Подборка по базе: Образец оформления анализа фильма (сериала).pdf, Комплексный экономический анализ.docx, Ос безопасности.doc, МДК 04.02 Техническая документация.docx, практическая работа Домашова Е.В анализ урока.docx, Глава 2. Методика анализа рынка.2.2.задание2.docx, Глава 2. Методика анализа рынка.2.2.задание1.docx, Глава 2. Методика анализа рынка.2.1.задание1.docx, Глава 1. Конкурентный анализ.1.2. задание 1..docx, Глава 1. Конкурентный анализ.1.1.задание2.docx
ЧУППОО “Бизнес и Право”
Практическая работа № 2
Тема: Анализ рисков информационной безопасности
Студент, гр. П-4
Суховерхий Василий Дмитриевич
2022
СОДЕРЖАНИЕ
1 ЗАДАЧА
2 Обоснование выбора информационных активов организации
3 Оценка ценности информационных активов
4 Уязвимости системы защиты информации
5 Угрозы информационной безопасности
6 Оценка рисков
ВЫВОДЫ
1 ЗАДАЧА
В данной работе предстоит разобрать три различных информационных актива организации для коммерческого банка. Указать три конкретные уязвимости системы информационных активов для коммерческого банка, а также выделить три угрозы, реализация которых возможна, пока в системе не устранены названные уязвимости. Далее необходимо произвести оценку рисков информационной безопасности и в завершение оценить ценности информационного актива на основании возможных потерь для организации в случае реализации угрозы.
2 Обоснование выбора информационных активов организации
Первым информационным активов являются энергонезависимые накопители памяти. Выбор данного актива заключается в том, что огромное количество данных по каким-либо операциям в обязательном порядке необходимо сохранять в огромных количествах и в течении долгого времени.
Вторым информационным активом выступает клиент-сервер, цель которого обрабатывать запросы пользователей и в соответствии с их желаниями предоставлять необходимую информацию, которая храниться, обрабатывается и передается по сети.
Третьим активом являются хабы и роутеры. Для взаимодействия банка с пользователем, необходимо надежное и защищенное соединение. Таким образом работа банка с клиентом не только может быть быстрее, но и операции, совершаемые пользователем, должны быть надежны засекречены от третьих лиц.
3 Оценка ценности информационных активов
Все три актива имеют высокую оценку по их защите. Они не могут корректно работать друг без друга и в случаи реализации угрозы со стороны одного из активов, следующие активы будут также уязвимы для создания более глобальных угроз по отношению к банку.
4 Уязвимости системы защиты информации
Для коммерческого банка выделяются три основные уязвимости:
1) Аппаратное обеспечение. Ниже перечисленные три пункта, которые могут отрицательно повлиять на данную уязвимость:
1.1) Отсутствие схем периодической замены (возможна, например, угроза ухудшения состояния запоминающей среды).
1.2) Подверженность колебаниям напряжения (возможна, например, угроза возникновения колебаний напряжения).
1.3) Подверженность температурным колебаниям (возможна, например, угроза возникновения экстремальных значений температуры)
2) Программное обеспечение. Ниже перечисленные три пункта, которые могут отрицательно повлиять на данную уязвимость:
2.1) Неясные или неполные технические требования к разработке средств программного обеспечения (возможна, например, угроза программных сбоев).
2.2) Отсутствие тестирования или недостаточное тестирование программного обеспечения (возможна, например, угроза использования программного обеспечения несанкционированными пользователями).
2.3) Сложный пользовательский интерфейс (возможна, например, угроза ошибки операторов).
3) Коммуникации. Ниже перечисленные три пункта, которые могут отрицательно повлиять на данную уязвимость:
3.1) Незащищенные линии связи (возможна, например, угроза перехвата информации).
3.2) Неудовлетворительная стыковка кабелей (возможна, например, угроза несанкционированного проникновения к средствам связи).
3.3) Отсутствие идентификации и аутентификации отправителя и получателя (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей).
5 Угрозы информационной безопасности
Первой угрозой может стать «Намеренное повреждение». То есть в случаи обнаружения уязвимостей и их реализация со стороны злоумышленника, может пострадать деятельность компании. А в некоторых случаях может встать вопрос о её существовании.
Второй угрозой является «Кража». В случаи реализации одной и угроз, может стать возможным похищение средств клиентов банка. Это негативно отразиться на имидже самого банка.
Третьей угрозой может стать «Нелегальное проникновение злоумышленников под видом пользователей». В данном случаи злоумышленники смогу не просто украсть средства клиентов, в отличии от кражи, но также украсть средства самого банка с помощью взаимодействия с операциями предоставляемые банком, под видом клиентов.
6 Оценка рисков
На основании выше перечисленной информации оценке активов, угроз, уязвимых мест, существующих и планируемых средств защиты мы можем провести оценку рисков, оценкой для отделения коммерческого банка будет являться по шкале от 1 до 8 будет являться 6
![Анализ рисков информационной безопасности [30.01.17]](https://studrb.ru/files/works_screen/3/31/12.png)
Тема: Анализ рисков информационной безопасности
Раздел: Бесплатные рефераты по информационной безопасности
Тип: Практическая работа | Размер: 25.05K | Скачано: 688 | Добавлен 30.01.17 в 19:48 | Рейтинг: +3 | Еще Практические работы
Вуз: Стерлитамакский колледж строительства и профессиональных технологий
Год и город: Стерлитамак 2017
Содержание
Задание. 3
Обоснование выбора информационных активов организации. 4
Уязвимости системы защиты информации. 6
Угрозы ИБ.. 7
Оценка рисков. 8
Вывод. 10
Задание
- Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий»
- Ознакомьтесь с Приложениями C, D и Е ГОСТа.
- Выберите три различных информационных актива организации (см. вариант).
- Из Приложения D ГОСТа подберите три конкретных уязвимости системы защиты указанных информационных активов.
- Пользуясь Приложением С ГОСТа напишите три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости.
- Пользуясь одним из методов (см. вариант) предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности.
- Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы.
Обоснование выбора информационных активов организации
- База сотрудников, хранящаяся на сервере –она нужна для издательства, так как на ней хранится информация о всех сотрудниках издательства.
- Хранилище на электронном носителе- содержит всю информацию нужную для издательства. Информация доступна только определённым лицам и не должна попасть в руки злоумышленников
- Бухгалтерская документация –информация затраты издательства, зарплата сотрудникам
Оценка ценности информационных активов
В этом издательстве мы выделили 3 важных актива и поставим ему оценку от 0 до 4.
- База сотрудников информация о сотрудниках. Оценка этого актива 2.
Возможный ущерб:
нарушение законов и/или подзаконных актов.
- Хранилище на электронном носителе оценивается тем что находится в нём. Оценка этого актива 3. Возможный ущерб: потеря престижа/негативное воздействие на репутацию
- Бухгалтерская документация самые цены сведенья. Оценка этого актива 4. Возможный ущерб: финансовые потери, нарушение конфиденциальности коммерческой информации, снижение эффективности бизнеса.
Уязвимости системы защиты информации
- Размещение в зонах возможного затопления (возможна, например, угроза затопления).
- Отсутствие механизмов идентификации и аутентификации, например, аутентификации пользователей (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей)
- Отсутствие необходимых знаний по вопросам безопасности (возможна, например, угроза ошибок пользователей).
Угрозы ИБ
- затопление. Размещение в зонах возможного затопления
В зависимости от того на сколько затоплено помещение, можно сказать высока ли угроза потери важнейшей информации. При затопленности, общего помещения, например, из-за наводнения, потери будут колоссальны. Вся информация будет уничтожена.
- Угроза нелегального проникновения злоумышленников под видом законных пользователей. Могут быть выкрадены очень важные документы для организации. И приведет к упадку Издательства.
- Угроза ошибок пользователей. Не значительна ошибка. Вызванная сотрудником Издательства.
Оценка рисков
Вопросы:
База сотрудников:
При угрозе затопление вероятность возникновения угрозы мала, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 2.
При угрозе нелегального проникновения злоумышленников под видом законных пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет среднее значение, то частота будет равна 3.
При угрозе ошибок пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 4.
Хранилище на электронном носителе:
При угрозе затопление вероятность возникновения угрозы мала, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 2.
При угрозе нелегального проникновения злоумышленников под видом законных пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет среднее значение, то частота будет равна 3.
При угрозе ошибок пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 4.
Бухгалтерская документация:
При угрозе затопление вероятность возникновения угрозы мала, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 2.
При угрозе нелегального проникновения злоумышленников под видом законных пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет среднее значение, то частота будет равна 3.
При угрозе ошибок пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 4.
|
Ценность актива |
Уровень угрозы |
||||||||
|
Низкий |
Средний |
Высокий |
|||||||
|
Уровень уязвимости |
Уровень уязвимости |
Уровень уязвимости |
|||||||
|
Н |
С |
В |
Н |
С |
В |
Н |
С |
В |
|
|
0 |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
|
1 |
1 |
2 |
3 |
2 |
3 |
4 |
3 |
4 |
5 |
|
2 |
2 |
3 |
4 |
3 |
4 |
5 |
4 |
5 |
6 |
|
3 |
3 |
4 |
5 |
4 |
5 |
6 |
5 |
6 |
7 |
|
4 |
4 |
5 |
6 |
5 |
6 |
7 |
6 |
7 |
8 |
|
Обозначение: Н — низкий, С — средний, В — высокий. |
Вывод
В результате проведенного исследования были рассмотрены и выявлены угрозы ИБ в сфере обороны, объекты, информационную безопасность которых необходимо обеспечивать, их уязвимости. Была проведен анализ отношений между угрозами, уязвимостями, объектами, реализациями угроз и их источниками.
Для безопасности нужно позаботиться о службах, отвечающих за нее. Увеличение расходов на товары для безопасности, уменьшат риски угроз.
Чтобы избежать возникновение угроз нужно избавится от уязвимых мест.
Внимание!
Если вам нужна помощь в написании работы, то рекомендуем обратиться к профессионалам. Более 70 000 авторов готовы помочь вам прямо сейчас. Бесплатные корректировки и доработки. Узнайте стоимость своей работы
Бесплатная оценка
+3
Понравилось? Нажмите на кнопочку ниже. Вам не сложно, а нам приятно).
Чтобы скачать бесплатно Практические работы на максимальной скорости, зарегистрируйтесь или авторизуйтесь на сайте.
Важно! Все представленные Практические работы для бесплатного скачивания предназначены для составления плана или основы собственных научных трудов.
Друзья! У вас есть уникальная возможность помочь таким же студентам как и вы! Если наш сайт помог вам найти нужную работу, то вы, безусловно, понимаете как добавленная вами работа может облегчить труд другим.
Добавить работу
Если Практическая работа, по Вашему мнению, плохого качества, или эту работу Вы уже встречали, сообщите об этом нам.
Добавление отзыва к работе
Добавить отзыв могут только зарегистрированные пользователи.
Страховые компании оказывают услуги в сфере страховой защиты имущественных интересов юридических и физических лиц. В процессе деятельности они становятся обладателями большого объема информации, носящей характер коммерческой тайны или же персональных данных. И то и другое защищено законом. Распространение этих сведений среди широкого круга лиц может привести к финансовому ущербу для компании и ее клиентов. При этом страховая информация является активом, имеющим самостоятельную ценность. Поэтому специалисты службы безопасности страховых компаний обязаны прилагать значительные усилия в области защиты информации.
Правовое регулирование защиты информации в сфере страховой деятельности
Статус информации как объекта правовой защиты регулируется несколькими федеральными законами. Среди них закон «Об информации, информационных технологиях и защите информации», Гражданский кодекс, закон «О защите персональных данных» и другие.
В деятельности страховой компании образуются следующие объекты информации:
- коммерческая тайна самой страховой компании, данные о ее договорах, финансовых взаимоотношениях, бухгалтерская информация;
- коммерческая тайна клиентов и партнеров организации, данные об их активах, имуществе, платежах, произошедших страховых событиях;
- персональные данные сотрудников компании и сотрудников клиентов, эта информация иногда включает номера автомобилей, водительских удостоверений, кредитных карт;
- медицинская тайна клиентов компании, пользующихся услугами добровольного медицинского страхования.
Все массивы информации содержатся как на бумажных, так и на электронных носителях. Эти данные могут стать объектом противоправного покушения, их сохранность требует принятия серьезных мер безопасности. Несанкционированный доступ к охраняемым законом сведениям является уголовным преступлением, предусмотренным статьей 272 Уголовного кодекса.
Виды угроз информационной безопасности
Перечень угроз безопасности включает атаки как внешнего, так и внутреннего происхождения. Информационные базы данных, принадлежащие страховым компаниям, часто становятся объектами покушений хакеров. Частыми целями преступных посягательств являются клиентские базы данных, содержащие информацию о номерах телефонов, номерах автомобилей, медицинских историях. В ряде случаев мошенники, используя данные, похищенные у страховщиков, создавали сайты-клоны, применяемые для продажи недействительных полисов ОСАГО. В США в прошлом году преступниками была взломана система защиты одной из крупнейших страховых компаний, данные сотен тысяч клиентов оказались в открытом доступе.
Кроме того, не исключен риск заражения компьютерных систем компании различными вирусами, которые могут причинить существенный ущерб в виде:
- блокировки доступа к важным файлам;
- уничтожения файлов;
- передачи информации третьим лицам.
Не всегда установленный антивирус будет надежной защитой от спланированной атаки. Кроме внешней угрозы проникновения в компьютерные сети страховой компании существуют и внутренние. Отдельные сотрудники могут намеренно похищать коммерческую информацию с целью ее распространения или передачи конкурентам.
Меры и средства защиты информации
Стандарты защиты информации в России предусмотрены ГОСТами. Кроме того, информационная безопасность страховой компании должна обеспечиваться целым комплексом мер, среди которых:
- административные;
- организационные;
- технические.
Все они должны применяться совместно. Опираться система защиты должна на управление персоналом компании и контроль над ним. Меры технического характера не менее важны, но не могут существовать в отрыве от организационных мер.
Административные меры безопасности
Эти способы защиты включают в себя разработку внутренних нормативных документов, обеспечивающих информирование сотрудников о системе действий, необходимых для обеспечения информационной безопасности. Такие документы хранятся в открытом доступе, в страховой компании должно быть организовано ознакомление с ними персонала.
Служба безопасности страховой компании разрабатывает и предлагает на утверждение руководства политику защиты конфиденциальной информации. Этот локальный нормативный акт должен содержать:
- основные принципы защиты конфиденциальной информации в компании;
- обязанности каждого сотрудника в части защиты доверенных ему сведений;
- задачи руководства по обеспечению охраны информации;
- регламенты обращения с компьютерной техникой и средствами коммуникации;
- меры ответственности за нарушение положений документа.
Кроме того, приложением ко всем трудовым договорам должен стать перечень информации, носящей характер коммерческой, а в самих договорах должны быть предусмотрены меры ответственности за ее разглашение.
Организационные меры безопасности
В большей степени они направлены на устранение внутренней угрозы утечки информации и мотивацию сотрудников на соблюдение утвержденных регламентов. Эти меры предпринимаются службой безопасности во взаимодействии с сотрудниками служб управления персоналом.
В числе организационных мер обеспечения информационной безопасности можно назвать следующие:
- установление различных степеней допуска сотрудников к сведениям, содержащим коммерческую тайну;
- ограничение круга лиц, имеющих допуск к конфиденциальной информации страховой компании;
- организация порядка использования материальных носителей, установление контроля над копированием и сканированием документов, ограничение доступа сотрудников к внешней электронной почте;
- проведение периодических проверок соблюдения регламентов;
- привлечение специалистов для проведения тренингов по защите информации;
- проведение мероприятий по созданию режима коммерческой тайны;
- внесение в договоры компании с клиентами норм, касающихся обязательств соблюдения последними режима коммерческой тайны в отношении переданной им информации;
- привлечение к ответственности лиц, виновных в разглашении информации.
Иногда система работы с безопасностью информации требует создания в компании специального подразделения, в чьи функции будет входить только эта деятельность.
Также следует учитывать, что при проектировании большинства информационных систем уровень защиты от внешнего проникновения был значительно ниже, чем необходим в настоящее время. Среди организационных мер может быть и их аудит, который установит соответствие современным стандартам.
Существуют дополнительные меры организационного характера, позволяющие снизить потери от утечек информации. Уже несколько лет сами страховщики реализуют такой продукт, как страхование от угроз информационной безопасности. Он достаточно популярен. Применение этого способа защиты поможет минимизировать ущерб в случае расспрос транения коммерческой тайны.
Технические меры
Эта группа мер рассчитана на использование действенных технических средств защиты. Для ее реализации используются аппаратные, программные и криптографические средства.
Первые предполагают установку систем резервного копирования и защиту от несанкционированного проникновения, вторые отвечают за работу антивирусов и иных защитных программ, третьи обеспечивают шифрование всей хранимой и передаваемой по каналам связи информации. Наиболее часто для защиты информации применяются межсетевые экраны и системы обнаружения вторжений. Технические средства требуют постоянного обновления и модернизации, так как скорость устаревания программных продуктов очень высока. Сегодня предлагаются программы, которые обеспечивают комплексные меры по защите информации, это DLP-системы и SIEM-системы. Первые предотвращают утечку данных при их передаче по каналам электронной почты, с использованием мессенжеров или при передаче на принтер. Если программа зафиксирует преобразование информации в момент ее передачи, что может означать ее перехват, она прекращает ее направление на внешние каналы. SIEM-системы представляют из себя комплексные средства управления безопасности, они определяют все уязвимые места системы и предоставляют информацию обо всех возможных угрозах, выявляя паттерны, отличные от стандартного поведения самой системы и ее пользователей.
С каждым днем мошенники разрабатывают новые средства преодоления защитных барьеров, и степень опасности утраты ценных сведений растет, а вместе с ней и риск возможных финансовых потерь. Минимизировать риски можно, пройдя аудит своих систем защиты и получив рекомендации по их модернизации.
Комплексное применение современных технических средств в работе службы безопасности страховой компании может обеспечить высокий уровень защиты информации от утечек и несанкционированного доступа. Следует учитывать, что все предпринимаемые действия должны в полной мере соответствовать требованиям российского законодательства.
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Законы
Как защитить коммерческую информацию от вирусов, хакеров и конкурентов
База клиентов, бухгалтерия, бизнес-планы — всё это ценная информация: если потеряете её, попадёте на деньги. Полностью защитить ценную информацию невозможно, но можно грамотно оценить риски и защитить самое важное, сэкономив на остальном. Рассказываем, как это сделать.
В небольшой торговой компании уволили сисадмина. Он быстро нашёл работу у конкурентов, а бывший работодатель через год потерял всех заказчиков. Оказалось, обиженный сотрудник оставил себе полный доступ к сети: переписка руководства, база клиентов, договоры с поставщиками, отчёты — всё попало к конкурентам.
Работодатель обратился к специалистам по информационной безопасности — они подбирают программы и железо для защиты данных. Бизнесмену посчитали смету на 3 млн рублей: продвинутый файервол (защита сети от взлома через интернет), антивирус в максимальной комплектации, система против утечек данных, шифрование каналов связи.
Чтобы не переплатить за защиту информации, нужно оценить риски — понять, что и как защищать. Можно обратиться за оценкой к экспертам, но тогда придётся потратить на консультации 200-300 тыс. рублей. А можно оценить их самостоятельно — бесплатно, но по методике, которую используют сами эксперты.
Когда вы оцените риски по этой методике, то поймёте, на какие средства защиты нужно тратить деньги, а без каких можно обойтись. Специалисты по информационной безопасности не смогут навязать вам лишнее — вы сэкономите.
Оцените информационные активы
Информационные активы — это сведения о компании, которые представляют для неё ценность. Это финансовая информация, данные о продажах, закупках, базы данных клиентов, стратегические планы руководства, содержание корпоративного сайта. Занесите их в таблицу и оцените по трём показателям: конфиденциальность, целостность и доступность. Используйте 5-балльную шкалу.
Конфиденциальность — это то, насколько критична утечка секретной информации. Например, что будет, если база клиентов и контрактов попадёт к конкурентам? Если считаете, что это совсем не страшно, ставьте 1 балл. Если это тотальная катастрофа — 5 баллов.
Доступность — это то, насколько часто вы обращаетесь к данным. Например, ежегодный финансовый отчёт сотрудники открывают редко — ставим 1 балл. А доступ к базе товаров и цен нужен каждый день, иначе торговля остановится — 5 баллов.
Целостность — это то, насколько важно, чтобы в данных не было ошибок. Например, ошибка в архивных документах не критична, она ни на что не повлияет — ставим 1 балл. А если исказить цифры в 1С:Бухгалтерии, то можно продать товар по заниженной цене или напутать в налоговой отчётности — 5 баллов.
Теперь определите итоговую ценность каждого актива. Возьмите максимальный балл из трёх полученных. Например, у списка заказчиков конфиденциальность — 4, а целостность и доступность — по 2. Итоговый балл — 4.
1. Ценность информационных активов
| Актив | Ценность актива | Итого | ||
|---|---|---|---|---|
| Конфиден-циальность | Целостность | Доступность | ||
| Списки заказчиков | 4 | 2 | 2 | 4 |
| Деловая переписка | 3 | 2 | 2 | 3 |
| Данные о зарплате | 3 | 3 | 2 | 3 |
| Налоговая отчётность | 2 | 3 | 2 | 3 |
| Содержание сайта | 1 | 3 | 3 | 3 |
| Данные с мобильных касс | 2 | 5 | 5 | 5 |
| Данные о прибылях и убытках | 5 | 4 | 3 | 5 |
| …… | ||||
| …… | ||||
| …… |
Определите информационные системы
Активы содержатся в разных информационных системах: 1С:Бухгалтерия, программа «клиент-банк», корпоративный портал, рабочие компьютеры сотрудников, файловые сервера, электронная почта, планшеты, смартфоны, ноутбуки, интернет-сайт, внешние носители информации (флешки, переносные жёсткие диски, карты памяти). Если будут защищены информационные системы, то и данные в них будут в безопасности. Чтобы понять, защищены ли ваши данные, составьте список систем, в которых хранится информация.
Информация может находиться одновременно в нескольких системах. Например, база клиентов обрабатывается в бухгалтерской программе, при этом хранится на файловом сервере. Информация одна, но системы разные, угрозы и защита для них тоже разные.
Составив список, определите ценность каждой информационной системы. Для этого возьмите значение самого ценного актива, который в ней обрабатывается или хранится. Например, на компьютерах сотрудников хранятся списки заказчиков (4) и деловая переписка (3). Их итоговая ценность — 4.
2. Ценность информационных систем
| Информационные системы | Активы | Ценность системы |
|---|---|---|
| 1С:Бухгалтерия | списки заказчиков, данные о зарплате, налоговая отчётность, данные с мобильных касс, данные о прибылях и убытках | 5 |
| ПК сотрудников | списки заказчиков, деловая переписка | 4 |
| Файловые серверы | списки заказчиков, данные о зарплате, налоговая отчётность, данные с мобильных касс, данные о прибылях и убытках | 5 |
| Мобильные устройства | деловая переписка | 3 |
| Сайт компании | содержание сайта, налоговая отчётность | 3 |
| Электронная почта | списки заказчиков, деловая переписка | 4 |
| ….. | ||
| ….. | ||
Выясните, что угрожает информационным системам
Угрозы — это то, из-за чего информация может пострадать: кто-то или что-то может повредить ваши данные так, что бизнес понесёт убытки.
Определять угрозы нужно для тех информационных систем, чья ценность высока — 4 и 5 баллов. Про остальные системы можете забыть: если с ними что-то и случится, бизнес от этого не пострадает.
Сначала выясните, кто может угрожать ценным системам. Для этого разделите возможных нарушителей на группы — так будет проще понять, как они могут воздействовать. Обычно достаточно разделить нарушителей на внешних (хакеры, сотрудники конкурентов, уволенные работники) и внутренних (сотрудники компании). Когда поймёте, кто может угрожать системам — поймёте, как именно они могут это сделать.
Теперь опишите, как нарушители могут украсть, уничтожить или исказить данные в конкретной информационной системе. Способы могут быть очевидными — например, сотрудник скопирует файлы на флешку. Но бывают и сложными — хакер перехватит данные по незашифрованному каналу. Если вы не разбираетесь во всех технических тонкостях, то можете что-то упустить. Чтобы этого не случилось, подключите вашего ИТ-специалиста. Если его нет — воспользуйтесь каталогом, который разработали эксперты.
Каталог угроз
Физический доступ:
- сотрудник украдёт компьютер, флешку или другой носитель информации;
- посторонний украдёт компьютер, флешку или другой носитель информации;
- посторонний проникнет в офис и украдёт информацию.
Утечка конфиденциальной информации:
- сотрудник специально отправит конфиденциальную информацию через мессенджер, электронную почту, раскроет секреты фирмы на форумах в интернете;
- сотрудник случайно передаст конфиденциальную информацию посторонним людям — лично или через интернет;
- сотрудник потеряет ноутбук, флешку, жёсткий диск;
- с помощью специального оборудования и программ посторонний перехватит сведения, которые вы передадите через интернет;
- сотрудники фирмы, которая ремонтирует компьютеры, обслуживает 1С или настраивает интернет, получат конфиденциальную информацию.
Несанкционированный доступ:
- сотрудник использует чужой пароль, чтобы получить конфиденциальную информацию;
- посторонний войдёт в корпоративную сеть по чужому паролю;
- сотрудник или посторонний используют чужой пароль, чтобы получить доступ к резервным копиям файло;
- сотрудник или посторонний, используя чужой пароль, запустят в корпоративную сеть вирус.
Недоступность ИТ-сервисов и утрата информационных активов:
- из-за аварии на электросетях не будут работать компьютеры;
- пропадёт интернет;
- новая программа или её обновление выведут компьютеры из строя;
- сотрудник специально или случайно сотрёт важные файлы;
- посторонний уничтожит важные данные;
- сотрудник случайно внесёт неверные данные;
- сотрудник специально исказит информацию, подменит файлы.
Нарушителей и угрозы из этого списка занесите в таблицу. Если вы детально представляете негативные сценарии, опишите их подробно. Например: вы потеряли ключевого клиента, потому что посторонний подобрал пароль к электронной почте и украл данные из деловой переписки. В остальных случаях сделайте общее описание ситуации. Например: бухгалтерия не может работать из-за того, что сотрудник стёр информацию в 1С.
В итоге таблица превратится в набор возможных негативных сценариев для компании.
3. Возможные негативные сценарии
| Информационные системы | Нарушитель | Угроза | Последствия |
|---|---|---|---|
| 1С:Бухгалтерия | Посторонний | Подберёт пароль и скопирует базу клиентов | Компания потеряет ключевого клиента |
| 1С:Бухгалтерия | Посторонний | Запустит вирус, который уничтожит данные | Бухгалтер не сможет работать |
| 1С:Бухгалтерия | Сотрудник | Скопирует данные на флешку | Конкуренты получат базу клиентов, детали сделок |
| 1С:Бухгалтерия | Сотрудник | Случайно или специально сотрёт данные | Бухгалтер не сможет работать |
| 1С:Бухгалтерия | Сотрудник | Скопирует данные на флешку | В случае увольнения сможет шантажировать работодателя, угрожать передать информацию конкурентам |
| …… | |||
| ПК сотрудников | Сотрудник | Скопирует данные на флешку | Конкуренты получат детали сделок |
| ПК сотрудников | Посторонний | Скопирует данные при ремонте | Конкуренты получат детали сделок |
| ….. | |||
| Файловые серверы | |||
| …… | |||
| Электронная почта | |||
| ….. | |||
| …… | |||
| …… |
Переведите риски в деньги
Дальше важно понять, что защищать в первую очередь и сколько на это потратить сил и денег. Для этого оцените риски в рублях: сколько компания потеряет, если сотрудник сольёт базу клиентов конкурентам. Потом определите вероятность того, что сотрудник это сделает.
Эксперты советуют применять вербально-числовую шкалу — по ней вы вычислите вероятность. Как это сделать: из таблицы выберите утверждение, которое подходит вам больше всего. При этом подставляйте конкретный временной промежуток — например, один год. Оценивать вероятность за бесконечное время не надо — тогда она будет 100%.
4. Вербально-числовая шкала для определения вероятности того, что угроза станет реальностью
| Описание | Коэффициент |
|---|---|
| Невозможно. Ничего подобного никогда не происходило — ни в вашем бизнесе, ни в отрасли. Теоретически это могут сделать крутые спецы: хакеры, агенты ЦРУ. Но смысла в этом нет. |
0 |
| Маловероятно. С этим вы ещё не сталкивались, но знаете, что такое возможно. Если это произойдет, не страшно: конкуренты на этом не заработают. Например, сотрудник попытается слить базу клиентов, а она и так у всех есть. |
0,2 |
| Возможно. С вами или кем-то другим из отрасли это происходило хотя бы раз. Если случится снова, конкуренты на этом заработают. Сценарий может быть такой: вы служба такси, и ваши компьютеры атакуют хакеры. Или произойдёт авария, исчезнет интернет. Диспетчеры не смогут принимать и распределять заказы в системе. Пока вы будете с этим разбираться, клиенты уйдут к конкурентам, бизнес понесёт убытки. |
0,4 |
| Очень даже возможно. Такое происходило с вами несколько раз. Конкурентам это на руку, и они готовы заплатить, чтобы это случилось. Сотрудники могут слить важную для бизнеса информацию легко — для этого не нужно быть продвинутым пользователем, достаточно иметь доступ к документам. Также это может произойти случайно: например, кто-то из работников или вы сами оставите важные бумаги или пароли от почты на столе с полиграфией для клиентов. |
0,6 |
| Крайне вероятно. Такое случается у вас несколько раз в год. Ваши недоброжелатели (сотрудники или конкуренты) заинтересованы в этом — это принесёт им моральное удовлетворение или прибыль. Например, сотрудники уводят клиентов в другую компанию и получают за это откат. Или сёрфят по зараженным сайтам, из-за чего постоянно летят ваши компьютеры, вы не можете работать с клиентами. |
0,8 |
После того, как вы определили сумму ущерба в деньгах (У) и коэффициент вероятности (В), посчитайте величину риска (Р): Р=У×В.
5. Подсчёт суммы риска
| Риск | Ущерб | Вероятность | Сумма риска |
|---|---|---|---|
| Риск 1 | 2 000 000 ₽ | 0,2 | 400 000 ₽ |
| Риск 2 | 300 000 ₽ | 0,4 | 120 000 ₽ |
| Риск 3 | 800 000 ₽ | 0,6 | 480 000 ₽ |
| Риск 4 | 200 000 ₽ | 0,8 | 160 000 ₽ |
| Риск 5 | |||
| Риск 10 | 160 000 ₽ | ||
| Риск 11 | 40 000 ₽ | ||
| Итого рисков | …… |
В итоге ваша таблица превратится в перечень рисков, оценённых в рублях. Это деньги, которые вы как минимум не заработаете, а как максимум — их придётся вынуть из оборота и потратить на устранение последствий.
Посмотрите на итоговую сумму рисков в таблице. Готовы ли вы её принять? Если нет, остаётся только снижать риски.
Снижайте риски и расходы
В первую очередь примите меры предосторожности. Не пускайте посторонних в офис, защитите пароли, ограничьте их распространение, обучите сотрудников основам безопасности. Поможет даже простая рассылка с предупреждением об эпидемии нового вируса и призывом не открывать подозрительные вложения. ИТ-специалист может регулярно проводить семинары и инструктаж новых сотрудников. Это не требует больших затрат.
Для серьёзной защиты нужны антивирусы, программы от утечек информации, специальное железо. Оценка, которую вы провели, поможет поставить чёткую задачу специалистам по информационной безопасности. Они подберут конкретное средство защиты, а не предложат делать всё сразу — расходы уменьшатся.
Сравните смету с суммой риска — так вы поймёте, окупятся ли вложения. Например, для победы над новыми вирусами производители предлагают системы класса Sandbox. Они эффективны, но стоят не меньше двух миллионов рублей. Если сумма рисков сопоставима или меньше этой суммы, выгоднее использовать средство подешевле — даже если оно не защитит вашу информацию полностью.
Памятка
Защита информации обойдётся дешевле, если знать, что и от чего защищать. Вот как это выяснить:
- Составьте список информационных активов. Оцените по 5-балльной шкале конфиденциальность, доступность и целостность каждого актива. В каждой тройке выберите самый большой балл — это итоговая ценность актива.
- Определите информационные системы, в которых работаете с активами. Ценность каждой системы равна ценности самого ценного актива. Защитите системы, которым поставили 4 или 5 — они самые ценные.
- Подумайте, что может угрожать ценным информационным системам. Тут нужен опыт — поручите это сисадмину или используйте каталог угроз.
- Оцените, сколько денег потеряете, если что-то случится с ценной информацией. Подумайте, насколько вероятно, что это случится за год. Рассчитайте сумму риска по формуле Риск = Ущерб × Вероятность угрозы.
- Покупая антивирус или файервол, сравните его стоимость с суммой риска: если потратите на них меньше, чем на восстановление ущерба берите; если больше — нет.
Получайте раз в неделю подборку лучших статей Жизы
Рассказываем истории из жизни бизнесменов, следим за льготами для бизнеса и
даём знать, если что-то срочно пора сделать.
Санкт-Петербургское государственное бюджетное
профессиональное образовательное учреждение
«Политехнический колледж городского хозяйства»
Тема: Практическая работа № 1 «Анализ рисков информационной безопасности»
Дисциплина: Анализ рисков информационной безопасности
Специальность 09.02.03
Группа ИП-18-3
Выполнила студентка: Акулова М.А.
Проверил преподаватель:
2020г.
Содержание
Оглавление
Задание 2
Обоснования выбора информационных активов 3
Оценка ценности информационных активов/Уязвимости системы защиты информации 5
Угрозы ИБ 6
Оценка рисков 7
Вывод 9
Задание
1. Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий».
2. Ознакомьтесь с Приложениями C, D и Е ГОСТа.
3. Выберите три различных информационных актива организации (см.
вариант).
4. Из Приложения D ГОСТа подберите три конкретных уязвимости системы
защиты указанных информационных активов.
5. Пользуясь Приложением С ГОСТа напишите три угрозы, реализация
которых возможна пока в системе не устранены названные в пункте 4 уязвимости.
6. Пользуясь одним из методов (см. вариант) предложенных в Приложении Е
ГОСТа произведите оценку рисков информационной безопасности.
7. Оценку ценности информационного актива производить на основании
возможных потерь для организации в случае реализации угрозы.
Обоснование выбора информационных активов организации
Информационный актив банка – это информация:
-
с реквизитами, позволяющими её идентифицировать;
-
имеющая ценность для самого банка;
-
находящаяся в распоряжении и представленная на любом материальном носителе в форме, пригодной для её обработки, хранения или передачи.
Описание и детализация информационных активов может быть различной. В банках к типам информационных активов относится информация, содержащая банковскую тайну (далее – БТ), коммерческую тайну (далее – КТ), персональные данные и открытую информацию. Банковская и коммерческая тайна могут одновременно являться инсайдерской информацией (далее – ИИ).
В отделение коммерческого банка можно выделить ряд информационных активов. В данном случае мы возьмем:
-
Документация бухгалтерского учета – совокупность материальных носителей информации, составляемая экономическим субъектом по установленным требованиям в ходе ведения им бухгалтерского учета и включающая в себя:
-
первичные учетные документы;
-
сводные учетные документы;
-
регистры бухгалтерского учета;
-
данные внутренней бухгалтерской отчетности.
-
-
Клиентская база — это особый вид базы данных, в которой содержатся сведения о каждом клиенте компании, хоть раз совершавшим с ней сделку. В некоторых клиентских базах помимо этой информации также содержатся данные о вероятных заказчиках и клиентах.
-
Сетевой диск (сетевой драйвер)- назначенный логический диск (папка), который служит для хранения, передачи значительными объемами информации между сотрудниками.
Я выбрала данные информационные активы организации, поскольку они являются необходимыми и основными для функционирования, реализации сети.
Когда выделены и сформированы информационные активы предприятия, встает вопрос их правильной классификации с последующим обеспечением безопасности.
Дело в том, что с помощью классификации можно оформить ключевые метрики для используемой информации – ее ценность, сила влияния на предприятие защите и тому подобное. Во многом от этого зависит, как данные будут обрабатываться и защищаться.
Классификационные модели:
-
Однофакторная классификация. Базируется на степени ущерба. Рассмотрим небольшой пример. Активы информационной системы распределяются на четыре блока в зависимости от степени вероятного нанесения ущерба при утечке данных. Как пример – минимальный, затем — средний, высокий и напоследок – критический.
-
Многофакторная модель классификации. Базируется на трех классических параметрах. В данном случае вся информация представляет интерес с точки зрения конфиденциальности, доступности и целостности. По каждой позиции требования проставляются отдельно – высокие, средние, низкие. По совокупности они оцениваются, к примеру, как критической или базовой важности.
|
Параметр/значение |
Критичность информации |
||
|
Ценность вида информации |
Критичная (3 балла) |
Существенная (2 балла) |
Незначи-тельная (1 балл) |
|
Строго конфиденциальная (4 балла) |
7 |
6 |
5 |
|
Конфиденциальная (3 балла) |
6 |
5 |
4 |
|
Для внутреннего пользования (2 балла) |
5 |
4 |
3 |
|
Открытая (1 балл) |
4 |
3 |
2 |
Do’stlaringiz bilan baham:
