 |
Обоснование выбора программного пакете «ГРИФ»
|
|
|
|
«ГРИФ 2006» - комплексная система анализа и управления рисками информационной системы компании. «ГРИФ 2006» дает полную картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную стратегию защиты информации.
Система «ГРИФ» позволяет:
анализировать уровень защищенности всех ценных ресурсов;
оценивать возможный ущерб, который понесет компания в результате реализации угроз информационной безопасности;
эффективно управлять рисками при помощи выбора контрмер, наиболее оптимальных по соотношению цена/качество.
В сравнении с другими системами анализа и управления рисками «ГРИФ» представляет собой наиболее доступное и достойное решение для расчета риска информационной безопасности системы за счет использования модели информационных потоков - модели информационной системы организации, которая рассматривает средства защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, влияние прав доступа групп пользователей, организационные меры, модель исследует защищенность каждого вида информации.
Одним из важнейших преимуществ системы «ГРИФ» является то, что она содержит модуль управления рисками, который позволяет проанализировать все причины того значения риска, получаемый после обработки алгоритмом занесенных данных. Таким образом, зная причины, можно обладать всеми данными, необходимыми для реализации контрмер и, соответственно, снижения уровня риска.
Благодаря расчету эффективности каждой возможной контрмеры, а также определению значения остаточного риска, можно выбрать наиболее оптимальные контрмеры, которые позволят снизить риск до необходимого уровня с наименьшими затратами.
|
|
|
В результате работы алгоритма программа представляет подробный отчет об уровне риска каждого ценного ресурса информационной системы, все причины риска с подробным анализом уязвимостей и оценкой экономической эффективности всех возможных контрмер.
Таким образом, достоинства системы анализа и управления рисками «ГРИФ» позволяют принять данный продукт в качестве решения для оценки рисков нарушения информационной безопасности защищаемой системы.
Расчет риска нарушения информационной безопасности в системе защиты информации до модернизации
Исходные данные о системе
Анализ рисков информационной безопасности осуществляется с помощью построения модели информационной системы организации. Для этого определяется информация, которая циркулирует в организации, ее уровень критичности и ценность (табл. 2.1).
Таблица 2.1 - Виды информации
| № | Вид информации | Уровень критичности | Ценность информации |
| 1 | Сведения о состоянии ресурсов и оборудования нефтехимического комплекса | Повышенный | 60 |
| 2 | Сведения о плане ремонта объектов нефтехимического комплекса; сведения о реформировании инженерно-сервисного комплекса | Повышенный | 55 |
| 3 | Организационная информация | Базовый | 30 |
| 4 | Сведения о результатах аудиторских проверок | Повышенный | 60 |
| 5 | Сведения в финансовой сфере деятельности предприятия | Высокий | 75 |
| 6 | Сведения о составе затрат в стоимости продукции | Высокий | 80 |
| 7 | Сведения об инвестиционной политике предприятия | Высокий | 100 |
| 8 | Сведения о стратегиях развития бизнеса | Высокий | 90 |
| 9 | Сведения о бухгалтерской и налоговой отчетности | Повышенный | 50 |
| 10 | Сведения о планируемых объемах выработки и квотах на поставку нефтехимической продукции; сведения о результатах тендеров, закупочной деятельности | Повышенный | 45 |
| 11 | Сведения о топологии и составе оборудования корпоративной сети передачи данных | Повышенный | 55 |
| 12 | Сведения об организации системы обеспечения безопасности на предприятии | Высокий | 75 |
| 13 | Сведения, касающиеся юридических вопросов деятельности предприятия | Повышенный | 60 |
|
|
|
Для анализа рисков также необходимо знать месторасположения ресурсов, на которых находится ценная информация, к каким отделам и сетевым группам они принадлежат (Табл. 2.2).
Таблица 2.2 - Наименование отделов
| № | Название отдела | Ресурсы | Сетевые группы |
| 1 | Зам. директора | Рабочие станции | Сегмент 4 |
| 2 | Бухгалтерия | Рабочие станции | Сегмент 4 |
| 3 | Служба экономического планирования | Рабочие станции | Сегмент 5 |
| 4 | Служба эксплуатации и ремонта | Рабочие станции | Сегмент 3 |
| 5 | Служба внутреннего контроля | Рабочие станции | Сегмент 3 |
| 6 | Служба финансового контроля | Рабочие станции | Сегмент 4 |
| 7 | Служба стратегического развития | Рабочие станции | |
| 8 | IT отдел | Рабочие станции, Сервер технологических приложений, Сервер БД, Сервер 1С, Контроллер домена, Почтовый и внутренний WEB сервер | Сегмент 2, |
| 9 | Служба экономической безопасности и защиты информации | Рабочие станции | Сегмент 5 |
| 10 | Серверная | DNS сервер, WEB сервер, PROXY сервер | Сегмент 1 |
Определение групп пользователей и их класса также необходимо для оценки риска информации (Табл. 2.3).
Таблица 2.3 - Группы пользователей
| № | Имена групп пользователей | Класс |
| 1 | Зам. директора | Топ-менеджеры |
| 2 | Сотрудники бухгалтерия | Пользователи |
| 3 | Сотрудники службы экономического планирования | Пользователи |
| 4 | Сотрудники службы эксплуатации и ремонта | Пользователи |
| 5 | Сотрудники службы внутреннего контроля | Пользователи |
| 6 | Сотрудники службы финансового контроля | Пользователи |
| 7 | Сотрудники службы стратегического развития | Пользователи |
| 8 | IT отдел | Системные администраторы |
| 9 | Сотрудники службы экономической безопасности и защиты информации | Пользователи |
| 10 | Анонимные пользователи из Интернет | Анонимные пользователи из Интернет |
Описание бизнес-процессов и видов информации, которые в них используются, а также групп пользователей, которые имеют доступ к информации, представлено в таблице 2.4.
Таблица 2.4 - Бизнес-процессы
|
|
|
| № | Название бизнес-процесса | Вид информации | Группа пользователей |
| 1 | Ремонт объектов нефтехимического производства | Сведения о плане ремонта объектов нефтехимического комплекса; сведения о реформировании инженерно-сервисного комплекса | Сотрудники службы эксплуатации и ремонта |
| 2 | Модернизация предприятия | Сведения о состоянии ресурсов и оборудования нефтехимического комплекса, Сведения о стратегиях развития бизнеса | Сотрудники службы эксплуатации и ремонта, Зам. директора |
| 3 | Формирование налоговой и финансовой отчетности | Сведения о результатах аудиторских проверок, Сведения о бухгалтерской и налоговой отчетности | Сотрудники службы внутреннего контроля, |
| 4 | Бюджетирование | Сведения в финансовой сфере деятельности предприятия | Сотрудники бухгалтерии, Зам. директора |
| 5 | Инвестирование | Сведения об инвестиционной политике предприятия | Сотрудники службы экономического планирования, Зам. директора |
| 6 | Формирование цен и дистрибуция | Сведения в финансовой сфере деятельности предприятия, Сведения о составе затрат в стоимости продукции | Сотрудники службы финансового контроля, Сотрудники бухгалтерии, Сотрудники службы финансового контроля |
| 7 | Участие в тендерах | Сведения о планируемых объемах выработки и квотах на поставку нефтехимической продукции; сведения о результатах тендеров, закупочной деятельности | Сотрудники службы экономического планирования |
| 8 | Исполнение принятой политики безопасности | Сведения об организации системы обеспечения безопасности на предприятии, Сведения, касающиеся юридических вопросов деятельности предприятия, Организационная информация | Сотрудники службы экономической безопасности и защиты информации |
Исходя из предоставленных данных, можно построить модель информационной системы организации (Табл. 2.5), на основе которой будет проведен анализ защищенности каждого вида информации на ресурсе.
Таблица 2.5 - Сводная таблица сведений об информационной системе до модернизации
| Бизнес-процессы | Вид информации | Группа пользователей | Сетевые устройства | Средства защиты ресурса | Средства защиты информации |
| Модернизация предприятия | Сведения о состоянии ресурсов и оборудования нефтехимического комплекса | Сотрудники службы эксплуатации и ремонта, Зам. директора | Коммутатор C3, Коммутатор С4, Коммутатор C2 | Дверь с замком Пропускной режим Видеонаблюдение | Антивирус Разграничение доступа ОС |
| Ремонт объектов нефтехимического производства | Сведения о плане ремонта объектов нефтехимического комплекса; сведения о реформировании инженер-но-сервис-ного комплекса | Сотрудники службы эксплуатации и ремонта | Коммутатор C3, Коммутатор C2 | Дверь с замком Пропускной режим Видеонаблюдение | Антивирус Разграничение доступа ОС |
| Формирование налоговой и финансовой отчетности | Сведения о результа-тах ауди-торских проверок | Сотрудники службы внутреннего контроля, Сотрудники бухгалтерии, Зам. директора | Коммутатор C4, Коммутатор C3, Коммутатор С4 | Дверь с замком Пропускной режим Видеонаблюдение | Антивирус Разграничение доступа ОС |
| Формирование цен и дистрибуция | Сведения в финансовой сфере деятель-ности предприя-тия | Сотрудники службы финансового контроля, Сотрудники бухгалтерии, Сотрудники службы финансового контроля | Коммутатор C4, Коммутатор C3, Коммутатор C2 | Дверь с замком Пропускной режим Видеонаблюдение | Антивирус Разграничение доступа ОС |
| Формирование цен и дистрибуция | Сведения о составе затрат в стоимости продукции | Сотрудники службы финансового контроля, Сотрудники бухгалтерии | Коммутатор C4, Коммутатор C3, Коммутатор C2 | Дверь с замком Пропускной режим Видеонаблюдение | Антивирус Разграничение доступа ОС |
| Инвестирование | Сведения об инвестиционной политике предприятия | Сотрудники службы экономического планирования, Зам. директора | Коммутатор C4, Коммутатор C5 | Дверь с замком Пропускной режим Видеонаблюдение | Антивирус Разграничение доступа ОС |
| Модернизация предприятия | Сведения о стратегиях развития бизнеса | Сотрудники службы эксплуатации и ремонта, Зам. директора | Коммутатор C3, Коммутатор C4 | Дверь с замком Пропускной режим Видеонаблюдение | Антивирус Разграничение доступа ОС |
| Формирование налоговой и финансовой отчетности | Сведения о бухгалтерской и налоговой отчетности | Сотрудники службы внутреннего контроля, Сотрудники бухгалтерии, Зам. директора | Коммутатор C4, Коммутатор C2 | Дверь с замком Пропускной режим Видеонаблюдение | Антивирус Разграничение доступа ОС |
| Участие в тендерах | Сведения о планируемых объемах выработки и квотах на поставку нефтехимической продукции; сведения о результатах тендеров, закупочной деятельности | Сотрудники службы экономического планирования | Коммутатор C5 | Дверь с замком Пропускной режим Видеонаблюдение | Антивирус Разграничение доступа ОС |
| Исполнение принятой политики безопасности | Сведения об организации системы обеспечения безопасности на предприятии | Сотрудники службы экономической безопасности и защиты информации | Коммутатор C5 | Дверь с замком Пропускной режим Видеонаблюдение | Антивирус Разграничение доступа ОС |
| Исполнение принятой политики безопасности | Сведения, касающиеся юридических вопросов деятельности предприятия | Сотрудники службы экономической безопасности и защиты информации | Коммутатор C5 | Дверь с замком Пропускной режим Видеонаблюдение | Антивирус Разграничение доступа ОС |
|
|
|
|
|
|
|
|
|
