Вы находитесь на странице: 1из 8

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ № 1

Название работы
Модель анализа угроз и уязвимостей
Цель
Научиться на практике методам расчета и оценки рисков
информационной системы организации на основе разработанной модели
угроз и уязвимостей критичных ресурсов информационной системы.
Выполнил
Студент гр. № 4340
ФИО Данилин Шамиль и Ларионов Кирилл

Отчет

Задание 1.

Описание компании: Данная компания расположена в Японии регион


Кийёто, занимается научно-инженерными исследованиями в медицинской
сфере. Называется “Kyoto”. Используется 10 рабочих станций, каждая их
которых используется как раздельно, так и совместно друг с другом, а так же
1 сервер.
1. Входные данные.

Ресурс Угрозы Уязвимости


Рабочая станция — это Угроза 1: Уязвимость 1.
профессиональный Несанкционированный Слабый пароль.
компьютер, доступ Плохой пароль или его
предназначенный для отсутствие ставит под
научно-инженерных угрозу информационную
исследований и безопасность, так как
расчётов, обработки злоумышленник может
изображений, звука и получить доступ к системе.
Уязвимость 2
видео, систем
Открытый доступ
автоматизированного к настройкам BIOS тоже
проектирования (САПР) является опасной
и моделирования. уязвимостью в том случае,
(критичность ресурса если у потенциального
злоумышленника может
быть физический доступ
к рабочей станции.
Угроза 2: Уязвимость 1
стихийные бедствия и Землетрясение.
аварии Уязвимость 2 Пожар.
Уязвимость 1
Отсутствие правил о
100 неразглашении
 Угроза 3:
у.е.) Разглашение информации
конфиденциальной Уязвимость 2
информации Отсутствие политики
сотрудниками компании безопасности с
разными уровнями
доступа
2.
Угроза/Уязвимость Вероятность Критичность
реализации реализации угрозы
угрозы через данную через уязвимость (%),
уязвимость в течение ER
года (%), P(V)
Угроза 1/Уязвимость 1 95% 80%
Угроза 1/Уязвимость 2 85% 50%
Угроза 2/Уязвимость 1 20% 30%
Угроза 2/Уязвимость 2 40% 90%
Угроза 3/Уязвимость 1 50% 60%
Угроза 3/Уязвимость 2 70% 70%
3. Уровень угрозы
Угроза/Уязвимость Уровень угрозы (%), Th Уровень угрозы по всем
уязвимостям, через
которые реализуется
данная угроза (%), СTh

Угроза 1/Уязвимость 1 0,76


0,13
Угроза 1/Уязвимость 2 0,43
Угроза 2/Уязвимость 1 0,06
0,6
Угроза 2/Уязвимость 2 0,36
Угроза 3/Уязвимость 1 0,3
0,35
Угроза 3/Уязвимость 2 0,49
4. Общий уровень угроз, действующих на ресурс.
Угроза/Уязвимость Уровень угрозы по Общий уровень угроз по
всем уязвимостям, ресурсу (%), CThR
через которые
реализуется данная
угроза (%), СTh

Угроза 1/Уязвимость 1
0,13
Угроза 1/Уязвимость 2
Угроза 2/Уязвимость 1
0,6 0.22
Угроза 2/Уязвимость 2
Угроза 3/Уязвимость 1
0,35
Угроза 3/Уязвимость 2

5. Риск ресурса.
Угроза/Уязвимость Общий уровень угроз Риск ресурса (у.е.), R
по ресурсу (%), CThR R = CThR × D

Угроза 1/Уязвимость 1
Угроза 1/Уязвимость 2
Угроза 2/Уязвимость 1
0.22 22
Угроза 2/Уязвимость 2
Угроза 3/Уязвимость 1
Угроза 3/Уязвимость 2

6. Задана контрмера: Ужесточение требований к паролям


для уязвимости “слабый пароль”.
Задана контрмера: Введение мандатной политики безопасности для
уязвимости “Отсутствие политики безопасности с разными уровнями
доступа”.
Задана контрмера: Закрытый доступ к BIOS для уязвимости “Открытый
доступ к настройкам BIOS”.

6.1.Уровень угрозы после введения контрмеры (заполните таблицу).


Угроза/Уязвимость Уровень угрозы (%), Th Уровень угрозы по всем
уязвимостям, через
которые реализуется
данная угроза (%), СTh

Угроза 1/Уязвимость 1 0,12


0,86
Угроза 1/Уязвимость 2 0.02
Угроза 2/Уязвимость 1 0,06
0,6
Угроза 2/Уязвимость 2 0,36
Угроза 3/Уязвимость 1 0,3
0,5
Угроза 3/Уязвимость 2 0,28

6.2. Общий уровень угроз, действующих на ресурс после введения


контрмеры.
Угроза/Уязвимость Уровень угрозы по Общий уровень угроз по
всем уязвимостям, ресурсу (%), CThR
через которые
реализуется данная
угроза (%), СTh

Угроза 1/Уязвимость 1
0,86
Угроза 1/Уязвимость 2
Угроза 2/Уязвимость 1
0,6 0,028
Угроза 2/Уязвимость 2
Угроза 3/Уязвимость 1
0,5
Угроза 3/Уязвимость 2

6.3. Риск ресурса после введения контрмеры.


Угроза/Уязвимость Общий уровень угроз Риск ресурса (у.е.), R
по ресурсу (%), CThR R = CThR × D

Угроза 1/Уязвимость 1
Угроза 1/Уязвимость 2
Угроза 2/Уязвимость 1
0,13 2.8
Угроза 2/Уязвимость 2
Угроза 3/Уязвимость 1
Угроза 3/Уязвимость 2
7. Эффективность введения контрмеры: Риск ресурса сократился (22-
2.8)/22 = 0.87

2 ресурс
1. Входные данные.

Ресурс Угрозы Уязвимости


База данных с Уязвимость 1.
зашифрованными Копирование
конфиденциальным информации из вне
и данными либо непосредственно
с машины
Угроза 1.
Уязвимость 2.
Конфиденциальность
Случайное
делегирование
привилегий одного
пользователя
другому.
Уязвимость 1.
Непреднамеренное
удаление либо
Угроза 2.
изменение
Целостность
информации.
Уязвимость 2.
Утеря ячейки данных.
Угроза 3. Уязвимость 1.
Доступность Нарушение работы
программного
обеспечения либо всей
автоматизированной
системы.
Уязвимость 2.
Утеря ключа
доступа(например E-
Token) к рабочей
станции.
2.
Угроза/Уязвимость Вероятность Критичность
реализации реализации угрозы
угрозы через данную через уязвимость (%),
уязвимость в течение ER
года (%), P(V)
Угроза 1/Уязвимость 1 35% 80%
Угроза 1/Уязвимость 2 20% 50%
Угроза 2/Уязвимость 1 25% 45%
Угроза 2/Уязвимость 2 10% 90%
Угроза 3/Уязвимость 1 30% 70%
Угроза 3/Уязвимость 2 15% 90%
3. Уровень угрозы
Угроза/Уязвимость Уровень угрозы (%), Th Уровень угрозы по всем
уязвимостям, через
которые реализуется
данная угроза (%), СTh

Угроза 1/Уязвимость 1 0,28


0,65
Угроза 1/Уязвимость 2 0,1
Угроза 2/Уязвимость 1 0,11
0,81
Угроза 2/Уязвимость 2 0,09
Угроза 3/Уязвимость 1 0,21
0,69
Угроза 3/Уязвимость 2 0,13
4. Общий уровень угроз, действующих на ресурс.
Угроза/Уязвимость Уровень угрозы по Общий уровень угроз по
всем уязвимостям, ресурсу (%), CThR
через которые
реализуется данная
угроза (%), СTh

Угроза 1/Уязвимость 1
0,65
Угроза 1/Уязвимость 2
Угроза 2/Уязвимость 1
0,81 0,02
Угроза 2/Уязвимость 2
Угроза 3/Уязвимость 1
0,69
Угроза 3/Уязвимость 2
5. Риск ресурса.
Угроза/Уязвимость Общий уровень угроз Риск ресурса (у.е.), R
по ресурсу (%), CThR R = CThR × D

Угроза 1/Уязвимость 1
Угроза 1/Уязвимость 2
Угроза 2/Уязвимость 1
0.02 2
Угроза 2/Уязвимость 2
Угроза 3/Уязвимость 1
Угроза 3/Уязвимость 2

6. Задана контрмера: Введение требования пароля перед удалением или


изменением информации.
для уязвимости “Непреднамеренное удаление либо изменение информации”.
Задана контрмера: Всегда делать резервную копию данных на
отреченный от всей АС сервер данных.
для уязвимости “Утеря ячейки данных”.
Задана контрмера: Замена физического ключа на биометрические виды
защиты.
для уязвимости “Утеря ключа доступа (например E-Token) к рабочей
станции.”.

6.1.Уровень угрозы после введения контрмеры (заполните таблицу).


Угроза/Уязвимость Уровень угрозы (%), Th Уровень угрозы по всем
уязвимостям, через
которые реализуется
данная угроза (%), СTh

Угроза 1/Уязвимость 1 0,12


0,86
Угроза 1/Уязвимость 2 0,02
Угроза 2/Уязвимость 1 0,11
0,85
Угроза 2/Уязвимость 2 0,04
Угроза 3/Уязвимость 1 0,21
0,14
Угроза 3/Уязвимость 2 0,18
7.2. Общий уровень угроз, действующих на ресурс после введения
контрмеры.
Угроза/Уязвимость Уровень угрозы по Общий уровень угроз по
всем уязвимостям, ресурсу (%), CThR
через которые
реализуется данная
угроза (%), СTh

Угроза 1/Уязвимость 1
0,86
Угроза 1/Уязвимость 2
Угроза 2/Уязвимость 1
0,85 0,018
Угроза 2/Уязвимость 2
Угроза 3/Уязвимость 1
0,14
Угроза 3/Уязвимость 2

7.3. Риск ресурса после введения контрмеры.


Угроза/Уязвимость Общий уровень угроз Риск ресурса (у.е.), R
по ресурсу (%), CThR R = CThR × D

Угроза 1/Уязвимость 1
Угроза 1/Уязвимость 2
Угроза 2/Уязвимость 1
0,018 1.8
Угроза 2/Уязвимость 2
Угроза 3/Уязвимость 1
Угроза 3/Уязвимость 2

8. Эффективность введения контрмеры: Риск ресурса сократился (2–1.8)/2 =


0.1.