Управление рисками. Практическая работа 1 Базовая организационная система. Информационные активы
 Скачать 26.54 Kb.
|
|
Практическая работа Управление рисками информационной безопасности СодержаниеПрактическая работа № 1 Базовая организационная система. Информационные активы: -информационные данные (персональные данные сотрудников); -персонал организации (сведения об образовании); -программно-аппаратные средства (МНИ); -аппаратные средства (АРМ); -бухгалтерская документация. Уязвимости: Отсутствие персонала (возможна, например, угроза недостаточного числа работников); Недостаточная подготовка персонала по вопросам обеспечения безопасности (возможна, например, угроза ошибки операторов); Незащищенные линии связи (возможна, например, угроза перехвата информации); Отсутствие механизмов идентификации и аутентификации, например аутентификации пользователей (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей). Виды угроз: - Кража (D); - Несанкционированное использование носителей данных (D); - Ошибка обслуживающего персонала (D,A); - Доступ несанкционированных пользователей к сети (D). Метод для оценки рисков: Базовый подход. Существует ряд преимуществ использования этого варианта подхода, в том числе: - возможность обойтись минимальным количеством ресурсов при проведении анализа и контроля риска для каждого случая принятия защитных мер и, соответственно, потратить меньше времени и усилий на выбор этих мер; - при применении базовых защитных мер безопасности можно принять экономически эффективное решение, поскольку те же или схожие базовые защитные меры безопасности могут быть без особых проблем применены во многих системах, если большое число систем в рамках организации функционирует в одних и тех же условиях и предъявляемые к обеспечению безопасности требования соизмеримы. В то же время этот вариант подхода имеет следующие недостатки: - если принимается слишком высокий базовый уровень, то для ряда систем информационных технологий уровень обеспечения безопасности будет завышен; - если базовый уровень будет принят слишком низким, то для ряда систем информационных технологий уровень обеспечения безопасности будет недостаточен, что увеличит риск ее нарушения и - могут возникнуть трудности при внесении изменений, затрагивающих вопросы обеспечения безопасности. Так, если была проведена модернизация системы, то могут возникнуть сложности при оценке способностей первоначально примененных базовых защитных мер безопасности и далее оставаться достаточно эффективными. Если все используемые в организации системы информационных технологий характеризуются низким уровнем требований к обеспечению безопасности, то первый вариант стратегии анализа риска может оказаться экономически эффективным. В этом случае базовый уровень безопасности должен выбираться так, чтобы он соответствовал уровню защиты, необходимому для большинства систем информационных технологий. Для большинства организаций всегда существует необходимость использовать некоторые минимальные стандартные уровни для обеспечения защиты важнейшей информации с целью отвечать требованиям правовых и нормативных актов — например требованиям закона о безопасности информации. Однако в случаях, если отдельные системы организации характеризуются различной степенью чувствительности, разными объемами и сложностью деловой информации, использование общих стандартов применительно ко всем системам будет логически неверным, экономически неоправданным. Детальный анализ риска Детальный анализ риска включает в себя подробную идентификацию и оценку активов, оценку возможных угроз, которым могут подвергнуться эти активы, а также оценку уровня их уязвимости. Результаты этих операций затем используют для оценки рисков и последующей идентификации обоснованных защитных мер. Этот вариант подхода имеет следующие преимущества: - весьма вероятно, что в результате этого подхода для каждой из систем будут определены соответствующие ей защитные меры обеспечения безопасности; - результаты проведения детального анализа могут быть использованы при управлении изменениями в системе обеспечения безопасности. В то же время такой вариант подхода характеризуется следующими недостатками: - для его реализации и получения нужного результата требуется затратить значительное количество средств, времени и квалифицированного труда; - существует вероятность того, что определение необходимых защитных мер для какой-либо критической системы произойдет слишком поздно, поскольку анализ будет проводиться одинаково тщательно для систем информационных технологий и для проведения анализа всех систем потребуется значительное время. Таким образом, использование детального анализа риска применительно ко всем системам информационных технологий не рекомендуется. Если принято решение прибегнуть к такому варианту подхода, то возможны следующие дополнительные разновидности его использования: - стандартный подход, отвечающий критериям настоящего стандарта (например подход по 9.3); - стандартный подход в разных вариантах, отвечающий потребностям организации; для ряда организаций предпочтительным может быть использование «детального анализа риска» 5 Оценка ценности информационных активов. Практическая работа № 1 Информационные активы организации: База сотрудников, хранящаяся на сервере –она нужна для предприятия, так как на ней хранится информация о всех сотрудниках издательства. Хранилище на электронном носителе- содержит всю информацию нужную для предприятия. Информация доступна только определённым лицам и не должна попасть в руки злоумышленников Бухгалтерская документация –информация затраты предприятия, заработная плата сотрудников Оценка ценности информационных активов (от 1 до 5) База сотрудников информация о сотрудниках. Оценка этого актива 2. Возможный ущерб: нарушение законов и/или подзаконных актов. Хранилище на электронном носителе оценивается тем, что находится в нём. Оценка этого актива 3. Возможный ущерб: потеря престижа/негативное воздействие на репутацию Бухгалтерская документация самые ценные сведения. Оценка этого актива 4. Возможный ущерб: финансовые потери, нарушение конфиденциальности коммерческой информации, снижение эффективности бизнеса. Уязвимости системы защиты информации Размещение в зонах возможного затопления (возможна, например, угроза затопления). Отсутствие механизмов идентификации и аутентификации, например, аутентификации пользователей (возможна, например, угроза несанкционированного доступа злоумышленников под видом законных пользователей) Отсутствие необходимых знаний по вопросам безопасности (возможна, например, угроза ошибок пользователей). Угрозы информационной безопасности Затопление. Размещение в зонах возможного затопления в зависимости от того на сколько затоплено помещение, можно сказать высока ли угроза потери важнейшей информации. При затоплении помещения, например, из-за наводнения, потери будут критичны. Вся информация будет уничтожена. Угроза нелегального проникновения злоумышленников под видом законных пользователей. Могут быть выкрадены важные документы для организации. И приведет к потере заказов, доверия. Угроза ошибок пользователей. Не значительна ошибка. Вызванная сотрудником.
Вывод: В результате проведенного исследования были рассмотрены и выявлены угрозы ИБ в сфере обороны, объекты, информационную безопасность которых необходимо обеспечивать, их уязвимости. Был проведен анализ отношений между угрозами, уязвимостями, объектами, реализациями угроз и их источниками. Для безопасности нужно позаботиться о службах, отвечающих за нее. Увеличение расходов на приобретение технических средств, обеспечивающих безопасность. Для минимизации ущерба нужно произвести защиту уязвимых мест. |