Объект исследования: редакция
Определяется список защищаемых ресурсов
Таблица 1 – Список защищаемых ресурсов
Наименование защищаемого ресурса
| Место расположения объекта защиты
| Персонал, сотрудники, клиенты
| Отдел кадров, бухгалтерия, отдел коррекции, архив, кабинет главного редактора, канцелярия
| Финансовые средства
| Бухгалтерия, кабинет главного редактора
| Конфиденциальная информация
| Кабинет главного редактора, отдел охраны, канцелярия, архив
| Персональные данные, коммерческая информация, данные для служебного пользования
| Отдел кадров, бухгалтерия, отдел коррекции, архив, кабинет главного редактора, канцелярия
| Средства вычислительной техники и оборудование
| Отдел кадров, бухгалтерия, отдел коррекции, архив, кабинет главного редактора, канцелярия
|
Определяются информационные потоки
В таблице 2 представлены информационные потоки и их описание. Таблица 2 – Информационные потоки организации
Номер информационного потока
| Описание
| 1
| Указы, распоряжения и другая документация о положении информационной безопасности и охране предприятия
| 2
| Проверочные мероприятия по оформлению документов
| 3
| Запрос финансовой отчетности
| 4
| График выплаты заработных плат, отчислений и др.
| 5
| Запрос документов в архив
| 6
| Передача документов в архив
| 7
| Отчетность о деятельности отдела
| 8
| Договоры о публикации
| 9
| Увольнение/зачисление на работу сотрудников
| 10
| Заявление, запросы на имя руководителя
| 11
| Указы, распоряжения от имени руководителя
| 12
| Передача корреспонденции
|
Определяется стоимость информации, включая техническое оборудование.
Таблица 3 – Стоимость хранимой информации и оборудования в организации
Наименование элемента информации/оборудования
| Количество
| Стоимость с учётом амортизации за штуку (руб.)
| Расположение
| Ноутбук APPLE MacBook
| 14
| 45435
| Кабинет директора – 1 штука, отдел технической документации – 2 штуки, конструкторский отдел – 3 штуки, технологический отдел – 3 штуки, бухгалтерия – 2 штуки, отдел научно-технической деятельности – 3 штуки
| Коммутатор D-link DGS-1510-28
| 2
| 8346
| Технологический отдел, конструкторский отдел
| Монитор
| 4
| 12654
| Отдел охраны
| Компьютерная мышь
| 1
| 325
| Отдел охраны
| Клавиатура
| 1
| 5421
| Отдел охраны
| Системный блок
| 1
| 28432
| Отдел охраны
| Принтер Canon PIXMA TS5040
| 3
| 2165
| Отдел кадров, бухгалтерия, отдел научно-технической документации
| Сведения о новых разработках
| 4
| 423562 (Стоимость определена с помощью оценочной компании)
| Технологический отдел, конструкторский отдел, кабинет директора, отдел технической документации
| Личные данные сотрудников
| 2
| Штраф за нарушение закона 152-ФЗ – до 50000
| Бухгалтерия, отдел кадров
| Иная документация (Чеки, приказы, договоры, распоряжения)
| 3
| 32356 (Стоимость определена с помощью оценочной компании)
| Бухгалтерия – 12340, отдел кадров – 8540, кабинет директора – 11476
| Сейф ПРОМЕТ VALBERG Гранит III-50
| 2
| 25672
| Кабинет директора, отдел технической документации
| Windows Server 2008
| 1
| 37750
| Отдел технической документации
| Windows 10
| 1
| 9550
| Отдел технической документации
| Всего
| 1348633
|
Из таблицы 3 следует, что общая стоимость информации, хранимой на предприятии, а также штрафы по утечке информации, составляют 1301333 рублей.
Определяется вероятность возможных угроз
Таблица 4 – Сортировка угроз по вероятности появления
Название угрозы
| Количество совершённых угроз за месяц
| Вероятность появления угрозы за полгода P
| 1 месяц
| 2 месяц
| 3 месяц
| 4 месяц
| 5 месяц
| 6 месяц
| НСД к компьютерам
| 5
| 10
| 7
| 8
| 5
| 4
| 0.4
| Заражение ПК вирусами
| 3
| 4
| 0
| 2
| 3
| 1
| 0.1
| Утечка информации с ПК
| 2
| 0
| 4
| 1
| 3
| 2
| 0.1
| Прослушивание переговоров
| 2
| 3
| 1
| 0
| 3
| 2
| 0.1
| Физический НСД
| 1
| 0
| 1
| 0
| 2
| 1
| 0.05
| Кража носителей информации
| 0
| 1
| 0
| 2
| 1
| 0
| 0.04
| Кража материальных и финансовых ценностей
| 0
| 1
| 1
| 0
| 1
| 0
| 0.0
| Перебои с электроэнергией
| 1
| 0
| 0
| 0
| 1
| 0
| 0.02
| Просмотр информации с экранов
| 1
| 0
| 0
| 0
| 0
| 0
| 0.01
|
Для расчёта ущерба при совершении угрозы была использована формула
,
где P – вероятность возникновения угрозы за полгода;
U – стоимость хранимой в организации информации. Таблица 5 – Расчёт ущерба по каждой угрозе
| U, руб.
| P
| R, руб.
| НСД к компьютерам
| 1301333
| 0,4
| 520533
| Заражение ПК вирусами
| 0,15
| 195200
| Утечка информации с ПК
| 0,15
| 195200
| Прослушивание переговоров
| 0,15
| 195200
| Физический НСД
| 0,05
| 65066,7
| Кража носителей информации
| 0,04
| 52053,3
| Кража материальных и финансовых ценностей
| 0,03
| 39040
| Перебои с электроэнергией
| 0,02
| 26026,7
| Просмотр информации с экранов
| 0,01
| 13013,3
|
Таблица 6 – Стоимость инвестиций на систему защиты
Наименование
| Стоимость, руб.
| Профилактические беседы
| 350
| Профилактические меры
| 27870
| Ограниченный доступ к технике и носителям информации
| 149220
| Система управления базами данных
| 117068
| СЗИ от НСД
| 4700
| СЗИ по акустическим каналам утечки
| 1450
| Всего
| 300658
|
Таким образом, максимальный размер инвестиций составит: 1301333+300658=1601991руб. Объекты исследования
Варианты
| 1
| 2
| 3
| 4
| 5
| 6
| 7
| 8
| 9
| 10
| Шко-ла
| Больни-ца
| Кол-ледж
| Полик-линика
| склад
| МФЦ
| вуз
| Админи-страция МО
| Гости-ница
| Научная организация
| |