Анализ предметной области оао ДомСтрой
Скачать 4.03 Mb.
|
Анализ предметной области оао «ДомСтрой» Описание АИС ОАО «ДомСтрой» ОАО ДомСтрой - Компания, специализирующаяся на поставках компьютерной и организационной техники, расходных материалов и комплектующих. В настоящее время компания состоит из центрального офиса и двух розничных магазинов. Структурная схема организации Работа магазинов осуществляется путем подключения с рабочего места к Терминальному серверу (Serv_term) и запуска Бизнес-приложения Axapta. Данный раздел описывает существующую информационную сеть Оборудование локальной сети: Для подключения клиентов рабочей сети использован управляемый коммутатор AT-8326GB (24+2 порта), trunk-порт (26) подключен к маршрутизатору Cisco 871. На кассовых рабочих местах и рабочих местах менеджеров устанавливаются тонкие клиенты Норма. На рабочее место администратора устанавливается рабочая станция. Работа фискальных регистраторов на кассовых рабочих местах производится через IP-Serial конвертеры, порты которых терминируются на терминальном сервере. Основные настройки коммутатора AT-8326GB: · Имя sw-bk-01; · IP-адрес 192.168.100.111; Основные настройки маршрутизатора Cisco 871: · Настройка QoS с выделением классов бизнес-трафика. Доступ в сеть Интернет: Доступ в сеть Интернет для сотрудников организован через прокси-сервер. Учет трафика ведется в головном офисе. 1.2 Категории информационных ресурсов, подлежащих защите Исходя из необходимости обеспечения различных уровней защиты разных видов информации (не содержащей сведений, составляющих государственную тайну), хранимой и обрабатываемой в АС, вводится несколько категорий конфиденциальности и несколько категорий целостности защищаемой информации: – «Строго конфиденциальная» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников); – «Конфиденциальная» - к данной категории относится информация, не отнесенная к категории «Строго конфиденциальная», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников); – «Открытая» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется. Сведения составляющие коммерческую тайну: Клиенты: – Ф.И.О., адрес проживания, данные паспортного и медицинского учета Персонал: – сведения о работниках, содержащиеся в их личных делах, учетных карточках, – материалы по аттестации и проверкам; – сведения о штатном расписании, заработной плате работников, условиях оплаты труда; – материалы персонального учета работников (Ф.И.О., адрес проживания, состав семьи, домашний телефон, данные паспортного и медицинского учета); Организационно-распорядительная информация: должностные инструкции; внутренние приказы, распоряжения, инструкции; протоколы совещаний и переговоров. К критическим для ИС объектам можно отнести: – Сервера и хранящаяся на них информация. – Сведения конфиденциального характера (коммерческая, служебная тайны), персональные данные. – Хранящаяся в базе данных информация. – Процедуры доступа к информационным ресурсам. 1.3 Категории пользователей, режимы использования и уровни доступа к информации Так как в «ДомСтрой» проявляется произвольное управление доступом, то все права доступа пользователей устанавливаются администратором. Администратор имеет неограниченные права доступа ко всем компьютерным ресурсам предприятия Администратор предоставляет директору предприятия права суперпользователя, поэтому директор имеет широкий доступ к документам предприятия, но не имеет доступа к системным ресурсам, к программным файлам и базам паролей. Главный бухгалтер имеет пользовательский доступ только к документам бухгалтерии. Сотрудник по работе с кадрами имеет доступ к персональным данным сотрудников компании, а так же к различным кадровым документам. Менеджеры имеют доступ пользователей только к документам, необходимым для их работы. Продавцы магазинов имеют пользовательский доступ к документам и программам, позволяющим им осуществлять торговые операции. Анализ политики информационной безопасности ОАО «ДомСтрой» Оценка рисков предприятия Идентификация ресурсов Ресурсы - это то, что имеет ценность для организации, ее деловых операций и их непрерывности. Поэтому ресурсы необходимо защищать для того, чтобы обеспечить корректность деловых операций и непрерывность бизнеса. Надлежащее управление и учет ресурсов являются жизненно важными и должны являться основной обязанностью для руководства всех уровней. Важные ресурсы организации должны быть четко идентифицированы и должным образом оценены, а реестры этих ресурсов должны быть собраны вместе и поддерживаться в актуальном состоянии. Объединение похожих или связанных ресурсов в управляемые наборы позволяют облегчить усилия, затрачиваемые на процесс оценки рисков. Подотчетность за ресурсы позволяет обеспечить поддержание адекватной информационной безопасности. Для каждого из идентифицированных ресурсов или группы ресурсов должен быть определен их владелец, и ответственность за сопровождение соответствующих механизмов безопасности должна быть возложена на этого владельца. Источники требований: В любой организации, требования безопасности происходят из трех основных источников: · Уникальный набор угроз и уязвимостей, которые могут привести к значительным потерям, в случае их реализации. · Применимые к организации, ее коммерческим партнерам, подрядчикам и сервис провайдерам требования законодательства, нормативной базы и договоров. · Уникальный набор принципов, целей и требований к обработке информации, который организация разработала для поддержки своих деловых операций и процессов, и который применяется к информационным системам организации. После того, как требования законодательства и бизнес требования были определены, необходимо рассмотреть их в процессе определения стоимости ресурсов и сформулировать их в терминах конфиденциальности, целостности и доступности. Определение стоимости ресурсов: Основные факторы в оценке риска - идентификация и определение стоимости ресурсов, исходя из потребностей бизнеса организации. Для определения требуемого уровня защиты ресурсов, необходимо оценить их стоимость исходя из степени их важности для бизнеса или их ценности для различных возможностей деловой деятельности. Также необходимо учитывать идентифицированные законодательные требования, требования бизнеса и последствия нарушения конфиденциальности, целостности и доступности. Одним из способов выражения стоимости ресурса является использование последствий для бизнеса, возникающих в отношении ресурса и связанных с ним деловых интересов, которым будет нанесен прямой или косвенный ущерб в результате нежелательных инцидентов, таких как раскрытие, модификация, недоступность и / или уничтожение ресурсов. Эти инциденты могут, в свою очередь, привести к потере дохода или прибыли, поэтому эти соображения должны быть отражены в стоимости ресурсов. Исходные данные для определения стоимости ресурсов должны быть предоставлены владельцами и пользователями этих ресурсов, которые могут авторитетно рассуждать о стоимости ресурсов и конкретной информации для организации и ее бизнеса. Для того чтобы единообразно определять стоимость ресурсов, должна быть определена шкала стоимости ресурсов. Для каждого из ресурсов должна быть определена его стоимость, отражающая потенциальные последствия для бизнеса в случае нарушения конфиденциальности, целостности, доступности или любых других важных свойств этого ресурса. Для каждого из этих свойств должно быть определено отдельное значение стоимости, так как они являются независимыми и могут варьироваться для каждого из ресурсов. Информация и другие ресурсы должны быть соответствующим образом классифицированы в соответствии с идентифицированной стоимостью ресурсов, законодательными и бизнес требованиями и уровнем критичности. Классификация показывает потребность, приоритеты и ожидаемый уровень защиты при обращении с информацией. Определение классификации, а также ее пересмотр с целью предоставления гарантий того, что классификация остается на соответствующем уровне, входит в обязанности владельца ресурса. Идентификация угроз и уязвимостей: Ресурсы являются объектом для многих видов угроз. Угроза может стать причиной нежелательного инцидента, в результате которого организации или ее ресурсам будет причинен ущерб. Этот ущерб может возникнуть в результате атаки на информацию, принадлежащую организации, например, приводящей к ее несанкционированному раскрытию, модификации, повреждению, уничтожению, недоступности или потери. Угрозы могут исходить от случайных или преднамеренных источников или событий. При реализации угрозы используется одна или более уязвимостей используемых организацией систем, приложений или сервисов с целью успешного причинения ущерба ресурсам. Угрозы могут исходить как изнутри организации, так и извне. Уязвимости представляют собой слабости защиты, ассоциированные с ресурсами организации. Эти слабости могут использоваться одной или несколькими угрозами, являющимися причиной нежелательных инцидентов, которые могут привести к потере, повреждению или ущербу для ресурсов и бизнеса организации. Идентификация уязвимостей должна определять связанные с ресурсами слабости в: · физическом окружении; · персонале, процедурах управления, администрирования и механизмах контроля; · деловых операциях и предоставлении сервисов; · технических средствах, программном обеспечении или телекоммуникационном оборудовании и поддерживающей инфраструктуре. Оценка угроз и уязвимостей: После идентификации угроз и уязвимостей необходимо оценить вероятность их объединения и возникновения риска. Это включает в себя оценку вероятности реализации угроз, а также того, насколько легко они могут использовать имеющиеся уязвимости. Оценка вероятности угроз должна учитывать следующее: · Преднамеренные угрозы. Вероятность преднамеренных угроз зависит от мотивации, знаний, компетенции и ресурсов, доступных потенциальному злоумышленнику, а также от привлекательности ресурсов для реализации изощренных атак. · Случайные угрозы. Вероятность случайных угроз может оцениваться с использованием статистики и опыта. Вероятность таких угроз может зависеть от близости организации к источникам опасности, таким как автомагистрали и железнодорожные пути, а также заводы, имеющие дело с опасными материалами, такими как химические вещества или бензин. Вероятность человеческих ошибок (одна из наиболее распространенных случайных угроз) и поломки оборудования также должны быть оценены. · Прошлые инциденты. Это инциденты, происходившие в прошлом, которые иллюстрируют проблемы, имеющиеся в существующих защитных мерах. · Новые разработки и тенденции. Это включает в себя отчеты, новости и тенденции, полученные из Интернет, групп новостей или от других организаций, которые помогают оценивать ситуацию с угрозами. Вероятность реализации угроз должна оцениваться на основе такой оценки и на базе шкалы, выбранной для оценки угроз и уязвимостей. Общая вероятность инцидента также зависит от уязвимостей ресурсов, т.е. насколько легко уязвимости могут быть использованы. Вычисление и оценивание рисков: Вычисление уровней рисков производиться путем комбинирования стоимости ресурсов, выражающей вероятные последствия нарушения конфиденциальности, целостности и / или доступности, с оценочной вероятностью связанных с ними угроз и величиной уязвимостей, которые при объединении становятся причиной инцидента. Организация сама должна определить метод оценки рисков, наиболее подходящий для ее бизнес требований и требований безопасности. Вычисленные уровни рисков позволяют ранжировать риски и идентифицировать те риски, которые являются наиболее проблематичными для организации. Существуют различные способы установления отношений между стоимостью, присвоенной ресурсам, вероятностью угроз и величиной уязвимостей для получения единиц измерения рисков. Риск определяется двумя факторами, один их них выражает последствия, наступающие в случае осуществления риска, а другой выражает вероятность того, что это событие может произойти. Фактор, определяющий последствия риска, основан на определении стоимости ресурса, а вероятностный фактор риска, базируется на угрозах и уязвимостях и их оценочных величинах. Следующей частью оценивания риска является сравнение вычисленных уровней риска со шкалой уровня риска. Уровни риска должны быть выражены в терминах потерь для бизнеса и времени восстановления, как, например, «серьезный ущерб для бизнеса организации, от которого организация не может восстановиться раньше, чем за полгода». Установление связи между уровнями риска и бизнесом организации необходимо для того, чтобы реалистично оценивать влияние, которое вычисленные риски оказывают на бизнес организации, и доносить смысл уровней риска до руководства. Оценивание рисков должно также идентифицировать приемлемые в большинстве случаев уровни риска, т.е. те уровни риска, при которых оцениваемый ущерб настолько мал, что организация справляется с ним не прерывая своего повседневного бизнеса, и при которых, поэтому, дальнейшие действия не требуются. |