Минимизация рисков нарушения безопасности при построении системы защиты персональных данных тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Шинаков Кирилл Евгеньевич
- Специальность ВАК РФ05.13.19
- Количество страниц 256
Оглавление диссертации кандидат наук Шинаков Кирилл Евгеньевич
ВВЕДЕНИЕ
ГЛАВА 1. АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДИК ОЦЕНКИ И МИНИМИЗАЦИИ УГРОЗ И РИСКА ИБ
1.1. Анализ зарубежной и российской нормативно-правовой базы в области оценки риска информационной безопасности
1.2. Анализ функционала программных продуктов, производящих оценку угроз и риска ИБ
1.3. Анализ методов оценки угроз ИБ
1.4. Анализ методов оценки риска ИБ
1.5. Обзор статей, связанных с рисками информационной безопасности
1.6. Обоснование необходимости разработки автоматизированной системы оценки и минимизации угроз и риска ИБ
1.7. Анализ способов минимизации риска информационной безопасности
1.8. Модели и методы проектирования систем защиты информации
1.9. Постановка цели и задач исследования
Выводы к первой главе
ГЛАВА 2. МОДЕЛИРОВАНИЕ ПРОЦЕССА ОЦЕНКИ РИСКА БЕЗОПАСНОСТИ ИСПДН
2.1. Требования к способу моделирования процесса оценки рисков ИСПДн
2.2.Выбор способа моделирования системы защиты ИСПДн
2.3. Построение математической модели оценки рисков ИСПДн на основе
аппарата раскрашенных сетей Петри
Выводы ко второй главе
ГЛАВА 3. АЛГОРИТМЫ ОЦЕНКИ УЩЕРБА И ВЫЯВЛЕНИЯ КРИТИЧНОЙ ГРУППЫ УГРОЗ
3.1. Разработка алгоритма оценки стоимости информационных ресурсов
3.2. Определение вероятности реализации угроз
3.3. Формирование групп угроз
3.4. Применение метода Черчмена-Акоффа для определения критичной группы
угроз
Выводы к третьей главе
ГЛАВА 4. РАЗРАБОТКА МЕТОДИКИ ОЦЕНКИ ВЕРОЯТНОСТИ УСТРАНЕНИЯ УГРОЗ
4.1. Применение алгоритмов оценки защищенности ИСПДн
4.1.1. Применение модели комплекса механизмов защиты для оценки защищенности
4.1.2. Анализ защищенности информационных систем на основе семантических показателей
4.1.3. Оценка защищенности ИС с применением аппарата нечеткой логики
4.1.4 Оценка защищенности ИС на основе комплексных критериев
4.1.5. Групповые показатели защищенности ИС
4.2. Сравнение контрмер
4.3. Определение контрмер
4.4. Определение вероятности устранения угрозы
4.5. Формирование и сравнение наборов контрмер
4.6. Минимизация рисков информационной безопасности информационной системы персональных данных
4.7. Разработка алгоритма оценки уровня защищенности ИСПДн
4.8. Разработка алгоритма определения остаточных рисков для оценки эффективности внедряемого набора контрмер
4.9. Разработка методики оценки вероятности устранения угроз
Выводы к четвертой главе
ГЛАВА 5. РАЗРАБОТКА АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ОЦЕНКИ РИСКОВ БЕЗОПАСНОСТИ ИСПДН
5.1. Разработка структурно-функциональной модели АС
5.2. Информационное обеспечение АС
5.3. Порядок работы с автоматизированной системой
5.4. Анализ результатов опытной эксплуатации автоматизированной
системы
Вывод к пятой главе
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
ПРИЛОЖЕНИЯ
ВВЕДЕНИЕ
Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Методика аудита информационной безопасности информационно-телекоммуникационной системы2015 год, кандидат наук Кураленко Алексей Игоревич
Модели и алгоритмы анализа информационных рисков при проведении аудита безопасности информационной системы персональных данных2019 год, кандидат наук Сагитова Валентина Владимировна
Модели технологии и методика оценки состояния системы обеспечения информационной безопасности в органе власти, организации2014 год, кандидат наук Люльченко, Андрей Николаевич
Автоматизация выбора средств защиты персональных данных на основе анализа их защищенности2013 год, кандидат технических наук Голембиовская, Оксана Михайловна
Оценка защищенности и выбор защитных мер в компьютерных сетях на основе графов атак и зависимостей сервисов2017 год, кандидат наук Дойникова Елена Владимировна
Введение диссертации (часть автореферата) на тему «Минимизация рисков нарушения безопасности при построении системы защиты персональных данных»
Актуальность исследования
С появлением современных средств вычислительной техники и телекоммуникаций не только появились угрозы и уязвимости, специфические для компьютерных систем и сетей, но и произошла трансформация традиционных имущественных и неимущественных преступлений в новые формы. С одной стороны, это обусловлено появлением электронных информационных ресурсов и возникновением систем электронного документооборота, а с другой - ростом числа преступлений, связанных с неправомерным использованием персональных данных (ПДн). С точки зрения информационных ресурсов к ПДн относятся: данные в системах кадрового и бухгалтерского учета; базы данных клиентов; базы данных контактов юридических лиц-контрагентов (CRM и пр.); контактные данные почтовой системы и почтовых клиентов сотрудников. Преступления в сфере компьютерной обработки информации и персональных данных (ПДн) характеризуются скрытностью, трудностью сбора улик, сложностью доказывания.
Интерес к вопросам сохранности персональных данных, защиты их от случайного и преднамеренного уничтожения, повреждения и несанкционированного получения связан с широким применением информационных систем в различных областях и возможностью дистанционного получения ПДн через терминалы. Стандартность архитектурных принципов построения, оборудования и программного обеспечения информационных систем ПДн, высокая мобильность программного обеспечения и ряд других признаков определяют сравнительно легкий доступ профессионала к ним.
Необходимо отметить, что защита ПДн вызывает дополнительные сложности, обусловленные: трудоемкостью обеспечения безопасности персональных данных (Приказ ФСТЭК России № 21 от 18.02.2013); высокой стоимостью реализации мер защиты (необходимость использования сертифицированных СЗИ - Постановление Правительства РФ № 1119 от 12ноября 2012 г.); увеличением количества контролирующих органов, расширением
тематики возможных (плановых и внеплановых) проверок; административной и уголовной ответственностью за утечку ПДн.
Указанные обстоятельства подтверждают актуальность рассматриваемой проблемы и определяют выбор объекта, предмета и цели исследования.
Значительное количество научных работ, посвященных информационной безопасности и защите информации, лишь частично касались проблемы защиты персональных данных, а те публикации, которые включали рассмотрение вопросов регулирования изучаемой сферы, затрагивали только лишь общие проблемы без необходимой конкретизации.
В основе исследования лежат результаты в области:
- теоретических проблем информационного права, правового обеспечения информационной безопасности (И.Л. Бачило, В.А. Копылов, В.Н. Лопатин, В.А. Пожилых, М.М. Рассолов, А.А. Фатьянов, М.А. Федотов, О.А. Федотова, С.Г. Чубукова, А.А. Шиверский, В.Д. Элькин и др).
- проблем функционирования систем обеспечения информационной безопасности с точки зрения разработки технических средств и методов защиты (Котенко И.В., Молдовян А.А., Саенко И.Б. А.Л. Балыбердин, М.А. Вус, В.А. Герасименко, А.А. Грушо, С.В. Дворянкин, П.Д. Зегжда, Е.В. Касперский, А.Г. Остапенко, С.А. Петренко,В.ДКурушин, А.А. Малюк, В.А. Минаев, В.Е. Потанин, В.Н. Саблин, С.В. Скрыль, А.П. Фисун и др).
В приведенных работах имеются достаточные научные предпосылки для решения научной задачи. Между тем, существующие решения перечисленных проблем носят локальный по областям применений и разрозненный по методам характер.
Объектом исследования в диссертационной работе являются информационные системы персональных данных.
Предметом исследования являются модели и методики минимизации возможного ущерба, минимизации вероятности реализации групп критичных угроз, минимизации риска нарушения безопасности ИСПДн за счет применения рационального набора контрмер.
Целью работы является формализация условия снижения риска при построении системы защиты персональных данныхна основе моделирования рисков с использованием аппарата раскрашенных сетей Петри.
Для достижения поставленной цели в работе поставлены и решены следующие задачи:
1. Обоснована и разработана объектно-ориентированная математическая модель оценки риска нарушения безопасности ИСПДн.
2. Разработан алгоритм решения задач оценки вероятности реализации угроз и критериев важности обрабатываемых ПДн в ИСПДн, формирования и сравнения групп актуальных угроз.
3. Разработан алгоритм оценки эффективности защиты ИСПДн.
4. Разработана методика минимизации риска нарушения безопасности ИСПДн на основе формирования набора контрмер с целью устранения групп критичных угроз.
5.Разработана автоматизированная система оценки рисков безопасности ИСПДн, реализующая возможности производить оценку ущерба от нарушения свойств безопасности ИСПДн, рассчитывать вероятность реализации групп критичных угроз, а также вероятность устранения групп критичных угроз, что позволяет сформировать эффективный набор контрмер для снижения риска ИСПДн.
Методы исследования. Для решения поставленных задач использовались системный анализ, теория вероятностей, теория принятия решений, теория графов, теория математического моделирования, теория многокритериального выбора, методы экспертных оценок, метод аддитивной свертки.
Научная новизна диссертационной работы заключается в следующем:
1. разработана объектно-ориентированная модель оценки риска нарушения безопасности ИСПДн, основанной на аппарате раскрашенных сетей Петри и разработанных правил срабатывания переходов в интересах появления возможности учета мер риска ИСПДн;
2. разработан алгоритм расчёта вероятности реализации и отражения угроз нарушения безопасности персональных данных, в том числе алгоритм оценки ущерба от нарушения свойств безопасности ИСПДн, основанный на экспертно-статистической оценке и алгоритм определения критичной группы угроз путем детализации уязвимостей, основанный на методе аддитивной свертки;
3. разработан алгоритм оценки эффективности защиты информационных систем персональных данных, сформулирована теорема определения условия эффективности;
4. разработана методика оценки и минимизации риска нарушения безопасности персональных данных, основанной на многокритериальной оценке контрмер.
Для заданного множества степеней опасности угроз может быть реализована оптимизационная задача минимизации риска реализации угроз наибольшей степени опасности.
Для заданного набора угроз может быть рекомендован набор средств защиты, при которых риск будет снижен.
Научная новизна подтверждается:
- сравнением полученных результатов с результатами аналогичных исследований;
- корректными математическими обоснованиями полученных результатов;
- полученными практическими результатами при обеспечении информационной безопасности ИСПДн.
- государственной регистрацией программы для ЭВМ.
Научная новизна обоснована решением сформулированной важной научной задачи разработки методики минимизации риска нарушения безопасности при построении системы защиты персональных данных, позволившей решить целостную совокупность частных задачавтоматизации процесса обеспечения безопасности информационных систем персональных
данных, что позволило сократить временные и материальные затраты на разработку системы защиты ИСПДн.
Теоретическая значимость исследования определяется разработкой модели оценки риска нарушения безопасности ИСПДн, алгоритма оценки ущерба от нарушения свойств безопасности ИСПДн, определением критичной группы угроз и оценки эффективности защиты ИСПДн, а также разработкой методики минимизации риска нарушения безопасности персональных данных.
Практическая ценность определяется возможностями использования полученных результатов для формирования системы защиты персональных данных на основе минимизации риска нарушения безопасности при построении системы защиты с использование теории раскрашенных сетей Петри. Полученные результаты позволили на практике:
- обосновать архитектуру и ряд технических решений разработанной автоматизированной системы оценки рисков нарушения безопасности ИСПДн, реализующей возможности производить оценку ущерба от нарушения свойств безопасности ИСПДн,
- рассчитывать вероятности реализации групп критичных угроз для обеспечения безопасности ИСПДн;
- рассчитывать вероятности устранения групп критичных угроз для обеспечения безопасности ИСПДн;
- сформировать эффективный набор контрмер для снижения риска нарушения безопасности ИСПДн;
- внедрить полученные результаты на предприятиях Брянской области;
- внедрить полученные результаты в учебный процесс при подготовке специалистов по направлению подготовки «Информационная безопасность»;
- внедрить в систему государственного управления Брянской областью при обеспечении безопасности ИСПДн.
На защиту выносятся:
1. Объектно-ориентированная математическая модель оценки риска безопасности ИСПДн.
2. Алгоритмы оценки ущерба от нарушения свойств безопасности ИСПДн и определения критичной группы угроз.
3. Алгоритмоценки эффективности защиты ИСПДн.
4. Методика минимизации риска нарушения безопасности персональных данных.
Степень достоверности научных положений, основанных на выводах и результатах диссертации, обеспечивается всесторонним анализом состояния исследований в данной области и подтверждается корректностью предложенных моделей и методик, согласованностью результатов, полученных при программной реализации, апробацией основных теоретических положений диссертации в печатных трудах и докладах на международных научных конференциях, а также государственной регистрацией программы для ЭВМ.
Внедрение результатов работы.Автоматизированная система оценки рисков безопасности ИСПДн опробована и внедрена на предприятиях АО УК «БМЗ»» (акт внедрения АО УК«БМЗ» №28 от 26.01.2017), ФГБОУ ВО «БГТУ» (акт внедрения ФГБОУ ВО «БГТУ» №15 от 05.12.2016), ООО «Рикамби» (акт внедрения ООО «Рикамби» №7 от 08.02.2017).
Результаты работы внедрены в учебный процессБрянского государственного технического университета на кафедре «Системы информационной безопасности» в дисциплины «Аудит информационной безопасности» и «Защита персональных данных», а также используются в деятельности Контрольно-счетной палаты Брянской области, Управлении Министерства юстиции по Брянской области, Департамента образования и науки Брянской области.
Апробация работы.Основные положения диссертационной работы докладывались и обсуждались на научных конференциях различного уровня, основными из которых являются: региональная научно-практическая конференция «Информационная безопасность и защита персональных данных: проблемы и пути решения» (Брянск, 2013 - 2016), Международная научно-практическая конференция «Достижения молодых ученых в развитии
инновационных процессов в экономике, науке, образовании» (Брянск, 2015), Межрегиональная научно-практическая конференция «Инновации и информационные риски» (Воронеж, 2013 - 2015).
Публикации по теме диссертации.По материалам диссертационной работы опубликовано 10 научных статей, из них 5в изданиях, входящих в перечень ВАК МинобрнаукиРоссии, 1 свидетельство о государственной регистрации программы для ЭВМ, 2 монографии.
Структура и объем работы. Диссертационная работа состоит из введения, пяти глав, заключения, списка литературы, приложений. Работа изложена на 145 страницах машинописного текста, включающего 43 рисунка, 36 таблиц, список литературы из 99 наименований, 25 приложений.
ГЛАВА 1. АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДИК ОЦЕНКИ И МИНИМИЗАЦИИ УГРОЗ И РИСКА ИБ
1.1. Анализ зарубежной и российской нормативно-правовой базы в области
оценки риска информационной безопасности
Существует несколько определений термина «риск».
Риск - сочетание вероятности нанесения ущерба и тяжести этого ущерба. Термин «риск» обычно используют только тогда, когда существует возможность негативных последствий, а в некоторых ситуациях риск обусловлен возможностью отклонения от ожидаемого результата или события (ГОСТ Р 51898-2002. Аспекты безопасности).
Риск - сочетаниевероятностисобытияиегопоследствий (Guide 73: 2002 RiskManagement - Vocabulary - Guidelinesfor rasemstandards).
Риск - неопределенность, предполагающая возможность потерь (ущерба) (СТО БР ИББС 0.1-2006).
ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология.
Методы и средства обеспечения безопасности.
Менеджмент риска информационной безопасности
ГОСТ Р ИСО/МЭК 27005-2010 идентичен международному стандарту ИСО/МЭК 27005:2008 «Информационная технология. Методы и средства обеспечения безопасности. Менеджментрискаинформационнойбезопасности» (ISO/IEC 27005:2008 «Informationtechnology - Securitytechniques-Informationsecurityriskmanagement»).
Данный стандарт применим как для государственных учреждений, так и для коммерческих и некоммерческих организаций, которые планируют поддерживать информационную безопасность организации (рис.1).
Рисунок 1. Структура национального стандарта
Данный стандарт регулирует следующие виды деятельности, связанные с менеджментом риска:
1. Определение входных данных.
2. Обработка данных (действие).
3. Руководство по реализации.
4. Выходные данные.
Процедуры оценки и/или обработки риска могут выполняться итеративно для сокращения времени и упрощения выбора средств контроля и управления и обеспечить соответствующую оценку высокоуровневых рисков. [1]
На Рисунке 2 представлен итерационный процесс менеджмента риска ИБ.
Рисунок 2. Процесс менеджмента риска информационной безопасности
На схеме приведен процесс менеджмента риска ИБ: установление контекста, затем оценка риска, после чего следует обработка этого риска. При недостатке информации проводится очередная итерация оценки риска.
Эффективность обработки риска зависит от результатов оценки риска. Обработка риска может не обеспечить сразу же приемлемый уровень остаточного риска. В этой ситуации потребуется, если необходимо, еще одна итерация оценки риска с измененными параметрами контекста (например, критериев оценки риска, принятия риска и влияния), за которой последует очередная процедура обработки риска. [94]
Анализ риска в настоящем ГОСТе состоит из двух основных шагов идентификация риска и установление значения риска:
1. Идентификация риска:
1.1 Введение в идентификацию риска.
1.2 Определение угроз.
1.3 Определение существующих или планируемых мер и средств контроля и управления.
1.4 Выявление уязвимостей.
1.5 Определение последствий при потере конфиденциальности, целостности или доступности активов.
2. Установление значения риска:
2.1 Методология установления значения риска
2.2 Оценка последствий.
2.3 Установление значений уровня рисков.
На рисунке 3 показана обработка риска информационной безопасности.
Рисунок 3. Деятельность по обработке риска Процесс менеджмента не обязательно использовать во всей организации целиком, возможно использование только в важных информационных системах, филиалах, подразделениях.
Б8 7799-3:2006. Системы управления информационной безопасностью
На сегодняшний день этот стандарт официально отмене отменен, но несмотря на это им до сих пор продолжают пользоваться.Причиной этому является его сфокусированность на повышении эффективности информационной безопасности путем реализации непрерывной программы действий по управлению рисками. [68]
Стандарт придерживается процессного подхода к оценке, обработке, мониторингу и переоценке рисков.
На рисунке 4 показана схема процессного подхода.
Рисунок 4. Процессный подход Еще одной важной особенностью является непрерывность процесса. Оценка рисков включает в себя анализ и оценивание рисков:
1. Анализ рисков представляет собой поэтапное определение ресурсов и всех возможных факторов, которые могут повлиять на целостность этих ресурсов.
Выделяют следующие этапы анализа рисков: о Идентификация ресурсов;
о Оценивание идентифицированных ресурсов с учетом идентифицированных требований законодательства и бизнеса, а также последствий нарушения конфиденциальности, целостности и доступности;
о Идентификация значимых угроз и уязвимостей для идентифицированных ресурсов;
о Оценка вероятности возникновения угроз и уязвимостей.
2. Оценивание рисков:
о Вычисление рисков;
о Оценивание рисков по заранее определенной шкале риска. Риск определяется двумя факторами, один их них выражает последствия, наступающие в случае осуществления риска, а другой выражает вероятность того, что это событие может произойти.[68]
Стандарт банка России СТО БР ИББС-1.0-2014.
Обеспечение информационной безопасности организаций банковской системы Российской Федерации
Стандарт предназначен для использования в организациях банковской системы (БС) РФ, а также в организациях, занимающихся оценкой соответствия ИБ организаций БС РФ требованиям предусмотренным данным стандартом.
Выделяют источники угроз природного, техногенного и антропогенного характера. Наиболее вероятным источником угроз является личный персонал организации, и именно поэтому внешние злоумышленники часто имеют сообщника внутри организации.
Если злоумышленник получает доступ к активам, то ущерб наносится как организации, так и ее клиентам. Необходимо определить и защитить все информационные ресурсы, реализация угроз, в отношении которых может нанести ущерб организации БС РФ.
Каждой организации свойственно наличие рисков, которые возможно снизить лишь до определенного уровня, значение которого определяется руководством предприятия самостоятельно.
Эффективность работы системы обеспечения информационной безопасности (СОИБ) заключается в постоянном анализе и изучении инфраструктуры организации БС РФ с целью выявления и устранения уязвимостей ИБ.
Для поддержания системы защиты на должном уровне в качестве оперативной меры используется мониторинг событий и инцидентов в системе информационной безопасности. Менеджмент событий и инцидентов безопасности, полученных в результате мониторинга, позволяет избежать деградации и обеспечить требуемый уровень безопасности. Для оценки состояния
ИБ защищаемого актива проводится оценка соответствия системы требованиям настоящего стандарта. [77]
Рисунок 5 иллюстрирует взаимосвязь СИБ, СМИБ и СОИБ организации БС
РФ.
Система обеспечения информационной безопасности Система менеджмента информационной безопасности
Реализация СОИБ <— Планирование СОИБ
Система информационной безопасности
Проверка СОИБ —► Совершенствование СОИБ
Рисунок5. Система обеспечения информационной безопасности
организации БС РФ Для наглядного отображения результатов оценивания информационной безопасности используется круговая диаграмма (рисунок 6).
Рисунок 6. Круговая диаграмма для отображения результатов
оценивания
Секторы с 1-го по 10-й отображают оценку текущего уровня ИБ организации.
Секторы с 11-го по 27-й отображают оценку процессов менеджмента ИБ организации.
Секторы с 28-го по 34-й отображают оценку уровня осознания ИБ организации.
Пятому уровню соответствуют окружность радиусом 0,95 и кольцо до окружности радиусом 1.
Четвертому уровню соответствуют окружность радиусом 0,85 и кольцо до окружности радиусом 0,95.
Третьему уровню соответствуют окружность радиусом 0,7 и кольцо до окружности радиусом 0,85.
Второму уровню соответствуют окружность радиусом 0,5 и кольцо до окружности радиусом 0,7.
Первому уровню соответствуют окружность радиусом 0,25 и кольцо до окружности радиусом 0,5.
Нулевому уровню соответствует круг до окружности радиусом 0,25. [77]
При проведении оценки требуется заполнить 34 формы, которые приведены в приложении официального стандарта.
ГОСТ Р ИСО/МЭК 27001-2016 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности -Требования
Данный стандарт объединяет в себе описания лучших мировых практик в области управления информационной безопасностью. ИСО 27001 устанавливает требования к системе менеджмента информационной безопасности. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).
Основа стандарта ИСО 27001 — система управления рисками информационной безопасности. Система управления рисками позволяет получать ответы на следующие вопросы:
• на каком направлении информационной безопасности требуется сосредоточить внимание;
• сколько времени и средств можно потратить на данное техническое решение для защиты информации. [16]
Основной задачей менеджмента информационных рисков в соответствии с документом является обеспечение защищенности интересов организации, причем не только в информационной сфере. Под управлением информационными рисками предполагается, прежде всего, организационная деятельность, а затем уже технические аспекты обеспечения информационной безопасности.
Понятие риска в документе достаточно близко к тем, которые были рассмотрены в рамках анализа других стандартов. [32]
Система управления рисками организации направлена на минимизирование возможного ущерба, связанного с использованием информационных технологий, и обеспечить выполнение основных бизнес-целей предприятия.
Для этого система управления рисками интегрируется в систему управления жизненным циклом информационных технологий компании (рис.7).
Рисунок 7. Технология управления рисками МЗТ SP 800-30 1.2. Анализ функционала программных продуктов, производящих оценку
угроз и риска ИБ
В таблице 1.2.1 представлен сравнительный анализ функционала программных продуктов, производящих оценку угроз риска ИБ. Таблица 1.2.1 - Анализ функционала программных продуктов, производящих
оценку угроз и риска ИБ
Название программного продукта Производител ь Достоинства Недостатки
RiskWatch http://demo.riskwat ch.com/ Разработан при участии Национального Института Стандартов и Технологий США (U.S. NIST), Министерства обороны США (U.S. DoD) и Министерства обороны Канады • Хорошо применяемая методика анализа рисков; • Совокупность количественной и качественной оценки • Базируется исключительно на американских и канадских стандартах ИБ; • Угрозы целостности
(CanadianDept. ofNationalCanadianDefen ce) в 1988 году рисков; • Обширная база знаний по угрозам, уязвимостям и рекомендуемых контрмер; • Возможности расширения и редактирования базы знаний; • Возможность создания отчетов и настройка их по своему усмотрению. рассматриваются без разделения на методы их реализации; • Программа имеет загруженный и неприветливый интерфейс; • Отсутствует возможность определения группы наиболее критичных угроз для предприятия; • Отсутствует возможность определения наилучшей комбинации всех предложенных контрмер.
vsRisk http://www.vigilants oftware.co.uk/ Разработан британской компаний IT Governance совместно с VigilantSoftware. • Простой и понятный интерфейс; • Угрозы целостности рассматриваются без разделения на методы их реализации;
Окончание таблицы 1.2.1
Название программного продукта Производител ь Достоинства Недостатки
• Возможность оценки рисков нарушения конфиденциальности , целостности и доступности информации для бизнеса с точки зрения соблюдения законодательства и контрактных обязательств в четком соответствии с ISO 27001; • Содержит • Отсутствует возможность определения группы наиболее критичных угроз для предприятия; • Отсутствует возможность определения наилучшей комбинации всех предложенных контрмер; • Отсутствует количественная
интегрированную, регулярно обновляемую базу знаний по угрозам и уязвимостям. оценка величины риска; • Невозможност ь русификации данной системы; • Отсутствие средств для построения модели активов; • Отсутствие связи «угроза -уязвимость».
OCTAVE http://www.cert.org/ resШence/products-services/octave/inde x.cfm Разработан в университете Карнеги-Мелон для внутреннего применения в организации и реализует одноименную методологию • Оценка критичный угроз, активов и уязвимостей; • Наличие ряда модификаций, предназначенный для организаций различного размера и сфер деятельности. • Отсутствует разделение угроз; • Отсутствует систематизированная модель угроз; • Отсутствует возможность определения группы наиболее критичных угроз для предприятия; • Отсутствует возможность определения наилучшей комбинации всех предложенных контрмер.
1.3. Анализ методов оценки угроз ИБ
ФСТЭК России «Методика определения угроз безопасности информации в информационных системах»
В рассматриваемом документе, установлен единый подход к определению угроз ИБ, а также порядок разработки моделей угроз ИБ в государственных информационных системах, защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17.
Согласно данной методике угроза ИБ является актуальной (УБЩА ), если для информационной системы существует вероятность реализации
рассматриваемой угрозы нарушителем и ее реализация приведет к неприемлемым последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации.
В качестве показателя актуальности угрозы безопасности информации (УБЩА) принимается двухкомпонентный вектор, первый компонент которого характеризует вероятность реализации угрозы (Р|), а второй - степень возможного ущерба в случае ее реализации
Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Методы и алгоритмы построения информационных систем персональных данных в защищенном исполнении2013 год, кандидат технических наук Куракин, Александр Сергеевич
Управление информационными рисками в системах дистанционного мониторинга состояния объекта2018 год, кандидат наук Миков Дмитрий Александрович
Управление защитой информации в сегменте корпоративной информационной системы на основе интеллектуальных технологий2009 год, доктор технических наук Машкина, Ирина Владимировна
Методы и алгоритмы обоснования системы защиты информации по критерию конкурентоспособности предприятия2017 год, кандидат наук Попова Елена Владимировна
Методика и алгоритмы определения актуальных угроз информационной безопасности в информационных системах персональных данных2021 год, кандидат наук Жук Роман Владимирович
Список литературы диссертационного исследования кандидат наук Шинаков Кирилл Евгеньевич, 2018 год
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
1. Аверченков, В.И. Инженерно-техническая защита информации: методические указания к выполнению курсовой работы для студентов дневной формы обучения специальности 090103 - «Организация и технология защиты информации» / В.И. Аверченков, М.Ю. Рытов, Т.Р. Гайнулин, М.А. Борисов. -Брянск: БГТУ, 2006.- 32с.
2. Аверченков, В.И. Автоматизация выбора состава технических средств системы физической защиты // В.И. Аверченков, М.Ю. Рытов, Т.Р. Гайнулин. -Вестник БГТУ. Брянск 2008 г.
3. Аверченков, В.И. Автоматизация выбора технических средств охраны и схем их установки / В.И. Аверченков, М.Ю.Рытов, Т.Р. Гайнулин. - Вестник БГТУ. Брянск 2006 г.
4. Аверченков, В.И. Математическое моделирование процесса выбора состава технических средств систем физической защиты / В.И. Аверченков, М.Ю. Рытов, Т.Р Гайнулин // Вестник компьютерных и информационных технологий. Москва 2008 г.
5. Аверченков, В.И. САПР технологических процессов, приспособлений и режущих инструментов: Учеб. пособие для вузов / В.И. Аверченков, И.А. Каштальян, А.П. Пархутик - Минск: Высшая. шк., 1993. - 288 с.
6. Александрович Г. Я., Нестеров С. Н., Петренко С. А. Автоматизация оценки информационных рисков компании// Там же. №2. С. 78-81.
7. Анисимов А.А. Менеджмент в сфере информационной безопасности. -М.: «Интернет-университет информационных технологий», 2010. - 176 с.
8. Анохин, А.М. Методы определения коэффициентов важности критериев / А.М. Анохин, В.А.Глотов, В.В.Павельев, А.М.Черкашин // «Автоматика и телемеханика», №8, 1997, С 335-339.
9. Астахов А. Искусство управления информационными рисками. - М.: «ДМК Пресс», 2010. - 312 с.
10. Балашов П.А., Кислое Р.И., Безгузиков В.П. Оценка рисков информационной безопасности на основе нечеткой логики // Безопасность компьютерных систем. Конфидент. 2007. №5. С. 56-59.
11. Будько М.Б., Будько М.Ю. Отслеживание изменений в структуре сети и решение задач повышения безопасности на основе анализа потоков данных // Научно-технический вестник информационных технологий, механики и оптики. 2009. № 1 (59). С. 78-82.
12. Васильева О.В., Жигулин Г.П. Требования к реализации и определению необходимых приемов и способов оценки рисков нарушения информационной безопасности в банковских структурах // Научно-технический вестник Поволжья. 2013. № 4. С. 130-132.
13. Википедия - свободная энциклопедия - [Электронный ресурс]:Режим доступа: https://ru.wikipedia.org/wiki/IS0/IEC_27001.
14. Волчинская, Е.К. Защита персональных данных: Опыт правового регулирования.- М.: Галерия, 2001. 236 с.
15. Ворона В.А., Тихонов В.А. Комплексные (интегрированные) системы обеспечения безопасности. Кн. 7.//Издательства: Горячая линия-Телеком, Горячая линия -Телеком, 2013 г., 160 стр., ISBN: 978-5-9912-0238-1.
16. Гаврилова, Т. А. Базы знаний интеллектуальных систем: Учебник для вузов. / Т. А. Гаврилова, В. Ф. Хорошевский. - СПб: Питер,2001 год, 384 стр.
17. Галатенко В.А. Стандарты информационной безопасности/Под редакцией академика РАН В.Б. Бетелина // М.: ИНТУИТ.РУ «Интернет-университет информационных технологий», 2004 - 328 с.
18. Гарсия Оз, Проектирование и оценка систем физической защиты / Гарсия Оз. - Мир; 2003 г.; 386 стр.
19. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. -М.: Энергоатомиздат, 1994. - кн.1,2.
20. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопастностью».
21. ГОСТ Р ИСО/МЭК ТО 13335-3— 2007 Информационная технология Методы и средства обеспечения безопасности Часть 3 Методы менеджмента безопасности информационных технологий ISO/IEC TR 13335-3:1998.
22. ГОСТ Р ИСО/МЭК ТО 13335-4-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер.
23. Грушо, А.А.Теоретические основы защиты информации / А.А. Грушо, Е.Е.Тимонина. - М.:Яхтсмен, 1996. - 192 с.
24. Девянин П.Н. Модели безопасности компьютерных систем. Управление доступом и информационными потоками. - М.: «Горячая Линия - Телеком», 2013.338 с.
25. Десницкий В.А., Котенко И.В., Копчак Я.М. Анализ событий для управления инцидентами безопасности на примере системы контроля и управления доступом // XIX Международная конференция по мягким вычислениям и измерениям (SCM'2016), 25 - 27 мая 2016 г. Санкт-Петербург .Сборник докладов, том 2. СПб.: Издательство СПбГЭТУ «ЛЭТИ». 2016. С.332-336.
26. Десницкий В.А., Чечулин А.А., Котенко И.В., Левшун Д.С., Коломеец М.В. Комбинированная методика проектирования защищенных встроенных устройств на примере системы охраны периметра // Труды СПИИРАН. 2016. Вып. 5(48). C.5-31.
27. Диссертация кандидата технических наук. Ерохин Сергей Сергеевич «Методика аудита ИБ Объектов электронной коммерции».
28. Дойникова Е.В., Котенко И.В. Методика оценки защищенности компьютерных сетей на основе графов атак и графов зависимостей сервисов // 9-я конференция "Информационные технологии в управлении" (ИТУ-2016). 4-6 октября 2016 г.Материалы, СПб.: ОАО "Концерн "ЦНИИ "Электроприбор", 2016. С. 694-699.
29. Жигулин Г.П., Печеневский Ю.А. Методический подход к прогнозированию информационных атак как угроз автоматизированным системам
управления // Проблемы информационной безопасности. Компьютерные системы. 2009. № 2. С. 60-63.
30. Зедгенидзе И.Г. Планирование эксперимента для исследования многокомпонентных систем. - М.: Наука, 1976. - 390 с., ил.
31. Зикратов И.А., Одегов С.В. Оценка информационной безопасности в облачных вычислениях на основе байесовского подхода. // Научно-технический вестник информационных технологий, механики и оптики. - 2012. - № 4(80). - С. 121 - 126.
32. Зикратов И.А., Одегов С.В., Смирных А.В. Оценка рисков информационной безопасности в облачных сервисах на основе линейного программирования. // Научно-технический вестник информационных технологий, механики и оптики. - 2013. - № 1(83). - С. 141 - 144.
33. Карпов Е.А., Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем и информационно-вычислительных сетей. Учебное пособие. Е.А.Карпов, И.В.Котенко, М.М.Котухов, А.С.Марков, Г.А.Парр, А.Ю.Рунеев / Под редакцией И.В.Котенко. СПб.: ВУС, 2000. 190 с.
34. Карпычев, В. Ю. Цена информационной безопасности / Карпычев В.Ю., В.А. Минаев // Системы безопасности. 2003, № 5. С. 128 - 130.
35. Климов, С.М. Противодействие компьютерным атакам. Технологические основы: электронное учебное издание./ А.В. Астрахов, С.М. Климов, М.П. Сычев // - М.: МГТУ имени Н.Э. Баумана, 2013. - 108 с.
36. Комлев Н.Г. Словарь иностранных слов. СПб: Эксмо, 2006. 320 с. ISBN 5-04-002298-0.
37. Корнев, П. А. Алгоритмы категорирования персональных данных для систем автоматизированного проектирования баз данных информационных систем: диссертация кандидата технических наук: 05.13.12 / Корнев Павел Александрович; [Место защиты: Рязан. гос. радиотехн. акад.].- Липецк, 2012. -152 с.: ил. РГБ ОД, 61 12-5/3742.
38. Коробейников А.Г., Белов Э.В., Масленников М.В., Липатов А.Л. Особенности обеспечения информационной безопасности промышленных систем.// Научно-технический вестник СПб ГУ ИТМО- СПб: СПбГУ ИТМО, 2007.- вып. 40.- с.235-240.
39. Коробейников А.Г., Липатов А.Л., Осломенко Д.В., Масленников М.В. Законодательные требования в области обеспечения информационной безопасности автоматизированных систем// Научно-технический вестник СПб ГУ ИТМО - СПб: СПбГУ ИТМО,2007.- вып. 40.- с.275-278.
40. Котенко И.В. Теория и практика построения автоматизированных систем информационной и вычислительной поддержки процессов планирования связи на основе новых информационных технологий. Монография. СПб.: ВАС, 1998. 404 с.
41. Кофман, А. Введение в теорию нечетких множеств / А. Кофман // Пер. с франц. - М.: Радио и связь, 1982. - 432 с.
42. Кравцов А.А. Сезон охоты на секреты российского ОПК. / Кравцов А.А. // Независимое военное обозрение. - 2013. - 9 августа [Электронный ресурс]. Режим доступа: http://nvo.ng.ru/spforces/2013-08-09/14_opk.html?print=Y
43. Куканова Н. "Защита информации. Инсайд.".№1/2007.34 с.
44. Ларичев О.И., Петровский А.Б. Системы поддержки принятия решений: современное состояние и перспективы развития // Итоги науки и техники. М.: ВИНИТИ, 1987. Т. 21, с. 131-164.
45. Лебедев А.Н., Куприянов М.С., Недосекин Д.Д., Чернявский Е.А. Вероятностные методы в инженерных задачах: Справочник. - СПб.: Энергоатомиздат. Санкт-Петербургское отделение, 2000. - 333 с.:ил.
46. Мартыщенко Л.А., Ивченко В.П., Монастырский М.Л. Теоретические основы информационно-статистического анализа сложных систем.-СПб: Лань, 1997. - 320 с.
47. Математическое моделирование процесса выбора средств защиты персональных данных [Текст] /О.М.Голембиовская, М.Ю. Рытов, К.Е. Шинаков // Вестник БГТУ. - Брянск: БГТУ, 2013. -№3, С.95-99.
48. Методика определения угроз безопасности информации в информационных системах Утверждена ФСТЭК России 2015 г. - 37 с.
49. Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Управление рисками информационной безопасности. - М.: «Горячая Линия - Телеком», 2014. - 130 с.
50. Моисеенков И.Э. Суета вокруг Роберта или Моррис-сын и все, все, все. ..//КомпьютерПресс, 1991, №8, с.45-62, №9, с.7-20.
51. Научная энциклопедия Book-Science: Статья «Методы качественного оценивания систем. Методы Экспертных оценок» - [Электронный ресурс]: Режим доступа: http://book-science.ru.
52. Нестерук, Г.Ф. К разработке модели адаптивной защиты информации / Г.Ф. Нестерук, А.А. Молдовян, Л.Г. Осовецкий, Ф.Г. Нестерук, Р.Ш. Фархутдинов // Вопросы защиты информации. 2005, № 3. С. 11 - 16.
53. Нурдинов Р.А., Батова Т.Н. Подходы и методы обоснования целесообразности выбора средств защиты информации // Современные проблемы науки и образования. - 2013. - № 2.
54. Официальный сайт «BUSSINESRELATIONSHIPGROUP»: Официальный партнер 1С. - [Электронный ресурс]: Режим доступа: http://www.brg-consulting.ru/.
55. Официальный сайт Центрального Банка Российской Федерации: Стандарты Банка России - [Электронный ресурс]: Режим доступа: http://www.cbr.ru/credit/gubzi_docs/main.asp?Prtid=Stnd.
56. Охрименко С.А., Черней Г.А. Угрозы безопасности автоматизированным информационным системам (программные злоупотребления) //НТИ. Сер.1, Орг. и методика информ. работы. -1996, №5, стр.5-13.
57. Оценка риска информационной безопасности на основе интерпретации методики FRAP [Текст] / О.М.Голембиовская, К.Е.Шинаков, М.М.Голембиовский // Информация и безопасность.- Воронеж, № 3, 2015.С. 278-281.
58. Оценка рисков информационной безопасности на основе анализа национального стандарта российской федерации ГОСТ Р ИСО/МЭК 27005-2010
[Текст] / О.М.Голембиовская, К.Е.Шинаков, М.М.Голембиовский // Информация и безопасность.- Воронеж, № 3, 2014.С. 268-271.
59. Пилипенко. В. Ф. Безопасность: теория, парадигма, концепция, культура. Словарь-справочник . 2-е изд., доп. и перераб. — М.: ПЕР СЭ-Пресс, 2005. ISBN 5-9292-0131-5
60. Пирожникова О.И., Коробейников А.Г., Литвинов Д.Ю., Соколов К.О. Технические средства на базе герконов для комплексных систем информационной безопасности//Информационные технологии в профессиональной деятельности и научной работе: Сборник материалов Всероссийской научно-практической конференции с международным участием. - Йошкар-Ола: Поволжский государственный технологический университет, 2014. - С. 256-264. - ISBN 978-58158-1413-4
61. Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119.
62. Приказ ФСТЭК России №17. Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Введ. 11.02.2013. - М: ФСТЭК России. - 37 с.
63. Приказ ФСТЭК России №21 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Введ. 18.02.2013. - М: ФСТЭК России. - 20 с.
64. Приказ ФСТЭК России №31 Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. Введ. 14.03.2014. - М: ФСТЭК России. - 42 с.
65. Прототип системы контролируемого разграничения доступа к файлам документальных форматов [Текст] + [Электронный ресурс] / А.В. Козачок, О.М. Голембиовская, Л.М.Туан// Вестник БГТУ.-Брянск, 2015.-№4(48).-С.140-145.
66. Р.А. Васильев - Курс лекций «Управление информационной безопасностью» ГОУ ВПО «НИЖЕГОРОДСТКИЙ ГОСУДАРСТВЕННЫЙ ЛИНГВИСТИЧЕСКИЙ УНИВЕРСИТЕТ им. Н. А. Добронравова».
67. Разработка автоматизированной системы оценки защищенности и формирования рекомендаций по выбору средств защиты информационных систем персональных данных [Текст] /О.М.Голембиовская, В.И.Аверченков, М.Ю.Рытов, Е.В.Лексиков// Вестник компьютерных и информационных технологий. -Москва,№ 11,2012.- С.35-41.
68. Симонов С.В. Методология анализа рисков в информационных системах // Защита информации. Конфидент. 2001. №1. C. 72-76.
69. Системы безопасности комплексные и интегрированные. Национальный стандарт Российской Федерации. ГОСТ Р 53704-2009. http://www.complexdoc.ru/ntdpdf/531069/sistemy_bezopasnosti_kompleksnye_i_integr irovannye_obshchie_tekhnicheskie.pdf.
70. Статья «Основные подходы к решению многокритериальных задач. Система критериев. Методы «свертки» критериев» - [Электронный ресурс]: Режим доступа: http://life-prog.ru.
71. Статья Пугин В.В., Губарева О.Ю. «Обзор методик анализа рисков информационной безопасности информационной системы предприятия».
72. Статья: «Искусство управления информационными рисками» автор Александр Астахов, 2009г - [Электронный ресурс]: Режим доступа: URL: http://xn-—7sbab7afcqes2bn.xn--p 1 ai/content/corba.
73. Статья: «Корпоративный менеджмент» -[Электронный ресурс]: Режим доступа: http: //www.cfin.ru/management/iso9000/tqm/contrmer.shtml.
74. Статья: «Методика оценки рисков нарушения ИБ (Microsoft)» автор Ерохин C. 2011. - [Электронный ресурс]: Режим доступа:http://esstm.Ыogspot.m/2011/09/microsoft.html.
75. Статья: «Методики управления рисками информационной безопасности в автоматизированных системах» Автор: И. И. Зензин -[Электронный ресурс]: Режим доступа: http: //masters .donntu. org/2014/frt/vashakidze/Hbrary/6 .htm.
76. Статья: «Оценка угроз безопасности автоматизированным информационным системам» автор Черней Г.А - [Электронный ресурс]: Режим доступа: http: //security.ase. md/publ/ru/pubru01 .html.
77. СТО БР ИББС-1.0 - 2014. Стандарт банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. - Взамен СТО БР ИББС-1.0-2010; Введ. с 1.06.2014 - Москва: Вестник Банка России, 2014. - 44 с.
78. СТО БР ИББС-1.2 - 2014. Стандарт банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014. - Взамен СТО БР ИББС-1.2-2010; Введ. с 1.06.2014 - Москва: Вестник Банка России, 2014. - 101 с.
79. Студопедия - свободная энциклопедия - [Электронный ресурс]: Режим доступа: http://studopedia.ru/3_52576_standart-NIST-Special-Publication--.html;
80. Торокин, А.А. Инженерно-техническая защита информации: учеб. пособие / А.А. Торокин. - М.: Гелиос АРВ, 2005. - 960 с.
81. Травкин, Ю.В. Персональные данные: [Научное издание]/Ю.В. Травкин. - М.Амандавник, 2007.-430 с.
82. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-Ф3 (ред. от 30.12.2015).
83. Указ Президента Российской Федерации от 06.03.97 № 188 «Об утверждении перечня сведений конфиденциального характера».
84. Федеральный закон от 27 июля 2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015).
85. Формализация подходов к обеспечению защиты персональных данных [Текст] + [Электронный ресурс]: монография/ О.М.Голембиовская, М.Ю. Рытов, К.Е. Шинаков - Брянск: БГТУ, 2014. - 182 с.
86. Формализация процесса оценки рисков информационной безопасности на основе методики OCTAVE [Текст] + [Электронный ресурс] / О.М.Голембиовская, К.Е.Шинаков// Вестник БГТУ.-Брянск, 2015.-№№3(47).-С.131-136.
87. Черней Г.А., Охрименко С.А., Ляху Ф.С. Безопасность автоматизированных информационных систем. -Кишинев: Ruxanda, 1996. -186 c.
88. Черноруцкий И.Г. Методы принятия решений. - СПб.: БХВ-Петербург, 2005. - 416 с.
89. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. -М.: «ДМК Пресс», 2012. - 592 с.
90. Шинаков К.Е., Рытов М.Ю., Голембиовская О.М., Чиркова К.Ю.Оценка риска безопасности информационных систем, обрабатывающих конфиденциальную информацию//Вестник БГТУ.- 2016.,вып.№2(50) -56-61 с.
91. Э. Уилсон. Мониторинг и анализ сетей. Методы выявления неисправностей. -М: «Логи», 2012. - 386 с.
92. Юсупов Р.М. Наука и национальная безопасность / Монография. — 2-е издание, переработанное и дополненное. — СПб.: Наука, 2011. — 369 с.: ил. — ISBN 978-5-02-025486-2.
93. BS 7799-3 - 2006. Система менеджмента безопасности информации. Руководства по менеджменту риска безопасности информации. Введ. с 17.03.2006 - London: BSI, 2006. - 56 с.
94. ISO 27001:2013 Информационные технологии - Методы защиты-Системы менеджмента информационной безопасности- Требования. Введ.с 01.10.2013. Швейцария, 2013 - 34 с.
95. ISO 31000:2009 Риск менеджмент — Принципы и руководства. Введ. с 11.15.2009 - 32 с.
ПРИЛОЖЕНИЯ
Приложение 1
Таблица 1 - «Определение ущерба информационных ресурсов»
Ресурсы Угрозы Стоимост ь восстанов ления Р3 Источник информа ции
База данных клиентов(1С: Кража, модификация, уничтожение информации 2500,00 Восстанов ление баз
Предприятие) Непреднамеренная модификация (уничтожение) информации работниками 2500,00 2500р http://www
Нанесение вреда информации лицами, не допущенными к ее обработке 2500,00 •Ьгя-сошиШ^.
Разглашение информации, модификация, уничтожение работниками, допущенными к ее обработке 2500,00 щ/ш1^1/р псе/#3
База данных Угроза утечки информации по каналам ПЭМИН 0,00 Цена
сотрудников Кража, модификация, уничтожение информации 7500,00 1С:Бухгал
(1С: Бухгалтерия) Непреднамеренная модификация (уничтожение) информации работниками 7500,00 терия 8 Базовая
Нанесение вреда информации лицами, не допущенными к ее обработке 7500,00 версия:33 00
Разглашение информации, модификация, уничтожение работниками, допущенными к ее обработке 7500,00 Ы1р://Ьгуа шк-1s.ru/ceny-1s.html
Данные о Угрозы утечки информации по видовым каналам 0,00 Восстанов
финансовых Угроза утечки информации по каналам ПЭМИН 0,00 ление
операциях (1С: Кража, модификация, уничтожение информации 7500,00 базы 1С за
Бухгалтерия) Непреднамеренная модификация (уничтожение) информации работниками 7500,00 1 месяц: Формиров
Нанесение вреда информации лицами, не допущенными к ее обработке 7500,00 ание базы 1С на
Разглашение информации, модификация, уничтожение работниками, допущенными к ее обработке основании первичны х
документо в заказчика от 7500 http://www .fiokan.ru/ ш1и^/Ъих ga1terskie-us1ugi/voss tanov1enie-buxga1ters kogo-ucheta.htm 1
7500,00
База данных Кража, модификация, уничтожение информации 2500,00 Восстанов
продукции (1С: Предприятие) Непреднамеренная модификация (уничтожение) информации работниками 2500,00 ление баз 2500р
Нанесение вреда информации лицами, не допущенными к ее обработке 2500,00 http://www ь^-
Разглашение информации, модификация, уничтожение работниками, допущенными к ее обработке 2500,00 тошиШ^. ш/ш1^1/р г^Ш
Час работы специалис та 1200р http://www .sibeaz.ru/ 1CUslugi.s html#6
Microsoft Действиявредоносныхпрограмм (вирусов) 200,00 Windows 7
Windows 7 Basic дляПК Установка ПО, не связанного с исполнением служебных обязанностей 500,00 Home Basic 64-
Выход из строя программно-аппаратных средств 4568,00 bit Russian CIS and Georgia 1pk DSP OEI DVD (4568р) http://www .play360.ru /play_catal og/progra mmnoe_ob espechenie /microsoft _windows _7_home_ basic_oem _64_bit/
Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов, открытых портов и служб, соединений и др. 0,00
Угрозы выявления паролей по сети 0,00
Угрозы типа «Отказ в обслуживании» 0,00
Угрозы внедрения по сети вредоносных программ 500,00
Офисное ПО Действиявредоносныхпрограмм (вирусов) 200,00 Office 365
(Microsoft Office 2013) Непреднамеренная модификация (уничтожение) информации работниками 0,00 для бизнеса
Угрозы типа «Отказ в обслуживании» 13067,00 Оптималь ный (13067р) http://www .softkey.ru/ catalog/pro grams/149 549/office-365-dlya-biznesa-optimalnyj #buy
ViPNetOfficeFi Несанкционированное отключение средств защиты 14278,00 Покупка
rewall Действия вредоносных программ (вирусов) 200,00 14 278 р
Установка ПО, не связанного с исполнением служебных обязанностей 300,00 http://www .itshop.ru/I
Непреднамеренное отключение средств защиты 0,00 nfotecs/Vi
Угрозы типа «Отказ в обслуживании» 14278,00 PNet/Offic e/Firewall/ l3t1i1735 Поиск, лечение, удаление вирусов (за 30 минут) 20 0 руб http://chipi
deil.ru/%D 0%91%D1 %80%D1 %8F%D0 %BD%D1 %81%D0 %BA/tsen y/
Антивирус Avast Несанкционированное отключение средств защиты 0,00 Лицензия на 1пк на 1 год(900р) http://soft mag.ru/cat alog/detail/ avast-pro-antivirus-na-1-god-na-1-pk/
Непреднамеренное отключение средств защиты 0,00
Угрозы типа «Отказ в обслуживании» 900,00
Антивирус Kaspersky Несанкционированное отключение средств защиты 0,00 Стартовая лицензия на 1год(1200 р) http://www .programca talog.ru/cat alog/detail/ kaspersky_ antivirus/
Непреднамеренное отключение средств защиты 0,00
Угрозы типа «Отказ в обслуживании» 1200,00
Антивирус ESET NOD32 Несанкционированное отключение средств защиты 0,00 Покупка на 1 год(1180р) http://www .programca talog.ru/cat alog/detail/ eset_nod32 antivirus/
Непреднамеренное отключение средств защиты 0,00
Угрозы типа «Отказ в обслуживании» 1180,00
Система электронного документообор ота LotusNotes Действия вредоносных программ (вирусов) 7999,00 Покупка (7998,61р) http://www .itshop.ru/I BM-Lotus-DominoMessaging -ClientAccess-License-Authorized -User-License- Sw-Subscriptio n-Support-12-Months/l4t 1i191964
Установка ПО, не связанного с исполнением служебных обязанностей 7999,00
Непреднамеренная модификация (уничтожение) информации работниками 7219,00
Нанесение вреда информации лицами, не допущенными к ее обработке 7219,00
Разглашение информации, модификация, уничтожение работниками, допущенными к ее обработке 7219,00
Угрозы типа «Отказ в обслуживании» 7219,00
Съемные носители Кража носителей информации 3720,00 Жесткий диск 500
Кража, модификация, уничтожение информации 3720,00
(512 Гб) Стихийное бедствие (пожар) 3720,00 Гб 3 720р http://www .svyaznoy. ru/catalog/ flash/230/1 966445
Ключи доступа Кража ключей доступа 1781,00 Купить
E-token Утрата ключей и атрибутов доступа 1781,00 (1781р)
Стихийное бедствие (пожар) 1781,00 http://soft mag.ru/cat alog/detail/ aladdin- usb-klyuch-etoken-pro-java-72k-cert-1883/
Сервер DEPO Вывод из строя узлов ПЭВМ, каналов связи 135246,00 Купить
Storm 2350V2 Выход из строя программно-аппаратных средств 135246,00 (135
2K12RStR2 Сбой системы электроснабжения 135246,00 246.36 р)
Стихийное бедствие (пожар) 135246,00 http://www .ritm-it.ru/server i/depocom p/deposerv ers/storm2 000/DEPO -Storm-2350V2-85608.htm
Компьютер Кражафизическихресурсов 24300,00 Купить
Office Pro 140 Вывод из строя узлов ПЭВМ, каналов связи 0,00 24300р
Утрата ключей и атрибутов доступа 0,00 http://www
Сбой системы электроснабжения 0,00 .oldi.ru/cat
Стихийное бедствие (пожар) 24300,00 alog/eleme nt/0296213 /
Монитор Philips 196V4LSB2 Кражафизическихресурсов 5960,00 Покупка(5 960р) http://topc omputer.ru /catalog/ph ilips-196v4lsb2-18-5.html?r1= nadavi&ut m_source= nadavi.ru& utm_mediu m=cpc
Выход из строя программно-аппаратных средств 0,00
Сбой системы электроснабжения 0,00
Стихийное бедствие (пожар) 5960,00
РоутерMikroTi Кражафизическихресурсов 7790,00 Покупка(7
k Выход из строя программно-аппаратных средств 0,00 790р)
RB2011UiAS-2HnD-IN Сбой системы электроснабжения 7790,00 http://nanai ki.ru/produ cts/MikroT ik_Router Board RB 2011UiAS -2HnD-
Стихийное бедствие (пожар) 7790,00
1№й"отт агке1=Шр %3А//таг ке!уаМех .гц/рагШег
Переговоры, совещания Угрозы утечки информации по акустическим каналам 0,00
Перехват в пределах контролируемой зоны внешними нарушителями 0,00
Перехват в пределах контролируемой зоны внутренними нарушителями 0,00
Приложение 2
Таблица 2 - «Определение вероятности реализации угроз»___
Определение вероятности Вероятн Вероятнос
ть
№ Угроза Уязвимость Ответ к, Коэффици ент важности а! ость реализац ии угрозы Угу возникнов ения угрозы для ПДН У2
1 Угрозы Отсутствуют шумогенераторы 0 0,5
утечки Индекс звукоизоляции дверей менее 40 дБ 1 0,3
информа ции по акустиче Переговорные не проходили аттестацию (проходили более 5 лет назад) 0 0,2 0,3 Н 2 Н
ским
каналам
2 Угрозы Отсутствуют жалюзи на окнах 1 0,15
утечки Расположение ПК мониторами к окнам 0 0,1
информа Светопропускаемость окон 100% 1 0,4 0,9 10 В
ции по Отсутствует контроль доступа 1 0,3 В
каналам Не регламентирована политика «чистого стола» 1 0,05
3 Угроза Отсутствует экранирование кабельных 1 0,5
утечки коммуникаций
информа ции по Отсутствует генератор радиопомех для защиты от ПЭМИН 1 0,3 0,8 В 10 В
каналам ПЭМИН Переговорные не проходили аттестацию (проходили более 5 лет назад) 0 0,2
4 Кража В двери не вмонтированы замки 0 0,1
физическ Отсутствуют камеры видеонаблюдения 1 0,15
их Отсутствуют датчики движения 1 0,2
ресурсов Отсутствуют магнитоконтактные 0 0,05
детекторы 0,72 С
Отсутствуют датчики разбития окон 1 0,07 5
Отсутствуют идентификаторы 0 0,06 С
Отсутствуют решетки на первых и 0 0,03
последних этажах здания
Отсутствует приказ о допуске лиц 0 0,04
Отсутствует контроль доступа 1 0,3
5 Кража Документы и носители информации не 0 0,1
носителе хранятся в сейфе
й Отсутствуют камеры видеонаблюдения 1 0,15
информа Отсутствуют датчики движения 1 0,2
ции Отсутствуют датчики разбития окон 1 0,07 0,77 С
Отсутствуют идентификаторы 0 0,06 5
Отсутствуют решетки на первых и 0 0,03 С
последних этажах здания
Отсутствует приказ о допуске лиц 0 0,04
Отсутствует контроль доступа 1 0,3
Отсутствует учет носителей информации 1 0,05
6 Кража Сотрудники не проинструктированы об 0 0,1 5
ключей опасности утери ключей С
доступа Отсутствуют камеры видеонаблюдения 1 0,15 0,55
Отсутствуют идентификаторы 0 0,3 С
Отсутствует контроль доступа 1 0,4
Отсутствует учет ключей доступа 0 0,05
7 Кража, модифик Документы и носители информации не хранятся в сейфе 0 0,1 0,78 С
ация, Отсутствуют камеры видеонаблюдения 1 0,15
уничтоже Отсутствуют датчики движения 1 0,3
ние Отсутствуют датчики разбития окон 1 0,06 5
информа Отсутствуют идентификаторы 0 0,05 С
ции. Отсутствуют решетки на первых и 0 0,03
(физ. последних этажах здания
доступ) Отсутствует приказ о допуске лиц 0 0,04
Отсутствует контроль доступа 1 0,07
Отсутствует учет носителей информации 1 0,2
8 Вывод из Каналы связи не скрыты физически 1 0,3
строя Отсутствуют камеры видеонаблюдения 1 0,15
узлов ПЭВМ, Отсутствуют решетки на первых и последних этажах здания 0 0,05 0,85 В 10 В
каналов Отсутствует приказ о допуске лиц 0 0,1
связи Отсутствует контроль доступа 1 0,4
9 Несанкци Отсутствует акт установки СЗИ 0 0,05
онирован Отсутствует ответственность за работу 0 0,04
ное СЗИ
отключен Администратор безопасности не 0 0,2 5
ие проинструктирован 0,55 С
средств защиты Отсутствуют камеры видеонаблюдения 1 0,25 С
Отсутствуют решетки на первых и 0 0,1
последних этажах здания
Отсутствует приказ о допуске лиц 0 0,06
Отсутствует контроль доступа 1 0,3
10 Действия На ПК сотрудников не установлен 0 0,4
вредонос антивирус
ных К ПК сотрудников возможно подключение 1 0,3
программ USB устройств 0,6 5
(вирусов) Не регламентировано резервное копирование информации 1 0,2 С С
Установлены приложения, не имеющие сертификат ФСТЭК на отсуствие НДВ 1 0,1
11 Установк К ПК сотрудников возможно подключение 1 0,5
а ПО не USB устройств
связанног о с Установлены приложения, не имеющие сертификат ФСТЭК на отсуствие НДВ 1 0,2
исполнен Сотрудники фирмы не инструктированы о 0,7 5
ием служебн ых запрете установки ПО 0 0,3 С С
обязанно
стей
12 Утрата Ключи доступа разрешено забирать домой 1 0,4
ключей и атрибуто Сотрудники не проинструктированы об опасности утери ключей 0 0,2 0,5 5
в доступа Сотрудники не несут ответственность за 0 0,3 С С
ключи и атрибуты доступа
Отсутствует журнал учета паролей 1 0,1
13 Непредна Отсутствует контроль на разных этапах 1 0,3
меренная подготовки документов 10
модифик Сотрудники не несут ответственность за 1 0,4 В
ация проходящие мимо них документы
(уничтож Пользователи ПК и компьютерной сети не 1 0,2 1
ение) разграничены. В
информа Не ведется журнал учета использования
ции ПК 1 0,1
работник
ами
14 Непредна Физический доступ к средствам защиты 0 0,3
меренное открыт всем 0,7
отключен Сотрудники фирмы не 1 0,2 С 5
ие проинструктированы о важности средств С
средств защиты
защиты Отсутствует контроль доступа 1 0,5
15 Выход из Отсутствуют стабилизаторы напряжения 1 0,6
строя программ но-аппаратн ых средств Отсутствуют автоматические выключатели 0 0,4 0,6 С 5 С
16 Сбой системы электрос набжения Отсутствуют автоматические выключатели 0 0,4 0,6 С
Отсутствует генератор электроэнергии 1 0,6 5 С
17 Нанесени е вреда информа ции лицами, не допущен ными к ее обработк е Отсутствуют камеры видеонаблюдения 1 0,2
Отсутствуют идентификаторы 0 0,3
Отсутствует контроль доступа 1 0,5 0,7 С 5 С
18 Разглаше ние информа С сотрудниками фирмы не заключается соглашение о неразглашении информации 1 0,3
ции, модифик ация, Сотрудники не несут ответственность за проходящие мимо них документы 1 0,5 10
уничтоже ние работник ами, допущен ными к ее обработк е В организации отсутствует психолог по работе с личным персоналом 1 0,2 1 В В
19 Перехват за Имеется открытый доступ к заземляющему устройству 1 0,1
пределам и Отсутствует генератор радиопомех для защиты от ПЭМИН 1 0,15 0,55 С
контроли руемой Беспроводная сеть WiFi распространяется за пределы контролируемой зоны 1 0,3 5 С
зоны Переговорные не проходили аттестацию (проходили более 5 лет назад) 0 0,05
Отсутствуют шумогенераторы 0 0,4
20 Перехват Индекс звукоизоляции дверей менее 40 дБ 1 0,1
в Отсутствует контроль доступа 1 0,4 5 С
пределах контроли руемой зоны внешним Отсутствуют идентификаторы 0 0,3
Отсутствуют решетки на первых и последних этажах здания 0 0,05 0,5
Отсутствует приказ о допуске лиц С
и нарушите лями 0 0,15
21 Перехват Индекс звукоизоляции дверей менее 40 дБ 1 0,3 1
в Пользователи ПК и компьютерной сети не 1 0,2 В
пределах разграничены
контроли руемой С сотрудниками фирмы не заключается соглашение о неразглашении информации 1 0,4 10
зоны внутренн ими В организации отсутствует психолог по работе с личным персоналом 1 0,1 В
нарушите
лями
22 Угрозы Отсутствует контроль доступа 1 0,4
сканиров ания, направле
В беспроводной сети WiFi не установлен пароль 0 0,15
нные на Каналы связи не скрытыфизически 1 0,04
выявлени е типа
Отсутствует экранирование кабельных 1 0,06
или коммуникаций
типов использу Отсутствует генератор радиопомех для защиты от ПЭМИН 1 0,05 0,85
емых 10
операцио Отсутствует межсетевой экран В В
нных
систем,
сетевых
адресов, открытых 1 0,3
портов и служб,
соединен
ий и др.
23 Угрозы Пароли пользователей ПК не меняются 1 0,4
выявлени 1 10
я паролей Отсутствует межсетевой экран 1 0,6 В В
по сети
24 Угрозы типа Установлены приложения, не имеющие сертификат ФСТЭК на отсутствие НДВ 1 0,4 1 В 10
«Отказ в обслужив Отсутствует межсетевой экран 1 0,6 В
ании»
25 Угрозы Локальная сеть подключена к сети 1 0,5
удаленно Интернет 5
го На ПК сотрудников не установлен 0 0,3 0,7 С
запуска антивирус С
приложе Отсутствует межсетевой экран 1 0,2
ний
26 Угрозы Локальная сеть подключена к сети 1 0,5
внедрени Интернет 5
я по сети На ПК сотрудников не установлен 0 0,3 0,7 С
вредонос антивирус С
ных программ Отсутствует межсетевой экран 1 0,2
27 Стихийн ые Не регламентировано резервное копирование информации 1 0,4
бедствия Отсутствует противопожарный сейф 1 0,15
(Пожар, Отсутствуют датчики дыма 0 0,3 0,61 С
наводнен Отсутствует изоляция кабельных 0 0,05
ие, коммуникаций
землетря Отсутствует план действия при ЧС 1 0,06
сение) Отсутствует датчики сейсмической 0 0,04 5
активности С
Приложение 3
Таблица 3 - «Определение меры риска угроз»
Идентификатор угрозы (а) Последствия (ценность актива) (Ь) Коэффициент вероятности возникновения угрозы (с) Мера риска (с1)
Угрозы утечки информации по акустическим каналам 0 0,3 0
Угрозы утечки информации по видовым каналам 0 0,9 8
Угроза утечки информации по каналам ПЭМИН 0 0,8 6
Кража физических ресурсов 2 0,72 12
Кража носителей информации 0 0,77 5
Кража ключей доступа 0 0,55 2
Кража, модификация, уничтожение информации. (физ. доступ) 2 0,78 12
Вывод из строя узлов ПЭВМ, каналов связи 4 0,85 18
Несанкционированное отключение средств защиты 2 0,55 6
Действия вредоносных программ (вирусов) 1 0,6 6
Установка ПО не связанного с исполнением служебных обязанностей 1 0,7 5
Утрата ключей и атрибутов доступа 0 0,5 2
Непреднамеренная модификация (уничтожение) информации работниками 2 1 16
Непреднамеренное отключение средств защиты 0 0,7 3
Выход из строя программно -аппаратных средств 4 0,6 6
Сбой системы электроснабжения 4 0,6 6
Нанесение вреда информации лицами, не допущенными к ее обработке 2 0,7 7
Разглашение информации, модификация, уничтожение работниками, допущенными к ее обработке 2 1 13
Перехват за пределами контролируемой зоны 0 0,55 3
Перехват в пределах контролируемой зоны внешними нарушителями 0 0,5 2
Перехват в пределах контролируемой зоны внутренними нарушителями 0 1 8
Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов, открытых портов и служб, соединений и др. 0 0,85 10
Угрозы выявления паролей по сети 0 1 5
Угрозы типа «Отказ в обслуживании» 2 1 9
Угрозы удаленного запуска приложений 0 0,7 3
Угрозы внедрения по сети вредоносных программ 0 0,7 3
Стихийные бедствия (Пожар, наводнение, землетрясение) 4 0,61 15
Общее 32 19,53 191
Приложение 4
Таблицы 4 - 20 - «Сравнение контрмер»
Таблица 4 - Камеры видеонаблюдения
Отсутствуют камеры видеонаблюдения
Характеристики VidStar VSV-2120VR- VldStar VSD-2360FR- VidStar VSD-1361FR-
AHD AHD AHD
(Вариофокальная купольная видеокамера) ***** (купольная видеокамера) **** (купольная) ***
Тип корпуса Купольная Купольная Купольная
Климатическое Уличное Внутреннее Внутреннее
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.