— определить перечень угроз для этих объектов;
— рассчитать информационные риски.
Рассмотрев состав информационных ресурсов предприятия, определяем состав конфиденциальной информации:
— Сведения, составляющие коммерческую тайну;
— Сведения, содержащие персональные данные.
Получаем перечень сведений, составляющих конфиденциальную информацию (Приложение №2);
Также необходимо определить местоположение защищаемой информации на предприятии. Для этого составляется перечень объектов защиты (Приложение №5), включающий структурную графическую схему второго этажа в здании Администрации (Приложение №6), где проходит основной поток конфиденциальной информации.
Этапы построения КСЗИ.
Для создания комплексной системы защиты информации на предприятии необходимо провести ряд мероприятий:
Эти мероприятия может проводить как специально приглашённая фирма- исполнитель, так и служба безопасности предприятия (если она имеет лицензию на осуществление этой деятельности).
1.Стартовый (начальный).
— Получение согласия высшего руководства на создание КСЗИ.
— Разработка плана работ по созданию КСЗИ.
— Формирование команды по созданию КСЗИ.
В результате проведения этого этапа должны появиться следующие документы:
— Приказ о создании КСЗИ,
— план работ по созданию КСЗИ,
— приказ о формировании команды,
— приказ о проведении обследования предприятия.
2. Этап предпроектного обследования.
На этом этапе проводится обследование (аудит) предприятия.
— Инвентаризация объектов информатизации и персонала.
— Выявление информационных потоков.
— Моделирование бизнес-процессов.
— Разработка отчёта, в который должны входить: объекты защиты с точки зрения угроз, модели злоумышленников, ответственные за объекты информатизации, расчёт рисков, ранжирование рисков.
— Разработка технического задания на проектирование КСЗИ. В него входят ключевые объекты защиты, меры и средства защиты, требования по защите.
3. Проектирование.
— Создание системного проекта.
— Создание “Политики безопасности”.
— Проведение работ по созданию КСЗИ (технический проект с опорой на ресурсы, «Технический проект на создание КСЗИ» представляет собой комплект документов, в который входит часть документов разработанных на предыдущих этапах и ряд новых документов, в которых описано, как именно будет создаваться, эксплуатироваться и, в случае необходимости, модернизироваться КСЗИ).
— Создание рабочего проекта.
4. Внедрение
На этом этапе создаётся пакет документов «Эксплуатационная документация на КСЗИ», который включает:
— Инструкции эксплуатации КСЗИ и её элементов;
— Процедуры регламентного обслуживания КСЗИ;
— Правила и положения по проведению тестирования и анализа работы КСЗИ.
На этом этапе проводится все пусконаладочные работы, обучает и инструктирует персонал предприятия правилам и режимам эксплуатации КСЗИ. После реализации этого этапа внедренная КСЗИ готова к последующему испытанию. В процессе испытаний выполняются тестовые задания и контролируются полученные результаты, которые и являются индикатором работоспособности спроектированной КСЗИ. По результату испытания КСЗИ делается вывод относительно возможности представления КСЗИ на государственную экспертизу.
Расчет информационных рисков.
Критичность ресурса (D) – степень значимости ресурса. Отражает влияние реализации угрозы на работу информационной системы.
Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс. Задается в %.
Вероятность реализации угрозы через данную уязвимость в течении года (P(v)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях, указывается в %.
1. Объект защиты – автоматизированное рабочее место (АРМ) сотрудника.
Критерий критичности (D) равен 5000 рублей.
Таблица угроз и уязвимостей.
Угроза
Уязвимости
1.Физический доступ нарушителя к АРМ
1. Отсутствие системы контроля доступа служащих к чужим АРМам
2.Отсутствие системы видеонаблюдения
на предприятии
3. Несогласованность в системе охраны периметра задания
2.Разглашение КИ, хранящейся на АРМ
1.Отсутствие соглашения о неразглашении между Администрацией и служащими.
2.Нечеткое распределение ответственности между служащими
3.Разрушение КИ при помощи специальных программ и вирусов
1.Отсутствие или некорректная работа антивирусного ПО
2.Отсутствие ограничения доступа пользователей к внешней сети
Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V)) и критичности реализации угрозы (ER).
Угроза/уязвимость
P(V), %
ER,%
1/1
50
1/2
30
1/3
10
40
2/1
2/2
3/1
90
3/2
20
60
Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).
Th
CTh
0,25
0,975
0,15
0,04
0,12
0,296
0,2
0,09
0,199
Th=P(V)/100*ER/100
CTh=1-П(1-Th)
Рассчитаем общий уровень угроз по ресурсу:
CThR=1-П(1-CTh)=1-0,025*0,04*0,801=0,986
Рассчитаем риск по ресурсу:
R= CThR*D=0,986*7500=7395 (руб).
Объект защиты – сервер локальной сети.
Критерий критичности (D) равен 15000 рублей.
1.Физический доступ нарушителя к серверу
1.Неорганизованность контрольно-пропускного режима на предприятии
2.Отсутствие видеонаблюдения
2.Разглашение КИ, хранящейся на сервере
1.Отсутствие соглашения о нераспространении КИ
2. Нечеткое распределение ответственности между сотрудниками предприятия
Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V) и критичности реализации угрозы (ER).
70
80
Страницы: 1, 2, 3, 4, 5, 6
