Материалы представленные на сайте исключительно с целью ознакомления пользователям Интернета и не преследуют коммерческих целей или нарушение авторских прав.
© 2018 - 2024
РАСЧЕТНО-ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
К КУРСОВОЙ РАБОТЕ
НА ТЕМУ:
Реализация рекомендаций раздела 8 «Оценка риска информационной безопасности» (8.1–8.3) стандарта ГОСТ Р ИСО/МЭК 27005-2010_____________________________
Студент ______ ИУ8-31М_____ _________________ __И.А. Саидов
(Группа, личное дело) (Подпись, дата) (И.О.Фамилия)
Руководитель курсовой работы _________________ __Г.С. Байдин______
(Подпись, дата) (И.О.Фамилия)
Приемная комиссия ____________________________ ___________________
(Оценка, подпись, дата) (И.О.Фамилия)
____________________________ ___________________
(Оценка, подпись, дата) (И.О.Фамилия)
____________________________ ___________________
(Оценка, подпись, дата) (И.О.Фамилия)
Москва, 2018г
Министерство науки и высшего образования Российской Федерации
Федеральное государственное бюджетное образовательное учреждение
высшего образования
«Московский государственный технический университет имени Н.Э. Баумана (национальный исследовательский университет)»
(МГТУ им. Н.Э. Баумана)
УТВЕРЖДАЮ
Заведующий кафедрой ИУ8
(Индекс)
М.А.Басараб
(И.О. Фамилия)
«_____ »____________2018 г.
ЗАДАНИЕ
на выполнение курсовой работы
по дисциплине Управление информационной безопасностью
Студент группы ИУ8-31М
Саидов Исмаил Абдулмуталибович
(Фамилия, имя, отчество)
Тема курсовой работы Реализация рекомендаций раздела 8 «Оценка риска информационной безопасности» (8.1–8.3) стандарта ГОСТ Р ИСО/МЭК 27005-2010
Направленность КР (учебный, исследовательский, практический, производственный, др.)
____________Учебная_____________________________________________________________
Источник тематики (кафедра, предприятие, НИР) кафедра______________________________
График выполнения проекта: 25% к 4 нед., 50% к 8 нед., 75% к 12 нед., 100% к 16 нед.
Техническое задание самостоятельно предложить пример коммерческой либо государственной организации (интернет-магазин «Wildberries») для реализации темы курсового проекта. Описать организационную и техническую инфраструктуру выбранной организации в части, касающейся темы курсового проекта. Представить текстовое описание, плакаты, схемы, чертежи и т.п. для определения исходных данных при выполнении курсового проекта. Разработать предложения по реализации положений стандарта в соответствии с темой курсового проекта. Подготовить описание, плакаты, схемы, чертежи и т.п., иллюстрирующие реализацию выбранных предложений. Сделать выводы о реализованных в предложенной организации положениях стандарта и их практической ценности.
Оформление курсового проекта:
Расчетно-пояснительная записка на_____ листах формата А4.
Перечень графического (иллюстративного) материала (чертежи, плакаты, слайды и т.п.)
_____________________________________________________________________________
Дата выдачи задания «___ » ____________ 20__ г.
Руководитель курсового проекта _________________ Г.С.Байдин (Подпись, дата) (И.О.Фамилия)
Студент _________________ И.А. Саидов
(Подпись, дата) (И.О.Фамилия)
Примечание: Задание оформляется в двух экземплярах: один выдается студенту, второй хранится на кафедре.
Аннотация
В данной курсовой работе рассмотрены основные положения ГОСТ Р ИСО/МЭК 27005-2010 относительно главы 8 пунктов 8.1-8.3, а также было произведено описание представленной в стандарте методики проведения оценки рисков. Кроме того, описанная методика была применена для оценки рисков интернет-магазина «Wildberries».
Оглавление
Введение. 5
Описание стандарта ГОСТ Р ИСО/МЭК 27005-2010. 6
Описание интернет-магазина «Wildberries». 7
Реализация оценки рисков информационной безопасности. 9
Определение активов. 9
Определение ценности активов. 11
Определение угроз. 12
Определение существующих мер и средств контроля и управления 12
Выявление уязвимостей. 14
Определение последствий. 14
Установление значения риска. 15
Оценка последствий. 15
Оценка вероятности инцидента. 17
Установление значений уровня рисков. 20
Оценка риска. 22
Заключение. 24
Список использованных источников. 25
Введение
Оценка рисков занимает центральное место в системе управления информационной безопасностью. Под риском понимается неопределенность, предполагающая возможность ущерба, связанного с нарушением ИБ. Оценка рисков – это процесс, охватывающий индетификацию риска, анализ риска и сравнительную оценку риска.
В данной курсовой работе проведена оценка рисков ИБ в интернет-магазине «Wildberries» согласно стандарту ГОСТ Р ИСО/МЭК 27005-2010 [1]. Результаты настоящей работы предназначены исключительно для выполнения учебного плана образовательной программы магистратуры по направлению Информационная безопасность МГТУ им. Н.Э. Баумана.
Определение активов
На основе блок-схемы предполагаемой принципиальной схемы сети (рисунок 1) интернет магазина «Wildberries» проведем описание основных активов.
1. Закупка товара у поставщика. Для начала необходимо определиться с тем, какой товар пополнит ассортимент магазина, затем запросить у поставщика необходимую информацию на выбранный товар: состав, комплектация, цена и т.д. Всем этим занимается отдел аналитики. Он включает в себя: аппаратуру для анализа данных (в данном случае используется сервер анализа данных), стационарную аппаратуру, программные средства электронные носители данных, персонал. Владельцем можно считать главу отдела аналитики.
2. Доставка на склад от поставщика . Для доставки товара от поставщика на склады привлекается аутсорсинговая транспортная компания, на которую передаются риски.
3. Хранение товара на складе . Руководство склада должно выбрать метод размещения товаров, в зависимости от способа хранения, предохранения товаров от повреждений, доступности любой ячейки склада и быстрого нахождения необходимых товаров. Для реализации этого необходим отдел логистики, склад, различное оборудование для сортировки, проверки и перемещения товаров. Отдел логистики включает в себя: сервер обработки данных, стационарную аппаратуру, электронные носители данных, персонал, база данных товаров. Владельцем актива можно считать начальника склада.
4. Формирование каталога товаров . После того как товар от поставщика поступил на склад, его необходимо занести в каталог товаров магазина. Для этого необходимо фотостудия, где его фотографируют и пишут сопроводительный текст и в конечном итоге добавляют в каталог товаров. Фотостудия включает в себя: стационарную аппаратуру, обрабатывающее оборудование, персонал. Владельцем актива можно считать главу фотостудии.
5. Размещение товара на сайте. На основе аналитики информации о пользователе и о его действиях из каталога товаров ему предлагаются товары, которые ему могут понравиться. Для реализации необходим веб-сервер, база данных товаров. Владельцем актива можно считать главного администратора.
6. Формирование заказов пользователем. Когда пользователь определился товаром и кладет ее в корзину, следующим шагом является определение способа оплаты и получения товара. После отправляет запрос на покупку выбранного товара. Если пользователь выбирает онлайн-оплату карту, то он вводит данные карты в платежную форму и эти данные передаются платежному провайдеру. Для реализации необходим веб-сервер, база персональных данных пользователей. Владельцем актива можно считать главного администратора.
7. Обработка заказа пользователя . После того как клиент отправил запрос на покупку происходит подтверждение заказа. В определенных случаях подтверждение происходит через SMS, но чаще всего клиенту перезванивает оператор. Когда заказ утвержден, центр обработки заказов посылает команду на подготовку товара к отправке. Все дальнейшие действия, происходящие с товаром, докладываются в центр обработки заказов, который в свою очередь сообщает пользователю значимые для него события (отправление товара со склада, текущее местоположение курьера и т. д.). Для реализации необходим сервер обработки заказов, почтовый сервер, база данных товаров и заказов, колл-центр, персонал. Владельцем актива можно считать главу по работе с клиентами. Владельцем актива можно считать менеджера по работе с клиентами.
8. Получение товара . У клиента имеются два способа получить товар: либо он выбирает доставку, при котором товар доставляется от склада до клиента; либо самовызов, при котором товар доставляется в пункты почтовых отделений, где она его забирает. Если клиент отказывается от товара, товар возвращается на склад. Для реализации необходим транспорт, персонал, помещения для самовывоза. Владельцем актива можно считать менеджера по работе с клиентами.
Определение угроз
Определение угроз основывается на приложении C в ГОСТ Р ИСО/МЭК 27005-2010. Подходящие угрозы для интернет-магазина из данного приложения представлены в таблице Таблица 2.
Таблица 2. Угрозы для интернет-магазина
| Источник угрозы | Вид угрозы | Угроза |
| Случайные | Физический ущерб | Авария |
| Злоумышленники | Физический ущерб | Кража груза |
| Случайные, злоумышленники | Физический ущерб | Пожар |
| Случайные, злумышленники | Физический ущерб | Порча товара |
| Случайные | Физический ущерб | Климатическое явление |
| Случайные, злоумышленники | Физический ущерб | Вывод из строя оборудования |
| Случайные, Лицо, совершающее компьютерное преступление | Утрата важных сервисов | Отказ в обслуживании сервиса |
| Злоумышленники | Компрометация информации | Кража данных |
| Злоумышленники | Компрометация информации | Кража оборудования |
| Случайные | Технические неисправности | Отказ оборудования |
| Случайные | Технические неисправности | Неисправная работа оборудования |
| Случайные | Технические неисправности | Нарушение целостности данных |
| Злоумышленники | НСД | Нарушение целостности данных |
| Лицо, совершающее компьютерное преступление | НСД | Заражение сервиса |
Выявление уязвимостей
В данном разделе перечисляются уязвимости, которые могут быть использованы для нанесения ущерба активам или организации.
1. Неисправная система пожарообнаружения.
2. Неисправная система пожаротушения.
3. Неисправная электропроводка
4. Нарушение правил дорожного движения.
5. Несоблюдение правил хранения товара.
6. Нарушение правил эксплуатации оборудования.
7. Ошибки ПО.
8. Использование компонентов с известными уязвимостями.
9. Нарушение контроля доступа.
10. Недостаточное логирование и мониторинг.
Определение последствий
Перечислим сценарии возможных инцидентов и их последствия.
1. При неисправной системе пожарообнаружения при возникновении очага пожара не будет дан сигнал системе пожаротушения на его устранения и не будет произведено оповещение пожарной службы. В результате данного сценария пожар может начать распространение и уничтожить активы (склад, товары на складе).
2. При неисправной системе пожаротушения при подаче сигнала тушения пожара не будет произведено никаких действий, в результате чего пожар может распространиться и к прибытию пожарной службы пострадает значительная часть активов.
3. При нарушении правил устройства и эксплуатации электрооборудования возможно возникновение пожара, в результате чего могут быть уничтожены активы.
4. При нарушении правил дорожного движения водителем транспортного средства курьерской службы, повышается риск аварии.
5. При несоблюдении правил хранения товаров товар может потерять товарный вид, в результате чего их невозможно будет продать.
6. При нарушении правил эксплуатации оборудования, износ оборудования может наступить раньше заданного срока службы.
7. При неправильной конфигурации программного обеспечения возможна реализация угроз кражи данных, отказа в обслуживании, заражения системы.
8. При использовании компонентов с известными уязвимостями возможна реализация множество видов атак, направленных на отказ в обслуживании, компрометации системы, заражения системы.
9. При нарушении контроля доступа возможна ситуация, когда злоумышленники получают права доступа администратора или другого привилегированного пользователя.
10. При недостаточном логировании и мониторинге злоумышленники продолжительное время исследовать систему на уязвимости без какой-либо реагирования системы безопасности.
Установление значения риска
Оценка последствий
Оценка последствий сценариев инцидентов оценивается с точки зрения влияния на бизнес используя следующую шкалу от 1 до 5: 1 - Очень низкая, 2 – Низкая, 3 – Средняя, 4 – Высокая, 5 - Очень высокая.
В результате реализации угрозы пожара через уязвимость неисправной системы пожарообнаружения на территории склада в наихудшем сценарии может быть уничтожено большинство товаров на складе, что вызовет высокое влияние на бизнес.
1. В результате реализации угрозы пожара через уязвимость неисправной системы пожаротушения на территории склада в наихудшем сценарии может быть уничтожен весь товар. Влияние на бизнес очень высокое (5).
2. В результате реализации угрозы пожара через уязвимость неисправной системы пожарообнаружения на территории склада в наихудшем сценарии может быть уничтожено значительная часть товаров. Влияние на бизнес очень высокое (4).
3. В результате реализации угрозы пожара через уязвимость нарушения правил устройства и эксплуатации электрооборудования на территории склада при условии исправных систем пожарообнаружения и пожаротушения возникший очаг пожара будет быстро устранен, однако это может прервать рабочий процесс. Влияние на бизнес низкое (2).
4. В результате реализации угрозы аварии через уязвимость несоблюдения водителем транспортного средства курьерской службы доставки может пострадать, как и само транспортное средство, так и доставляемый товар. Влияние на бизнес низкое (2).
5. В результате реализации угрозы порчи товара через уязвимость несоблюдения правил хранения товаров может пострадать партия товаров. Влияние на бизнес среднее (3).
6. В результате реализации разрушения оборудования через уязвимость недостаточного технического обслуживания оборудования, может привести к тому, что оборудование невозможно будет использовать и это может привести к замедлению или остановке рабочего процесса. Влияние на бизнес среднее (3).
7. В результате реализации угрозы отказа обслуживания через уязвимость неправильной конфигурации программного обеспечения может последовать значительное снижение количества заказов даже после восстановления сервиса. Влияние на бизнес высокое (4).
8. В результате реализации угрозы кражи информации через уязвимость неправильной конфигурации программного обеспечения, в зависимости от украденной информации возможны различные последствия, включая потерю репутации. Влияние на бизнес высокое (5).
9. В результате реализации угрозы заражения системы через уязвимость неправильной конфигурации программного обеспечения могут быть различные сценарии. Влияние на бизнес очень высокое (5).
10. В результате реализации угрозы отказа обслуживания через уязвимость использования компонентов с известными уязвимостями может последовать значительное снижение количества заказов даже после восстановления сервиса. Влияние на бизнес высокое (4).
11. В результате реализации угрозы кражи данных через уязвимость использования компонентов с известными уязвимостями, в зависимости от украденной информации возможны различные последствия, включая потерю репутации. Влияние на бизнес высокое (5).
12. В результате реализации угрозы заражения через уязвимость использования компонентов с известными уязвимостями могут быть различные сценарии, влияние на бизнес можно считать высоким (4).
Оценка риска
В качестве результатов оценки рисков выступает перечень рисков, которые необходимо обработать с назначенными приоритетами. В качестве критерия выбора того, какие риски необходимо обработать будем считать рейтинг риска. Если рейтинг риска меньше среднего, то риск принимается и в дальнейшем не обрабатывается. Приоритеты обработки рисков назначаются в соответствии со степенью риска. Перечень рисков с назначенными приоритетами, которые необходимо обработать представлен в таблице
Таблица 6. Перечень рисков с приоритетами
| Риск | Приоритет |
| Кража информации из-за использования компонентов с известными уязвимостями | 1 |
| Отказ обслуживания из-за использования компонентов с известными уязвимостями | 2 |
| Заражение системы из-за использования компонентов с известными уязвимостями | 2 |
| Пожар из-за неисправной системы пожаротушения на территории склада | 2 |
| Кража информации из-за неправильной конфигурации программного обеспечения | 2 |
| Заражение системы из-за неправильной конфигурации программного обеспечения | 2 |
| Отказ обслуживания из-за неправильной конфигурации программного обеспечения | 3 |
| Пожар из-за неисправной системы пожарообнаружения на территории склада | 3 |
Заключение
В работе были рассмотрены и проанализированы основные положения стандарта ГОСТ Р ИСО/МЭК 27005-2010, было проведено описание представленной в стандарте методики проведения оценки рисков. На примере интернет-магазина «Wildberries» произведено выполнение описанной методики. В результате выполнения работы были определены угрозы, уязвимости, сценарии инцидентов и перечень рисков с назначенными приоритетами для обработки.
РАСЧЕТНО-ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
К КУРСОВОЙ РАБОТЕ
НА ТЕМУ:
Реализация рекомендаций раздела 8 «Оценка риска информационной безопасности» (8.1–8.3) стандарта ГОСТ Р ИСО/МЭК 27005-2010_____________________________
Студент ______ ИУ8-31М_____ _________________ __И.А. Саидов
(Группа, личное дело) (Подпись, дата) (И.О.Фамилия)
Руководитель курсовой работы _________________ __Г.С. Байдин______
(Подпись, дата) (И.О.Фамилия)
Приемная комиссия ____________________________ ___________________
(Оценка, подпись, дата) (И.О.Фамилия)
____________________________ ___________________
(Оценка, подпись, дата) (И.О.Фамилия)
____________________________ ___________________
(Оценка, подпись, дата) (И.О.Фамилия)
Москва, 2018г
Министерство науки и высшего образования Российской Федерации
Федеральное государственное бюджетное образовательное учреждение
высшего образования
«Московский государственный технический университет имени Н.Э. Баумана (национальный исследовательский университет)»
(МГТУ им. Н.Э. Баумана)
УТВЕРЖДАЮ
Заведующий кафедрой ИУ8
(Индекс)
М.А.Басараб
(И.О. Фамилия)
«_____ »____________2018 г.
ЗАДАНИЕ
на выполнение курсовой работы
по дисциплине Управление информационной безопасностью
Студент группы ИУ8-31М
Саидов Исмаил Абдулмуталибович
(Фамилия, имя, отчество)
Тема курсовой работы Реализация рекомендаций раздела 8 «Оценка риска информационной безопасности» (8.1–8.3) стандарта ГОСТ Р ИСО/МЭК 27005-2010
Направленность КР (учебный, исследовательский, практический, производственный, др.)
____________Учебная_____________________________________________________________
Источник тематики (кафедра, предприятие, НИР) кафедра______________________________
График выполнения проекта: 25% к 4 нед., 50% к 8 нед., 75% к 12 нед., 100% к 16 нед.
Техническое задание самостоятельно предложить пример коммерческой либо государственной организации (интернет-магазин «Wildberries») для реализации темы курсового проекта. Описать организационную и техническую инфраструктуру выбранной организации в части, касающейся темы курсового проекта. Представить текстовое описание, плакаты, схемы, чертежи и т.п. для определения исходных данных при выполнении курсового проекта. Разработать предложения по реализации положений стандарта в соответствии с темой курсового проекта. Подготовить описание, плакаты, схемы, чертежи и т.п., иллюстрирующие реализацию выбранных предложений. Сделать выводы о реализованных в предложенной организации положениях стандарта и их практической ценности.
Оформление курсового проекта:
Расчетно-пояснительная записка на_____ листах формата А4.
Перечень графического (иллюстративного) материала (чертежи, плакаты, слайды и т.п.)
_____________________________________________________________________________
Дата выдачи задания «___ » ____________ 20__ г.
Руководитель курсового проекта _________________ Г.С.Байдин (Подпись, дата) (И.О.Фамилия)
Студент _________________ И.А. Саидов
(Подпись, дата) (И.О.Фамилия)
Примечание: Задание оформляется в двух экземплярах: один выдается студенту, второй хранится на кафедре.
Аннотация
В данной курсовой работе рассмотрены основные положения ГОСТ Р ИСО/МЭК 27005-2010 относительно главы 8 пунктов 8.1-8.3, а также было произведено описание представленной в стандарте методики проведения оценки рисков. Кроме того, описанная методика была применена для оценки рисков интернет-магазина «Wildberries».
Оглавление
Введение. 5
Описание стандарта ГОСТ Р ИСО/МЭК 27005-2010. 6
Описание интернет-магазина «Wildberries». 7
Реализация оценки рисков информационной безопасности. 9
Определение активов. 9
Определение ценности активов. 11
Определение угроз. 12
Определение существующих мер и средств контроля и управления 12
Выявление уязвимостей. 14
Определение последствий. 14
Установление значения риска. 15
Оценка последствий. 15
Оценка вероятности инцидента. 17
Установление значений уровня рисков. 20
Оценка риска. 22
Заключение. 24
Список использованных источников. 25
Введение
Оценка рисков занимает центральное место в системе управления информационной безопасностью. Под риском понимается неопределенность, предполагающая возможность ущерба, связанного с нарушением ИБ. Оценка рисков – это процесс, охватывающий индетификацию риска, анализ риска и сравнительную оценку риска.
В данной курсовой работе проведена оценка рисков ИБ в интернет-магазине «Wildberries» согласно стандарту ГОСТ Р ИСО/МЭК 27005-2010 [1]. Результаты настоящей работы предназначены исключительно для выполнения учебного плана образовательной программы магистратуры по направлению Информационная безопасность МГТУ им. Н.Э. Баумана.
Дата: 2019-02-02, просмотров: 214.