Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Анализ рисков информационной безопасности




Идентификация и оценка информационных активов

Идентифицируем информационные активы организации. Для этого сначала приведем понятие информационного актива.

Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении. У каждой организации свой набор активов, относящихся к тому или иному типу.

Рассмотрим информационные активы организации. Для более удобного рассмотрения активов сгруппируем их согласно типам.

1. Информация/данные.

- Данные о разработках;

- Персональные данные сотрудников;

- Данные по продукции.

2. Аппаратные средства.

- 8 серверов;

- 374 компьютера;

- 36 принтеров;

- 22 сканера.

3. Программное обеспечение.

- MS Office;

- SAP WMS;

- 1C: Предприятие;

- MS Windows XP/7

4. Документы.

- Контракты с вендорами;

- Контракты с клиентами;

- Бухгалтерская отчетность;

Рассмотрим выделенные активы более подробно, т.е. приведем форму представления, владельца актива, критерии определения стоимости и осуществим оценку активов.

В таблице 1.1. представлена информация по выделенным активам организации.

 


Таблица 1.1.

Оценка информационных активов предприятия

Вид деятельности Наименование актива Форма представления Владелец актива Критерии определения стоимости Размерность оценки
Количественная оценка Качественная
Информационные активы
Кадровое обеспечение Персональные данные сотрудников Электронная Специалист по кадрам Стоимость воссоздания 170 тыс. руб. Средняя
Реализация продукции Данные по продукции Электронная Бухгалтер Стоимость воссоздания 500 тыс. руб. Критическая
Активы аппаратного обеспечения
Обработка информации Сервера Материальная Системный администратор Первоначальная стоимость 300 тыс. руб. Критическая
Обработка информации Компьютеры Материальная Системный администратор Первоначальная стоимость 100 тыс. руб. Средняя
Обработка информации Принтеры Материальная Системный администратор Первоначальная стоимость 25 тыс. руб. Малая
Обработка информации Сканера Материальная Системный администратор Первоначальная стоимость 15 тыс. руб. Малая
Активы программного обеспечения
Обработка информации Microsoft Windows Электронная Системный администратор Стоимость воссоздания 15 тыс. руб. Малая
Обработка информации Microsoft Office Электронная Системный администратор Стоимость воссоздания 17 тыс. руб. Малая
Обработка информации 1C: Предприятие Электронная Системный администратор Стоимость воссоздания 120 тыс. руб. Средняя
Обработка информации SAP WMS Электронная Системный администратор Стоимость воссоздания 400 тыс. руб. Критическая
Физические активы
Реализация продукции Документация по разработкам Бумажная Менеджер по работе с клиентами Стоимость воссоздания 55 тыс. руб. Малая
Реализация продукции Контракты с клиентами Бумажная Менеджер по работе с клиентами Стоимость воссоздания 82 тыс. руб. Малая
Бухгалтерия Бухгалтерская отчетность Бумажная Бухгалтер Стоимость воссоздания 75 тыс. руб. Малая

Рассмотрим перечень информационных активов, обязательное ограничение доступа, к которым регламентируется законодательством РФ. Данный перечень представлен в таблице 1.2.

Таблица 1.2.

Перечень сведений конфиденциального характера

№ п/п Наименование сведений Гриф конфиденциальности Нормативный документ
  Данные контрагентов Коммерческая тайна Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»
  Данные по продажам Коммерческая тайна
  Документация по разработкам Коммерческая тайна
  Контракты с клиентами Коммерческая тайна
  Персональные данные сотрудников Персональные данные Федеральный закон «О персональных данных» (№ 152-ФЗ)

 

Подведем итоги ранжирования выделенных активов. Результаты ранжирования представлены в таблице 1.3.

Таблица 1.3.

Результаты ранжирования активов.

Наименование актива Ценность актива (ранг)
Данные контрагентов  
Данные по продажам  
8 серверов  
Персональные данные сотрудников  
Данные по продукции  
1C: Предприятие  
Компьютеры  
Microsoft Windows  
SAP WMS  
Microsoft Office  
Принтеры  
Сканеры  
Контракты с клиентами  
Бухгалтерская отчетность  

 

Итак, подводя итог можно сказать, что активы имеющие наибольшую ценность:

- Данные контрагентов;

- Данные по продажам;

- Сервера;

- Компьютеры;

- Персональные данные сотрудников;

- Данные по продукции;

- 1C: Предприятие;

- SAP WMS;

- Контракты с клиентами;

- Бухгалтерская отчетность

 

Остальные активы представляют минимальную ценность по сравнению с выделенными.

Сгруппируем активы «Принтеры» и «Сканеры» в группу «Принтеры и сканеры», также сгруппируем активы «Microsoft Windows» и «Microsoft Office» в группу «ПО Microsoft», а также все физические активы организации в группу «Документация», поскольку ранги ценности у данных активов одинаковы, а подобная группировка заметно упростит дальнейший анализ.

 

Оценка уязвимостей активов

Осуществим оценку уязвимостей выделенных активов предприятия. Результаты данной оценки представлены в таблице 1.4.

 


Таблица 1.4.

Результаты оценки уязвимости активов

Группа уязвимостей Данные контрагентов Данные по продажам Сервера Персональные данные сотрудников SAP WMS 1С: Предприятие Компьютеры Принтеры и сканеры ПО Microsoft Документация
1. Среда и инфраструктура
Ненадежная охрана здания     Низкая       Низкая Низкая   Низкая
Проблемы с электропитанием Средняя Средняя Низкая Низкая Низкая Низкая Низкая Низкая Низкая  
2. Аппаратное обеспечение
Передача или повторное использование средств хранения информации без надлежащей очистки     Средняя Средняя   Низкая Средняя          
3. Программное обеспечение
Недостаточное обслуживание носителей данных Средняя Средняя   Низкая Средняя       Низкая  
Отсутствие обновления программного обеспечения, используемого для защиты от вредоносного кода Высокая Высокая Высокая Высокая Высокая Высокая Высокая   Низкая  
4. Коммуникации
Незащищенные соединения с сетями общего пользования   Высокая Высокая Высокая Высокая Высокая Высокая Высокая      
5. Физический доступ
Незащищенное хранение     Низкая       Низкая Низкая   Низкая
6. Персонал
Неосведомленность в вопросах безопасности Средняя Средняя   Средняя Средняя Средняя Средняя   Низкая  
7. Общие уязвимые места
Внедрение аппаратных и программных закладок     Высокая   Высокая Высокая Высокая      

Оценка угроз активам

Угроза (потенциальная возможность неблагоприятного воздействия) обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему. В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно. Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий.

Оценка угроз безопасности производится экспертным путем в зависимости от текущего уровня информационной безопасности и вероятности реализации угроз.

Выделим угрозы активам организации, а также осуществим их оценку. Результаты данных действий представлены в таблице 1.5.

 

 


Таблица 1.5.

Результаты оценки угроз активам

Группа уязвимостей Данные контрагентов Данные по продажам Сервера Персональные данные сотрудников SAP WMS 1С: Предприятие Компьютеры Принтеры и сканеры ПО Microsoft Документация
1. Угрозы обусловленные преднамеренными действиями
Кража документов и других носителей Низкая Низкая   Низкая           Низкая
Подмена документов и других носителей Низкая Низкая   Низкая           Низкая
Уничтожение документов и других носителей Высокая Высокая   Высокая           Низкая
Несанкционированное копирование документов и носителей информации Низкая Низкая   Низкая Низкая Низкая       Низкая
Несанкционированное обращение к данным. Высокая Высокая   Высокая Низкая Низкая       Высокая
Раскрытие данных путем их выгрузки с носителя данных неуполномоченным лицом Низкая Низкая   Низкая Низкая         Низкая
2. Угрозы, обусловленные случайными действиями
Утечка информации из сети по каналам связи Низкая Низкая Низкая Низкая Низкая          
Неумышленное раскрытие информации сотрудниками компании Низкая Низкая Низкая Низкая Низкая         Низкая
Недостаточное обслуживание компьютерной техники   Высокая Высокая Высокая Высокая Высокая Высокая Высокая Высокая Высокая  
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)
Антропогенные катастрофы (взрыв, терроризм, вандализм, другие способы умышленного причинения ущерба) Низкая Низкая Низкая Низкая Низкая Низкая Низкая Низкая Низкая Низкая

 

 


1.2.4. Оценка существующих и планируемых средств защиты

Осуществим анализ уже используемых на предприятии средств защиты информации. Для этого необходимо провести анализ технической и программной архитектуры предприятия.

Под архитектурой компьютерной системы будем понимать концепцию организации информационной системы, ее элементы, а также характер взаимодействия этих элементов.

Целесообразно рассматривать отдельно техническую и программную архитектуру существующей информационной системы.

В компании довольно широко используются компьютерные средства. В техническую архитектуру входит:

- Сервера. Используются сервера, обеспечивающие создание и функционирование единой локальной сети.

- Рабочие станции. Около 380 рабочих станций, различных марок, производителей и с абсолютно различными техническими характеристиками, т.к. используются в подразделениях с различной направленностью.

- Ноутбуки. Используется порядка 20 ноутбуков, также различной производительности.

- Коммутаторы. Установлено 10 коммутаторов, необходимых для создания единой локальной сети.

- Модем-роутер. Используется для обеспечения всех компьютеров доступом к сети Интернет.

Схема технической архитектуры информационной системы представлена на рисунке 1.2.

 

Рис. 1.2. Техническое обеспечение предприятия

 

На рисунке 1.3 представлена схема программного обеспечения предприятия.

Рис. 1.3. Схема программного обеспечения

 

В компании используются операционные системы Windows 7 и XP от компании Microsoft. Интегрированные офисный пакет Microsoft 2003/2007. Интернет-браузер Google Chrome. Антивирусная защита представлена антивирусом Avast! Business Pro. Также используется информационная система «1С: Бухгалтерия», которая установлена на компьютерах бухгалтерии.

Рассмотрим защиту от физического проникновения. На рисунке 1.4 представлено здание главного офиса и расположение датчиков движения.

Рис. 1.4. Расположение датчиков движение

 

Исходя из представленных схем можно сделать вывод об относительно слабой защите с точки зрения физического проникновения, а также с точки зрения вирусных и хакерских атак

Подведем итог всех действий организации по обеспечению информационной безопасности. Сводная таблица анализа выполнения основных задач по обеспечению информационной безопасности представлена в таблице 1.6.

Таблица 1.6.

Анализ выполнения основных задач по обеспечению информационной безопасности

Основные задачи по обеспечению информационной безопасности Степень выполнения
Обеспечение безопасности производственно-торговой деятельности, защита информации, являющихся коммерческой тайной; Частично
Организация работы по правовой, организационной и инженерно-технической защите коммерческой тайны; Частично
Организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной; Частично
Предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну; Частично
Выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных ситуациях; Частично
Обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне; Не выполняется
Обеспечение охраны территории, зданий помещений, с защищаемой информацией. Частично

Оценка рисков

Осуществим оценку выделенных рисков. Результаты оценки активов приведены в таблице 1.7.

Таблица 1.7.

Результаты оценки рисков информационным активам организации

Риск Актив Ранг риска
Уничтожение документов и других носителей Данные контрагентов Высокий
Данные по продажам Высокий
Персональные данные сотрудников Высокий
Данные по продукции Высокий
Несанкционированное обращение к данным Данные контрагентов Высокий
Данные по продажам Высокий
Персональные данные сотрудников Высокий
Данные по продукции Высокий
Недостаточное обслуживание компьютерной техники Данные контрагентов Высокий
Данные по продажам Высокий
Персональные данные сотрудников Высокий
Данные по продукции Высокий
Программное обеспечение Высокий
Сервера Высокий
1С: Предприятие Высокий
SAP WMS Высокий
Компьютеры Высокий

 

Таким образом, основываясь на результатах проведенного анализа рисков угроз, можно сделать вывод, что в первую очередь необходимо повысить защиту информации от вирусных и хакерских атак, т.е. модернизировать существующую антивирусную защиту на предприятии. Уже в дальнейшем рекомендуется организации повысить и физическую безопасность активов организации.


 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...