Оценка валютного риска в программном обеспечении

ИД

Название

Теги

Связанные угрозы

Фиксированное значение

Повторяющиеся значения

Годовая стоимость

Значение, %

Описание

А001

Конфиденциальность персональной информации экономистов

нематериальный

T001, T004, T006

0

15000

15000

1,0

Воздействие финансов экономисты персональных данных может позволить шантажировать экономистов и манипулирования обменным курсам вредоносных сторон.

А002

Доступность сервиса ежедневного курса обмена валют

Ответственность, доступность (наличие)

T005, T007

0

100000

100000

6,8

Если веб-сайт выходит из строя, экономические операции, которые зависят от обменного курса не может быть реализовано, так как пользователи не смогут предложить скорость передачи данных. Стоимость актива является максимальным ответственность за этот ущерб, как установлено правилами казначейства.

А003

Точность и целостность данных курсов валют

данные

T001, T002, T004, T006

0

100000

100000

6,8

Обменный курс должен быть точным. Если ставки являются неточными или поврежден, финансовый ущерб может быть причинен субъектам хозяйствования, которые основывают свои операции с данными. Стоимость актива является максимальным ежегодный ущерб, который может быть вызван манипулирования скорости передачи данных.

А005

Доверие общественности в службу обменного курса

Репутация

T005, T007, T009, T010

250000

0

250000

17,1

Если ставки являются неточными или поврежден, и услуга не предоставляется в стабильной образом, общественность не будет доверять обслуживания и могут искать альтернативные варианты вызывают слабее влияние Министерства финансов на экономику государства.

А006

Стабильность экономики государства

Репутация, нематериальный

T009, T010

1000000

0

1000000

68,3

Экономики государства зависит от репутации Департамента казначейства и системы валютных курсов является основным фактором в получении (или потерять) эту репутацию.

ИД

Название

Теги

Вероятность

Угрозы активам

Эксплуатируемые уязвимости

План по смягчению последствий

Риск, %

Сумма активов, подверженных риску

Описание

Уг001

Хакер развращает базы путем введения вредоносного SQL заявления в полях ввода веб-страницы цены

Данные, серверы приложений

0,33

A001, A003

V006

C005, C006, C007, C009

2,3

34155

Злоумышленник сложные веб может перепроектировать кода на стороне клиента ставок странице экономистов веб-приложения и вставить вредоносный SQL, который будет представлен в качестве значения поля даты надеясь, что она будет передана в базу данных "как есть". Код может включать в себя инструкции для удаления объектов базы данных, изменяя сами данные или запросы информации.

Уг002

Insider развращает базу данных, вводя вредоносного SQL заявления в полях ввода экономиста приложений

Данные, программных модулей

0,16

A003

V009

C004, C005, C010, C012

1,0

14400

Инсайдерской может быть вредоносным экономист или несанкционированного человек, который взял под свой контроль на экономиста станции

Уг004

Вредоносные инсайдерской подключается к базе данных через LAN для развращает и / или изменения данных

Данные, сеть

0,16

A001, A003

V002, V004

C002, C003, C004

1,1

16800

Установлена ​​связь от машины в локальной сети

Уг005

Отказ в обслуживании нападение на веб-сайте Министерства финансов

Сеть, серверы приложений

0,82

A002, A005

V001, V011

C001, C013

5,0

72980

DoS-атака мешает цены от того, доступны для общественности.

Уг006

Хакер развращает базы данных путем подключения к серверу базы данных непосредственно из Интернета

Данные, сеть

0,82

A001, A003

V001

C001

0,0

0

Уг007

Хакер использует HTTP-запросы, чтобы получить доступ к ресурсам ОС на веб-сервере

Серверы приложений, операционной системы

0,66

A002, A005

V007

C008

1,9

27443

Атака осуществляется с помощью эксплойтов, которые регулярно обнаружили в веб-сервере.Хакер может изменить страницу приложения доме, проклинать правительство и т.д.

Уг009

Вредоносное подделывание экономистом государства курсы валют

бизнес-процедур

0,5

A005, A006

V012

C016, C017, C018, C020

9,6

141250

Вредоносные экономист может объединить усилия с другими сторонами для подделки валют. Поскольку многие экономические операции на основе валютных курсов, это подделка может привести к огромным сделок мошенничества, которые могут повредить стабильности экономики государства и доверие общественности.

Уг010

Враждебные страны могут манипулировать валюты путем привлечения экономистов

бизнес-процедур

0,25

A005, A006

V012, V013

C016, C017, C018, C019, C020

4,8

70625

Экономическая диверсия является частью войны между государствами арсенала.

ИД

Название

Теги

Связанные угрозы

Соответсвующие контрмеры

Описание

Уя001

Веб-сервер и сервер базы данных машинах могут быть доступны через Интернет

Сети, серверы приложений

У005, У006

К001

Любой человек может получить доступ к серверу машины путем сканирования сети организации через Интернет. Эта уязвимость может быть уменьшен путем контроля входящего сетевого трафика.

Уя002

Веб-сервер и сервер базы данных машинах могут быть доступны через локальную вычислительную сеть

Сети, серверы приложений

У004

К002, К003

Несанкционированное персонала, которые имеют доступ к локальной сети может получить доступ к серверу машин.

Уя004

База данных паролей могут быть перехвачены из локальной сети при установлении соединения с сервером баз данных

Сеть

У004

К002, К004

Insider можете узнать пароли, которые передаются в виде простого текста с помощью перехвата оборудования.

Уя006

SQL Server склонны к инъекции вредоносного кода через веб-страницы

Данные, серверы приложений

У001

К005, К006, К007, К009

Вредоносный код SQL может быть введен через поля ввода и может привести к повреждению данных и структуры базы данных.

Уя007

MS Server 2003 и IIS 6.0 имеют недостатки, которые позволяют использование ресурсов ОС через HTTP-протокол

Серверы приложений, ОС

У007

К008

Безопасности использует, таких как переполнение буфера, URL канонизации и другие недостатки, которые позволяют вредоносной деятельности через HTTP-запросов.

Уя009

Несанкционированный пользователь экономист приложение может войти в базу данных цены

Данные, пользователи, программные модулей

У002

К004, К005, К010, К012

Уя011

Веб-серверы подвергаются атакам DoS

Серверы приложений

У005

К013

Известные уязвимости.

Уя012

Экономист может установить курсы валют и изменения исторических данных валют

Пользователи, бизнес процедуры

У009, У010

К016, К017, К018, К020

Экономист имеет полномочия изменять и корректировать скорость передачи данных

Уя013

Экономист личные недостатки могут быть использованы враждебными сторонами

Пользователи, бизнес процедуры

У010

К019

ИД

Название

Уже реализованы

Теги

Смягчение уязвимости

Смягчение угроз

Фиксированное значение

Повторяющиеся значения

Годовая стоимость

Описание

К001

Установите брандмауэр

Х

аппаратные средства

Уя001

Уг005, Уг006

3500

1000

4500

Сети обеспечивается использованием стандартных для отрасли межсетевой экран, который выполнен с возможностью блокировать трафик из Интернета к локальной сети, учета HTTP-запросы к веб-сайт обменного курса. Стоимость реализации является одно время стоимость покупки брандмауэр и развертывания.

К002

Физически защиты доступа к сети местной проводки

Оперативный, сеть

Уя002, Уя004

Уг004

14000

0

7000

Если сеть будет скомпрометирована, конфиденциальные данные можно рассматривать как результат прямого нападения на сервере базы данных. Стоимость физической защиты локальной сети один раз счет.

К003

Обеспечение политики в области качества паролей для защиты каждой из машин в сети

Оперативный

Уя002

Уг004

0

1000

1000

Пользователи сети следует выбирать надежные пароли, которые трудно угадать или обнаружить грубой силы средство. Стоимость выражает ежегодно усилия соблюдение политики паролей на администрирование системы.

К004

Используйте встроенную проверку подлинности Windows для базы данных логинов

Х

Оперативный, пользователи

Уя004, Уя009

Уг002, Уг004

5000

1000

3500

Этот тип защищенный протокол регистрации требуется установка ОС Windows контроллера домена Active Directory + + резервный контроллер домена. Стоимость выражает свое время расходы на приобретение программного обеспечения и непрерывные усилия по развертыванию системы управления.

К005

Счетах входа в базу данных должны быть предоставлены минимальные права, необходимые для их функциональности

Х

Оперативный, пользователи

Уя006, Уя009

Уг001, Уг002

5000

1000

3500

Веб-приложение учетную запись, используемую для получения дневной ставки присваивается только чтение разрешений. Экономист счет данного обновления привилегии только на скоростях передачи данных. DB администратор является единственным учетную запись с полными правами на базу данных, которая может получить доступ и изменение данных. Стоимость отражает администрации усилий.

К006

Реализация проверки полей ввода в веб-страницы цены

Программные модули, Разработка программного обеспечения

Уя006

Уг001

20000

0

10000

Например: проверка входных данных для поля даты на странице цены. Стоимость выражает свое время усилий для развития этого программного обеспечения функция.

К007

Обеспечение доступа к данным через хранимые процедуры с формальной проверки содержания параметрам

Программные модули, Разработка программного обеспечения

Уя006

Уг001

20000

0

10000

Данные в базе данных должны быть манипулировать только через хранимые процедуры.Параметры хранимых процедур должна быть проверка за их содержание до выполнения хранимых процедур. Стоимость вот один раз усилия для развития этого программного обеспечения функция.

К008

Обеспечение политики загрузки и развертывания последних обновлений безопасности для ОС, базы данных и веб-сервер

Х

Оперативный

Уя007

Уг007

0

5000

5000

В настоящее время патчи безопасности для всех программных инфраструктур в системе должно быть сохранено.Оценка стоимости на основе ежегодных усилия для развертывания патчей от системного администрирования.

К009

Обеспечение безопасности проверки кода

Оперативные, Программные модули, Разработка программного обеспечения

Уя006

Уг001

20000

0

10000

Обзор источников все системы кодов в соответствии с отраслевыми 'безопасного написания кода' стандартов. Стоимость вот один раз усилия для реализации этой программы обзора.

К010

Вход экономист заявление должно быть связано с Windows логином

Программные модули, Разработка программного обеспечения

Уя009

Уг002

20000

0

10000

Стоимость вот один раз усилия для развития этого программного обеспечения функция.

К011

Реализация проверки полей ввода в приложении экономиста

Программные модули, Разработка программного обеспечения

20000

0

10000

Данные поля входы должны быть проверены, прежде чем передаются в базу данных. Стоимость вот один раз усилия для развития этого программного обеспечения функция.

К012

Обеспечение экономист защита паролем политики

оперативные

Уя009

Уг002

0

2000

2000

Оценка стоимости на основе ежегодных усилия для развертывания политики администрирования системы

К013

Установка анти-DoS прибора

Аппаратные средства

Уя011

Уг005

5000

0

2500

Оценка стоимости на основе один раз затраты на приобретение и развертывание прибор, системное администрирование.

К016

Разработка модуля для регистрации деятельности экономистов

Программные модули, Разработка программного обеспечения

Уя012

Уг009, Уг010

20000

0

10000

Модуль будет регистрировать все виды деятельности зарегистрированных пользователей, которые используют экономист приложения.

К017

Разработка двухфазный протокол для изменения исторического скорость передачи данных, которая включает управленческий персонал

Оперативные, разработка программного обеспечения

Уя012

Уг009, Уг010

20000

0

10000

Это оперативный протокол для затягивания управления на исторические изменения данных (многопартийная проверки).

К018

Разработать механизм обнаружения мошенничества

Оперативные, Программные модули, Разработка программного обеспечения

Уя012

Уг009, Уг010

20000

0

10000

Модуль обнаружения мошенничества будет сканировать базы данных и журнала Экономист деятельности.

К019

Служба безопасности будет иметь мандат для обеспечения личной неприкосновенности экономистов

Оперативные

Уя013

Уг010

0

30000

30000

К020

Установите суровые наказания в закон о борьбе с инсайдерами экономических преступлений

Регламент

Уя012

Уг009, Уг010

50000

0

25000

ИД

Название

Применимые к активам

Применимые к угрозам

Применимые к уязвимости

Применимые к контрмерам

Связанность с ними

Т002

Оперативный

Х

Х

Х

Х

К002, К003, К004, К005, К008, К009, К012, К017, К018, К019

Т003

Регламент

Х

Х

Х

Х

К020

Т004

Данные

Х

Х

Х

Х

Уг001, Уг002, Уг004, Уг006, Уя006, Уя009, A003

Т005

Сеть

Х

Х

Х

Х

Уг004, Уг005, Уг006, Уя001, Уя002, Уя004, К002

Т006

Серверы приложений

Х

Х

Х

Уг001, Уг005, Уг007, Уя001, Уя002, Уя006, Уя007, Уя011

Т007

Пользователи

Х

Х

Х

Уя009, Уя012, Уя013, К004, К005

Т008

Бизнес процедуры

Х

Х

Х

Уг009, Уг010, Уя012, Уя013

Т009

Программные модули

Х

Х

Х

Уг002, Уя009, К006, К007, К009, К010, К011, К016, К018

Т010

Репутация

Х

Х

Х

Х

A005, A006

Т011

Аппаратные средства

Х

Х

К001, К013

Т012

Разработка программного обеспечения

Х

Х

К006, К007, К009, К010, К011, К016, К017, К018

Т013

Операционная система

Х

Х

Х

Уг007, Уя007

Т014

Нематериальные

Х

A001, A006

Т015

Ответственность

Х

Х

A002

Т016

Доступность

Х

Х

Х

Х

A002