Дослідження стану інформаційної безпеки – філії відділення банку "Ощадбанк"
Місцезнаходження, опис приміщення інформаційного об’єкта. Закономірності організації інформаційної системи та локальної мережі, розташування технічного обладнання та використовуване програмне забезпечення. Методика оцінки ймовірності реалізації загрози.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | курсовая работа |
| Язык | украинский |
| Дата добавления | 08.06.2019 |
| Размер файла | 739,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Інформаційні активи мають такі основні властивості фінансових і матеріальних активів банку: вартість, цінність для банку, можливість накопичення, можливість трансформації в інші активи.
Таблиця 1. Реєстр інформаційних активів
|
Інформаційний актив |
Власник |
Місце розташування |
Категорія активу |
|
|
Сервер |
«Ощадбанк» |
Приміщення №8 Серверне сховище в кабінеті директора |
Фізичний електронний пристрій |
|
|
Операції і угоди здійснені клієнтами банку |
Менеджер по роботі з клієнтами |
Приміщення №9 Комп'ютер менеджера по роботі з клієнтами |
Електронні документи, паперові документи |
|
|
Фінансова звітність |
Касир, менеджер по роботі з клієнтами, секретар |
Приміщення №4, №9, №7 Сейф, сервер |
Електронні документи, паперові документи |
|
|
Відомості про стан рахунків, готівкові вклади і номери рахунків клієнтів банку (фізичних і юридичних осіб) |
Касир, менеджер по роботі з клієнтами |
Приміщення №4, №9 Комп'ютери відповідних працівників, сервер |
Електронні документи |
|
|
Персональні дані клієнтів |
Касир, менеджер по роботі з клієнтами |
Приміщення №4, №9 Комп'ютери відповідних працівників, сервер |
Паперові документи, електронні документи |
|
|
Персональні дані працівників |
Секретар, директор |
Приміщення №7, №8 Комп'ютери відповідних працівників, сервер |
Паперові документи, електронні документи |
|
|
Коди і паролі які використовуються банком для захисту інформації |
Працівники |
Приміщення №9 Сервер |
Електронні документи, особові картки |
|
|
Інформація про фінансовий стан організації |
Секретар, касир, директор |
Приміщення №4, №7, №8 Комп'ютери відповідних працівників, сервер |
Паперові документи, електронні відомості |
|
|
Сховище |
Директор, касир |
Приміщення №6, №4 |
Фізичний актив |
|
|
Сейфи |
Директор, секретар |
Приміщення №7, №8 |
Фізичний актив |
|
|
Комп'ютери |
Увесь персонал |
Практично в усіх приміщеннях |
Техніка Фізичний актив |
|
|
Банкомати |
Служба охорони |
Приміщення №2 |
Техніка, фізичний актив |
|
|
Інформація про інкасацію |
Служба охорони |
Приміщення №8, 9 сервер |
Електронний документ |
1.7 Фінансово-господарська діяльність об'єкта
Стратегія банку спрямована на максимальний розвиток роздрібного бізнесу та створення умов для повного банківського обслуговування корпоративних клієнтів.
Для максимально якісного та швидкого обслуговування клієнтів пропонує різні види грошових переказів:
· з відкриттям рахунку;
· без відкриття рахунку;
· у національній валюті;
· іноземній валютах;
· на користь фізичних осіб;
· на користь юридичних осіб;
· по всій Україні;
· за кордон.
«Ощадбанк» пропонує відкриття поточного пенсійного рахунку:
· відкривається при наявності у вкладника його пенсійного посвідчення;
· строк вкладу необмежений;
· процентна ставка до 4% річних;
· початковий внесок від 10 грн.;
· з можливістю поповненням від 10 грн.;
· виплата процентів щоквартально;
· на залишок менше 1 грн. проценти не нараховуються;
· проценти нараховуються за умови безготівкового надходження пенсії;
· при ненадходженні пенсії більше трьох місяців, проценти нараховуються як по вкладах на вимогу (поточних рахунках);
Також Банк здійснює наступні валютні операції:
· купівля у фізичних осіб готівкової іноземної валюти за готівкові гривні;
· продаж фізичним особам готівкової іноземної валюти за готівкову гривню;
· зворотний обмін фізичним особам невикористаних готівкових гривень на готівкову іноземну валюту;
· конвертація (обмін) готівкової іноземної валюти однієї іноземної держави на готівкову іноземну валюту іншої іноземної держави;
· купівля (сплата) дорожніх чеків;
· оплата комунальних послуг
· виплата зарплатні за допомогою карток
· виплата пенсії за допомогою карток
· видача кредитних коштів
Таблиця 2. Відсоткове співвідношення послуг банку
|
Вид діяльності |
Відсоток який отримує банк |
|
|
Кредитування |
5% річних |
|
|
Сплата за послуги касира при оплаті комунальних, оплати кредитних коштів, переказ та ін. |
1% від суми |
|
|
Переказ коштів з картки на картки |
1% від суми |
|
|
Акціонерські внески |
2% від внесеної суми |
|
|
Зберіганні цінних паперів та облігацій |
1% від суми на 1 рік зберігання |
Таблиця 3. Заробітна плата працівників відділення банку за місяць
|
Посада |
Заробітна плата |
|
|
Директор |
? 20 000 грн. |
|
|
Менеджер по роботі з клієнтами |
? 10 000 грн. |
|
|
Секретар |
? 12 000 грн. |
|
|
Консультант банку |
? 9 000 грн. |
|
|
Касир |
? 10 000 грн. |
|
|
Сумарно всім працівникам |
? 71 000 грн. |
Таблиця 4. Витрати відділення за місяць, які вираховують з місячного прибутку
|
Вид витрат |
Розмір витрат |
|
|
Виплата заробітної плати працівникам |
? 71 000 грн. |
|
|
Послуги клінінгової компанії |
? 5 000 грн |
|
|
Оплата системному адміністратору «Ciklum» |
? 5 000 грн |
|
|
Електроенергія |
+ - 500-600 грн |
|
|
Водопостачання |
+-90 грн (переважно зимою) |
|
|
Бутильована вода для працівників |
200 грн |
Таблиця 5. Місячний дохід банку
|
Вид доходу |
Дохід |
|
|
Чистий процентний дохід відділення банку |
?0,4 млн. грн. |
|
|
Чистий комісійний дохід |
?0.18 млн.грн. |
Таблиця 6. Річний дохід банку
|
Вид доходу |
Дохід |
|
|
Чистий процентний дохід відділення банку |
?5 млн. грн. |
|
|
Чистий комісійний дохід |
?2,2 млн. грн. |
|
|
Акціонерний капітал банку |
?2,6 млн. грн. |
2. Методика оцінки ймовірності реалізації загрози
2.1 Ранжування джерел загроз
Усі джерела загроз мають різну міру небезпеки, яку можна оцінити, якщо провести їхнє ранжирування. При цьому, оцінка міри небезпеки здійснюється за непрямими показниками. Критеріями порівняння (показників) пропонується, наприклад, вибрати:
1. можливість виникнення джерела , що визначає міру доступності до можливості використати фактор (уразливість) (для антропогенних джерел), віддаленість від фактора (уразливості) (для техногенних джерел) або особливості обстановки (для випадкових джерел);
2. готовність джерела , що визначає міру кваліфікації та привабливість здійснення діяння з боку джерела загрози (для антропогенних джерел) або наявність необхідних умов (для техногенних та стихійних джерел);
3. фатальність , що визначає міру непереборності наслідків реалізації загрози.
Кожний показник оцінюється експертно-аналітичним методом за п'ятибальною системою. Коефіцієнт для окремого джерела можна визначити як відношення добутку наведених вище показників до максимального значення 125:
Табл. 2.1. К1 для антропогенних джерел загроз. Характеристика міри доступності об'єкта
|
Міра доступності |
X |
Характеристика джерел загроз |
|
|
Висока ступінь доступності |
5 |
Має повний доступ до технічних і програмних засобів оброблення інформації (персональних комп'ютерів працівників, мережевого обладнання: маршрутизатор, локальна обчислювальна мережа) за рахунок виконання своїх посадових обов'язків. (Джерело загроз: системний адміністратор компанії «Ciklum», що надає послуги IT-аутсорсинга). |
|
|
Ступінь доступності вище середньої |
4 |
Має непрямий, не визначений функціональними обов'язками доступ до технічних і програмних засобів оброблення інформації (персональних комп'ютерів працівників та до мережевого обладнання: маршрутизатор, локальна обчислювальна мережа) за рахунок несанкціонованого доступу до робочих місць, та наявності каналу витоку інформації через локальну мережу та мережу Інтернет (Джерела: працівники, недобросовісні партнери та клієнти) |
|
|
Середня ступніть доступності |
3 |
Має обмежену можливість доступу до інформації, що зберігається на окремих персональних комп'ютерах працівників через використання політики безпеки, яка обмежує випадковий доступ до даних. (Джерела: касир, секретар, менеджер по роботі з клієнтами, директор, хакери) |
|
|
Низька ступінь доступності |
2 |
Має дуже обмежену можливість доступу до персональних комп'ютерів працівників та до мережевого обладнання. (Джерела: хакери). |
|
|
Відсутність доступності |
1 |
Не має доступ до технічних засобів і програм банку |
Табл. 2.2. К1 для техногенних джерел. Характеристика міри віддаленості від об'єкта
|
Міра віддаленості |
X |
Характеристика |
|
|
Співпадаючі об'єкти |
5 |
Персональні комп'ютери працівників (які містять інформацію, що підлягає захисту) та мережеве обладнання, які самі містять джерела техногенних загроз і їхній територіальний поділ неможливий. |
|
|
Близько розташовані об'єкти |
4 |
Персональні комп'ютери працівників (які містять інформацію, що підлягає захисту) та мережеве обладнання, які знаходяться в безпосередній близькості від техногенних джерел загроз, прояв яких може суттєво вплинути на ці об'єкти захисту. |
|
|
Середньовіддалені об'єкти |
3 |
Персональні комп'ютери працівників (які містять інформацію, що підлягає захисту) та мережеве обладнання, які знаходяться на віддаленні від джерел техногенних загроз, при якому їх прояв спричиняє лише несуттєвий вплив. |
|
|
Віддалено розташовані об'єкти |
2 |
Персональні комп'ютери працівників (які містять інформацію, що підлягає захисту) та мережеве обладнання, які знаходяться на відстані від джерел техногенних загроз, яке виключає його прямий вплив. |
|
|
Значно віддалені об'єкти |
1 |
Персональні комп'ютери працівників (які містять інформацію, що підлягає захисту) та мережеве обладнання, які розташовуються на значній відстані від джерела техногенних загроз, що повністю виключає будь-які впливи, в тому числі вторинні. |
Табл. 2.3. К1 для стихійних джерел. Особливості оточення об'єкта
|
Особливості оточення |
X |
Характеристика |
|
|
Дуже небезпечні умови |
5 |
Персональні комп'ютери працівників (які містять інформацію, що підлягає захисту) та мережеве обладнання та паперові документи розташовані в зоні дії природних катаклізмів. |
|
|
Небезпечні умови |
4 |
Персональні комп'ютери працівників (які містять інформацію, що підлягає захисту) та мережеве обладнання та паперові документи розташовуються в зоні, де прогнозується поява природних катаклізмів |
|
|
Помірно небезпечні умови |
3 |
Персональні комп'ютери працівників (які містять інформацію, що підлягає захисту) та мережеве обладнання розміщені в зоні, в якій за тривалими спостереженнями відсутні прояви природних катаклізмів, але існує можливість появи стихійних джерел загроз в самому технічному обладнанні (персональні комп'ютери, принтери, сервер, роутер) |
|
|
Слабо небезпечні умови |
2 |
Персональні комп'ютери працівників (які містять інформацію, що підлягає захисту) та мережеве обладнання розміщені в зоні, в якій не спостерігаються прояви природних катаклізмів, але існує можливість прояви стихійних джерел загрозах в певному технічному обладнанні (персональні комп'ютери, принтери, машрутизатори) |
|
|
Безпечні умови |
1 |
Персональні комп'ютери працівників (які містять інформацію, що підлягає захисту) та мережеве обладнання розміщені поза межами дії природних катаклізмів і не існує передумов прояви стихійних джерел загроз |
Табл. 2.4. К2 для антропогенних джерел загроз. Можливості (мірі) взаємодії з інформаційними активами (мережі зв'язку)
|
Можливості |
X |
Характеристика |
|
|
Четвертий рівень |
5 |
Повнота можливостей суб'єктів, які займаються розробкою програмного забезпечення, проектуванням і ремонтом персональних комп'ютерів та принтерів, сегментів локальної мережі з можливістю включення до її складу власних технічних пристроїв, (розробник та системний адміністратор) |
|
|
Третій рівень |
4 |
Має можливість керувати інформаційними процесами в мережі, тобто впливати на базове програмне забезпечення, його склад і конфігурацію (системний адміністратор) |
|
|
Другий рівень |
3 |
Створення й запуск в мережі передавання даних власних утиліт і програм з новими функціями обробки інформації (кваліфікований користувач) |
|
|
Перший рівень |
2 |
Запуск лише обмеженого набору програм для обробки інформації (всі працівники). |
|
|
Нульовий рівень |
1 |
Відсутність можливості будь-якого використання встановлених програм. |
Табл. 2.5. К2 для антропогенних джерел загроз. Характеристика привабливості здійснення діяння з боку джерела загроз
|
Привабливість |
X |
Характеристика |
|
|
Особливо привабливий рівень |
5 |
Інформаційні ресурси, які підлягають захисту, містять інформацію, втрата якої зумовить непоправні збитки та призведе до краху організації. |
|
|
Привабливий рівень |
4 |
Інформаційні ресурси, які підлягають захисту, містять інформацію, яка може бути використана на користь джерела загрози або третіх осіб. |
|
|
Помірно привабливий рівень |
3 |
Інформаційні ресурси, які містять інформацію, розголошення якої може нанести шкоду окремим особам. |
|
|
Слабо привабливий рівень |
2 |
Інформаційні ресурси, які містять інформацію, системне накопичення та узагальнення якої в результаті може завдати збитку. |
|
|
Непривабливий рівень |
1 |
Інформаційні ресурси, які містять інформацію, яка не представляє інтересу для джерела загрози. |
Табл. 2.6. К2 для техногенних і стихійних джерел. Характеристики умови готовності джерела
|
Готовність |
X |
Характеристика |
|
|
Загроза реалізована |
5 |
Умови сприятливі або можуть бути сприятливі для реалізації загрози. |
|
|
Загроза помірно реалізована |
4 |
Сприятливі умови для реалізації загрози, але неможливість її активізації, проте довгострокові спостереження не припускають можливості її активізації у період існування й активної діяльності об'єкта захисту |
|
|
Загроза слабо реалізована |
3 |
Існують об'єктивні причини на самому об'єкті або його оточенні, що перешкоджають реалізації загрози. |
|
|
Загроза майже не реалізована |
2 |
Майже відсутні передумови для реалізації передбачуваної події. |
|
|
Загроза не реалізована |
1 |
Не існує передумов для реалізації передбачуваної події. |
Табл. 2.7. К3 міра непереборності наслідків загрози
|
Готовність |
X |
Характеристика |
|
|
Непереборні наслідки |
5 |
Результат прояву загрози може призвести до повного руйнування персональних комп'ютерів працівників та паперових документів, що призведе до непоправних втрат та неможливості доступу до інформаційних ресурсів, що підлягають захисту. |
|
|
Практично непереборні наслідки |
4 |
Результат прояву загрози може призвести до повного знищення персональних комп'ютерів працівників та паперових документів, що призведе до значних втрат на відновлення і як наслідок до суттєвого обмеження часу доступу до інформації. |
|
|
Частково непереборні наслідки |
3 |
Результат прояву загрози приводить до часткового пошкодження інформаційних ресурсів або суттєвого довготривалого обмеження доступу до об'єктів захисту і потребує значних затрат (матеріальних, час) на відновлення цих об'єктів |
|
|
2 |
Результат прояву загрози приводить до часткового пошкодження інформаційних ресурсів і не потребує значних затрат (матеріальних, час) на відновлення цих об'єктів. |
||
|
Відсутність наслідків |
1 |
Результат прояву загрози не впливають на діяльність об'єктів захисту |
Для якісної оцінки загрози використовується наступна шкала:
|
Якісна величина загрози |
Кількісна величина загрози |
|
|
1 |
0 - 0,1 |
|
|
2 |
0,1 - 0,2 |
|
|
3 |
0,2 - 0,5 |
|
|
4 |
0,5 - 0,8 |
|
|
5 |
0,8 - 1 |
При виборі допустимого рівня джерела загроз передбачається, що джерела загроз, які мають коефіцієнт менше 0,1…0,2, можуть у подальшому не враховуватися як малоймовірні.
2.2 Методика оцінки збитку.
Розмір збитку відображає в грошовому еквіваленті втрати, які понесе організація внаслідок реалізації загрози. Цим збитком може бути вартість конфіденційної інформації, фінансові витрати на відновлення роботи інформаційної системи, втрата прибутку через порушення технологічного процесу.
Наприклад, у результаті нападу сервер безпосереднім збитком може бути:
1. Втрата чи пошкодження інформації.
2. Витрати на відновлення нормального функціонування сервера (витрати робочого часу, придбання нового ПЗ)
3. Втрата доходу внаслідок неможливості обслуговування клієнтів протягом часу, необхідного для відновлення роботи ураженого веб-серверу (падіння продажів, втрата репутації та довіри клієнтів).
Для оцінювання значення можливого збитку може бути використана п'ятибальна шкала якісного аналізу. Для того, щоб оцінка збитку містила економічний зміст, якісну шкалу можна пов'язати зі значенням безпосередніх фінансових втрат організації.
Табл. 2.8. Шкала оцінювання збитку
|
Значення збитку |
Збиток комерційним інтересам організації |
Фінансові втрати |
|
|
1 |
Незадоволення з боку клієнтів, незначна затримка в роботі. Невеликі проблеми, які не представляють інтерес для конкурентів. |
Менше 10 000 грн |
|
|
2 |
Втрата довіри деяких клієнтів та потенційних клієнтів, зниження рівня довіри. Проблеми, які не нанесуть великого збитку, але привернуть негативну увагу інвесторів та клієнтів. |
Від 10 000 до 100 000 грн |
|
|
3 |
Локальне розповсюдження негативної інформації про відділення банку, зниження рівня довіри з боку клієнтів. Представляє інтерес для конкурентів і приносить їм комерційну вигоду. |
Від 100 000 до 400 000 грн |
|
|
4 |
Негативна інформація про організацію розповсюджується засобами масової інформації, втрата довіри з боку частини клієнтів, довготривала зупинка роботи. |
Від 400 000 до 1 000 000 грн |
|
|
5 |
Втрата довіри з боку значної частини клієнтів, втрата основної частки ринку. |
Понад 1 000 000 грн |
Табл.2.8. К для антропогенних джерел загроз
|
Джерело загрози |
Часткові коефіцієнти (можливість, привабливість, фатальність) |
Опис |
Коефіцієнт загрози (К) |
|
|
Внутрішні |
||||
|
Директор |
5, 1, 4 |
висока ступінь доступності; не привабливий рівень; практично непереборні наслідки |
0,16 |
|
|
Секретар |
4, 1, 4 |
ступінь доступності вище середньої; слабо привабливий рівень; практично непереборні наслідки |
0,128 |
|
|
Касир |
4, 3, 4 |
ступінь доступності вище середньої; помірно привабливий рівень; практично непереборні наслідки |
0,384 |
|
|
Менеджер по роботі з клієнтами |
3, 1, 3 |
середня ступінь доступності; непривабливий рівень; частково непереборні наслідки |
0,072 |
|
|
Консультант банку |
2, 1, 3 |
низький ступінь доступності; непривабливий рівень; переборні наслідки |
0,048 |
|
|
Охорона |
1, 2, 2 |
низька ступінь доступності; слабо привабливий рівень; переборні наслідки |
0,032 |
|
|
Прибиральниця |
2, 1, 2 |
низький ступінь доступності; не привабливий рівень; переборні наслідки |
0,032 |
|
|
Зовнішні |
||||
|
Злочинці |
2, 3, 4 |
низький ступінь доступності; помірно привабливий рівень; практично непереборні наслідки |
0,192 |
|
|
Конкуренти |
2, 4, 4 |
низький ступінь доступності; привабливий рівень; практично непереборні наслідки |
0,256 |
Табл.2.9. К для техногенних джерел загроз
|
Джерело загрози |
Часткові коефіцієнти (віддаленість, наявність необхідних умов, фатальність) |
Опис |
Коефіцієнт загрози (К) |
|
|
Засоби зв'язку |
5, 3, 3 |
співпадаючі об'єкти; загроза слабо реалізується; часткова непереборність наслідків |
0,36 |
|
|
Мережі інженерних комунікацій (водопостачання, теплопостачання, каналізації) |
4, 4, 3 |
близько розташовані об'єкти; загроза помірно реалізована; часткова непереборність наслідків |
0,384 |
|
|
Допоміжні засоби (пожежні сигналізації); |
4, 2, 2 |
близько розташовані об'єкти; загроза майже не реалізовується; переборні наслідки |
0,128 |
Табл.2.10. К для стихійних джерел загроз
|
Джерело загрози |
Часткові коефіцієнти (особливості обстановки, наявність необхідних умов, фатальність) |
Опис |
Коефіцієнт загрози (К) |
|
|
Пожежа |
3, 2, 4 |
помірно небезпечні умови; загроза слабо реалізовується; практично непереборні наслідки |
0,192 |
|
|
Повінь |
1, 1, 3 |
безпечні умови; загроза не реалізовується; частково неперебоні наслідки |
0,024 |
|
|
Ураган |
1, 2, 4 |
безпечні умови; загроза слабо реалізовується; практично непереборні наслідки |
0,064 |
|
|
Інші обставини |
2, 2, 2 |
слабо небезпечні умови; загроза слабо реалізовується; переборні наслідки |
0,048 |
2.3 Методика оцінки збитку
Розмір збитку відображає в грошовому еквіваленті втрати, які понесе організація внаслідок реалізації загрози. Цим збитком може бути вартість конфіденційної інформації, фінансові витрати на відновлення роботи інформаційної системи, втрата прибутку через порушення технологічного процесу.
Наприклад, у результаті нападу сервер безпосереднім збитком може бути:
4. Втрата чи пошкодження інформації.
5. Витрати на відновлення нормального функціонування сервера (витрати робочого часу, придбання нового ПЗ)
6. Втрата доходу внаслідок неможливості обслуговування клієнтів протягом часу, необхідного для відновлення роботи ураженого веб-серверу (падіння продажів, втрата репутації та довіри клієнтів).
Для оцінювання значення можливого збитку може бути використана п'ятибальна шкала якісного аналізу. Для того, щоб оцінка збитку містила економічний зміст, якісну шкалу можна пов'язати зі значенням безпосередніх фінансових втрат організації.
Табл. 2.11. Шкала оцінювання збитку
|
Значення збитку |
Збиток комерційним інтересам організації |
Фінансові втрати |
|
|
1 |
Незадоволення з боку клієнтів, незначна затримка в роботі. Невеликі проблеми, які не представляють інтерес для конкурентів. |
Менше 10 000 грн |
|
|
2 |
Втрата довіри деяких клієнтів та потенційних клієнтів, зниження рівня довіри. Проблеми, які не нанесуть великого збитку, але привернуть негативну увагу інвесторів та клієнтів. |
Від 10 000 до 100 000 грн |
|
|
3 |
Локальне розповсюдження негативної інформації про відділення банку, зниження рівня довіри з боку клієнтів. Представляє інтерес для конкурентів і приносить їм комерційну вигоду. |
Від 100 000 до 400 000 грн |
|
|
4 |
Негативна інформація про організацію розповсюджується засобами масової інформації, втрата довіри з боку частини клієнтів, довготривала зупинка роботи. |
Від 400 000 до 1 000 000 грн |
|
|
5 |
Втрата довіри з боку значної частини клієнтів, втрата основної частки ринку. |
Понад 1 000 000 грн |
3. Аналіз ризиків інформаційної безпеки філії відділення банку «Ощадбанк»
Конфіденційність
Загрози несанкціонованого доступу
|
Інформаційний актив |
Власник активу |
Місце розташування |
Категорія активу |
Загроза |
Джерело загроз |
Механізм реалізації загрози |
К1 |
К2 |
К3 |
К заг |
Збиток |
Ризик (%) |
|
|
Відомості про стан рахунків, готівкові вклади і номери рахунків клієнтів банку (фізичних і юридичних осіб) |
Касир, менеджер по роботі з клієнтами |
Приміщення №4, №9 (Бази даних) |
ЕК |
НСД до ресурсів організації |
Основний персонал |
Копіювання інформації на сторонні носії зберігання даних через відсутність обмеження на використання сторонніх носіїв інформації (не проведення інструктажів для працівників, невпроваджена політика безпеки) |
5 |
4 |
1 |
0,26 |
3 |
50 |
|
|
Впровадження зловмисного ПЗ |
Потрапляння с систему зловмисного ПЗ за допомогою сторонніх носіїв зберігання даних через відсутність відповідного ПЗ для захисту (антивірус), через відсутність обмеження на використання сторонніх носіїв інформації |
5 |
4 |
1 |
0,26 |
3 |
50 |
||||||
|
НСД до ресурсів організації |
Злодій |
Копіювання інформації за допомогою робочого комп'ютера менеджера по роботі з клієнтами через відсутність виходу з системи, коли залишається робоче місце |
4 |
4 |
2 |
0,26 |
3 |
78 |
|||||
|
Використання чужих ідентифікаторів користувачів |
Проникнення в приміщення та до комп'ютерного обладнання через відсутність електронних засобів перевірки ідентифікаторів працівників |
4 |
4 |
2 |
0,26 |
3 |
78 |
||||||
|
Логічні бомби, які переслані електронною поштою |
Хакер |
Впровадження вірусних програм, які можуть скопіювати дані через відсутність обмеження на скачування файлів з електронної пошти (непроведення інструктажів для працівників, невпроваджена політика безпеки) |
4 |
4 |
2 |
0,26 |
3 |
78 |
|||||
|
НСД до ресурсів організації |
Хакер |
Перехоплення паролів хакером при використанні спеціальних зловмисних програм, як результат несанкціонований доступ до даних через невикористання двоетапної ідентифікації |
4 |
4 |
2 |
0,26 |
3 |
78 |
|||||
|
Модифікація ПЗ |
Заміна пакетів корисної програми на пакети шкідливої програми, тим самим спричинивши зараження цим шкідливим ПЗ робочі станції працівників |
3 |
4 |
2 |
0,2 |
3 |
60 |
||||||
|
Використання чужого ідентифікатора постачальниками послуг |
Стороння особа |
Зчитування персональних даних клієнтів з бази даних користувачів через відсутність прав розмежування доступу до бази даних (поділ прав на розробку, підтримку чи внесення змін у базу даних) |
3 |
4 |
2 |
0,2 |
3 |
60 |
Фізичні загрози
|
Інформаційний актив |
Власник активу |
Місце розташування |
Категорія активу |
Загроза |
Джерело загроз |
Механізм реалізації загрози |
К1 |
К2 |
К3 |
К заг |
Збиток |
Ризик (%) |
|
|
Відомості про стан рахунків, готівкові вклади і номери рахунків клієнтів банку (фізичних і юридичних осіб) |
Касир, менеджер по роботі з клієнтами |
Касові приміщення, приймальна (бази даних) |
ЕК |
Фізичний несанкціонований доступ у приміщення |
Злодій |
Проникнення зловмисника, який може викрасти інформацію з робочих комп'ютерів працівників, в приміщення організації через вікно (в неробочий час), через відсутність грат на вікнах, через відсутність політики безпеки, яка б зобов'язала працівників встановити паролі на свої робочі станції |
3 |
4 |
2 |
0,2 |
3 |
60 |
|
|
Проникнення зловмисника, який може викрасти інформацію з робочих комп'ютерів працівників в приміщення організації через двері (в неробочий час), через відсутність грат на дверях |
3 |
4 |
2 |
0,2 |
3 |
60 |
|||||||
|
Проникнення зловмисника, який може отримати фізичний доступ до відомостей клієнтів в робочих комп'ютерах працівників, через відсутність сигналізації, через відсутність політики безпеки, яка б зобов'язала працівників встановити паролі на свої робочі станції |
4 |
4 |
2 |
0,26 |
3 |
78 |
|||||||
|
Проникнення зловмисника, який може отримати фізичний доступ до баз даних та бухгалтерську документацію, тому що не було використано внутрішню та зовнішню систему відео спостереження |
4 |
4 |
2 |
0,26 |
3 |
78 |
Нецільове використання комп'ютерного обладнання та мережі Інтернет співробітниками організації
|
Інформаційний актив |
Власник активу |
Місце розташування |
Категорія активу |
Загроза |
Джерело загроз |
Механізм реалізації загрози |
К1 |
К2 |
К3 |
К заг |
Збиток |
Ризик (%) |
|
|
Відомості про стан рахунків, готівкові вклади і номери рахунків клієнтів банку (фізичних і юридичних осіб) |
Касир, менеджер по роботі з клієнтами |
Касові приміщення, приймальна (бази даних) |
ЕК |
Використання мережевих засобів несанкціонованим чином |
Основний персонал |
Впровадження вірусних програм, які можуть скопіювати дані через відсутність обмеження на скачування файлів з електронної пошти (непроведення інструктажів для працівників, невпроваджена політика безпеки) |
4 |
4 |
2 |
0,26 |
3 |
78 |
|
|
Розголошення особистої інформації клієнтів організації, через засоби інтернет зв'язку, через непроведення інструктажів для працівників, невпроваджена політика безпеки |
4 |
4 |
2 |
0,26 |
3 |
78 |
|||||||
|
Необережне або умисне зловживання обладнанням |
Хакер |
Отримання зловмисником логіна та пароля працівника, через відсутність правил та рекомендацій по зберіганню даних для входу для працівників |
2 |
4 |
2 |
0,13 |
3 |
40 |
|||||
|
Системний адміністратор |
Встановлення зловмисного ПЗ на робочі станції, через відсутність політики безпеки, яка б зобов'язала працівників встановити паролі на свої робочі станції |
2 |
4 |
2 |
0,13 |
3 |
40 |
Загрози витоку конфіденційної інформації
|
Інформаційний актив |
Власник активу |
Місце розташування |
Категорія активу |
Загроза |
Джерело загроз |
Механізм реалізації загрози |
К1 |
К2 |
К3 |
К заг |
Збиток |
Ризик (%) |
|
|
Відомості про стан рахунків, готівкові вклади і номери рахунків клієнтів банку (фізичних і юридичних осіб) |
Касир, менеджер по роботі з клієнтами |
Касові приміщення, приймальна (бази даних) |
ЕК |
Порушення конфіденційності даних, що передаються мережами зв'язку |
хакер |
Перехоплення зловмисником конфіденційної інформації, що передається по внутрішній локальній мережі організації, через відсутність системи виявлення втручань (IDS) |
3 |
4 |
2 |
0,2 |
3 |
60 |
|
|
Витік конфіденційної інформації з мережі каналами зв'язку email тощо. |
Впровадження вірусних програм, які можуть скопіювати дані, через відсутність обмеження на скачування файлів з електронної пошти (не проведення інструктажів для працівників, невпроваджена політика безпеки) |
4 |
4 |
2 |
0,26 |
3 |
78 |
||||||
|
Ненавмисне розкриття конфіденційної інформації співробітниками організації |
Основний персонал |
Розкриття конфіденційної інформації про клієнтів, через використання стаціонарного телефону, не проведення інструктажів для працівників, невпроваджена політика безпеки |
2 |
4 |
2 |
0,13 |
3 |
40 |
|||||
|
Розкриття конфіденційної інформації партнерами організації |
Системний адміністратор |
Зчитування логінів та паролі з бази даних користувачів через відсутність прав розмежування доступу до бази даних (поділ прав на розробку, підтримку чи внесення змін у базу даних) |
3 |
4 |
2 |
0,2 |
3 |
60 |
Цілісність
Загрози несанкціонованого доступу
|
Інформаційний актив |
Власник активу |
Місце розташування |
Категорія активу |
Загроза |
Джерело загроз |
Механізм реалізації загрози |
К1 |
К2 |
К3 |
К заг |
Збиток |
Ризик (%) |
|
|
Відомості про стан рахунків, готівкові вклади і номери рахунків клієнтів банку (фізичних і юридичних осіб) |
Касир, менеджер по роботі з клієнтами |
Касові приміщення, приймальна (бази даних) |
ЕК |
Логічні бомби, які переслані електронною поштою |
Хакер |
Впровадження вірусних програм, які можуть порушити цілісність інформації, через відсутність обмеження на скачування файлів з електронної пошти (не проведення інструктажів для працівників, невпроваджена політика безпеки) |
4 |
4 |
3 |
0,4 |
3 |
100 |
|
|
Впровадження зловмисного ПЗ (віруси, троянські коні тощо) |
Персонал |
Потрапляння с систему зловмисного ПЗ за допомогою сторонніх носіїв зберігання даних через відсутність відповідного ПЗ для захисту (антивірус), через відсутність обмеження на використання сторонніх носіїв інформації |
4 |
4 |
3 |
0,4 |
3 |
100 |
|||||
|
Несанкціонований доступ (НСД) до ресурсів організації ЛВС з боку внутрішніх зловмисників |
Персонал |
Внесення змін інформації за допомогою робочого комп'ютера менеджера по роботі з клієнтами через відсутність виходу з системи, коли залишається робоче місце |
3 |
4 |
3 |
0,4 |
3 |
100 |
|||||
|
Модифікація ПЗ. |
Хакер |
Заміна пакетів корисної програми на пакети шкідливої програми, тим самим спричинивши зараження цим шкідливим ПЗ робочі станції працівників |
3 |
4 |
3 |
0,13 |
3 |
90 |
Загрози порушення цілісності та несанкціонованої модифікації даних
|
Інформаційний актив |
Власник активу |
Місце розташування |
Категорія активу |
Загроза |
Джерело загроз |
Механізм реалізації загрози |
К1 |
К2 |
К3 |
К заг |
Збиток |
Ризик (%) |
|
|
Відомості про стан рахунків, готівкові вклади і номери рахунків клієнтів банку (фізичних і юридичних осіб) |
Касир, менеджер по роботі з клієнтами |
Касові приміщення, приймальна (бази даних) |
ЕК |
Несанкціонована зміна системної конфігурації |
Системний адміністратор |
Несанкціонована модифікація конфігураційних файлів, під час тестування на вразливості, через відсутність політики безпеки |
4 |
4 |
3 |
0,4 |
3 |
100 |
|
|
Порушення цілісності систем та даних, у результаті помилок технічного персоналу |
Основний персонал |
Модифікація файлів даних, баз даних, звітів, через потрапляння в систему зловмисного ПЗ, через відсутність обмеження на використання сторонніх носіїв інформації (непроведення інструктажів для працівників, невпроваджена політика безпеки) |
2 |
4 |
3 |
0,2 |
4 |
80 |
|||||
|
Помилка персоналу технічної підтримки |
Хакер |
Потрапляння в систему зловмисного ПЗ, яке може модифікувати файли даних, бази даних, звітність, через відсутність антивірусного ПЗ |
2 |
4 |
3 |
0,2 |
4 |
80 |
|||||
|
Порушення цілісності систем |
Основний персонал |
Впровадження вірусних програм, які можуть змінювати дані через відсутність обмеження на скачування файлів з електронної пошти (непроведення інструктажів для працівників, невпроваджена політика безпеки) |
3 |
4 |
3 |
0,26 |
3 |
78 |
Фізичні загрози
|
Інформаційний актив |
Власник активу |
Місце розташування |
Категорія активу |
Загроза |
Джерело загроз |
Механізм реалізації загрози |
К1 |
К2 |
К3 |
К заг |
Збиток |
Ризик (%) |
|
|
Відомості про стан рахунків, готівкові вклади і номери рахунків клієнтів банку (фізичних і юридичних осіб) |
Касир, менеджер по роботі з клієнтами |
Касові приміщення, приймальна (бази даних) |
ЕК |
Фізичний несанкціонований доступ у приміщення |
Зловмисник |
Проникнення зловмисника, який може змінити файли баз даних в робочих комп'ютерах працівників, в приміщення організації через вікно (в неробочий час), через відсутність грат на вікнах, через відсутність політики безпеки, яка б зобов'язала працівників встановити паролі на свої робочі станції |
3 |
4 |
3 |
0,26 |
3 |
78 |
|
|
Проникнення зловмисника, який може змінити файли баз даних в робочих комп'ютерах працівників, в приміщення організації через вікно (в неробочий час), через відсутність грат на дверях, |
3 |
4 |
3 |
0,26 |
2 |
52 |
|||||||
|
Проникнення зловмисника, який може отримати фізичний доступ до відомостей клієнтів та змінити їх в робочих комп'ютерах працівників, через відсутність сигналізації |
2 |
4 |
3 |
0,2 |
3 |
60 |
|||||||
|
Проникнення зловмисника, який може отримати фізичний доступ до баз даних та бухгалтерську документацію, тому що не було використано внутрішню та зовнішню систему відео спостереження, через відсутність політики безпеки, яка б зобов'язала працівників встановити паролі на свої робочі станції |
2 |
4 |
3 |
0,2 |
4 |
80 |
Доступність
Загрози недоступності ІТ сервісів та руйнування (утрата) інформаційних активів
|
Інформаційний актив |
Власник активу |
Місце розташування |
Категорія активу |
Загроза |
Джерело загроз |
Механізм реалізації загрози |
К1 |
К2 |
К3 |
К заг |
Збиток |
Ризик (%) |
|
|
Відомості про стан рахунків, готівкові вклади і номери рахунків клієнтів банку (фізичних і юридичних осіб) |
Касир, менеджер по роботі з клієнтами |
Касові приміщення, приймальна (бази даних) |
ЕК |
Вплив на програмні засоби з метою порушення працездатності технічних засобів |
Основний персонал |
Впровадження вірусних програм, що можуть перенавантажувати внутрішню локальну мережу, що спричинить неможливість користування даними, через відсутність обмеження на скачування файлів з електронної пошти (непроведення інструктажів для працівників, невпроваджена політика безпеки) |
3 |
4 |
3 |
0,26 |
3 |
78 |
|
|
Внесення умисних змін у ПЗ та засоби спільного використання даних |
Системний адміністратор |
Несанкціонована зміна конфігурації сервера, що призведе до його не працеспроможності, через відсутність розмежування прав доступу до робочих станцій |
2 |
4 |
3 |
0,2 |
3 |
60 |
|||||
|
Вплив на технічні засоби з метою порушення працездатності технічних засобів |
Зловмисник |
Проникнення зловмисника, який може отримати фізичний доступ до технічного обладнання та суттєво пошкодити його, тому що не було використано внутрішню та зовнішню систему відео спостереження, |
2 |
4 |
3 |
0,2 |
3 |
30 |
|||||
|
Збій у системах інформаційної безпеки |
Зловмисник |
Відвідувачі філії, може спричинити пошкодження або повну відмову систем життєзабезпечення, що може спричинити відмову роботи ВЛС, через відсутність достатньої охорони та відеоспостереження |
3 |
4 |
3 |
0,26 |
2 |
52 |
|||||
|
Відключення електроенергії в приміщення філії, як результат відмова роботи ВЛС, бо не було встановлено додаткове джерело безперебійного живлення |
1 |
4 |
3 |
0,1 |
1 |
10 |
|||||||
|
Пошкодження носіїв інформації, шляхом прямого фізичного впливу на критичні частини носія інформації чи на носій в цілому, через відсутність конкретного договору про обслуговування сервісного обладнання |
2 |
2 |
3 |
0,1 |
3 |
30 |
|||||||
|
Атаки на відмову в обслуговуванні |
Системний адміністратор |
Може змінити конфігурацію мережевого обладнання, яке виділяються для підтримки інфраструктури філії відділення банку, через відсутність політики безпеки для партнерів по системному обслуговуванню філії |
3 |
4 |
3 |
0,26 |
3 |
52 |
|||||
|
Логічні бомби |
Хакер |
Впровадження логічної бомби в програму ПЗ, яка в певний час затирає всі дані, через відсутність політики безпеки для партнерів по системному обслуговуванню філії |
2 |
4 |
3 |
0,2 |
4 |
80 |
Актив №2
Конфіденційність
Загрози несанкціонованого доступу
|
Інформаційний актив |
Власник активу |
Місце розташування |
Категорія активу |
Загроза |
Джерело загроз |
Механізм реалізації загрози |
К1 |
К2 |
К3 |
К заг |
Збиток |
Ризик (%) |
|
|
Сервер |
«Ощадбанк» |
Приміщення №8 Серверне сховище в кабінеті директора |
ФЕП |
Розкриття паролів та іншої інформації автентифікації |
Персонал |
Несанкціонований обмін інформацією між працівникам за допомогою корпоративного поштового сервера, в результаті розголошення розповсюдження конфіденційної інформації, через не проведення інструктажів для працівників, невпроваджена політика безпеки |
3 |
4 |
3 |
0,26 |
2 |
52 |
|
|
НСД до ресурсів організації |
Читання залишкової інформації в пам'яті системи після виконання санкціонованих запитів, через відсутність прав розмежування доступу до бази даних (поділ прав на розробку, підтримку чи внесення змін у базу даних) |
3 |
2 |
3 |
0,15 |
1 |
15 |
||||||
|
Впровадження зловмисного ПЗ (віруси, троянські коні тощо) |
Потрапляння с систему зловмисного ПЗ за допомогою сторонніх носіїв зберігання даних через відсутність відповідного ПЗ для захисту (антивірус), через відсутність обмеження на використання сторонніх носіїв інформації |
2 |
4 |
3 |
0,2 |
3 |
60 |
||||||
|
Використання чужих ідентифікаторів користувачів |
Злодій |
Проникнення в приміщення та до серверного обладнання, як результат копіювання інформації на сторонні носії, через відсутність електронних засобів перевірки ідентифікаторів працівників |
2 |
4 |
3 |
0,2 |
3 |
60 |
|||||
|
Логічні бомби, які переслані електронною поштою |
Хакер |
Впровадження вірусних програм, які можуть скопіювати дані через відсутність обмеження на скачування файлів з електронної пошти (не проведення інструктажів для працівників, невпроваджена політика безпеки) |
2 |
4 |
3 |
0,2 |
4 |
80 |
|||||
|
НСД до ресурсів організації |
Основний персонал |
Копіювання інформації на сторонні носії зберігання даних через відсутність обмеження на використання сторонніх носіїв інформації (не проведення інструктажів для працівників, невпроваджена політика безпеки) |
3 |
4 |
3 |
0,26 |
3 |
78 |
|||||
|
Впровадження несанкціонованих зловмисних скриптів |
Хакер |
Взлом користувача поштового сервера та впровадження в ньому сторонніх скриптів, які можуть скопіювати приватні переписки та персональні данні працівників, через відсутність програм моніторингу трафіку та активності різних процесів |
2 |
4 |
3 |
0,2 |
4 |
80 |
|||||
|
Запровадження шкідливих скриптів, які можуть несанкціоновано скопіювати приватні переписки та персональні данні клієнтів, через відсутність програм моніторингу трафіку та активності різних процесів |
2 |
4 |
3 |
0,2 |
4 |
80 |
|||||||
|
Розкриття паролів |
Системний адміністратор |
Зчитування логінів та паролі з бази даних працівників через відсутність прав розмежування доступу до бази даних (поділ прав на розробку, підтримку чи внесення змін у базу даних) |
2 |
4 |
3 |
0,2 |
3 |
60 |
Фізичні загрози
|
Інформаційний актив |
Власник активу |
Місце розташування |
Категорія активу |
Загроза |
Джерело загроз |
Механізм реалізації загрози |
К1 |
К2 |
К3 |
К заг |
Збиток |
Ризик (%) |
|
|
Сервер |
«Ощадбанк» |
Приміщення №8 Серверне сховище в кабінеті директора |
ФЕП |
Фізичний несанкціонований доступ у приміщення |
Злодій |
Проникнення зловмисника, який може викрасти інформацію з робочих комп'ютерів працівників, в приміщення організації через вікно (в неробочий час), через відсутність грат на вікнах, через відсутність політики безпеки, яка б зобов'язала працівників встановити паролі на свої робочі станції |
2 |
4 |
3 |
0,2 |
3 |
60 |
|
|
Проникнення зловмисника, який може викрасти інформацію з робочих комп'ютерів працівників в приміщення організації через вікно (в неробочий час), через відсутність грат на дверях |
2 |
4 |
3 |
0,2 |
4 |
80 |
|||||||
|
Проникнення зловмисника, який може отримати фізичний доступ до відомостей клієнтів, через відсутність сигналізації, через відсутність політики безпеки, яка б зобов'язала працівників встановити паролі на свої робочі станції |
3 |
4 |
3 |
0,26 |
2 |
52 |
|||||||
|
Проникнення зловмисника, який може отримати фізичний доступ до баз даних та бухгалтерську документацію, тому що не було використано внутрішню та зовнішню систему відео спостереження |
3 |
4 |
3 |
0,26 |
3 |
78 |
Нецільове використання комп'ютерного обладнання та мережі Інтернет співробітниками організації
|
Інформаційний актив |
Власник активу |
Місце розташування |
Категорія активу |
Загроза |
Джерело загроз |
Механізм реалізації загрози |
К1 |
К2 |
К3 |
К заг |
Збиток |
Ризик (%) |
|
|
Сервер |
«Ощадбанк» |
Приміщення №8 Серверне сховище в кабінеті директора |
ФЕП |
Зловживання засобами оброблення інформації |
Персонал |
Несанкціонований обмін інформацією між працівникам за допомогою корпоративного поштового сервера, в результаті розголошення розповсюдження конфіденційної інформації, через не проведення інструктажів для працівників, невпроваджена політика безпеки |
2 |
4 |
3 |
0,2 |
2 |
40 |
|
|
Несанкціоноване використання програмного забезпечення |
Читання залишкової інформації в пам'яті системи після виконання санкціонованих запитів, через відсутність прав розмежування доступу до бази даних (поділ прав на розробку, підтримку чи внесення змін у базу даних) |
2 |
4 |
3 |
0,2 |
1 |
20 |
||||||
|
Використання мережевих засобів несанкціонованим чином |
Основний персонал |
Впровадження вірусних програм, які можуть скопіювати дані через відсутність обмеження на скачування файлів з електронної пошти (не проведення інструктажів для працівників, невпроваджена політика безпеки) |
2 |
4 |
3 |
0,2 |
3 |
60 |
|||||
|
Розголошення особистої інформації клієнтів організації, через засоби інтернет зв'язку, через не проведення інструктажів для працівників, невпроваджена політика безпеки |
3 |
4 |
3 |
0,26 |
3 |
78 |
|||||||
|
Необережне або умисне зловживання обладнанням |
Хакер |
Отримання зловмисником логіна та пароля працівника, через відсутність правил та рекомендацій по зберіганню даних для входу для працівників |
2 |
4 |
3 |
0,2 |
4 |
80 |
Загрози витоку конфіденційної інформації
|
Інформаційний актив |
Власник активу |
Місце розташування |
Категорія активу |
Загроза |
Джерело загроз |
Механізм реалізації загрози |
К1 |
К2 |
К3 |
К заг |
Збиток |
Ризик (%) |
|
|
Сервер |
«Ощадбанк» |
Приміщення №8 Серверне сховище в кабінеті директора |
ФЕП |
Порушення конфіденційності даних, що передаються мережами зв'язку |
Основний персонал |
Розкриття конфіденційної інформації про клієнтів, через використання стаціонарного телефону, не проведення інструктажів для працівників, невпроваджена політика безпеки |
3 |
4 |
3 |
026 |
3 |
78 |
|
|
Витік конфіденційної інформації з мережі каналами зв'язку email тощо. |
Хакер |
Впровадження вірусних програм, які можуть скопіювати дані, через відсутність обмеження на скачування файлів з електронної пошти (не проведення інструктажів для працівників, невпроваджена політика безпеки) |
3 |
4 |
3 |
0,26 |
3 |
78 |
|||||
|
Ненавмисне розкриття конфіденційної інформації співробітниками організації |
Перехоплення зловмисником конфіденційної інформації, що передається по внутрішній локальній мережі організації, через відсутність системи виявлення втручань (IDS) |
2 |
4 |
3 |
0,26 |
4 |
80 |
||||||
|
Розкриття конфіденційної інформації партнерами організації |
Системний адміністратор |
Зчитування логінів та паролі з бази даних користувачів через відсутність прав розмежування доступу до бази даних (поділ прав на розробку, підтримку чи внесення змін у базу даних) |
3 |
4 |
3 |
0,26 |
3 |
78 |
|||||
|
Перехоплення інформації, яка передається каналами зв'язку |
Хакер |
Перехоплення паролів працівників, які передаються каналами зв'язку, з метою її подальшого використання для обходження засобів мережевої автентифікації, через відсутність брандмауера у мережі філії відділення банку |
2 |
4 |
3 |
0,2 |
4 |
80 |
|||||
|
Перехоплення інформації, яка передається каналами зв'язку |
Хакер |
Віддалене несанкціоноване впровадження вірусних програм, які можуть скопіювати дані, через відсутність брандмауера у мережі філії відділення банку |
2 |
4 |
3 |
0,2 |
4 |
80 |
Цілісність
Загрози несанкціонованого доступу
|
Інформаційний актив |
Власник активу |
Місце розташування |
Категорія активу |
Загроза |
Джерело загроз |
Механізм реалізації загрози |
К1 |
К2 |
К3 |
К заг |
Збиток |
Ризик (%) |
|
|
Сервер |
«Ощадбанк» |
Приміщення №8 Серверне сховище в кабінеті директора |
ФЕП |
Впровадження зловмисного ПЗ (віруси, троянські коні тощо) |
Персонал |
Потрапляння с систему зловмисного ПЗ, що може модифікувати за допомогою сторонніх носіїв зберігання даних через відсутність відповідного ПЗ для захисту (антивірус), через відсутність обмеження на використання сторонніх носіїв інформації |
3 |
4 |
3 |
0,26 |
3 |
78 |
|
|
Логічні бомби, які переслані електронною поштою |
Хакер |
Впровадження вірусних програм, які можуть порушити цілісність інформації, через відсутність обмеження на скачування файлів з електронної пошти (не проведення інструктажів для працівників, невпроваджена політика безпеки) |
2 |
4 |
3 |
0,2 |
3 |
60 |
|||||
|
Несанкціонований доступ (НСД) до ресурсів організації ЛВС з боку внутрішніх зловмисників |
Персонал |
Внесення змін інформації за допомогою робочого комп'ютера менеджера по роботі з клієнтами через відсутність виходу з системи, коли залишається робоче місце |
2 |
4 |
3 |
0,2 |
4 |
80 |
|||||
|
Модифікація ПЗ. |
Хакер |
Заміна пакетів корисної програми на пакети шкідливої програми, тим самим спричинивши зараження цим шкідливим ПЗ робочі станції працівників |
1 |
4 |
3 |
0,1 |
4 |
40 |
Загрози порушення цілісності та несанкціонованої модифікації даних
|
Інформаційний актив |
Власник активу |
Місце розташування |
Категорія активу |
Загроза |
Джерело загроз |
Механізм реалізації загрози |
К1 |
К2 |
К3 |
К заг |
Збиток |
Ризик (%) |
|
|
Сервер |
«Ощадбанк» |
Приміщення №8 Серверне сховище в кабінеті директора |
ФЕП |
Несанкціонована зміна системної конфігурації |
Системний адміністратор |
Несанкціонована модифікація конфігураційних файлів, під час тестування на вразливості, через відсутність політики безпеки |
3 |
4 |
3 |
0,26 |
3 |
78 |
|
|
Порушення цілісності систем та даних, у результаті помилок технічного персоналу |
Основний персонал |
Модифікація файлів даних, баз даних, звітів, через потрапляння в систему зловмисного ПЗ, через відсутність обмеження на використання сторонніх носіїв інформації (непроведення інструктажів для працівників, невпроваджена політика безпеки) |
2 |
4 |
3 |
0,2 |
3 |
60 |
|||||
|
Помилка персоналу технічної підтримки |
Хакер |
Потрапляння в систему зловмисного ПЗ, яке може модифікувати файли даних, бази даних, звітність, через відсутність антивірусного ПЗ |
2 |
4 |
3 |
0,2 |
3 |
60 |
|||||
|
Порушення цілісності систем |
Основний персонал |
Впровадження вірусних програм, які можуть змінювати дані через відсутність обмеження на скачування файлів з електронної пошти (непроведення інструктажів для працівників, невпроваджена політика безпеки) |
1 |
4 |
3 |
0,13 |
4 |
52 |
Фізичні загрози
|
Інформаційний актив |
Власник активу |
Місце розташування |
Категорія активу |
Загроза |
Джерело загроз |
Механізм реалізації загрози |
К1 |
К2 |
К3 |
К заг |
Збиток |
Ризик (%) |
|
|
Сервер |
«Ощадбанк» |
Приміщення №8 Серверне сховище в кабінеті директора |
ФЕП |
Фізичний несанкціонований доступ у приміщення |
Зловмисник |
Проникнення зловмисника, який може змінити файли баз даних в робочих комп'ютерах працівників, в приміщення організації через вікно (в неробочий час), через відсутність грат на вікнах, через відсутність політики безпеки, яка б зобов'язала працівників встановити паролі на свої робочі станції |
2 |
4 |
3 |
0,2 |
3 |
60 |
|
|
Проникнення зловмисника, який може змінити файли баз даних в робочих комп'ютерах працівників, в приміщення організації через вікно (в неробочий час), через відсутність грат на дверях, |
3 |
4 |
3 |
0,26 |
3 |
78 |
|||||||
|
Проникнення зловмисника, який може отримати фізичний доступ до відомостей клієнтів та змінити їх в робочих комп'ютерах працівників, через відсутність сигналізації |
2 |
4 |
3 |
0,2 |
3 |
60 |
|||||||
|
Проникнення зловмисника, який може отримати фізичний доступ до баз даних та бухгалтерську документацію, тому що не було використано внутрішню та зовнішню систему відео спостереження, через відсутність політики безпеки, яка б зобов'язала працівників встановити паролі на свої робочі станції |
3 |
4 |
3 |
0,26 |
3 |
78 |
Доступність
Загрози недоступності ІТ сервісів та руйнування (утрата) інформаційних активів
|
Інформаційний актив |
Власник активу |
Місце розташування |
Категорія активу |
Загроза |
Джерело загроз |
Механізм реалізації загрози |
К1 |
К2 |
К3 |
К заг |
Збиток |
Ризик (%) |
|
|
Сервер |
«Ощадбанк» |
Приміщення №8 Серверне сховище в кабінеті директора |
ФЕП |
Внесення умисних змін у ПЗ та засоби спільного використання даних |
Зловмисник |
Проникнення зловмисника, який може змінити файли баз даних в робочих комп'ютерах працівників так, так що вона буде не читабельною (в неробочий час), через відсутність грат на вікнах, через відсутність політики безпеки, яка б зобов'язала працівників встановити паролі на свої робочі станції |
2 |
4 |
3 |
0,2 |
4 |
80 |
|
|
Вплив на технічні засоби з метою порушення працездатності технічних засобів |
Крадій |
Проникнення зловмисника, який може викрасти сервер, що спричинить несправність усієї внутрішньої локальної мережі, через відсутність грат на вікнах та сигналізації |
3 |
4 |
3 |
0,26 |
3 |
78 |
|||||
|
Вплив на програмні засоби з метою порушення працездатності технічних засобів |
Основний персонал |
Впровадження вірусних програм, що можуть перенавантажувати внутрішню локальну мережу, що спричинить неможливість користування даними, через відсутність обмеження на скачування файлів з електронної пошти (не проведення інструктажів для працівників, невпроваджена політика безпеки) |
3 |
4 |
3 |
0,26 |
4 |
100 |
|||||
|
Внесення умисних змін у ПЗ та засоби спільного використання даних |
Системний адміністратор |
Несанкціонована зміна конфігурації сервера, що призведе до його не працеспроможності, через відсутність розмежування прав доступу до робочих станцій |
3 |
4 |
3 |
0,26 |
3 |
78 |
|||||
|
Вплив на технічні засоби з метою порушення працездатності технічних засобів |
Зловмисник |
Проникнення зловмисника, який може отримати фізичний доступ до технічного обладнання та суттєво пошкодити його, тому що не було використано внутрішню та зовнішню систему відео спостереження, |
3 |
4 |
3 |
0,26 |
3 |
78 |
|||||
|
Збій у системах інформаційної безпеки |
Зловмисник |
Відвідувачі філії, може спричинити пошкодження або повну відмову систем життєзабезпечення, що може спричинити відмову роботи ВЛС, через відсутність достатньої охорони та відеоспостереження |
1 |
4 |
3 |
0,1 |
4 |
40 |
|||||
|
Відключення електроенергії в приміщення філії, як результат відмова роботи ВЛС, бо не було встановлено додаткове джерело безперебійного живлення |
1 |
4 |
3 |
0,1 |
4 |
40 |
|||||||
|
Пошкодження носіїв інформації, шляхом прямого фізичного впливу на критичні частини носія інформації чи на носій в цілому, через відсутність конкретного договору про обслуговування сервісного обладнання |
2 |
4 |
3 |
0,2 |
4 |
80 |
|||||||
|
Атаки на відмову в обслуговуванні |
Системний адміністратор |
Може змінити конфігурацію мережевого обладнання, яке виділяються для підтримки інфраструктури філії відділення банку, через відсутність політики безпеки для партнерів по системному обслуговуванню філії |
1 |
4 |
3 |
0,1 |
4 |
40 |
|||||
|
Логічні бомби |
Хакер |
Впровадження логічної бомби в програму ПЗ, яка в певний час затирає всі дані, через відсутність політики безпеки для партнерів по системному обслуговуванню філії |
1 |
4 |
3 |
0,1 |
4 |
40 |
Висновки
У даній роботі, провела опис об'єкта інформаційної безпеки, а саме - філія відділення «ОщадБанк» за такими критеріями: місце знаходження об'єкта, опис приміщення інформаційного об'єкта, опис системи електроживлення, опис системи опалення, опис інформаційної системи об'єкта, опис діяльності об'єкта, функціональні обов'язки працівників, реєстр інформаційних активів, фінансово-господарська діяльність.
Виходячи з опису я ідентифікувала найбільш критичні інформаційні активи, а саме: сервер; відомості про стан рахунків, готівкові вклади і номери рахунків клієнтів банку (фізичних і юридичних осіб). Провела оцінку імовірності реалізації загроз та вразливостей.
Размещено на Allbest.ru
Подобные документы
Забезпечення захисту інформації. Аналіз системи інформаційної безпеки ТОВ "Ясенсвіт", розробка моделі системи. Запобігання витоку, розкраданню, спотворенню, підробці інформації. Дослідження та оцінка ефективності системи інформаційної безпеки організації.
курсовая работа [1,6 M], добавлен 27.04.2014Опис інформації, яка захищається, її властивості, особливості як об’єкта права власності. Визначення інформаційної системи досліджуваного об’єкта, опис ресурсів, потоків. Структурна схема інформаційної системи. Проведення аналізу захищеності об’єкта.
курсовая работа [616,7 K], добавлен 18.05.2011Розробки локальної обчислювальної мережі для підприємства з використанням обладнання Cisco. Її тестування та налагодження в програмі Packet Tracer. Визначення програмного забезпечення та обладнання. Топологічна схема мережі. Розподіл адресного простору.
дипломная работа [2,3 M], добавлен 15.07.2015Криптографія – математичні методи забезпечення інформаційної безпеки та захисту конфіденційності. Огляд існуючих методів пошуку нових алгоритмів шифрування. Розробка системи оцінки ефективності криптографічних систем. Найпоширеніші методи шифрування.
дипломная работа [1,2 M], добавлен 13.06.2015Проектування інформаційної підсистеми імітаційного моделювання для системи масового обслуговування відділення банку ПАТ комерційний "Приватбанк". Дослідження теорії черг для аналізу та забезпечення функціонування відділень банків за допомогою мови GPSS.
дипломная работа [5,2 M], добавлен 06.06.2014Аналіз основних задач фінансового відділу і їх залежності від вхідної інформації. Розробка автоматизованої інформаційної системи з ціллю якісної обробки вхідних даних. Організація інформаційного, організаційного, технічного і програмного забезпечення АІС.
курсовая работа [463,7 K], добавлен 11.02.2014Здійснення адміністративних заходів з метою формування програми робіт в області інформаційної безпеки і забезпечення її виконання. Основні рівні політики безпеки, структурування її програми та синхронізація з життєвим циклом інформаційного сервісу.
презентация [144,4 K], добавлен 14.08.2013Поняття та характеритсики комп'ютерних мереж. Огляд існуючих варіантів побудови інформаційної системи для торгівельного підприємства. Побудова локальної мережі, загальної структури інформаційної системи, бази даних. Аналіз санітарно-гігієнічних умов.
курсовая работа [624,4 K], добавлен 19.05.2015Планування робочих місць. Cкладання плану приміщень. Розрахунок PDV та PVV. Вибір обладнання та програмного забезпечення для комп'ютерної мережі, типу кабельного з'єднання. Розрахунок довжини кабелю. Програмне забезпечення, загальна сума проекту.
курсовая работа [1,8 M], добавлен 03.06.2015Розробка елементів інформаційної системи для контролю експлуатації автотранспорту. Розробка програмного забезпечення в середовищі програмування Delphi з використанням пакету компонентів DevelopmentExpress та сервера баз даних під керуванням FireBird 2.1.
дипломная работа [4,3 M], добавлен 24.10.2012
