Моделирование угроз безопасности информации
Автор: Гаяз Минибаев • Сентябрь 29, 2022 • Лабораторная работа • 520 Слов (3 Страниц) • 279 Просмотры
Лабораторная работа № 1. Моделирование угроз безопасности информации
Задание:
На лабораторном занятии рассматривается процесс моделирования угроз в соответствии с документом «Методика оценки угроз безопасности информации», утв. заместителем директора ФСТЭК России 05.02.2021 г. (далее - Методика). В пунктах 3-6 настоящего задания перечислены все основные этапы моделирования угроз согласно указанной методике, но сведения, используемые для анализа угроз существенно сжаты, чтобы работу можно было выполнить за 4 академических часа, усвоив при этом основные принципы моделирования угроз. Для выполнения задания необходимо внимательно изучить представленную ниже информацию и заполнить пустые ячейки в таблицах, предложив свои варианты.
- Изучение Методики моделирования угроз.
Методику необходимо скачать с сайта ФСТЭК России ( https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021-g ) и изучить документ.
- Описание объекта защиты, для которого необходимо разработать модель угроз
Рассматривается информационная система персональных данных (ИСПДн) «1С: Зарплата и управление персоналом» В состав ИСПДн входит 1 сервер и несколько рабочих станций, расположенных в одном здании. Есть подключение к сети Интернет. К ИСПДн имеют доступ сотрудники бухгалтерии, а также компания-подрядчик, оказывающая техподдежку программного обеспечения 1С.
- Анализ возможных негативных последствий от реализации угроз информационной безопасности (ИБ): потери конфиденциальности обрабатываемой информации, нарушения целостности (подмены) данных, нарушения доступности информационной системы (работники временно не могут работать в ИСПДн).
Возможные варианты негативных последствий представлены в приложении 4 Методики. Выберите подходящие для рассматриваемой ИСПДн.
№ | Виды риска (ущерба) | Возможные негативные последствия |
У1 | Ущерб физическому лицу | |
У2 | Риски юридическому лицу, связанные с хозяйственной деятельностью |
- Анализ возможных объектов воздействия угроз безопасности информации.
Возможные варианты объектов воздействия и видов воздействия представлены в приложении 5 Методики. Удалите лишние, не подходящие для рассматриваемой ИСПДн.
Негативные последствия | Объекты воздействия | Виды воздействия |
- Анализ актуальности источников угроз (нарушителей)
Возможные варианты целей нарушителей (их мотивации) представлены в приложении 6 Методики. Выберите подходящие для рассматриваемой ИСПДн. Либо укажите, что для рассматриваемого вида нарушителя цели (мотивация отсутствует) и он неактуален для рассматриваемой ИСПДн.
№ вида | Виды нарушителя | Категории нарушителя | Потенциал нарушителя | Возможные цели реализации угроз безопасности информации |
1 | Специальные службы иностранных государств | Внешний | Высокий | |
2 | Террористические, экстремистские группировки | Внешний | Средний | |
3 | Преступные группы (криминальные структуры) | Внешний | Средний | |
4 | Отдельные физические лица (хакеры) | Внешний | Низкий | |
5 | Конкурирующие организации | Внешний | Средний | |
6 | Разработчики программных, программно-аппаратных средств | Внутренний | Средний | |
7 | Авторизованные пользователи систем и сетей | Внутренний | Низкий | |
8 | Системные администраторы и администраторы безопасности | Внутренний | Средний |
...