КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Расчет информационных рисковКритичность ресурса (D) – степень значимости ресурса. Отражает влияние реализации угрозы на работу информационной системы. Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс. Задается в %. Вероятность реализации угрозы через данную уязвимость в течении года (P(v)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях, указывается в %. 1. Объект защиты – автоматизированное рабочее место (АРМ) сотрудника. Критерий критичности (D) равен 5000 рублей. Таблица угроз и уязвимостей.
Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V)) и критичности реализации угрозы (ER).
Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).
Th=P(V)/100*ER/100 CTh=1-П(1-Th)
Рассчитаем общий уровень угроз по ресурсу: CThR=1-П(1-CTh)=1-0,025*0,04*0,801=0,986 Рассчитаем риск по ресурсу: R= CThR*D=0,986*7500= 7395 (руб). Объект защиты – сервер локальной сети. Критерий критичности (D) равен 15000 рублей. Таблица угроз и уязвимостей.
Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V) и критичности реализации угрозы (ER).
Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).
Th=P(V)/100*ER/100 CTh=1-П(1-Th)
Рассчитаем общий уровень угроз по ресурсу: CThR=1-П(1-CTh)=1-0,344*0,592=0,796 Рассчитаем риск по ресурсу: R=CTh*D=0,796*15000= 11940 (руб). 2. Объект защиты – Конфиденциальная документация. Критерий критичности (D) равен 3000 рублей. Таблица угроз и уязвимостей.
Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V) и критичности реализации угрозы (ER).
Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).
Th=P(V)/100*ER/100 CTh=1-П(1-Th)
Рассчитаем общий уровень угроз по ресурсу: CThR=1-П(1-CTh)=1-0,334*0,592*0,182=0,964 Рассчитаем риск по ресурсу: R=CTh*D=0,964*3000= 2892 (руб).
Из оценки рисков можно подсчитать какой ущерб может понести Администрация при реализации той. Так же мы можем оценить экономическую целесообразность построения КСЗИ. Если потери при реализации информационных угроз являются незначительными, то не имеет смысла строить дорогостоящую КСЗИ. Еще одним важным шагом является разработка Технического задания на КСЗИ (Приложение №3).Оно определяет все основные требования к КСЗИ и возможные пути реализации её составляющих элементов. В ТЗ формулируются и исследуются основные каналы утечки информации и пути и средства их локализации.
Разработка политики безопасности. (Приложение №4)
Под политикой информационной безопасности (ИБ) понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации. Это позволяет обеспечить эффективное управление и поддержку политики в области информационной безопасности со стороны руководства организации. Политика ИБ является объектом стандартизации. Некоторые страны имеют национальные стандарты, определяющие основное содержание подобных документов. Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17799). В России к нормативным документам, определяющим содержание политики ИБ, относится ряд РД ФСТЭКа. В отечественных и международные стандартах используются сходная методология, однако ряд вопросов в отечественных РД не рассмотрен или рассмотрен менее подробно. Таким образом, при разработке политики ИБ целесообразно использовать передовые зарубежные стандарты, позволяющие разработать более качественные документы, полностью соответствующие отечественным РД. Целью разработки политики организации в области информационной безопасности является определение правильного (с точки зрения организации) способа использования информационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности. Основные этапы: Разработка концепции политики информационной безопасности Описание границ системы и построение модели ИС с позиции безопасности Анализ рисков: формализация системы приоритетов организации в области информационной безопасности, выявление существующих рисков и оценка их параметров Анализ возможных вариантов контрмер и оценка их эффективности. Выбор комплексной системы защиты на всех этапах жизненного цикла Заключение.
Таким образом, поставив перед собой цель разработать проект КСЗИ в Администрации города Миасса, мною были проделаны следующие работы: 1. Я рассмотрела общую характеристику объекта защиты; 2. Построила модель бизнес-процессов с целью выявления конфиденциальной информации; 3. Составила «Перечень сведений конфиденциального характера»; 4. Выявила угрозы, уязвимости и произвела расчет рисков для ключевых объектов защиты; 5. Описала техническое задание 6. Рассмотрела политику безопасности. 7. Получить теоретические знания и практические навыки в создание эффективной системы защиты информации. Я считаю, что построение КСЗИ в таком муниципальном органе, как городская Администрация необходима. Источники: 1. Грибунин В.Г. Политика безопасности: разработка и реазизация// «Информационная безопасность», 2005, №1. 2. Демин В., Свалов В. Правовое обеспечение системы защиты информации на предприятии. 3. Домарев В.В. Безопасность информационных технологий. Системный подход. - К.: ООО ТИД «Диасофт», 2004. - 992 с. 4. Торокин А.А. «Основы инженерно-технической защиты информации». – М.: 5. Шиверский А.А Защита информации: проблемы теории и практика. М.: Юрист, 1996. 6. Ярочкин В.И. Информационная безопасность: Учебник для студентов Вузов. М.: Академический Проект; Фонд "Мир", 2003, 640 стр Приложение №3 «Техническое задание на систему защиты информации»
Для служебного пользования Экз. №__
Техническое задание
Дата добавления: 2014-11-16; Просмотров: 4273; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |