Анализ угроз и разработка политики безопасности информационной системы организации

Автор: Пользователь скрыл имя, 25 Сентября 2012 в 18:51, курсовая работа

Краткое описание

Для обеспечения организационных мер по поддержанию информационной безопасности формируется политика информационной безопасности. На практике под информационной безопасностью понимается поддержание физической сохранности, целостности, доступности, конфиденциальности, достоверности и своевременности информации, а также гарантированной работоспособности средств, используемых для ввода, хранения, обработки и передачи данных.

Файлы: 1 файл

мой курсач.doc

— 421.00 Кб (Скачать)

Возможная мотивация  действий - использование программных ресурсов и конфиденциальной информации

 

Уг_Вред_Программ_Обеспеч_ОС_ур.

Уязвимость определяется возможностью внедрения вредоносного программного обеспечения для приостановки деятельности организации

Метод нападения – несанкционированный доступ к ИС.

Объект нападения –ИС.

Тип потери - потеря конфиденциальности информации, целостности и доступности

Масштаб ущерба - высокий.

Источник угрозы - злоумышленник

Опыт - высокий.

Знания - знание работы ИС

Доступные ресурсы, необходимые  для реализации угрозы - наличие возможности и цели подбора идентификатора для НСД в систему

Возможная мотивация  действий - вредительство

 

Уг_Ошиб_Технич_Перс_Физ_ур.

Уязвимость определяется недостаточным контролем над деятельностью технического персонала

Метод нападения – неумышленная ошибка в установке оборудования ИС.

Объект нападения – ИС.

Тип потери - приостановка деятельности

Масштаб ущерба - средний.

Источник угрозы - персонал

Опыт - средний.

Знания - знание конфигурации ИС

Доступные ресурсы, необходимые  для реализации угрозы - наличие возможности доступа к установке оборудования ИС

Возможная мотивация  действий - халатность

 

Уг_Ошиб_Технич_Перс_С_ур.

Уязвимость определяется недостаточным контролем над деятельностью технического персонала

Метод нападения – неумышленная ошибка в установке сетевого оборудования ИС.

Объект нападения – сетевое оборудование ИС.

Тип потери - приостановка деятельности

Масштаб ущерба - средний.

Источник угрозы - персонал

Опыт - средний.

Знания - знание конфигурации ИС

Доступные ресурсы, необходимые  для реализации угрозы - наличие возможности доступа к установке оборудования ИС

Возможная мотивация  действий - халатность

 

Уг_Исполь_Сетев_Сред_Неавтор_Способ_СП_ур.

Уязвимость определяется недостаточным контролем за доступам персонала к сетевым средствам

Метод нападения – несанкционированная передача данных с помощью сетевых средств ИС.

Объект нападения –ИС.

Тип потери - потеря конфиденциальной информации

Масштаб ущерба - средний.

Источник угрозы - персонал

Опыт - средний.

Знания - знание процесса работы сетевых средств ИС

Доступные ресурсы, необходимые  для реализации угрозы - наличие возможности доступа к сетевым средствам ИС

Возможная мотивация  действий – не санкционированная передача данных

 

Уг_Технич_Неиспр_Комп_Сети_С_ур.

Уязвимость определяется наличием неисправностей в сетевом оборудовании ИС

Метод нападения – сбои в работе сетевого оборудования ИС.

Объект нападения – ИС.

Тип потери - приостановка деятельности

Масштаб ущерба - средний.

Источник угрозы - оборудование

Опыт - не требуется.

Знания - отсутствуют

Доступные ресурсы, необходимые для реализации угрозы - наличие неисправностей в ПК ИС.

Возможная мотивация  действий - халатность

 

Уг_Ошибк_Передач_СП_ур.

Уязвимость определяется наличием ошибок в маршрутизации данных по ИС

Метод нападения – сбои в передаче данных по ИС.

Объект нападения – ИС.

Тип потери - приостановка деятельности, потеря информации

Масштаб ущерба - средний.

Источник угрозы - сетевые программы

Опыт - не требуется.

Знания - отсутствуют

Доступные ресурсы, необходимые  для реализации угрозы - наличие неисправностей в сетевых приложениях ИС

Возможная мотивация  действий - халатность

 

Уг_Повреж_Линий_Связ_С_ур.

Уязвимость определяется наличием неисправностей в сетевом оборудовании ИС

Метод нападения – сбои в передаче данных по ИС.

Объект нападения – ИС.

Тип потери - приостановка деятельности, потеря информации

Масштаб ущерба - средний.

Источник угрозы - сетевые программы

Опыт - не требуется.

Знания - отсутствуют

Доступные ресурсы, необходимые  для реализации угрозы - наличие неисправностей в сетевом оборудовании ИС.

Возможная мотивация  действий - халатность

 

Уг_Перег_Трафик_С_ур.

Уязвимость определяется наличием малой пропускной способности сетевого оборудования ИС

Метод нападения – повышенная передача данных по сети ИС.

Объект нападения – ИС.

Тип потери - приостановка деятельности, потеря информации

Масштаб ущерба - средний.

Источник угрозы - сетевые кабели

Опыт - не требуется.

Знания - отсутствуют

Доступные ресурсы, необходимые  для реализации угрозы - малая пропускная способность сетевого оборудования ИС

Возможная мотивация  действий - халатность

 

Уг_Проник_Коммут_С_ур.

Уязвимость определяется недостаточной охраняемостью ИС

Метод нападения – несанкционированное подключение к ИС.

Объект нападения – ИС.

Тип потери - потеря информации

Масштаб ущерба - средний.

Источник угрозы - сетевые кабели

Опыт - высокий уровень.

Знания - знание технического устройства сетевого подключения

Доступные ресурсы, необходимые  для реализации угрозы - сетевое оборудование для дополнительного подключения к ИС

Возможная мотивация действий - похищение информации

 

Уг_Анализ_Трафик_СП_ур.

Уязвимость определяется наличием возможности перехвата трафика ИС

Метод нападения – перехват трафика при помощи сетевых приложений

Объект нападения – ИС.

Тип потери - потеря информации

Масштаб ущерба - средний.

Источник угрозы - злоумышленник

Опыт - высокий уровень

Знания - умение с помощью трафика определить пароли доступа в систему

Доступные ресурсы, необходимые  для реализации угрозы - сетевые приложения

Возможная мотивация  действий - определение паролей доступа для входа в систему и похищение информации

 

Уг_Ошиб_Марш_Сообщ_СП_ур.

Уязвимость определяется ошибочными действиями работников

Метод нападения – ошибочная адресация данных по сети

Объект нападения – ИС.

Тип потери - потеря информации

Масштаб ущерба - средний.

Источник угрозы - персонал

Опыт - низкий уровень

Знания - умение работать с сетевыми приложениями

Доступные ресурсы, необходимые  для реализации угрозы - сетевые приложения

Возможная мотивация  действий - отсутствуют

 

Уг_Повтор_Марш_Сообщ_СП_ур.

Уязвимость определяется ошибочными действиями работников

Метод нападения – двойная адресация данных по сети

Объект нападения – ИС.

Тип потери - потеря информации

Масштаб ущерба - средний.

Источник угрозы - персонал

Опыт - низкий уровень

Знания - умение работать с сетевыми приложениями

Доступные ресурсы, необходимые  для реализации угрозы - сетевые приложения

Возможная мотивация  действий - отсутствуют

 

Уг_Неисп_Услуг_Связ_С_ур.

Уязвимость определяется наличием неисправного сетевого оборудования

Метод нападения – отказ сетевого оборудования

Объект нападения – ИС.

Тип потери – ИР2.

Масштаб ущерба - средний.

Источник угрозы - оборудование

Опыт - отсутствует

Знания - отсутствует

Доступные ресурсы, необходимые  для реализации угрозы - сетевое оборудование

Возможная мотивация  действий - отсутствуют

 

Уг_Ошиб_Пользов_СУБД_ур.

Уязвимость определяется неправильным вводом и модификацией данных в БД ИС

Метод нападения – неправильное использование БД

Объект нападения – ИС.

Тип потери - потеря информации

Масштаб ущерба - средний.

Источник угрозы - персонал

Опыт - низкий уровень

Знания - пользование ПК

Доступные ресурсы, необходимые  для реализации угрозы - оборудование

Возможная мотивация  действий - отсутствуют

 

Уг_Неправ_Использ_Ресурс_СУБД_ур.

Уязвимость определяется неправильным использованием информационных ресурсов

Метод нападения – неправильное использование данных

Объект нападения – ИС.

Тип потери - потеря информации

Масштаб ущерба - средний.

Источник угрозы - персонал

Опыт - низкий уровень

Знания - пользование ПК

Доступные ресурсы, необходимые  для реализации угрозы - оборудование

Возможная мотивация  действий - отсутствуют

 

Уг_Дефиц_Персон_БП_ур_Перс.

Уязвимость определяется нехваткой трудовых ресурсов на управление информационной системой

Метод нападения – неверный расчет числа работников

Объект нападения – деятельность организации.

Тип потери - потеря временных ресурсов

Масштаб ущерба - высокий.

Источник угрозы - персонал

Опыт - низкий уровень

Знания - пользование ПК

Доступные ресурсы, необходимые  для реализации угрозы - наличие большого количества информации, которую необходимо обработать

Возможная мотивация  действий - отсутствуют

 

3 Классификация угроз актуальных для информационной системы

 

Точный прогноз актуальных угроз  позволяет снизить риск нарушения ИБ при минимизации затрат ресурсов организации. В процессе анализа возможных и выявления актуальных для активов организации угроз должен оцениваться риск, возникающий вследствие потенциального воздействия определенной угрозы. После оценивания риска должно быть принято решение, является ли он допустимым. Если риск является недопустимым, уровень риска подлежит снижению до допустимого путем принятия защитных мер. В таблице 9 приведены основные компоненты процесса оценки рисков.

Таблица 9 - Типичные компоненты процесса оценки рисков

Угрозы

Через зоны уязвимостей

То они приведут в  результате к какому-нибудь из следующих рисков

Наводнение

Географическое положение

Денежная потеря, затруднения в деятельности

Молния

Технические коммуникации

Денежная потеря, затруднения в деятельности

Пожар (огонь)

Технические коммуникации

Денежная потеря, затруднения в деятельности

Преднамеренное повреждение

Человеческий фактор

Денежная потеря

Авария источника мощности

Технические коммуникации

Потеря производительности

Авария в подаче воды

Технические коммуникации

Потеря производительности

Авария воздушного кондиционирования

Технические коммуникации

Потеря производительности

Неисправности аппаратных средств

Технические коммуникации

Денежная потеря, потеря производительности

Колебание мощности

Технические коммуникации

Потеря производительности

Электромагнитное излучение

Технические коммуникации

Денежная потеря, потеря производительности

Неавторизованное использование  среды хранения

Человеческий фактор

Денежная потеря, потеря производительности

Износ среды хранения

Оборудование и аппаратура

Денежная потеря, потеря производительности

Операционная ошибка персонала

Человеческий фактор

Денежная потеря, потеря производительности

Авария программного обеспечения

Программное обеспечение

Денежная потеря

Использование программного обеспечения неавторизованными пользователями

Человеческий фактор

Денежная потеря, потеря производительности

Использование программного обеспечения неавторизованным способом

Персонал

Денежная потеря, потеря производительности

Подделка идентификатора пользователя

Персонал

Денежная потеря, потеря производительности

Нелегальное использование программного обеспечения

Персонал

Денежные потери

Вредоносное программное обеспечение

Программное обеспечение

Денежные потери

Ошибка технического обслуживания

Персонал

Денежные потери

Использование сетевых средств  неавторизованным способом

Приложения

Денежные потери

Техническая неисправность компонентов сети

Оборудование и аппаратура

Денежная потеря, затруднения в деятельности

Ошибка при передаче

Приложения

Денежные потери

Повреждения в линиях связи

Оборудование и аппаратура

Денежная потеря

Перегрузка трафика

Оборудование и аппаратура

Затруднения в деятельности

Перехват

Приложения

Затруднения в деятельности

Проникновение в коммутации

Оборудование и аппаратура

Затруднения в деятельности

Анализ трафика

Оборудование и аппаратура

Денежная потеря, потеря производительности

Ошибочная маршрутизация сообщений

Приложения

Денежная потеря, потеря производительности

Повторная маршрутизация сообщения

Приложения

Денежная потеря, потеря производительности

Отрицание

Персонал

Денежная потеря, потеря производительности

Неисправность услуг связи

Оборудование и аппаратура

Денежная потеря, потеря производительности

Ошибка пользователя

Персонал

Денежная потеря

Неправильное использование ресурсов

Персонал

Денежная потеря, потеря производительности

Дефицит персонала

Персонал

Денежная потеря


 

На основе описания типичных компонентов  оценки рисков было сделано описание угроз по возможности их возникновения и факторам, влияние которых может оказаться существенным при возможности реализации каждой угрозы в информационной системе. Описание угроз представлено в таблице 10:

Таблица 10 - Описание угроз

Угрозы

Описание

Наводнение

Эта угроза является случайным катаклизмом природы, зависящим от того, какое количество осадков может выпасть, и успеют ли работники Сурской платины вовремя спустить воду.

Молния

Определяется отсутствием необходимых  технических коммуникаций, способных предотвратить данный природный катаклизм

Пожар (огонь)

Определяется отсутствием в  организации соответствующих мер по противопожарной безопасности и наличие в конструкции здания материалов, легко подвергающихся горению

Преднамеренное повреждение

Определяется отсутствием должных мер по охране здания, возможностью преднамеренного повреждения аппаратуры и оборудования

Авария источника мощности

Определяется возможностью перебоя  с подачей электроэнергии в районы города, где расположена организация, и отсутствием в организации источника бесперебойного питания

Авария воздушного кондиционирования

Определяется технической неисправностью кондиционеров или некорректной установкой кондиционирующего оборудования

Неисправности аппаратных средств

Определяется отсутствием своевременного обслуживания или наличием бракованного оборудования

Колебание мощности

Определяется наличием перебоев с  электроснабжением в районе, где расположена организация и отсутствием в организациистабилизатора напряжения

Электромагнитное излучение

Определяется наличием в непосредственной близости от организации мощного источника электромагнитного излучения и отсутствием мер защиты от электромагнитного излучения

Неавторизованное использование  среды хранения

Определяется наличием возможности  персонала вынести из ИС конфиденциальную информацию

Износ среды хранения

Определяется установкой устаревшего  или изношенного оборудования для хранения данных в ИС

Операционная ошибка персонала

Определяется некомпетентными  действиями персонала, что может привести к потере информации или порче программного обеспечения

Авария программного обеспечения

Определяется некорректной установкой программного обеспечения ИС организации или использование нелицензионного программного обеспечения

Использование программного обеспечения неавторизованными пользователями

Определяется возможностью несанкционированного входа в систему и возможностью использования ПО

Использование программного обеспечения неавторизованным способом

Определяется возможностью использования  сотрудниками ПО для личных целей

Подделка идентификатора пользователя

Определяется возможностью злоумышленника подделать идентификатор персонала

Нелегальное использование программного обеспечения

Определяется возможностью нелегального копирования лицензионного программного обеспечения из ИС организации

Вредоносное программное обеспечение

Определяется возможностью попадания  вредоносного программного обеспечения в ИС

Ошибка технического обслуживания

Определяется недостаточным уровнем  квалификации технического персонала или некомпетентностью его действий

Использование сетевых средств  неавторизованным способом

Определяется возможностью нелегальной  передачи данных по сети ИС

Техническая неисправность компонентов сети

Определяется отсутствием своевременного обслуживания или неисправностью аппаратных средств

Ошибка при передаче

Определяется наличием сбоев при  работе сети из-за неправильной отладки сетевых программ

Повреждения в линиях связи

Определяется отсутствием своевременной  замены линий связи, либо случайным ее повреждением

Перегрузка трафика

Определяется малой пропускной способностью линии передачи

Перехват

Определяется возможностью несанкционированного доступа к сетевому оборудованию

Проникновение в коммутации

Определяется возможностью несанкционированного доступа к сетевому оборудованию

Анализ трафика

Определяется возможностью несанкционированного доступа к сетевому оборудованию, и возможностью скачивания конфиденциальной информации

Ошибочная маршрутизация сообщений

Определяется некомпетентным использованием сетевого оборудования персоналом

Повторная маршрутизация сообщения

Определяется некомпетентным использованием сетевого оборудования персоналом

Отрицание

Определяется возможностью отказа персонала от переданной по сети или полученной информации

Неисправность услуг связи

Определяется отсутствием несвоевременной  замены сетевого оборудования либо неисправностью сетевых интерфейсов

Ошибка пользователя

Определяется некомпетентными  действиями персонала

Неправильное использование ресурсов

Определяется некомпетентными действиями персонала

Дефицит персонала

Определяется нехваткой человеческого  фактора для приведения в действие всех бизнес – процессов 

Информация о работе Анализ угроз и разработка политики безопасности информационной системы организации