Аннотация: Описан этап практического управления рисками информационной безопасности веб-ресурса в результате его использования в качестве среды и канала связи при стеганографическом обмене информацией. Возможность использования стеганографии на публичных интернет-ресурсах в качестве инструмента злоумышленников для обмена противоправными данными и реализации компьютерных атак установлена на основе имеющихся результатов исследований. Доказана актуальность разработки методов противодействия злонамеренному использованию стеганографических алгоритмов. Рассматриваются угрозы безопасности информации при использовании методов стеганографии согласно БДУ ИБ ФСТЭК. На их основе разработана четырехуровневая модель угроз веб-ресурса со стороны пользовательских данных, включающая в себя риски нарушения целостности, доступности, конфиденциальности и положений 374-ФЗ (поправок в 149-ФЗ «Об информации, информационных технологиях и о защите информации»). Учет положений 374-ФЗ демонстрирует проблему недоступности данных для проверки на вредоносный характер при их скрытом обмене. На основе разработанной модели практически оценивались риски веб-ресурса инструментом Microsoft Security Assessment Tool (MSAT), а также теоретически оценивались матрицами FRAP и CRAMM для демонстрации особенностей использования конкретного подхода в решении проблемы противодействия новому виду атак. Рассчитаны необходимые меры и компоненты митигации методами математического программирования для выявления минимального и наиболее оптимального количественного состава компонентов защиты от злонамеренного применения стеганографии. Данные меры и компоненты состоят из специалистов, их компетенций и программных инструментов, необходимых для качественной защиты веб-ресурса в рамках исследуемой научной проблемы использования нарушителем технологий защиты информации при осуществлении противоправной деятельности и дальнейшей разработке инструментов противодействия и анализа, поступающей на веб-ресурс данных.

Ключевые слова: стеганография, стеганографические атаки, скрытый обмен данными, управление рисками информационной безопасности, интернет, угрозы безопасности информации, FRAP, CRAMM, OCTAVE