- 3 -
Уровень 1. Нарушитель ИБ может узнать логин и пароль пользователя БД, что приводит к риску нарушения конфиденциальности и целостности данных. Доступность информации также может быть нарушена при использовании нарушителем ИБ средств, используемых в Интернет. Например, формирование некорректных пакетов, направленных на сервер Web и влекущих за собой крах службы. При реализации такой атаки происходит нарушение настроек Web-сервера доступ к системе управления базами данных (СУБД) отключается, работа системы останавливается [2]. Применение таких средств в сети интранет предприятия, изолированной от Интернет, создаёт большой риск раскрытия для нарушителя.
Уровень 2. Нарушитель ИБ должен суметь не только получить логин и пароль для доступа в систему, но и физический доступ к компьютеру пользователя, которому этот логин и пароль принадлежит или сымитировать этот компьютер. Нарушение конфиденциальности и целостности может быть ограниченным, так как доступ к редактированию и просмотру некоторых данных может быть недоступен для пользователя, под учётной записью которого вошёл нарушитель.
Уровень 3. Нарушителю ИБ, чтобы нарушить конфиденциальность информации надо не только получить доступ в систему, но и произвести дешифрование данных. Нарушителю ИБ требуется широкое знание аппаратных и программных средств, а также криптографии.
Произведём расчёт рисков по методике [3]:
ALE = SLE * ARO,
где:
SLE (Single Loss Exposure) – оценка ожидаемого возможного ущерба от единичной реализации определенной угрозы рассчитывается по формуле: SLE = AV * EF,
AV (Asset Value) – стоимость ресурса,
EF (Exposure Factor) – мера уязвимости ресурса к угрозе,
ARO (Annual Rate of Occurrence) – оценка вероятности реализации угрозы.
Значения параметров AV, EF, ARO ранжируем по шкале от 1 до 3 (низкая, средняя, высокая). На основе экспертных оценок, полагая, что стоимость информационного ресурса высокая (равна 3) получим результаты, представленные в таблице 1.
Таблица 1
| Угрозы | Уровни | ||||||||
| Первый | Второй | Третий | |||||||
| EF | ARO | ALE | EF | ARO | ALE | EF | ARO | ALE | |
| Доступности | 2 | 2 | 12 | 2 | 1 | 6 | 2 | 1 | 6 |
| Целостности | 3 | 3 | 27 | 3 | 2 | 18 | 2 | 1 | 6 |
| Конфиденциальности | 3 | 3 | 27 | 3 | 3 | 27 | 1 | 1 | 3 |
Из таблицы 1 видно, что если риски в части доступности снижаются в 2 раза по сравнению с первым уровнем, то риски нарушения целостности и конфиденциальности информации снижаются в 9 раз при использовании возможностей защиты информации СУБД MySQL третьего уровня. Поскольку ценность оперативной информации с течением времени снижается, то риск нарушения конфиденциальности на третьем уровне, с помощью дешифрования, будет находиться в диапазоне от 1 до 3.
Постоянный адрес статьи в Интернет: http://www.ispl.ru/Analiz_informatsionnoy_bezopasnosti_3.html
Ключевые слова: безопасность, риски, затраты, интранет, шифрование, СУБД, MySQL
Всё о безопасности
Главная
(C) Л.Точилов