Автор: Пользователь скрыл имя, 25 Сентября 2012 в 18:51, курсовая работа
Для обеспечения организационных мер по поддержанию информационной безопасности формируется политика информационной безопасности. На практике под информационной безопасностью понимается поддержание физической сохранности, целостности, доступности, конфиденциальности, достоверности и своевременности информации, а также гарантированной работоспособности средств, используемых для ввода, хранения, обработки и передачи данных.
На основе выделенных нами актуальных угроз на каждом уровне реализации технологического процесса организации были описаны все актуальные угрозы на каждом уровне:
Уг_Наводн_Физ_ур.
Уязвимость определяется близостью Сурской плотины.
Метод нападения – срыв Сурской плотины.
Объект нападения – компьютерная сеть.
Тип потери - ИР1, ИР2, ИР3
Масштаб ущерба - очень высокий.
Источник угрозы - переполнение водного бассейна.
Опыт - низкий уровень.
Знания - не обязательны
Доступные ресурсы, необходимые для реализации угрозы - обильное выпадение осадков
Возможная мотивация действий - отсутствует.
Уг_Молния_Физ_ур.
Уязвимость определяется капризами природы.
Метод нападения – удар молнии.
Объект нападения – компьютерная сеть.
Тип потери - ИР1, ИР2, ИР3
Масштаб ущерба - высокий.
Источник угрозы - отсутствие громоотвода.
Опыт - низкий уровень.
Знания - не обязательны
Доступные ресурсы, необходимые для реализации угрозы - наличие дождевых облаков и теплое время года
Возможная мотивация действий - отсутствует.
Уг_Пожар_БП_ур.
Уязвимость определяется наличием горящих предметов в конструкции здания.
Метод нападения – поджог.
Объект нападения – ИС.
Тип потери - затруднения в деятельности или полная ее остановка
Масштаб ущерба - высокий.
Источник угрозы - поджигатель.
Опыт - низкий уровень.
Знания - умение пользоваться спичками или зажигалкой
Доступные ресурсы, необходимые для реализации угрозы - наличие спичек или зажигалки
Возможная мотивация действий - халатность
Уг_Пред_Повреж_Физ_ур.
Уязвимость определяется отсутствием должного количества охранного персонала.
Метод нападения – крушение.
Объект нападения – компьютерная сеть.
Тип потери - целостность, доступность
Масштаб ущерба - высокий.
Источник угрозы - злоумышленник.
Опыт - низкий уровень.
Знания - знание плана размещения ИС
Доступные ресурсы, необходимые для реализации угрозы - план здания
Возможная мотивация действий – небрежность.
Уг_Пред_Повреж_С_ур.
Уязвимость определяется отсутствием должного количества охранного персонала.
Метод нападения – крушение.
Объект нападения – сетевое оборудование.
Тип потери - денежная потеря
Масштаб ущерба - высокий.
Источник угрозы - злоумышленник.
Опыт - низкий уровень.
Знания - знание плана размещения ИС
Доступные ресурсы, необходимые для реализации угрозы - план здания
Возможная мотивация действий - халатность
Уг_Авар_Ист_Мощн_Физ_ур.
Уязвимость определяется отсутствием бесперебойного питания.
Метод нападения – отключение энергоснабжения.
Объект нападения – компьютерная сеть.
Тип потери - ИР1, ИР2, ИР3
Масштаб ущерба - средний.
Источник угрозы - поставщик электроэнергии.
Опыт - низкий уровень.
Знания - не обязательны
Доступные ресурсы, необходимые для реализации угрозы - не обязательны
Возможная мотивация действий - халатность
Уг_Неис_Аппар_Сред_Физ_ур.
Уязвимость определяется наличием бракованного оборудования
Метод нападения – отказ оборудования.
Объект нападения – компьютерная сеть.
Тип потери - ИР1, ИР2, ИР3
Масштаб ущерба - высокий.
Источник угрозы - бракованное оборудование.
Опыт - низкий уровень.
Знания - не обязательны
Доступные ресурсы, необходимые для реализации угрозы - не обязательны
Возможная мотивация действий - некачественная сборка поставщиком
Уг_Колеб_Мощ_Физ_ур.
Уязвимость определяется отсутствием стабилизатора напряжения
Метод нападения – наличие скачков напряжения.
Объект нападения – компьютерная сеть.
Тип потери - ИР1, ИР2, ИР3
Масштаб ущерба - средний.
Источник угрозы - энергоснабжение.
Опыт - низкий уровень.
Знания - не обязательны
Доступные ресурсы, необходимые для реализации угрозы - не обязательны
Возможная мотивация действий - отсутствует
Уг_Неавтор_Использ_Сред_
Уязвимость определяется отсутствием методов контроля над использованием среды хранения информации
Метод нападения – стирание информации из БД.
Объект нападения – ИР1.
Тип потери - потеря конфиденциальности информации или вовсе потеря информации
Масштаб ущерба - средний.
Источник угрозы - персонал
Опыт - высокий уровень.
Знания - знание уровня ценности информации
Доступные ресурсы, необходимые для реализации угрозы - доступность среды хранения
Возможная мотивация действий - желание использовать конфиденциальную информацию.
Уг_Износ_Сред_Хранен_СУБД_ур.
Уязвимость определяется отсутствием контроля над износом ресурсов хранения системы
Метод нападения – уничтожение информации из БД вследствие порчи ресурсов хранения.
Объект нападения – ИР1, ИР2.
Тип потери - потеря конфиденциальности информации, доступности и целостности
Масштаб ущерба - средний.
Источник угрозы - порча ресурсов хранения
Опыт - отсутствует.
Знания - отсутствуют
Доступные ресурсы, необходимые для реализации угрозы - неисправность или порча ресурсов хранения
Возможная мотивация действий - отсутствует
Уг_Операц_Ошибк_Перс_СУБД.
Уязвимость определяется отсутствием контроля над деятельностью персонала
Метод нападения – неумышленное удаление данных из БД.
Объект нападения – ИР1.
Тип потери - потеря конфиденциальности информации, доступности и целостности
Масштаб ущерба - средний.
Источник угрозы - персонал
Опыт - средний.
Знания - знание работы на ПК
Доступные ресурсы, необходимые для реализации угрозы - наличие идентификации пользователя в системе
Возможная мотивация действий - отсутствует
Уг_Операц_Ошибк_Перс_П_ур.
Уязвимость определяется отсутствием контроля над деятельностью персонала
Метод нападения – неумышленное удаление компонента приложения, обеспечивающих реализацию основных процессов ИС.
Объект нападения – приложения ОС.
Тип потери - потеря конфиденциальности информации, доступности и целостности
Масштаб ущерба - средний.
Источник угрозы - персонал
Опыт - средний.
Знания - знание работы на ПК
Доступные ресурсы, необходимые для реализации угрозы - наличие идентификации пользователя в системе
Возможная мотивация действий - отсутствует
Уг_Авар_Программ_Обеспеч_ОС_
Уязвимость определяется некачественной настройкой программного обеспечения
Метод нападения – неумышленная ошибка в настройке системы ИС.
Объект нападения –ИС.
Тип потери - потеря конфиденциальности информации, доступности и целостности
Масштаб ущерба - средний.
Источник угрозы - администратор ИБ
Опыт - высокий.
Знания - знание работы ИС
Доступные ресурсы, необходимые для реализации угрозы - наличие доступа к настройке системы
Возможная мотивация действий - отсутствует
Уг_Авар_Программ_Обеспеч_СУБД_
Уязвимость определяется некачественной настройкой программного обеспечения
Метод нападения – неумышленная ошибка в настройке системы БД ИС.
Объект нападения – ИР1
Тип потери - потеря конфиденциальности информации, доступности и целостности
Масштаб ущерба - средний.
Источник угрозы - администратор ИБ, администратор БД.
Опыт - высокий.
Знания - знание работы ИС
Доступные ресурсы, необходимые для реализации угрозы - наличие доступа к настройке системы
Возможная мотивация действий - отсутствует
Уг_Авар_Программ_Обеспеч_П_ур.
Уязвимость определяется некачественной настройкой программного обеспечения
Метод нападения – неумышленная ошибка в настройке системы приложений ИС.
Объект нападения – ИР1,ИР3.
Тип потери - потеря конфиденциальности информации, доступности и целостности
Масштаб ущерба - средний.
Источник угрозы - администратор ИБ.
Опыт - высокий.
Знания - знание работы ИС
Доступные ресурсы, необходимые для реализации угрозы - наличие доступа к настройке системы
Возможная мотивация действий - отсутствует
Уг_Исполь_Программ_Обеспеч_
Уязвимость определяется возможностью использования программного обеспечения пользователями, не имеющими идентификационного входа в систему
Метод нападения – несанкционированный доступ к СП ИС.
Объект нападения – ИС.
Тип потери - потеря конфиденциальности информации
Масштаб ущерба - средний.
Источник угрозы - персонал
Опыт - высокий.
Знания - знание работы ИС
Доступные ресурсы, необходимые для реализации угрозы - доступ к АРМ, а так же наличие возможности подобрать пароль для входа в систему
Возможная мотивация действий - использование ПР системы и конфиденциальной информации
Уг_Исполь_Программ_Обеспеч_
Уязвимость определяется возможностью использования программного обеспечения пользователями, не имеющими идентификационного входа в систему
Метод нападения – несанкционированный доступ к ИС.
Объект нападения – ИС.
Тип потери - потеря конфиденциальности информации
Масштаб ущерба - средний.
Источник угрозы - персонал
Опыт - высокий.
Знания - знание работы ИС
Доступные ресурсы, необходимые для реализации угрозы - наличие возможности подобрать пароль для входа в систему
Возможная мотивация действий - использование программных ресурсов и конфиденциальной информации
Уг_Исполь_Программ_Обеспеч_
Уязвимость определяется возможностью использования программного обеспечения пользователями, не имеющими идентификационного входа в систему
Метод нападения – несанкционированный доступ к ИС.
Объект нападения –ИС.
Тип потери - потеря конфиденциальности информации
Масштаб ущерба - средний.
Источник угрозы - персонал
Опыт - высокий.
Знания - знание работы ИС
Доступные ресурсы, необходимые для реализации угрозы - наличие возможности подобрать пароль для входа в систему
Возможная мотивация действий - использование программных ресурсов и конфиденциальной информации
Уг_Исполь_Программ_Обеспеч_
Уязвимость определяется возможностью использования программного обеспечения для целей, не имеющих ничего общего с деятельностью организации.
Метод нападения – несанкционированный доступ к ИС.
Объект нападения – ИС.
Тип потери - потеря конфиденциальности информации
Масштаб ущерба - средний.
Источник угрозы - персонал
Опыт - высокий.
Знания - знание работы ИС
Доступные ресурсы, необходимые для реализации угрозы - наличие возможности и цели работы с программным обеспечением вне рабочего использования
Возможная мотивация действий - использование программных ресурсов и конфиденциальной информации
Уг_Исполь_Программ_Обеспеч_
Уязвимость определяется возможностью использования программного обеспечения для целей, не имеющих ничего общего с деятельностью организации.
Метод нападения – несанкционированный доступ к ИС.
Объект нападения – ИС.
Тип потери - потеря конфиденциальности информации
Масштаб ущерба - средний.
Источник угрозы - персонал
Опыт - высокий.
Знания - знание работы ИС
Доступные ресурсы, необходимые для реализации угрозы - наличие возможности и цели работы с программным обеспечением вне рабочего использования
Возможная мотивация действий - использование программных ресурсов и конфиденциальной информации
Уг_Поддел_Идентиф_Пользов_БП_
Уязвимость определяется возможностью подбора пароля для НСД в систему
Метод нападения – несанкционированный доступ к ИС.
Объект нападения – ИР1, ИР2, ИР3.
Тип потери - потеря конфиденциальности информации
Масштаб ущерба - средний.
Источник угрозы - злоумышленник
Опыт - высокий.
Знания - знание работы ИС
Доступные ресурсы, необходимые для реализации угрозы - наличие возможности и цели подбора идентификатора для НС входа в систему
Возможная мотивация действий - использование программных ресурсов и конфиденциальной информации
Уг_Нелег_Исполь_Программ_
Уязвимость определяется возможностью использования программного обеспечения для целей, не имеющих ничего общего с деятельностью организации и несанкционированная инсталляция лицензионного программного обеспечения, имеющего ограниченное количество инсталляций
Метод нападения – несанкционированный доступ к ИС.
Объект нападения –ИС.
Тип потери - потеря конфиденциальности информации
Масштаб ущерба - предварительно средний, зависит от оценки рисков.
Источник угрозы - персонал
Опыт - высокий.
Знания - знание работы ИС
Доступные ресурсы, необходимые для реализации угрозы - наличие возможности и цели подбора идентификатора для НС входа в систему
Возможная мотивация действий - использование программных ресурсов и конфиденциальной информации
Уг_Нелег_Исполь_Программ_
Уязвимость определяется возможностью использования программного обеспечения для целей, не имеющих ничего общего с деятельностью организации и несанкционированная инсталляция лицензионного программного обеспечения, имеющего ограниченное количество инсталляций
Метод нападения – несанкционированный доступ к ИС.
Объект нападения –ИС.
Тип потери - потеря конфиденциальности информации
Масштаб ущерба - средний.
Источник угрозы - персонал
Опыт - высокий.
Знания - знание работы ИС
Доступные ресурсы, необходимые для реализации угрозы - наличие возможности и цели подбора идентификатора для НС входа в систему