Методология анализа уязвимостей и оценки угроз в курсовой работе по информационной безопасности

В эпоху тотальной цифровизации количество и сложность кибератак неуклонно растут. Угрозы, такие как распределенные атаки на отказ в обслуживании (DDoS), вредоносное ПО и фишинг, стали повседневной реальностью для организаций любого масштаба. В этих условиях превентивный анализ защищенности информационных систем перестает быть просто технической задачей и превращается в ключевой элемент стратегии выживания бизнеса. Именно поэтому написание курсовой работы на эту тему требует глубокого и структурированного подхода. Целью данной работы является анализ уязвимостей конкретной информационной системы и разработка на его основе комплекса рекомендаций по их устранению. Для достижения этой цели необходимо решить следующие задачи: изучить теоретические основы и классификацию угроз, проанализировать актуальную нормативно-правовую базу РФ, освоить методику оценки угроз ФСТЭК России и применить полученные знания в ходе практического анализа объекта исследования.

Глава 1. Теоретические основы анализа угроз информационной безопасности

1.1. Как классифицируются угрозы и почему это важно для анализа

Для эффективного противодействия угрозам необходимо сначала их систематизировать. Классификация позволяет не только понять природу потенциальной атаки, но и выбрать адекватные методы защиты. В основе большинства подходов лежит так называемая триада безопасности, определяющая три ключевые категории угроз, направленных на нарушение фундаментальных свойств информации.

• Угрозы конфиденциальности: Направлены на несанкционированный доступ к защищенной информации. Примером может служить хищение персональных данных или коммерческой тайны.
• Угрозы целостности: Связаны с неавторизованным изменением или уничтожением данных. Это может быть как умышленное искажение финансовой отчетности, так и случайное повреждение базы данных.
• Угрозы доступности: Их цель — создание препятствий для легитимных пользователей в доступе к информации или ресурсам системы. Классический пример — DDoS-атака, перегружающая сервер и делающая его недоступным.

Однако эта базовая модель дополняется и другими критериями классификации, которые помогают детализировать картину рисков. Угрозы можно разделить:

1. По расположению источника: на внутренние (инсайдеры) и внешние (хакеры, конкуренты).
2. По объекту воздействия: на угрозы для оборудования, программного обеспечения, данных или пользователей.
3. По способам воздействия: например, несанкционированный доступ, внедрение вредоносного кода, отказ в обслуживании.

Понимание источника угрозы имеет критическое значение. Их принято делить на три большие группы: антропогенные (умышленные или случайные действия людей), техногенные (сбои оборудования, ошибки в ПО) и стихийные (пожары, наводнения и другие природные катаклизмы).

Такой системный подход к классификации угроз является первым и важнейшим шагом в анализе защищенности, поскольку он закладывает фундамент для выявления их первопричин — уязвимостей.

1.2. Что представляют собой источники и виды современных уязвимостей

Важно четко разграничивать понятия «угроза» и «уязвимость». Если угроза — это потенциальная возможность нанесения ущерба, то уязвимость — это конкретный недостаток или слабость в информационной системе, который позволяет этой угрозе реализоваться. Иными словами, уязвимость — это «открытая дверь», через которую может проникнуть угроза.

Источники уязвимостей многообразны. Часто они кроются в использовании программного обеспечения с уязвимыми компонентами — сторонними библиотеками или фреймворками, в которых были обнаружены, но не устранены ошибки безопасности. Другими распространенными источниками являются ошибки конфигурации серверов, слабые парольные политики, отсутствие своевременных обновлений и человеческий фактор.

Среди наиболее известных и опасных видов уязвимостей, которые эксплуатируются злоумышленниками, можно выделить:

• SQL-инъекции: Внедрение вредоносного SQL-кода через поля ввода данных на сайте, что позволяет атакующему получить прямой доступ к базе данных.
• Перехват паролей: Осуществляется с помощью вредоносных программ (троянов, кейлоггеров) или путем атак на каналы передачи данных, не защищенные шифрованием.
• Межсайтовый скриптинг (XSS): Внедрение вредоносного скрипта на веб-страницу, который выполняется в браузере пользователя и может использоваться для кражи сессионных данных или другой конфиденциальной информации.

Именно наличие таких уязвимостей делает систему восприимчивой к внешним и внутренним угрозам. Поэтому их систематический поиск и устранение — ключевая задача практической информационной безопасности, которая регулируется не только техническими стандартами, но и законодательством.

Глава 2. Нормативно-правовая и методическая база в области защиты информации

2.1. Какие законы РФ регулируют защиту данных и ответственность за их нарушение

Анализ уязвимостей — это не просто техническая процедура, а деятельность, строго регламентированная российским законодательством. Игнорирование правовых норм может привести к серьезным санкциям для организации. Ключевым документом в этой сфере является Федеральный закон № 152-ФЗ «О персональных данных» от 27 июля 2006 года.

Этот закон устанавливает фундаментальные правила игры для всех, кто имеет дело с информацией о физических лицах. Он регулирует широкий спектр действий, определяемых как «обработка персональных данных», куда входят:

• сбор,
• запись и систематизация,
• хранение и уточнение,
• использование и передача,
• обезличивание, блокирование и уничтожение.

Фактически любое действие с данными граждан подпадает под его регулирование. Закон обязывает операторов персональных данных (ПДн) принимать необходимые правовые, организационные и технические меры для защиты этой информации от неправомерного доступа. Особо важное требование, введенное позднее Федеральным законом № 242-ФЗ, заключается в обязательной локализации баз данных, содержащих ПДн россиян, на территории Российской Федерации.

За несоблюдение этих требований предусмотрены различные виды ответственности. В зависимости от тяжести нарушения и его последствий, она может быть гражданской (возмещение убытков), дисциплинарной (увольнение), административной (штрафы) и даже уголовной.

Таким образом, законодательство не только определяет, *что* нужно защищать, но и создает правовую основу для привлечения к ответственности. Однако для понимания того, *как именно* проводить оценку защищенности, необходимо обратиться к методическим документам регуляторов.

2.2. Как методология ФСТЭК России определяет процесс оценки угроз

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) является одним из ключевых регуляторов в области информационной безопасности в стране. Именно она разрабатывает и утверждает методические документы, которые служат стандартом для проведения оценки защищенности информационных систем.

Центральным документом, который должен стать настольной книгой для студента, пишущего курсовую по данной теме, является «Методика оценки угроз безопасности информации», утвержденная ФСТЭК России 5 февраля 2021 года. Этот документ предлагает структурированный и последовательный подход к анализу рисков. Процесс оценки, согласно методике, включает в себя несколько ключевых этапов:

1. Формирование экспертной группы: Создание команды специалистов, обладающих необходимыми знаниями об архитектуре анализируемой системы и потенциальных векторах атак.
2. Определение источников угроз: Анализ и описание потенциальных нарушителей (внешних и внутренних) и других источников, таких как техногенные сбои или стихийные бедствия.
3. Оценка способов реализации угроз: Детальное рассмотрение возможных сценариев атак на компоненты системы с использованием выявленных уязвимостей.
4. Определение актуальности угроз: Финальный этап, на котором экспертная группа оценивает вероятность реализации каждой угрозы и возможный ущерб, после чего принимает решение, является ли угроза актуальной для данной системы.

Конечная цель всего этого процесса — не просто составить список гипотетических опасностей, а провести оценку эффективности защиты. Эта оценка должна подтвердить, что применяемые в организации меры безопасности являются достаточными и соответствуют требованиям законодательства. Освоив эту методологию, студент получает мощный инструмент для проведения практической части своего исследования.

Глава 3. Практический анализ уязвимостей и оценка угроз для [Название объекта исследования]

3.1. Описание объекта исследования и его ключевых компонентов

В качестве объекта для практического анализа рассмотрим информационную систему (ИС) вымышленной компании «Логис-Карго», предназначенную для обработки заказов на грузоперевозки. Основное назначение системы — сбор, хранение и обработка заявок от клиентов, включая их персональные данные (ФИО, контактный телефон, адрес).

Архитектура ИС включает в себя несколько ключевых компонентов, каждый из которых может стать объектом атаки:

• Веб-сервер: Обеспечивает работу публичного сайта, через который клиенты оставляют заявки. Является основной точкой входа для внешних атак.
• Сервер баз данных (СУБД): Хранит всю критически важную информацию, включая базу клиентов с их персональными данными и историю заказов.
• Внутренняя корпоративная сеть: Объединяет рабочие места менеджеров, имеющих доступ к системе для обработки заявок.
• Сетевое оборудование: Маршрутизаторы и межсетевые экраны, которые управляют потоками данных между компонентами системы и внешним миром.

К обрабатываемой в системе информации относятся персональные данные клиентов, что автоматически подводит деятельность компании под действие ФЗ-152 и накладывает повышенные требования к ее защите. Четкое понимание структуры и назначения каждого компонента является необходимым условием для последующего моделирования угроз.

3.2. Как провести оценку и смоделировать актуальные угрозы

Применим методологию ФСТЭК для анализа ИС «Логис-Карго». Процесс будет состоять из последовательных шагов, основанных на методах анализа, сравнения и моделирования.

Шаг 1: Определение источников угроз.
Выделим две основные группы потенциальных нарушителей:

• Внешний нарушитель: Злоумышленник без легитимного доступа к системе, действующий из сети Интернет. Его цель — кража базы данных клиентов для последующей продажи или использования в мошеннических схемах.
• Внутренний нарушитель: Нелояльный сотрудник (менеджер), имеющий легитимный доступ к ИС. Его цель может заключаться в умышленном искажении данных или копировании клиентской базы для передачи конкурентам.

Шаг 2: Выявление потенциальных уязвимостей.
На основе анализа компонентов ИС из пункта 3.1 можно составить следующий перечень уязвимостей:

1. Уязвимость веб-приложения к SQL-инъекциям из-за недостаточной фильтрации входящих данных в форме заявки.
2. Использование на рабочих местах менеджеров простых, легко подбираемых паролей (слабая парольная политика).
3. Отсутствие сегментации в локальной сети, что позволяет при компрометации одного рабочего места получить доступ к другим ресурсам.
4. Несвоевременное обновление программного обеспечения на веб-сервере, что оставляет его уязвимым к известным атакам.

Шаг 3: Построение модели угроз и оценка их актуальности.
Теперь свяжем источники, уязвимости и возможные последствия.

Угроза 1 (актуальная): Внешний нарушитель реализует атаку типа «SQL-инъекция» через публичный сайт, эксплуатируя уязвимость в веб-приложении. Вероятность: высокая, так как это распространенный тип атаки. Возможный ущерб: критический, так как приведет к полной утечке базы персональных данных клиентов, что повлечет за собой финансовые потери и репутационный урон.

Угроза 2 (актуальная): Внутренний нарушитель, зная или подобрав пароль коллеги, получает несанкционированный доступ к данным, превышающий его полномочия. Вероятность: средняя. Возможный ущерб: существенный, так как может привести к утечке или порче данных.

Влияние параметров системы на размер ущерба очевидно: чем больше база клиентов, тем выше финансовые и репутационные потери от ее утечки. Таким образом, обе смоделированные угрозы признаются актуальными и требуют разработки мер по их нейтрализации.

3.3. Разработка практических рекомендаций по нейтрализации угроз

На основе выявленных актуальных угроз необходимо разработать комплекс мер, направленных на повышение уровня защищенности ИС «Логис-Карго». Эти меры целесообразно разделить на две группы: организационные и технические.

Организационные меры:
Эти меры направлены на создание и поддержание режима информационной безопасности на уровне политик и процедур.

1. Разработка и внедрение «Политики парольной защиты»: Документ должен устанавливать требования к сложности паролей (длина, наличие спецсимволов), периодичности их смены и запрету на использование одинаковых паролей в разных системах.
2. Обучение персонала: Проведение регулярных инструктажей для сотрудников по основам информационной безопасности, включая правила безопасной работы с паролями, электронной почтой и выявления признаков фишинга.
3. Введение режима коммерческой тайны: Юридическое закрепление статуса клиентской базы как конфиденциальной информации с установлением ответственности за ее разглашение.

Технические меры:
Это конкретные шаги по настройке оборудования и программного обеспечения, реализуемые с помощью средств защиты информации (СЗИ).

• Для нейтрализации угрозы SQL-инъекции: Необходимо провести аудит кода веб-приложения и внедрить параметризованные запросы (prepared statements) для взаимодействия с базой данных. Дополнительно рекомендуется использовать межсетевой экран уровня приложений (Web Application Firewall, WAF), который будет фильтровать вредоносные запросы.
• Для усиления контроля доступа: Внедрить двухфакторную аутентификацию для доступа сотрудников в ИС. Провести сегментацию локальной сети, выделив сервер баз данных в отдельный, изолированный сегмент с жестко ограниченным доступом.
• Регулярное обновление ПО: Внедрить процесс управления обновлениями (patch management) для своевременной установки патчей безопасности на все компоненты системы.

Важнейшим завершающим этапом является организация постоянного контроля эффективности защиты. Это включает в себя регулярные проверки на уязвимости (сканирование) и анализ журналов событий для своевременного обнаружения подозрительной активности. Только такой комплексный подход позволит адекватно противостоять современным киберугрозам.

В ходе выполнения данной курсовой работы была достигнута поставленная цель: проведен комплексный анализ уязвимостей и разработаны рекомендации по их устранению. Были решены все поставленные задачи. В первой главе были изучены теоретические основы, включая классификацию угроз по триаде «конфиденциальность, целостность, доступность». Во второй главе была проанализирована нормативно-правовая база, в частности, ключевая роль ФЗ-152 «О персональных данных», и детально рассмотрена методология оценки угроз ФСТЭК России. В практической части эти знания были применены для анализа гипотетической информационной системы. Были смоделированы ключевые актуальные угрозы, такие как SQL-инъекция и несанкционированный доступ со стороны инсайдера. На основе этого анализа был предложен конкретный перечень организационных и технических мер, включая внедрение WAF, двухфакторной аутентификации и разработку внутренних политик безопасности. Финальный вывод заключается в том, что предложенные меры, в случае их комплексного внедрения, позволят существенно повысить уровень защищенности объекта исследования и минимизировать риски, связанные с реализацией актуальных угроз.

Список использованной литературы

1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях по защите информации».
2. Федеральный Закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
3. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями от 25 ноября, 27 декабря 2009 г.).
4. Федеральный закон от 16 февраля 1995 г. № 15-ФЗ «О связи» (в ред. от 17 июля 1999 г.).
5. Положение «О методах и способах защиты информации в информационных системах персональных данных» (Приказ ФСТЭК от 5 февраля 2010 г. № 58)
6. Постановление правительства Российской Федерации № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17.11.2007 г.
7. Постановление Правительства РФ от 16 апреля 2012 г. № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»
8. Приказ ФСТЭК № 58 «Положения о методах и способах защиты информации в информационных системах персональных данных» от 05.02.2010 г.
9. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утв. заместителем директора ФСТЭК России от 14.02.2008 г.
10. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утв. заместителем директора ФСТЭК России от 15.02.2008 г.
11. Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» (утв. приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 г. № 447-ст).
12. Государственный стандарт Российской Федерации ГОСТ Р 6.30-2003 «Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов» (принят и введен в действие постановлением Госстандарта России от 3 марта 2003 г. № 65-ст).