Автор работы: Пользователь скрыл имя, 05 Июня 2013 в 20:39, практическая работа
1 Анализ угроз для информационной системы организации.
2 Разработка схемы информационных потоков информационной системы организации.
3 Разработка описания угроз на основе модели угроз из национального стандарта ГОСТ Р ИСО/МЭК 15408.
4 Получение оценок значимости каждого фактора в проявлении угрозы и оценок вероятности проявления отдельных факторов каждой угрозы отдельными экспертами.
5 Получение оценок вероятности каждой угрозы
6 Представление оценок вероятности каждой угрозы и группирование угроз
Для обозначения уязвимостей использовались идентификаторы из свободной базы данных уязвимостей CVE (Common Vulnerabilities and Exposures dictionary), доступной по адресу http://cve.mitre.org/.
Описания уязвимостей:
CVE-2012-4178 Описание:
SQL инъекция в SpyWall / includes / deptUploads_data.php в Symantec Web Gateway 5.0.3.18 позволяет удаленному атакующему выполнять произвольные SQL команды через параметры GroupID.
CVE-1999-0537 Описание:
Конфигурация в веб-браузерах, например, Internet Explorer или Netscape Navigator, позволяет выполнение активного содержимого, такого как ActiveX, Java, JavaScript и т.д.
4 Получение оценок значимости каждого фактора в проявлении угрозы и оценок вероятности проявления отдельных факторов каждой угрозы отдельными экспертами
Была произведена экспертная оценка вероятности и значимости угроз организации, выявленных в предыдущем пункте, по шкале от 0 до 10. Результат оценки приведен в таблицах 5 и 6.
Таблица 5 — Результаты оценок экспертов угрозы несанкционированного раскрытия информации и ее распространения с использованием прикладного ПО сервера БД
Угроза несанкционированного раскрытия информации с использованием прикладного ПО сервера БД | ||||||||||
Факторы угрозы |
Уязвимость |
Метод нападения |
Объект нападения |
Тип потери |
Масштаб ущерба |
Источник угрозы |
Опыт |
Знания |
Доступные ресурсы |
Возможная мотивация |
CVE-2012-4178; SQL инъекция в сервере
MySQL, следствие недостаточной |
Выявление наличия SQL инъекции; анализ БД через MySQL инъекцию;
|
ПДн налогоплательщика |
Конфиден-циальность |
Высокий |
Злоумышленники (хакеры) |
Высокий уровень |
Обязательны специальные знания в области сетевой безопасности |
АРМ с подключением к локальной сети) |
Желание самоутвердиться, кража информации на заказ | |
Варламов | ||||||||||
Оценка вероятности экспертом |
9 |
9 |
9 |
9 |
9 |
9 |
9 |
9 |
9 |
9 |
Оценка значимости экспертом |
7 |
6 |
10 |
10 |
10 |
8 |
7 |
8 |
7 |
8 |
Власов | ||||||||||
Оценка вероятности экспертом |
5 |
9 |
9 |
9 |
4 |
6 |
7 |
8 |
7 |
7 |
Оценка значимости экспертом |
7 |
7 |
6 |
6 |
5 |
6 |
5 |
6 |
5 |
4 |
Вольников | ||||||||||
Оценка вероятности экспертом |
5 |
6 |
6 |
7 |
6 |
8 |
8 |
6 |
8 |
6 |
Оценка значимости экспертом |
6 |
7 |
9 |
7 |
4 |
7 |
5 |
6 |
8 |
4 |
Голов | ||||||||||
Оценка вероятности экспертом |
6 |
9 |
7 |
8 |
7 |
5 |
7 |
9 |
6 |
5 |
Оценка значимости экспертом |
7 |
8 |
9 |
9 |
8 |
8 |
7 |
7 |
7 |
5 |
Гринзовский | ||||||||||
Оценка вероятности экспертом |
4 |
9 |
6 |
8 |
9 |
8 |
6 |
5 |
8 |
3 |
Оценка значимости экспертом |
7 |
8 |
9 |
8 |
10 |
10 |
9 |
8 |
7 |
6 |
Дунчев | ||||||||||
Оценка вероятности экспертом |
6 |
7 |
9 |
7 |
6 |
7 |
6 |
7 |
9 |
7 |
Оценка значимости экспертом |
5 |
7 |
5 |
8 |
8 |
9 |
8 |
7 |
6 |
8 |
Костарева | ||||||||||
Оценка вероятности экспертом |
5 |
7 |
10 |
7 |
9 |
8 |
6 |
10 |
6 |
6 |
Оценка значимости экспертом |
7 |
9 |
7 |
6 |
6 |
10 |
8 |
7 |
7 |
4 |
Кощий | ||||||||||
Оценка вероятности экспертом |
7 |
6 |
8 |
9 |
6 |
5 |
9 |
9 |
8 |
6 |
Оценка значимости экспертом |
5 |
6 |
7 |
9 |
9 |
7 |
6 |
6 |
8 |
5 |
Кречетов | ||||||||||
Оценка вероятности экспертом |
6 |
7 |
9 |
7 |
6 |
7 |
6 |
8 |
6 |
8 |
Оценка значимости экспертом |
6 |
8 |
7 |
9 |
9 |
8 |
6 |
8 |
9 |
8 |
Лохматихин | ||||||||||
Оценка вероятности экспертом |
6 |
9 |
8 |
9 |
7 |
8 |
9 |
5 |
5 |
7 |
Оценка значимости экспертом |
7 |
9 |
8 |
9 |
9 |
8 |
7 |
7 |
8 |
6 |
Майоров | ||||||||||
Оценка вероятности экспертом |
7 |
9 |
9 |
8 |
7 |
7 |
8 |
7 |
9 |
6 |
Оценка значимости экспертом |
7 |
8 |
9 |
9 |
9 |
8 |
7 |
8 |
6 |
5 |
Мокиевский | ||||||||||
Оценка вероятности экспертом |
4 |
9 |
6 |
9 |
7 |
9 |
6 |
8 |
7 |
7 |
Оценка значимости экспертом |
6 |
7 |
5 |
6 |
8 |
7 |
6 |
8 |
4 |
3 |
Мосин | ||||||||||
Оценка вероятности экспертом |
6 |
9 |
7 |
7 |
8 |
5 |
6 |
9 |
5 |
4 |
Оценка значимости экспертом |
7 |
6 |
7 |
7 |
8 |
8 |
6 |
6 |
7 |
5 |
Мухутдинова | ||||||||||
Оценка вероятности экспертом |
6 |
8 |
6 |
9 |
5 |
6 |
6 |
9 |
6 |
7 |
Оценка значимости экспертом |
7 |
7 |
8 |
9 |
9 |
6 |
5 |
9 |
7 |
6 |
Паршенков | ||||||||||
Оценка вероятности экспертом |
7 |
8 |
9 |
9 |
6 |
9 |
8 |
7 |
9 |
7 |
Оценка значимости экспертом |
7 |
8 |
7 |
9 |
8 |
7 |
5 |
8 |
7 |
7 |
Попов | ||||||||||
Оценка вероятности экспертом |
6 |
6 |
7 |
6 |
7 |
8 |
6 |
8 |
6 |
7 |
Оценка значимости экспертом |
7 |
7 |
6 |
8 |
6 |
8 |
7 |
8 |
6 |
8 |
Рубцов | ||||||||||
Оценка вероятности экспертом |
8 |
8 |
9 |
10 |
8 |
8 |
8 |
9 |
8 |
8 |
Оценка значимости экспертом |
9 |
9 |
8 |
10 |
8 |
9 |
7 |
8 |
9 |
9 |
Семов | ||||||||||
Оценка вероятности экспертом |
6 |
5 |
6 |
7 |
7 |
6 |
6 |
7 |
8 |
6 |
Оценка значимости экспертом |
4 |
5 |
6 |
7 |
7 |
6 |
6 |
7 |
6 |
7 |
Серов | ||||||||||
Оценка вероятности экспертом |
7 |
7 |
9 |
8 |
9 |
5 |
8 |
7 |
8 |
9 |
Оценка значимости экспертом |
8 |
6 |
8 |
8 |
7 |
5 |
7 |
6 |
8 |
5 |
Сплюхин | ||||||||||
Оценка вероятности экспертом |
8 |
8 |
9 |
9 |
9 |
9 |
6 |
8 |
8 |
8 |
Оценка значимости экспертом |
9 |
9 |
7 |
7 |
7 |
7 |
8 |
7 |
9 |
9 |
Фунтиков | ||||||||||
Оценка вероятности экспертом |
6 |
6 |
5 |
8 |
7 |
7 |
6 |
7 |
8 |
6 |
Оценка значимости экспертом |
7 |
7 |
9 |
9 |
7 |
8 |
8 |
7 |
7 |
6 |
Фунтикова | ||||||||||
Оценка вероятности экспертом |
6 |
7 |
5 |
8 |
7 |
5 |
6 |
9 |
8 |
7 |
Оценка значимости экспертом |
6 |
6 |
6 |
7 |
8 |
8 |
7 |
6 |
5 |
6 |
Чекалёва | ||||||||||
Оценка вероятности экспертом |
8 |
7 |
8 |
9 |
8 |
7 |
7 |
8 |
5 |
5 |
Оценка значимости экспертом |
7 |
8 |
9 |
9 |
7 |
8 |
5 |
7 |
7 |
6 |
Шераухов | ||||||||||
Оценка вероятности экспертом |
7 |
7 |
8 |
10 |
9 |
6 |
8 |
10 |
6 |
6 |
Оценка значимости экспертом |
8 |
9 |
9 |
10 |
9 |
7 |
5 |
6 |
5 |
7 |
Штели | ||||||||||
Оценка вероятности экспертом |
9 |
7 |
10 |
9 |
9 |
8 |
10 |
7 |
8 |
8 |
Оценка значимости экспертом |
7 |
6 |
6 |
7 |
6 |
8 |
6 |
8 |
6 |
6 |
Яковлев | ||||||||||
Оценка вероятности экспертом |
6 |
6 |
7 |
8 |
6 |
8 |
9 |
7 |
6 |
6 |
Оценка значимости экспертом |
7 |
7 |
10 |
6 |
10 |
7 |
6 |
6 |
8 |
7 |
Таблица 6 — Результаты оценок экспертов угрозы нарушения целостности информации действиями внешнего нарушителя
Угроза нарушения целостности информации действиями внешнего нарушителя | ||||||||||
Факторы угрозы |
Уязвимость |
Метод нападения |
Объект нападения |
Тип потери |
Масштаб ущерба |
Источник угрозы |
Опыт |
Знания |
Доступные ресурсы |
Возможная мотивация |
CVE-1999-0537; конфигурация web-браузера, такого как IE, позволяет выполнение, ActiveX, Javascript |
Внедрение вредоносных программ, способные удалить или изменить файлы, отформатировать жесткие диски и тд. |
ПДн налогоплательщика, отчетность по начисленным платежам |
Целостность |
Высокий |
Злоумышленники (хакеры) |
Средний уровень и выше |
Обязательны специальные знания в области сетевой безопасности |
Специализированное ПО(средства разработки ПО) |
Личные мотивы (месть, желание самоутвердиться) | |
Варламов | ||||||||||
Оценка вероятности экспертом |
9 |
9 |
9 |
9 |
9 |
9 |
9 |
9 |
9 |
9 |
Оценка значимости экспертом |
7 |
8 |
10 |
10 |
10 |
8 |
6 |
6 |
7 |
5 |
Власов | ||||||||||
Оценка вероятности экспертом |
6 |
8 |
7 |
6 |
7 |
9 |
6 |
8 |
5 |
8 |
Оценка значимости экспертом |
7 |
6 |
5 |
6 |
7 |
9 |
6 |
7 |
5 |
6 |
Вольников | ||||||||||
Оценка вероятности экспертом |
6 |
7 |
6 |
9 |
7 |
6 |
9 |
7 |
6 |
8 |
Оценка значимости экспертом |
6 |
7 |
8 |
9 |
9 |
7 |
7 |
6 |
9 |
6 |
Голов | ||||||||||
Оценка вероятности экспертом |
7 |
7 |
5 |
6 |
6 |
5 |
7 |
7 |
6 |
5 |
Оценка значимости экспертом |
7 |
8 |
6 |
9 |
8 |
8 |
7 |
7 |
7 |
5 |
Гринзовский | ||||||||||
Оценка вероятности экспертом |
5 |
5 |
6 |
6 |
7 |
8 |
8 |
8 |
9 |
9 |
Оценка значимости экспертом |
9 |
9 |
8 |
8 |
7 |
7 |
6 |
6 |
5 |
5 |
Дунчев | ||||||||||
Оценка вероятности экспертом |
8 |
7 |
9 |
8 |
9 |
8 |
9 |
8 |
9 |
8 |
Оценка значимости экспертом |
9 |
6 |
9 |
6 |
9 |
9 |
8 |
7 |
5 |
5 |
Костарева | ||||||||||
Оценка вероятности экспертом |
9 |
8 |
6 |
9 |
10 |
8 |
7 |
8 |
8 |
7 |
Оценка значимости экспертом |
7 |
8 |
7 |
9 |
8 |
6 |
7 |
7 |
7 |
6 |
Кощий | ||||||||||
Оценка вероятности экспертом |
8 |
7 |
6 |
10 |
10 |
7 |
8 |
7 |
6 |
7 |
Оценка значимости экспертом |
7 |
8 |
6 |
10 |
8 |
7 |
8 |
4 |
5 |
8 |
Кречетов | ||||||||||
Оценка вероятности экспертом |
7 |
7 |
7 |
7 |
7 |
7 |
7 |
7 |
7 |
7 |
Оценка значимости экспертом |
7 |
8 |
7 |
8 |
7 |
8 |
7 |
8 |
7 |
8 |
Лохматихин | ||||||||||
Оценка вероятности экспертом |
6 |
7 |
8 |
9 |
7 |
6 |
7 |
8 |
7 |
6 |
Оценка значимости экспертом |
7 |
8 |
8 |
8 |
7 |
5 |
7 |
6 |
5 |
5 |
Майоров | ||||||||||
Оценка вероятности экспертом |
6 |
5 |
9 |
9 |
8 |
9 |
6 |
9 |
10 |
6 |
Оценка значимости экспертом |
8 |
8 |
9 |
10 |
8 |
8 |
7 |
9 |
8 |
5 |
Мокиевский | ||||||||||
Оценка вероятности экспертом |
7 |
9 |
9 |
8 |
6 |
7 |
9 |
7 |
8 |
7 |
Оценка значимости экспертом |
7 |
6 |
9 |
7 |
6 |
6 |
5 |
6 |
7 |
7 |
Мосин | ||||||||||
Оценка вероятности экспертом |
6 |
9 |
6 |
8 |
7 |
8 |
8 |
8 |
8 |
6 |
Оценка значимости экспертом |
7 |
8 |
8 |
6 |
6 |
7 |
6 |
8 |
7 |
7 |
Мухутдинова | ||||||||||
Оценка вероятности экспертом |
9 |
9 |
6 |
8 |
7 |
6 |
6 |
7 |
9 |
6 |
Оценка значимости экспертом |
6 |
6 |
7 |
8 |
8 |
9 |
6 |
8 |
6 |
7 |
Паршенков | ||||||||||
Оценка вероятности экспертом |
6 |
8 |
6 |
7 |
8 |
7 |
6 |
7 |
7 |
8 |
Оценка значимости экспертом |
7 |
6 |
8 |
7 |
8 |
8 |
7 |
8 |
7 |
7 |
Попов | ||||||||||
Оценка вероятности экспертом |
7 |
9 |
7 |
6 |
7 |
8 |
9 |
6 |
7 |
6 |
Оценка значимости экспертом |
7 |
8 |
6 |
8 |
9 |
6 |
8 |
7 |
6 |
7 |
Рубцов | ||||||||||
Оценка вероятности экспертом |
8 |
9 |
6 |
9 |
7 |
8 |
8 |
7 |
9 |
9 |
Оценка значимости экспертом |
8 |
9 |
9 |
9 |
8 |
8 |
9 |
9 |
8 |
8 |
Семов | ||||||||||
Оценка вероятности экспертом |
7 |
8 |
6 |
7 |
10 |
9 |
6 |
7 |
6 |
5 |
Оценка значимости экспертом |
7 |
6 |
8 |
8 |
10 |
6 |
7 |
6 |
8 |
6 |
Серов | ||||||||||
Оценка вероятности экспертом |
8 |
7 |
10 |
9 |
7 |
5 |
4 |
7 |
8 |
4 |
Оценка значимости экспертом |
8 |
8 |
9 |
8 |
8 |
6 |
5 |
7 |
7 |
5 |
Сплюхин | ||||||||||
Оценка вероятности экспертом |
7 |
8 |
9 |
9 |
9 |
8 |
6 |
8 |
8 |
8 |
Оценка значимости экспертом |
9 |
8 |
6 |
7 |
7 |
7 |
8 |
8 |
9 |
9 |
Фунтиков | ||||||||||
Оценка вероятности экспертом |
7 |
8 |
9 |
8 |
7 |
6 |
8 |
8 |
9 |
6 |
Оценка значимости экспертом |
7 |
6 |
8 |
8 |
6 |
5 |
8 |
7 |
7 |
5 |
Фунтикова | ||||||||||
Оценка вероятности экспертом |
7 |
9 |
8 |
5 |
8 |
7 |
8 |
6 |
9 |
4 |
Оценка значимости экспертом |
7 |
6 |
7 |
7 |
6 |
8 |
6 |
7 |
7 |
7 |
Чекалёва | ||||||||||
Оценка вероятности экспертом |
8 |
9 |
8 |
8 |
6 |
5 |
10 |
7 |
5 |
6 |
Оценка значимости экспертом |
8 |
6 |
9 |
7 |
6 |
9 |
7 |
5 |
8 |
6 |
Шераухов | ||||||||||
Оценка вероятности экспертом |
9 |
7 |
8 |
6 |
10 |
7 |
9 |
6 |
9 |
6 |
Оценка значимости экспертом |
9 |
7 |
8 |
9 |
6 |
7 |
9 |
7 |
8 |
9 |
Штели | ||||||||||
Оценка вероятности экспертом |
9 |
7 |
5 |
5 |
9 |
7 |
9 |
7 |
7 |
8 |
Оценка значимости экспертом |
7 |
9 |
7 |
6 |
9 |
7 |
9 |
7 |
6 |
7 |
Яковлев | ||||||||||
Оценка вероятности экспертом |
7 |
9 |
5 |
8 |
7 |
6 |
8 |
8 |
6 |
7 |
Оценка значимости экспертом |
8 |
7 |
6 |
5 |
8 |
7 |
7 |
7 |
8 |
6 |
5 Получение оценок вероятности каждой угрозы
Был произведен расчет групповых оценок вероятности наступления угроз для данного предприятия, основанных на полученных экспертных оценках из предыдущего пункта. При обработке результатов фактического состояния системы защиты информации использовался математический аппарат нечетких множеств для получения оценок экспертов и метод Дельфи с заданием квалификаций экспертов для получения оценки группы экспертов. Значения коэффициента квалификаций каждого эксперта приведены в таблице 7.
Таблица 7 – Коэффициенты квалификаций экспертов
Порядковый номер |
Эксперт |
Квалификация эксперта |
1 |
Варламов |
3 |
2 |
Власов |
4 |
3 |
Вольников |
8 |
4 |
Голов |
2 |
5 |
Гринзовский |
7 |
6 |
Дунчев |
5 |
7 |
Костарева |
6 |
8 |
Кощий |
5 |
9 |
Кречетов |
1 |
10 |
Лохматихин |
6 |
11 |
Майоров |
7 |
12 |
Мокиевский |
4 |
13 |
Мосин |
3 |
14 |
Мухутдинова |
5 |
15 |
Паршенков |
2 |
16 |
Попов |
2 |
17 |
Рубцов |
1 |
18 |
Семов |
4 |
19 |
Серов |
9 |
20 |
Сплюхин |
9 |
21 |
Фунтиков |
8 |
22 |
Фунтикова |
6 |
23 |
Чекалёва |
6 |
24 |
Шераухов |
1 |
25 |
Штели |
9 |
26 |
Яковлев |
1 |
Результат расчета групповых
оценок, а также нижних и верхних
квартилей представлен в
Таблица 8 – Групповые оценки и их разброс
Групповая оценка вероятности угрозы |
Нижний квартиль |
Верхний квартиль | |
Угроза 1 |
0,525193548 |
0,473 |
0,566 |
Угроза 2 |
0,543764228 |
0,497 |
0,577 |
Так как при оценивании
угроз получился большой
Таблица 9 – Повторные групповые оценки и их разброс
Групповая оценка вероятности угрозы |
Нижний квартиль |
Верхний квартиль | |
Угроза 1 |
0,606645161 |
0,582 |
0,618 |
Угроза 2 |
0,597073171 |
0,576 |
0,606 |
6 Представление
оценок вероятности каждой
Рассматриваемые в данной
работе угрозы безопасности относятся
к угрозам нарушения требований
подсистемы контроля доступа, подсистемы
регистрации и учета и
Рисунок 5 – Оценки вероятности угрозы несанкционированного раскрытия информации и ее распространения с использованием прикладного ПО сервера БД
Рисунок 6 – Оценки вероятности угрозы нарушения целостности информации действиями внешнего нарушителя
Рисунок 7 – Повторные оценки вероятности угрозы несанкционированного раскрытия информации и ее распространения с использованием прикладного ПО сервера БД
Рисунок 8 – Повторные оценки вероятности угрозы нарушения целостности информации действиями внешнего нарушителя
7 Проведение сравнительного анализа фактического состояния защищенности ИС
Исследуемая система имеет класс защищенности 3А. В таблице 10 представлена информация о системе, на основании которой будет проводиться анализ её защищенности.
Таблица 10 - Взаимосвязь уровней реализации требований по защите информации с вероятность их нарушения
№ п/п |
Наименование требования по защите информации |
Угрозы нарушения требований защиты |
Реализация требований | |||
Наименование |
Оценка вероятности проявления |
Словесная оценка уровня реализации |
Численная оценка вероятности нарушения требования | |||
Подсистема контроля доступа | ||||||
1. |
Идентификация, проверка подлинности и контроль доступа субъектов: в систему |
- |
0 |
Реализовано |
0 | |
Подсистема регистрации и учета | ||||||
6. |
Регистрация и учет: входа (выхода) субъектов доступа в (из) систему (узел сети) |
- |
0 |
Реализовано |
0 | |
7. |
выдачи печатных (графических) выходных документов |
- |
0 |
Реализовано |
0 | |
14. |
Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних носителей |
- |
0 |
Не реализовано |
0 | |
Подсистема обеспечения целостности | ||||||
16. |
Обеспечение целостности программных средств и обрабатываемой информации |
угроза нарушения целостности информации действиями внешнего нарушителя |
0,544 |
Реализовано, но не полностью |
0,4 | |
17. |
Физическая охрана СВТ и носителей информации |
- |
0 |
Реализовано |
0 | |
19. |
Периодическое тестирование СЗИ НСД |
- |
0 |
Реализовано |
0 | |
20. |
Наличие средств восстановления СЗИ НСД |
- |
0 |
Не реализовано |
0 | |
21. |
Использование сертифицированных средств защиты |
- |
0 |
Реализовано, но не полностью |
0 | |
Информация о работе Оценка защищенности информационной системы организации