Итоговый документ оценки рисков ИБ
Национальный исследовательский ядерный университет
МИФИ
Кафедра 44 «Информационная безопасность банковских систем»
безопасность банковских систем»
Отчет об оценке рисков информационной безопасности
ООО «IT-эксперт»
Выполнила:
студентка гр. М20-508
Мамбетова А.З.
Преподаватель:
доктор каф.44
Милославская Н.Г.
Москва 2021 г.
Общее положение
1.1 Отчет об оценке рисков ИБ организации ООО «IT-эксперт» является внутренним документом организации «IT-эксперт», который определяет основные принципы организации, реализации и контроля процессов управления рисками в организации. Далее, определены первоочередные действия по выстраиванию системы мер управления рисками.
1.2 Методика оценки рисков нарушения ИБ определена рекомендательным документов в области стандартизации Банка России «РС БР ИББС-2.2-2009 - Обеспечение информационной безопасности организаций банковской системы Российской Федерации».
1.3 Организация проводит пересмотр методики и вносит изменения в случае появления или выявления новых рисков ИБ.
Политика может пересматриваться при возникновении изменений во внутренней или внешней среде, изменении подходов к управлению рисками, с учетом результатов мониторинга и независимой оценки системы управления рисками Организации.
1.4 Документ «Отчет об оценке рисков информационной безопасности
|
|
|
ООО «IT-эксперт»» разработан специалистами по ИБ на основе изученных и обобщенных знаниях в области управления рисками ИБ, а также сложившейся практики по управления рисками, с учетом всех требований организации.
1.5 Документ предназначен для руководителей, специалистов и сотрудников всех уровней управления и рабочего персонала организации.
Методика оценки рисков ИБ
2.1 Оценка риска нарушения ИБ проводится для типов информационных активов, включенных в заранее определенную область оценки. Для оценки рисков нарушения ИБ предварительно определяется и документируется следующее:
- полный список информационных активов, входящих в область оценки;
- полный список типов объектов среды, соответствующих каждому типу информационных активов в области оценки;
- модель угроз ИБ, описывающая угрозы ИБ для всех типов объектов окружающей среды, выявленных в организации на всех уровнях иерархии информационной инфраструктуры организации.
2.2 Риск нарушения ИБ определяется на основании качественных оценок:
- степени возможности реализации угроз ИБ (далее - СВР угроз ИБ) выявленными и (или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды рассматриваемых типов информационных активов;
|
|
|
- степени тяжести последствий от потери свойств ИБ для рассматриваемых типов информационных активов (далее - СТП нарушения ИБ).
2.3 Оценка СВР угроз ИБ и СТП нарушения ИБ основывается на экспертной оценке, выполняемой сотрудниками службы ИБ организации с привлечением сотрудников подразделений. Для оценки СТП нарушения ИБ дополнительно привлекаются сотрудники профильных подразделений, использующих рассматриваемые типы информационных активов. Взаимодействие сотрудников указанных подразделений осуществляется в рамках постоянно действующей или создаваемой на время проведения оценки рисков нарушения ИБ рабочей группы.
2.4 Вероятность наступления СВР угроз ИБ соответствует следующей системе оценок, представленной таблице:
| Вероятность реализации угрозы ИБ | Нереализуемая, 1 |
Низкая, 2 |
Средняя, 3 |
Высокая, 4 | Критическая, 5 | ||||
| Простота использования уязвимости | Низкая | Средняя | Высокая | Низкая | Средняя | Высокая | Низкая | Средняя | Высокая |
| Вероятность реализации сценария инцидента ИБ | 1 | 1 | 2 | 1 | 2 | 3 | 3 | 4 | 5 |
2.5 Вероятность наступления СТП нарушения ИБ соответствует следующей системе оценок, представлено в таблице:
|
|
|
| СТП нарушения | Описание |
| 0 | нереализуемое - риск рассматривается как несущественный |
| 1 | минимальное - маленькая вероятность реализации риска; |
| 2 | среднее - о наступлении данного события ничего определенного сказать нельзя; |
| 3 | высокое - высокая вероятность реализации риска; |
| 4 | недопустимый - риск реализуется. |
2.6 Для сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ заполняется таблица допустимых/недопустимых рисков нарушения ИБ. Пример заполнения продемонстрирован в таблице 1, а также оценка рисков нарушения ИБ проводится с учетом данных указанной таблицы.
| СВР угроз ИБ | СТП нарушения ИБ | |||
| минимальная 1 | средняя 2 | высокая 3 | критическая 4 | |
| нереализуемая | Допустимый | допустимый | допустимый | допустимый |
| минимальная | Допустимый | допустимый | допустимый | недопустимый |
| средняя | Допустимый | допустимый | недопустимый | недопустимый |
| высокая | Допустимый | недопустимый | недопустимый | недопустимый |
| критическая | Недопустимый | недопустимый | недопустимый | недопустимый |
|
|
|
Итоговый документ оценки рисков ИБ
| Угроза ИБ | Источник угрозы ИБ | Актив | Метод реализации угрозы ИБ на среду обработки ИА | Последствия реализации угрозы ИБ | ||||||
| Информационный актив | Значимые свойства ИБ в порядке приоритета | Среда обработки ИА | Уязвимость среды обработки ИА | Для ИА | СВР угроз ИБ | СТП нарушения ИБ | Значимость и уровень риска ИБ | |||
| Угроза несанкционированного доступа к системе | Внешний/внутренний нарушитель | Web-сайт | К, Ц, | Сервер | BDU:2021-02380 Уязвимость процесса обновления микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance Software (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации | Data from Network Shared Drive (T1039) | Нарушение целостности/ конфиденциальности/ доступности | 5 | 4 | Недопустимый |
| Угроза злоупотребления правами | Внутренний нарушитель | К, Ц | APM сотрудника | Нарушение конфиденциальности/целостности | 7 | 7 | Недопустимый | |||
| Угроза искажения данных из хранилища | Внешний нарушитель | Хранилище данных | Ц | Сервер | BDU:2021-00212 Уязвимость службы удаленного рабочего стола Remote Desktop Services (RDS) операционных систем Windows, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации | Command and Scripting Interpreter (T1059) | Нарушение целостности | 3 | 4 | Допустимый |
| Угроза авторизации, аутентификации, идентификации | Внешний нарушитель | Регистрационные данные | К, Ц | Excel | BDU:2020-00971 Уязвимость веб-интерфейса сетевых коммутаторов Belden Hirschmann серий RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS и OCTOPUS, позволяющая нарушителю осуществить атаку методом «грубой силы» | brute force (T1110) | Нарушение конфиденциальности/целостности | 3 | 2 | Допустимый |
| Угроза вредоносного ПО | Внешний/внутренний нарушитель | Web-сайт | К, Ц, Д | Сервер | BDU:2021-01454: Уязвимость потока HTTP/2 веб-сервера Apache HTTP Server, позволяющая нарушителю вызвать отказ в обслуживании BDU:2021-02451 Уязвимость компонентов Web Render веб-браузера Firefox, позволяющая нарушителю выполнить произвольный код в системе | Compromise Infrastructure (T1584) Browser Extensions (T1176) | Нарушение конфиденциальности/ целостности / доступности | 5 | 4 | Недопустимый |
| Угроза финансовых данных | Внешний/внутренний нарушитель | Финансовые данные | К | Файл-сервер | BDU:2020-01801 BDU:2015-11477 | Hijack Execution Flow (T1574) | Нарушение конфиденциальности | 5 | 4 | Недопустимый |
| Угроза безопасности данных клиентов | Внешний/внутренний нарушитель | Информация о клиентах | К | Хранилище данных | BDU:2021-02215 BDU:2021-00605 | Windows Management Instrumentation (T1047) | Нарушение конфиденциальности | 4 | 3 | Недопустимый |
| Угроза безопасности данных сотрудников | Внешний/внутренний нарушитель | Информация о сотрудниках | К | Хранилище данных | BDU:2021-02215 BDU:2021-00605 | Windows Management Instrumentation (T1047) | Нарушение конфиденциальности | 4 | 3 | Недопустимый |
| Угроза получения информации о оформленном заказе | Внешний нарушитель | IT-сервис | К | Файл-сервер | BDU:2021-02215 BDU:2021-00605 | Windows Management Instrumentation (T1047) | Нарушение конфиденциальности | 3 | 3 | Допустимый |
| Угроза копирования защищаемой информации | Внутренний нарушитель | Информация о клиентах/сотрудниках/организации | К, Ц | Файл-сервер | BDU:2021-00924 Уязвимость компонента службы резервного копирования Backup Engine операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации | Данные из хранилища (T1213) | Нарушение конфиденциальности/ целостности | 5 | 4 | Недопустимый |
| Угроза отказа в обслуживании системой хранения данных | Внутренний нарушитель | Сведения организации, хранимые в БД | К, Ц | Хранилище данных | BDU:2021-01367 Windows Error Reporting операционной системы Windows, позволяющая нарушителю повысить свои привилегии | Операционная система, Domain Trust Discovery (T1482) | Нарушение конфиденциальности/ целостности | 5 | 4 | Недопустимый |
| Угроза хищения кода разработанного ПО | Внешний/внутренний нарушитель | Документ, содержащий информацию о результатах тестирования | К, Ц, Д | Файл-сервер | BDU:2021-00605: Уязвимость текстового редактора Microsoft Word, пакетов программ Microsoft Office, Microsoft Office Online Server, Microsoft Office Web Apps, Microsoft 365 Apps, Microsoft SharePoint Server и Microsoft SharePoint Enterprise Server, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю выполнить произвольный код | Windows Management Instrumentation (T1047) | Нарушение конфиденциальности/ доступности/ целостности | 4 | 4 | Недопустимый |
| Угроза хищения информации об уровне безопасности разработанного ПО | Внешний/внутренний нарушитель | Документ, содержащий информацию об уровне безопасности разработанного ПО | К, Ц, Д | Файл-сервер | BDU:2021-00605: | Windows Management Instrumentation (T1047) | Нарушение конфиденциальности/ целостности / доступности | 5 | 4 | Недопустимый |
| Угроза получения информации о результатах тестирования ПО | Внешний нарушитель | Документ, содержащий информацию о результатах тестирования | К, Д | Файл-сервер | BDU:2021-00605: | Windows Management Instrumentation (T1047) | Нарушение конфиденциальности/ доступности | 4 | 3 | Недопустимый |
| Угроза хищения сопроводительных документов к разработанному ПО (инструкция) | Внешний нарушитель | Документ о разработанном ПО | К, Ц, Д | APM сотрудника, Файл-сервер | BDU:2021-02215 BDU:2021-00605 | Windows Management Instrumentation (T1047) | Нарушение конфиденциальности/ доступности/ целостности | 5 | 4 | Недопустимый |
Выводы
вы
Дата добавления: 2021-07-19; просмотров: 309; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!