описание базового объекта
- •Ранжирование угроз иб
- •Ранжирование групп источников угроз иб
- •Ранжирование источников угроз иб
- •Ранжирование групп методов реализации угроз иб
- •Расчет коэффициентов корреляции
МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра Информационной безопасности
отчет №7
по «Основы информационной безопасности» практике
Тема: Оценка структуры факторов риска
Студент гр. 1363 |
|
Владимиров П.А. |
Руководитель |
|
Воробьев Е. Г. |
Санкт-Петербург
2022
ЦЕЛЬ РАБОТЫ
Провести оценку отношений на множестве факторов риска, расчет профиля риска и определить наиболее значимые факторы.
ОБЩИЕ ПОЛОЖЕНИЯ
Документы, используемые для оценки угроз безопасности информации и разработки модели угроз:
"Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" утвержденная Заместителем директора ФСТЭК России 14 февраля 2008г.;
"Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (выписка), утвержденная Заместителем директора ФСТЭК России 15 февраля 2008г.
Обладатель информации: дочернее предприятие «Яндекс.Еда», сервиса по доставке еды
Подразделение, ответственное за обеспечение защиты информации (безопасности) систем и сетей: отдел информационной безопасности «Яндекс.Еды».
Описание систем и сетей и их характеристика как объектов защиты
Исходными данными для оценки угроз безопасности информации являются:
Общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России, модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;
Описания векторов компьютерных атак, содержащиеся в базах данных и иных источниках, опубликованных в сети «Интернет» (CAPEC, ATT&CK, OWASP, STIX, WASC и др.);
Техническое задание на создание систем и сетей, частное техническое задание на создание системы защиты, программная (конструкторская) и эксплуатационная документация, содержащая сведения о назначении и функциях, составе и архитектуре систем и сетей, о группах пользователей, уровне их полномочий и типах доступа, о внешних и внутренних интерфейсах, а также иные документы на системы и сети, разработка которых предусмотрена требованиями по защите информации;
Рисунок 1 – Уровни архитектуры систем и сетей, на которых определяются объекты воздействия
Нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и функционирует система предприятия:
Федеральный закон от 27 июля 2006 г. N 149-ФЗ;
Федеральный закон от 9.02.2009 г. № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»;
Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
Постановление Правительства РФ от 28.11.2011 № 977 «О федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-т ехнологическое взаимодействие информационных систем»;
Рисунок 2 – Оценка угроз безопасности информации в информационной инфраструктуре на базе центра обработки данных
Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
Таблица 1 – Виды рисков и типовые негативные последствия от
реализации угроз безопасности информации
№ |
Виды риска (ущерба) |
Возможные типовые негативные последствия |
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
Неполучение прогнозируемой прибыли. Необходимость дополнительных затрат на выплаты штрафов или компенсаций. Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса. Потеря клиентов, поставщиков. Потеря конкурентного преимущества. Нарушение деловой репутации. Снижение престижа. Утрата доверия. Причинение имущественного ущерба. Неспособность выполнения договорных обязательств. Принятие неправильных решений. Утечка конфиденциальной информации |