Pastein: МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Саранский государственный промышленно экономически

Загрузка данных
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Саранский государственный промышленно экономический колледж

ПРАКТИЧЕСКАЯ РАБОТА № 2
«Анализ рисков»
Вариант 14

Выполнил:  
Студент группы ИСИП3Б
Служаев Кирилл Андреевич












Саранск  
2026 г

Содержание

1. Титульный лист ........................................................................ 1  
2. Содержание ............................................................................ 2  
3. Задание .................................................................................. 3
4. Обоснование выбора информационных активов организации ... 4  
5. Оценка ценности информационных активов ............................ 5  
6. Уязвимости системы защиты информации ............................... 6
7. Угрозы ИБ .............................................................................. 7
8. Оценка рисков ........................................................................ 8 
9. Выводы .................................................................................. 10














3. Задание
1.	Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Ч а с т ь  3 «Методы менеджмента безопасности информационных технологий»
2.	Ознакомьтесь с Приложениями  C, D и Е ГОСТа.
3.	Выберите три различных информационных актива организации (см. вариант). 
4.	Из Приложения D ГОСТа  подберите три конкретных уязвимости системы защиты указанных информационных активов. 
5.	Пользуясь Приложением С ГОСТа напишите три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости.
6.	Пользуясь одним из методов (см. вариант) предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности.
7.	Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы.
 

4. Обоснование выбора информационных активов организации
Организация: Агентство недвижимости.
В агентстве недвижимости основная деятельность связана с привлечением клиентов, показом объектов, подготовкой и заключением договоров купли-продажи и аренды. Поэтому были выбраны следующие три информационных актива:
1. База данных клиентов и объектов недвижимости (CRM-система, база в 1С или Excel).
2. Электронные документы договоров, отчёты и финансовые записи.
3. Корпоративный сайт и аккаунты на площадках объявлений (ЦИАН, Авито, Домклик и др.).
Обоснование:  
Данные активы содержат персональные данные граждан, коммерческую тайну и напрямую влияют на доход агентства. Их потеря, утечка или недоступность приведёт к значительным финансовым потерям, штрафам и потере репутации.
 
5. Оценка ценности информационных активов
Оценка ценности проведена на основе возможных потерь для организации (в соответствии с Приложением В ГОСТ Р ИСО/МЭК ТО 13335-3-2007).
- Актив 1 — База данных клиентов и объектов: Высокая (5 баллов). Утечка ПДн — штрафы по 152-ФЗ, потеря клиентской базы конкурентам, репутационные потери.
- Актив 2 — Документы договоров и финансовые записи: Критическая (5 баллов). Нарушение целостности или конфиденциальности может привести к срыву сделок, судебным искам и прямым убыткам в миллионы рублей.
- Актив 3 — Сайт и онлайн-платформы: Средняя/Высокая (4 балла). Недоступность сайта приводит к потере новых лидов (10–50 тыс. руб. в день).
 
6. Уязвимости системы защиты информации
1. Недостаточное управление паролями (использование простых, легко угадываемых паролей, отсутствие политики смены паролей, хранение паролей в незащищённом виде).
2. Незащищённая передача конфиденциальной информации (отправка договоров и сканов документов по обычной электронной почте, работа без VPN из общественных сетей).
3. Отсутствие или нерегулярное резервное копирование данных (нет проверенных бэкапов базы и документов).
 
7. Угрозы ИБ 
1. Для уязвимости №1:  
   Несанкционированный доступ к информационным системам путём подбора пароля или использования учётных данных других пользователей (D — преднамеренная угроза).
2. Для уязвимости №2:  
   Перехват информации в процессе передачи (D).
3. Для уязвимости №3:  
   Потеря данных вследствие вредоносного программного обеспечения (ransomware) или аппаратного сбоя (D/A).
 
8. Оценка рисков  
Оценка рисков проводилась методом ранжирования угроз по мерам риска.  
Использовалась формула:  
Мера риска = Ценность информационного актива × Вероятность реализации угрозы (с учётом существующей уязвимости).
Шкала оценки:  
- Ценность и вероятность оценивались по 5-балльной шкале (1 — низкая, 5 — очень высокая).
Результаты оценки:
1. Информационный актив: База данных клиентов и объектов недвижимости  
   Уязвимость: Плохое управление паролями  
   Угроза: Несанкционированный доступ  
   Ценность: 5  
   Вероятность: 4  
   Мера риска: 20  
   Уровень риска: Критический
2. Информационный актив: Договоры и финансовые документы  
   Уязвимость: Незащищённая передача информации  
   Угроза: Перехват информации  
   Ценность: 5  
   Вероятность: 3  
   Мера риска: 15  
   Уровень риска: Высокий
3. Информационный актив: Корпоративный сайт и онлайн-платформы  
   Уязвимость: Отсутствие резервного копирования  
   Угроза: Потеря данных (вследствие вредоносного ПО или аппаратного сбоя)  
   Ценность: 4  
   Вероятность: 4  
   Мера риска: 16  
   Уровень риска: Высокий
Вывод по оценке:  
Общий уровень риска информационной безопасности агентства недвижимости оценивается как высокий. Наиболее опасным является критический риск (мера риска 20) — несанкционированный доступ к базе данных клиентов. Два других риска также относятся к высокому уровню и требуют скорейшего принятия мер по их снижению.
 
9. Выводы
В рамках практической работы были изучены Приложения C, D и E ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Для агентства недвижимости выбраны три ключевых информационных актива, определены актуальные уязвимости и соответствующие им угрозы. 
С помощью метода ранжирования угроз по мерам риска (метод 2) проведена оценка рисков информационной безопасности. Выявлены критические и высокие риски, связанные в первую очередь с утечкой персональных данных и потерей важных документов.
Для снижения рисков рекомендуется:
- Ввести политику сложных паролей и двухфакторную аутентификацию.
- Обязать сотрудников использовать VPN при работе с конфиденциальной информацией.
- Настроить автоматическое резервное копирование с периодическим тестированием восстановления.
- Провести обучение персонала основам информационной безопасности.
Реализация данных мер позволит значительно снизить уровень рисков и обеспечить надёжную защиту информационных активов агентства недвижимости.
Список использованной литературы  
1. ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий».
Больше возможностей при регистрации:
