Міністерство освіти і науки України

Харківський національний університет радіоелектроніки

Факультет Інфокомунікацій .
(повна назва)
Кафедра Інфокомунікаційної інженерії імені В.В. Поповського .
(повна назва)

ЗВІТ
з лабораторного заняття №1

з дисципліни

Менеджмент інформаційної безпеки

Тема заняття: Дослідження методики оцінки ризиків інформаційної безпеки

компанії Microsoft без введення заходів по захисту інформації

Виконав:
студент 3 курсу, групи КУІБу-20-1 .
Конєв М.В. .
(прізвище, ініціали)

Перевірив: доцент кафедри ІКІ ім. В.В. Поповського .

Снігуров А.В. .
(посада, прізвище, ініціали)

2022 р.
 2
МЕТА РОБОТИ

Метою лабораторної роботи є дослідження методики компанії Microsoft для оцінки

ризиків інформаційної безпеки організації.

ХІД ВИКОНАННЯ

Розрахунок здійснюється для навчальної організації, що функціонує в конкретних

умовах обстановки. Вихідними даними для виконання лабораторної роботи є опис даної
організації.

І. Компанія – кафедра інфокомунікаційної інженерії ім. В.В. Поповського.

Конфіденційна інформація 1. Озвучується в аудиторії 308 під час нарад, та зберігається
на ПЕОМ в ауд. 308.
Критично важливі інформаційні активи: Науково-дослідна робота «Варта». Вартість
активу - 500 000 $ (втрата конфіденційності).

II. Умови роботи кафедра інфокомунікаційної інженерії ім. В.В. Поповського:

1. Рівень доступу до кімнати - поточний.
2. В кімнаті є сигналізація про відкриття дверей.
3. Контрольована зона - лише ауд. 308. Контроль сусідніх кімнат та кімнат на інших
поверхах - відсутній.
4. Система електроживлення не захищена.
5. Захист від витоку інформації через ПЕВМН відсутній.
6. Комп’ютер підключений до локальної мережі університету (IDS, DMZ не
використовується в локальній мережі, використовується корпоративний брандмауер), локальна
мережа підключена до Інтернету. Захист комп'ютерів приміщення від хакерських атак та
шкідливих програм здійснюється лише антивірусним програмним забезпеченням. Бази даних
оновлюються раз на день.
7. Система опалення приміщення - пластикові труби.
8. Є телефон телефонної мережі загального користування.
9. Захист кімнати від прослуховування відсутній.

Розробимо модель порушника для даного підприємства. Закодуємо основні види

порушників за різними критеріями.
Серед мотивів порушників може бути:
 безвідповідальне відношення до своїх обов’язків (М1)
 самоствердження (М2)
 корисна мета (М3)
 професійний обов’язок (М4)
 За рівнем знань класифікуємо порушників наступним чином:
 Перший рівень порушників – порушник знає функціональні можливості ІКС,
основні закономірності формування в ній масивів даних та потоків, запитів до них та вміє
користуватись штатними засобами (К1).
 3
 Другий рівень порушників – співробітники має високий рівень знань і досвід
роботи з технічними засобами системи та їх обслуговування (К2).
 Третій рівень порушників – співробітники, які мають високий рівень знань в
області програмування та обчислювальної техніки проектування і експлуатації ІКС (К3).
 Четвертий рівень порушників – порушник знає структуру, функції та механізми
захисту, сильні та слабкі сторони системи захисту (К4).
За методами отримання інформації маємо наступну кваліфікацію:
 перший – агентурні методи отримання інформації (З1);
 другий – пасивні засоби перехоплення інформації, без модифікації (З2);
 третій – використання компактних носіїв інформації, штатних засобів (З3);
 четвертий – модифікація та підключення до технічних засобів ІКС (З4).
За часом дії класифікуємо порушників наступним чином:
 у робочий час закладу (Ч1)
 у неробочий час (Ч2).
За місцем дії класифікуємо:
 без доступу у службові приміщення закладу (Д1);
 з доступом до службових приміщень, але без доступу до технічних засобів (Д2);
 з доступом до службових приміщень та технічних засобів ІКС (Д3 - 3),
 з робочих місць кінцевих користувачів з доступом у зону баз даних, управління
засобами безпеки (Д4 – 4).
Розглянемо психологічні портрети деяких порушників:
1. Студент, який захотів взяти відповіді на майбутню контрольну роботу.
2. Прибиральниця, яка випадково розлила воду на системний блок комп’ютера.
3. Викладач, який залишив ввімкненим ноутбук з акаунтом.
4. Системний адміністратор забув виключити ПК на якому була відкрита база даних
співробітників.
5. Секретар завантажила вкладення з фішинг-листа та розпустила хробака.
6. Представник сусідньої кафедри ішов і підслухав план на майбутні змагання.

Таблиця 1 - Модель порушника

Визначення Мотив Рівень Метод За часом За місцем
Категорії Кваліфіка
ції
1. Внутрішній порушник, М2 К1 З2 Ч2 Д2
студент
2. Внутрішній порушник, М3 К1 З1 Ч3 Д3
допоміжний персонал
(прибиральниця)
3. Внутрішній порушник, який М1 К3 З3 Ч3 Д3
має кваліфікацію - викладач
4. Внутрішній порушник, М2 К4 З4 Ч2 Д2
системний адміністратор
 4
5. Внутрішній порушник, М3 К2 З2 Ч4 Д3
секретар
6. Зовнішній порушник – сусідня М4 К2 З2 Ч2 Д2
кафедра

На даному етапі здійснюється формування переліку ризиків за якісною шкалою.

Здійснюється оцінка 3- х параметрів:
1. Рівень впливу на бізнес активу (вартість активу).
2. Ступінь схильності активу до впливу (рівень вразливості).
3. Частота виникнення загроз (рівень загрози).
Рівень впливу і ризику визначається по таблицям, наведеним у методичних вказівках.
Реєстр ризиків наведений у таблиці 2.

Таблиця 2 – Реєстр ризиків інформаційної безпеки (якісна оцінка)

схильності
Рівень вплив на бізнес
інформаційного активу
(електронна, паперова,
Інформаційний актив

Частота виникнення
Тип інформації

(обробляється)
Де інформація

Рівень впливу
зберігається

Вразливості

активу до впливу
Власник

Загрози

загроз

Ризик
Ступінь
активу
Наук Еле Кафе ПЕО Зйом  1. Конфіденційна Вис Сер Вис Середн  Висок
ово- ктр дра М№ інформації інформація оки едн оки ій ий
дослі онн ІКІ 3, через ПЕМІ обробляється на й ій й
дна а, ім. ауд. монітора, комп'ютері в кімнаті
робо аку В.В. 308 клавіатури 308. Використовуються
та сти Попо    сканер та принтер. 2.
«Вар чна всько Зона R2 (зона
та» го  перехоплення
  побічного
електромагнітного
випромінювання)
більша, ніж
контрольована зона. 3.
Не існує політики
захисту комп'ютера від
атаки.
4. В кімнаті 308
екранування відсутнє.
5. В кімнаті 308
генератори
електромагнітного
шуму не
використовуються.
Витік 1. Шина заземлення яка Низьки Низьки
інформації виходи за межі й й
через контрольованої зони
заземлення
Витік по 1. Легкодоступність з Середн Високи
акустичному сусідніх приміщень ій й
каналу 2. Відсутність
необхідного рівня
звукоізоляції
 5
3. Відсутність
тамбурних дверей
4. Часто проводяться
наради
Витік по 1.Відсутність зовнішніх Середн Високи
візуально- та внутрішніх жалюзі ій й
оптичному та 2. Обробка даних з
лазерно- проектору на полотно
акустичному 3. Поточний рівень
каналах доступу до кімнати
4. Відсутність в вікнах
відпромінюючого
елементу або плівки
Витік через 1. Відсутність Високи Високи
радіозакладні пристроїв пошуку й й
пристрої радіозакладок
(частотомерів,
детекторів поля)
2. Легкий рівень
доступу до ПК(в який
можна встановити
радіозакладку)
Шкідливе ПО 1. Студенти можуть Середн Середн
(Скачування встановити або скачати ій ій
троянів, будь яке вірусне ПО
Загроза 2. Локальна мережа
поширення підключена до мережі
«поштових Інтернету
черв'яків», 3. Відсутність
Загроза антивірусних програм
зараження 4. Легкий доступ до
комп'ютера портів ПК
при
відвідуванні
сайтів ...),
загроза
застосування
шкідливого
коду в
інформаційну
систему з
робочих місць
користувачів

Загроза 1. Незахищеність від Високи Високи

фізичних фізичного впливу й й
деструктивних 2. Можливість пожежі
змін фізичної у приміщенні
машини,
загроза
подолання
фізичного
захисту
(Крадіжка
обладнання,
загроза
фізичного
пошкодження
засобів
зберігання,
обробки і (або)
введення /
 6
виводу /
передачі
інформації)
Загроза 1. Рівень доступу до Середн Середн
несанкціонован кімнати - поточний. ій ій
ого 2. Можливість
копіювання, перехвату паролю
ознайомлення, адміністратора по
видалення візуальному каналу
захищеної витоку інформації
інформації з
правами
доступу

ВИСНОВКИ

В лабораторній роботі ознайомилися з основними моделями порушника та їх

класифікаціями, ми створювали моделі порушників різних класифікацій, а саме зовнішніх та
внутрішніх, беручи до уваги їх кваліфікації, мотиви, час дії та їх місце дії.
Найбільш небезпечними є порушники, що мають статус співробітника навчального
закладу, а також студенти. Також можна зробити висновок, що для будь-якого підприємства
модель порушників буде різною, і задача створення цієї моделі є дуже важливою та
відповідальною.