Студопедия

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника



Життєзабезпечення видавництва




Читайте также:
  1. Життєзабезпечення видавництва
  2. Оцінка захисних споруд за можливістю системи життєзабезпечення
  3. Схема роботи видавництва
  4. ХV. ДИТЯЧІ ВИДАВНИЦТВА СВІТУ

Курсова робота

з курсу«Системи менеджменту інформаційної безпеки»

на тему: “ Аналіз ризиків інформаційної безпеки видавництва“

Виконала: ст. гр. УІ-41

Горбова Л.Є.

Перевірив:проф. Ромака В.А.

 

 

Львів – 2014

 

 

Лідія Горбова Lidia Horbova
Національний університет «Львівська політехніка» National University “Lviv Polytechnic”
Аннотація.Розкрито особливості роботи найбільш поширених моделей оцінювання ризиків інформаційної безпеки в розподілених інформаційних системах. Проаналізовано процесні підходи викладених методологій та підходи до формалізації результатів оцінювання ризиків інформаційної безпеки. Розроблено систему управління інформаційної безпеки видавництва згідно сімейства міжнароднихстандартів ISO 27000. Описано об’єкт захисту,складено реєстр оцінки ризиків. Визначено критерії прийняття ризиків, запропоно заходи для їх нейтралізації. Annatation.Working peculiarities of the most common models for information security risk assessment in distributed information systems were revealed. The analysis process approaches of outlined methodologies and approaches to the results formalization of information security risk assessment were analized. System management of information security by the publishing house family international standards ISO 27000 was developed. Described object of protection, compiled a register of of risk assessment. The criteria taking risks were identified, will offer measures to neutralize them.
Ключові слова: інформаційний ризик, процесна модель, інформаційна безпека, оцінка ризику. Keywords: information risk, process model, information security, risk assessment.

Зміст

Вступ

РОЗДІЛ 1. АНАЛІЗ ПРОБЛЕМИ ОЦІНЮВАННЯ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ НА ВИДАВНИЦТВІ

1.1 Важливість оцінювання ризику ІБ на видавництві

1.2 Способи оцінки інформаційних ризиків

1.3 Методи оцінювання ризиків ІБ

- Кількісні та якісні

- Світові методи

Висновок

РОЗДІЛ 2. МЕТОДИКИ ОЦІНЮВАННЯ ЙМОВІРНОСТІ РЕАЛІЗАЦІЇ ЗАГРОЗ ТА ЗБИТКІВ

2.1. Методика оцінювання ймовірності реалізації загроз

2.2. Методика оцінювання збитку інформаційної безпеки.

Висновок

РОЗДІЛ 3. ОПИС ІНФОРМАЦІЙНОГО АКТИВУ ТА ВИЗНАЧЕННЯ ЙМОВІРНОСТІ РЕАЛІЗАЦІЇ ЗАГРОЗ



3.1 Опис об’єкту захисту

Схема роботи видавництва

Принцип роботи видавництва

Опис приміщення

Опис технічних пристроїв, які містить об’єкт захисту

3.6 Робочий графік працівників

3.7 Визначення об’єктів та цілей захисту

3.8 Загальний інструктаж

Життєзабезпечення видавництва

Реєстр інформаційних активів

РОЗДІЛ 4. ДОСЛІДЖЕННЯ ЙМОВІРНОСТІ РЕАЛІЗАЦІЇ ЗАГРОЗ

РОЗДІЛ 5. ДОСЛІДЖЕННЯ ЗБИТКУ ТА РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Список використаної літератури

Вступ

В сучасних умовах захист інформації є надзвичайно актуальним, але в з’язку з швидким темпом наукового розвитку виникає досить багато проблем:

- стрімкий розвиток та розповсюдження засобів електронної обчислювальної техніки;

- вдосконалення та створення нових шифрувальних технологій;

- необхідність захисту не тільки державної і військової таємниці, але і промислової, комерційної і фінансової таємниць;

- дослідження нових можливостей несанкціонованих дій над інформацією;

- створення засобів та методів несанкціонованого доступу інформації.



Ще однією вразливістю є природні канали витоку інформації, що містяться на об'єкті захисту. Природні канали існують на будь-якому об'єкті і зумовлені процесами оброблення та передавання інформації, а також властивостями конструкцій будівлі.

Штучні канали витоку інформації – це навмисні канали витоку, що створюються із застосуванням активних методів і способів отримання інформації. Активні способи припускають навмисне створення технічного каналу витоку інформації з використанням спеціальних технічних засобів. До них можна віднести незаконне підключення до каналів, проводів і ліній зв'язку, високочастотне наведення і опромінення, установка в технічних засобах і приміщеннях мікрофонів і телефонних закладних пристроїв, а також несанкціонований доступ до інформації, що обробляється в автоматизованих системах (АС) і т.д.

 

Результатом реалізації погроз інформації може бути:

  • утрата (руйнування, знищення);
  • витік (витяг, копіювання, підслуховування);
  • перекручування (модифікація, підробка);
  • блокування.

Тому для повноцінної діяльності будь-якого підприємства необхідним є створення системи менеджменту інформаційної безпеки, що забезпечить неперервну роботу організації та мінімізацію розміру збитків від подій, що є загрозою безпеці, шляхом їх нейтралізації.

Мета роботи: дослідження ризиків інформаційної безпеки видавництва «Золоте перо», а також дослідження його загроз та збитків.

Для досягнення мети потрібно вирішити наступні завдання:

1. Описати інформаційні активи підприємства.

2. Визначити загрози інформаційної безпеки інформаційним активам.

3. Визначити джерело загрози



4. Визначити у який спосіб повинна бути реалізована загроза.

5. Розробити методику оцінювання ймовірності реалізації загроз.

6. Розробити методику оцінювання збитку від реалізації загроз.

7. Визначити значення ймовірності реалізації загроз.

8. Встановлення розміру збитку від реалізації загроз.

9. Встановлення та ранжування ризиків інформаційної безпеки.

Обєкт дослідження: інформаційні активи видавництва.

Предмет дослідження: методики оцінювання ймовірності реалізації загроз та збитків видавництва.

 

Розділ 1

Аналіз проблеми оцінювання ризиків інформаційної безпеки на видавництві

1.1 Важливість оцінювання ризику ІБ на видавництві
Для забезпечення основних властивостей інформації, яка становить певну цінність і є важливою для її власника, існує цілий ряд нормативно-правових документів. Використовується досить дороге технічне обладнання, запроваджуються строго регламентовані організаційні заходи, однак все це не може гарантувати у повній мірі бажаний результат. Цьому є певний ряд причин, які можна розділити на такі групи:

1) нехтування системного підходу до методів захисту інформації;

2) відсутність механізмів повного і достовірного підтвердження якості захисту інформації;

3) недоліки нормативно-правового забезпечення інформаційної безпеки;

4) відсутня система менеджменту та управління інформаційною безпекою.

Під поняттям інформаційної безпеки будемо розуміти стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації.

Конкурент або інша зацікавлена особа (далі по тексту зловмисник) створює загрозу інформації шляхом встановлення контакту з джерелом інформації або перетворення каналу розповсюдження інформації в канал її витоку. Якщо немає загрози, то відповідно відсутній факти витоку інформації до зловмисника. Загроза передбачає намір зловмисника здійснити протиправні дії по відношенню до інформації для досягнення бажаної мети. Загроза може бути потенційною і реальною. Реальні загрози, в свою чергу, поділяються на пасивні і активні. За місцем виникнення і відношенням до фірмі загрози поділяються на внутрішні і зовнішні, за часом - постійні і періодичні (епізодичні). Зловмисник може створювати уявну загрозу, на протидію якої будуть витрачені реальні сили та засоби. Загрози інформації реалізуються зловмисником за допомогою прийомів і методів промислового або економічного шпіонажу. Загроза збереженню інформації і документів особливо велика при їх виході за межі служби конфіденційної документації, наприклад при передачі документів персоналу на розгляд та виконання, при пересилці або передачі документів адресатам і ті. Однак необхідно враховувати, що втрата цінної інформації відбувається, як правило, не в результаті навмисних дій конкурента або зловмисника, а через неуважність, не професіоналізм і безвідповідальність персоналу. Втрата (витік) інформації передбачає несанкціонований перехід цінних, конфіденційних відомостей до особи, яка не має права володіти ними і використовувати їх в своїх цілях для отримання прибутку. В тому випадку, коли мова йде про втрату інформації по вині персоналу, зазвичай використовується термін "розголос інформації". Розголошує інформацію завжди людина - усно, письмово, за допомогою жестів, міміки, умовних сигналів, особисто або через посередника. Термін "витік інформації" використовується найбільш широко, хоча, на мій погляд, в більшому ступені відноситься до втрати інформації за рахунок її перехвату за допомогою технічних засобів розвідки. При розголошенні, витоку інформація може переходити або до зловмисника а потім, можливо, до конкурента, або до третьої особи. Під третьою особою в даному випадку розуміють любі особи, які отримали інформацію у володіння в силу обставин (тобто які стали її джерелом), але які не мають права володіння нею і, що дуже важливо, не зацікавлені в цій інформації. Однак необхідно враховувати, що від третіх осіб інформація може перейти до зацікавленої в ній особи - конкуренту фірми.

На відміну від третьої особи зловмисник навмисно й таємно організовує, створює канал витоку інформації та експлуатує його по першій більш чи менш тривалий час.

"Знати можливий витік інформації означає: для зловмисника - мати стабільну можливість отримувати цінну інформацію; для власника інформації - протидіяти зловмиснику та зберігати таємницю, а інколи і дезінформувати конкурента"

Інформація повинна поступати до конкурента тільки по каналу, що контролюється, в якому відсутні конфіденційні відомості а інформація, яка циркулює, рангована по складу, користувачам і характеризується загальною відомістю і доступом. Прикладом такого каналу є видання та розповсюдження рекламно-інформаційних матеріалів.

Канали витоку, якими користуються зловмисники, відрізняються більшою різноманітністю. Основними видами цих каналів можуть бути: встановлення зловмисником взаємовідносин з співробітниками фірми або відвідувачами, співробітниками фірм-партнерів, службовцями державних або муніципальних органів управління та іншими особами; аналіз опублікованих матеріалів про фірму, рекламних видань, виставочних проектів та іншої загальнодоступної інформації; вступ зловмисника на роботу в фірму; робота в інформаційних мережах; кримінальний, силовий доступ до інформації, тобто викрадення документів, шантаж персоналу та інші способи; робота зловмисника в технічних каналах розповсюдження інформації.

Для вирішення проблеми забезпечення інформаційної безпеки на видавництві, необхідно чітко визначити та сформулювати цілі та задачі захисту інформації. Крім того, потрібно ясно розуміти те, що чим конкретніше вони сформульовані, чим краще визначений комплекс обмежень та якість ресурсів, тим вірогідніше отримання бажаного результату. Якщо ціль захисту інформації по своєму характеру нескладна, то її реалізація цілком можлива і не вимагає використання серйозних ресурсів. Проте, чим більші вимоги ставляться до системи захисту інформації, тим важча і складніша реалізація поставленої задачі. В даному випадку кожен окремий елемент порівняно втрачає свою вагу, але в комплексі створює значно надійнішу й потужнішу систему. Найперше у таких системах потрібно робити акцент не на властивості кожного окремого елемента, а на їх взаємодії. Саме завдяки цьому система набуває таких специфічних властивостей, які не притаманні жодному з даних елементів.

1.2 Способи оцінки інформаційних ризиків.

На Рис. 1 представлені три способи, за допомогою яких можна проводити оцінку інформаційних ризиків:

1. методи;

2. управляючі документи;

3. інструменти;

 

Рис.1

 

 

1.3 Методи оцінювання ризиків ІБ

Метод розуміється, як систематизована сукупність кроків, дій, які необхідно зробити для вирішення певної задачі або досягти поставленої мети, в даному випадку провести оцінку ризиків. Тобто, метод мається на увазі покрокова інструкція плюс інструмент (програмний продукт) для проведення оцінки ризиків на підприємстві.

Кількісні та якісні методи.

Всі методи оцінки ризику можна розділити на:

· кількісні

· якісні

· комбінацію кількісних методів з якісними (змішаний).

Кількісні методи використовують вимірні, об'єктивні дані для визначення вартості активів, імовірність втрати і пов'язаних з ними ризиків. Мета полягає в тому, щоб обчислити числові значення для кожного з компонентів, зібраних в ході оцінки ризиків та аналізу витрат і переваг.

Якісні методи використовують відносний показник ризику або вартості активу на основі рейтингу або поділ на категорії, такі як низький, середній, високий, не важливо, важливо, дуже важливо, чи за шкалою від 1 до 10. Якісна модель оцінює дії й імовірності виявлених ризиків швидким і економічно ефективним способом. Набори ризиків записані і проаналізовані в якісній оцінці ризику, та можуть послужити основою для цілеспрямованої кількісної оцінки.

Раніше кількісні підходи використовувалися частіше. Однак, останнім часом використання суворо кількісних управлінь ризиками зазвичай призводить до важкої, тривалої роботи, і немає великих переваг перед якісним методом оцінки ризиків. Комбінація кількісного і якісного методу являє собою змішану сукупність переваг і недоліків вище згаданих методів.

Кращі світові методи для проведення повноцінної оцінки ризиків:

 

1)ISAMM

Виробник: Бельгія.

Опис: ISAMM була розроблена на основі Telindus. Це кількісний тип методології управління ризиками, де оцінюються ризики, виражаючи їх через щорічні очікувані збитків в грошових одиницях.

Щорічні очікувані збитки (ALE) = [ймовірність] Х [середнє вплив].

ISAMM дозволяє показувати й моделювати зниження ризику для кожного поліпшеного контролю і порівнювати з його вартістю реалізації. Ефективність методу дозволяє виконувати обгрунтовану оцінку ризику в рамках, з мінімальними витратами часу і зусиль. Останньою еволюцією в методології ISAMM є уявлення активів. Це означає, що він може бути використаний для запуску оцінки ризиків щодо активів або згрупувати набір активів. Цей метод оцінки ризиків складається з трьох основних частин: огляду; оцінки; результат розрахунків та звітність.

Метод оцінки ризику: кількісний.

Наявність допоміжних програмних інструментів: немає, але має хорошу керівну документацію.

 

2) Mehari

Виробник: Франція.

Опис: Це модель управління ризиками, з модульними компонентами і процесами. Модуль оцінки охоплює, крім інформаційної системи, організацію та її місця розташування в цілому, а також умови роботи, правові та нормативні аспекти.

Метод оцінки ризику: якісний і кількісний.

Наявність допоміжних програмних інструментів: є.

 

3) EBIOS

Виробник: Франція.

Опис: EBIOS являє собою повний набір посібників. Виробляються кращі практики, а також додатки документів, орієнтовані на кінцевих користувачів в різних контекстах. Цей метод широко використовується як в державному, так і приватному секторі. EBIOS формалізує підхід до оцінки ризику в області інформаційної безпеки систем. Метод враховує всі технічні об'єкти (програмне і апаратне забезпечення, мережі) і нетехнічні об'єкти (організації, людські аспекти, фізична безпека).

Метод оцінки ризику: якісний.

Наявність допоміжних програмних інструментів: є.

 

 

4)Octave

Виробник: США.

Опис: OCTAVE є самостійним підходом, що вказує на те, що персонал несе відповідальність за встановлення стратегії безпеки організації. OCTAVE вимагає аналізу в розгляді відносини між критично важливими активами, загрозами для цих активів і вразливостями (як організаційні, так і технологічні). Він визначає пов'язані з інформацією активи, які важливі для організації і зосереджує діяльність на ці активи, тому що вони мають найбільш важливе значення для організації (акцент на кількох важливих активів, не більше п'яти). Існують різні OCTAVE методи, засновані на OCTAVE критеріях: OCTAVE,OCTAVE-S і OCTAVE Allegro.

Метод оцінки ризику: якісний.

Наявність допоміжних програмних інструментів: є.

 

5) IT-Grundschutz.

Виробник: Німеччина.

Опис: IT-Grundschutz пропонує спосіб для створення системи управління інформаційною безпекою. Вона включає в себе як загальні рекомендації по забезпеченню безпеки ІТ так і допоміжні технічні рекомендації для досягнення необхідного рівня ІТ безпеки для конкретного домену.

У методі IT-Grundschutz представлені каталоги: 1) модулі; 2) каталоги загроз; 3) каталоги захисту.

Метод оцінки ризику: якісний.

Наявність допоміжних програмних інструментів: є.

 

6) CRAMM.

Виробник: Великобританія.

Опис: Метод CRAMM досить складно використовувати без CRAMM інструменту. У інструмента такаж назва, як і у методу - CRAMM. В основі методу CRAMM лежить комплексний підхід до оцінки ризиків, поєднуючи кількісні та якісні методи аналізу. Метод є універсальним і підходить як для великих, так і для дрібних організацій, як урядового, так і комерційного сектора. Грамотне використання методу CRAMM дозволяє отримувати дуже хороші результати, найбільш важливим з яких є можливість економічного обгрунтування витрат організації на забезпечення інформаційної безпеки та безперервності бізнесу. Економічно обгрунтована стратегія управління ризиками дозволяє, в кінцевому підсумку, заощаджувати кошти, уникаючи невиправданих витрат.

Метод оцінки ризику: якісний і кількісний.

Наявність допоміжних програмних інструментів: є.

 

7) Magerit

Виробник: Іспанія.

Опис: Magerit є відкритою методологією аналізу та управління ризиками пропонованої в якості основи і керівництва:

• для того, щоб особи відповідальні за інформаційні системи знали про існування ризиків і необхідность розглядати їх своєчасно;

• для пропозиції систематичного методу аналізу цих ризиків;

• для опису і планування відповідних заходів по утриманню ризику під контролем;

• для підготовки організації по процесу оцінки, аудиту, сертифікації та акредитації.

Метод оцінки ризику: кількісний і якісний.

Висновок: Практична значущість даного дослідження полягає в тому, що наведені моделі процесів управління ризиками ІБ дають можливість зручно, швидко та точно отримати цілісну картину ситуації відносно ризиків ІБ організації незалежно від її розмірів, приймати оптимальні управлінські рішення стосовно обробки ризиків. Представлені моделі у сукупності відтворюють процес управління ризиками ІБ, наведений у міжнародному стандарті ISO/IEC 27005:2011.

Запропоновані моделі дозволять отримувати науково-обґрунтовані організаційно-технічні рішення, впровадження яких сприятиме: підвищенню рівня ІБ організації та захисту її активів від множини зовнішніх та внутрішніх загроз, своєчасному виявленню вразливостей, зменшенню потенційних наслідків від реалізації загроз та зниженню ймовірності їх виникнення у майбутньому, мінімізації збитків, усуненню інцидентів та неприйнятних ризиків. У подальшому дослідженні повинні забезпечити неперервну роботу організації та мінімізацію розміру збитків від подій, що є загрозою безпеці, шляхом їх нейтралізації.

 

 

Розділ 2

Методика оцінювання реалізації загроз та збитків

2.1. Методика оцінювання ймовірності реалізації загроз.

 

Усі джерела загроз мають різну міру небезпеки [measure of danger], яку можна оцінити, якщо провести їхнє ранжування. При цьому, оцінка міри небезпеки здійснюється за непрямими показниками. Критеріями порівняння (показників) пропонується, наприклад, вибрати:

• можливість виникнення джерела , що визначає міру доступності до можливості використати фактор (уразливість) (для антропогенних джерел), віддаленість від фактора (уразливості) (для техногенних джерел) або особливості обстановки (для випадкових джерел);

• готовність джерела , що визначає міру кваліфікації та привабливість здійснення діяння з боку джерела загрози (для антропогенних джерел) або наявність необхідних умов (для техногенних та стихійних джерел);

• фатальність , що визначає міру непереборності наслідків реалізації загрози.

Кожний показник оцінюється експертно-аналітичним методом за п'ятибальною системою. Причому, 1 відповідає мінімальній мірі впливу показника, який оцінюється на небезпеку використання джерела, а 5 — максимальній. Коефіцієнт для окремого джерела можна визначити як відношення добутку наведених вище показників до максимального значення 125:

 

Міра доступності до об'єкта, що підлягає захисту, може бути класифікована за наступною шкалою:

■ висока ступінь доступності — антропогенне джерело загроз має повний доступ до технічних і програмних засобів обробки інформації, що підлягає захисту (характерно для внутрішніх антропогенних джерел, що наділені максимальним правом доступу, наприклад, представники служб безпеки інформації, адміністратори);

• перша середня ступінь доступності — антропогенне джерело загроз має можливість опосередкованого, не визначеного функціональними обов'язками (за рахунок побічних каналів витоку інформації, використання можливості доступу до привілейованих робочим місць), доступу до технічних і програмних засобів обробки інформації, що підлягає захисту (характерно);

• друга середня ступінь доступності — антропогенне джерело загроз має обмежену можливість доступу до програмних засобів у силу введених обмежень при використанні технічних засобів, функціональних обов'язків або за видом своєї діяльності (характерно для внутрішніх антропогенних джерел із звичайними правами доступу (наприклад, користувачі) або зовнішніх антропогенних джерел, що мають право доступу до засобів обробки та передачі інформації, що підлягає захисту (наприклад хакери, персонал постачальників телематичних послуг);

• низька ступінь доступності — антропогенне джерело загроз має дуже обмежену можливість доступу до технічних засобів і програм, які обробляють інформацію, що підлягає захисту (характерно для зовнішніх антропогенних джерел);

• відсутність доступності — антропогенне джерело загроз не має доступу до технічних засобів і програм, які обробляють інформацію, що підлягає захисту.

Міру віддаленості від об'єкта захисту можна характеризувати наступними параметрами:

• співпадаючі об'єкти — об'єкти захисту самі містять джерела техногенних загроз і їхній територіальний поділ неможливий;

• близько розташовані об'єкти — об'єкти захисту розташовані в безпосередній близькості від джерел техногенних загроз, і будь-який прояв таких загроз може вчинити суттєвий вплив на об'єкт;

• середньовіддалені об'єкти — об'єкти захисту розташовуються на віддалені від джерел техногенних загроз, на якому прояв впливу цих загроз може вчинити несуттєвий вплив на об'єкт захисту;

• віддалено розташовані об'єкти — об'єкт захисту розташовується на віддаленні від джерела техногенних загроз, що виключає його прямий вплив;

• вельми віддалені об'єкти — об'єкт захисту розташовується на значному віддаленні від джерела техногенних загроз, що повністю виключає будь-які впливи на об'єкт захисту, в тому числі і за вторинними проявами.

Особливості обстановки характеризуються розташуванням об'єктів захисту в різноманітних природних, кліматичних, сейсмологічних, гідрографічних та інших умовах. Особливості обстановки можна оцінювати за

наступною шкалою:

• дуже небезпечні умови — об'єкт захисту розташований в зоні дії природних катаклізмів;

• небезпечні умови — об'єкт захисту розташований у зоні, в якій багаторічні спостереження показують можливість прояву природних катаклізмів;

• помірно небезпечні умови — об'єкт захисту розташований у зоні, в якій за проведеними спостереженнями протягом тривалого періоду відсутні прояви природних катаклізмів, але існують передумови виникнення стихійних джерел загроз на самому об'єкті;

• слабо небезпечні умови — об'єкт захисту розташований поза межами зони дії природних катаклізмів, і на об'єкті існують передумови виникнення стихійних джерел загроз;

• безпечні умови — об'єкт захисту розташований поза межами зони дії природних катаклізмів, і на об'єкті відсутні передумови виникнення стихійних джерел загроз.

Класифікація антропогенних джерел відіграє важливу роль у визначенні їхніх можливостей щодо здійснення протиправних дій. Прийнята наступна класифікація по можливості (мірі) взаємодії з мережею, що підлягає захисту:

• нульовий рівень — визначається відсутністю можливості будь-якого використання програм;

• перший рівень — обмежується можливістю запуску задач/програм із фіксованого набору, призначеного для обробки інформації, яка підлягає захисту (рівень некваліфікованого користувача);

• другий рівень — враховує можливість створення й запуску користувачем власних програм із новими функціями з обробки інформації (рівень кваліфікованого користувача, програміста);

• третій рівень — визначається можливістю керування функціонуванням мережі, тобто впливом на базове програмне забезпечення, його склад і конфігурацію (рівень системного адміністратора);

• четвертий рівень — визначається повним обсягом можливостей суб'єктів, що здійснюють проектування й ремонт технічних засобів, аж до включення до складу мережі власних технічних засобів із новими функціями з обробки інформації (рівень розробника та адміністратора).

Нульовий рівень є найнижчим рівнем можливостей з ведення діалогу джерела загроз із мережею, що підлягає захисту. При оцінці можливостей антропогенних джерел передбачається, що суб'єкт, який здійснює протиправні дії, або має, або може скористатися правами відповідного рівня.

Привабливість здійснення діяння з боку джерела загроз установлюється наступним чином:

• особливо привабливий рівень — інформаційні ресурси, які підлягають захисту, містять інформацію, яка може нанести непоправні збитки та привести до краху організації, що здійснює захист;

• привабливий рівень — інформаційні ресурси, що підлягають захисту, містять інформацію, яка може бути використана для одержання вигоди на користь джерела загрози або третіх осіб;

• помірно привабливий рівень — інформаційні ресурси, що підлягають захисту, містять інформацію, розголошення якої може нанести збитки окремим особистостям;

• слабо привабливий рівень — інформаційні ресурси, що підлягають захисту, містять інформацію, яка при її накопиченні та узагальненні протягом певного періоду може спричинити збитки організації, що здійснює захист;

• непривабливий рівень — інформація не представляє інтересу для джерела загрози.

Необхідні умови готовності джерела визначаються, виходячи з можливості реалізації тієї чи іншої загрози в конкретних умовах розташування об'єкта. При цьому передбачається:

• загроза реалізована — тобто умови сприятливі або можуть бути сприятливими для реалізації загрози;

• загроза помірно реалізована — тобто умови сприятливі для реалізації загрози, проте довгострокові спостереження не припускають можливості її активізації у період існування й активної діяльності об'єкта захисту;

• загроза слабо реалізована — тобто існують об'єктивні причини на самому об'єкті або в його оточенні, що перешкоджають реалізації загрози;

• загроза не реалізована — тобто відсутні передумови для реалізації передбачуваної подій.

Міра непереборності наслідків загрози (фатальність) визначається за наступною шкалою:

• непереборні наслідки — результати прояву загрози можуть

призвести до повного руйнування (знищення, втрати) об'єкта захисту і, як наслідок, до непоправних втрат і виключення можливості доступу до інформаційних ресурсів, що підлягають захисту;

• практично непереборні наслідки — результати прояву загрози можуть призвести до руйнування (знищення, втрати) об'єкта та до значних витрат (матеріальних, часу і т. ін.) на відновлення, які порівнянні з витратами на створення нового об'єкта, та суттєвого обмеження часу доступу до інформаційних ресурсів, що підлягають захисту;

• частково переборні наслідки — результати прояву загрози можуть призвести до часткового руйнування і, як наслідок, до значних витрат на відновлення, обмеження часу доступу до інформаційних ресурсів, що підлягають захисту;

• переборні наслідки — результати прояву загрози можуть призвести до часткового руйнування (знищення, втрати) об'єкта захисту, що не потребує великих витрат на його відновлення і, практично не впливає на обмеження часу доступу до інформаційних ресурсів, які підлягають захисту;

• відсутність наслідків — результати прояву загрози не можуть вплинути на діяльність об'єкта захисту.

Результати проведеного ранжирування відносно конкретного об'єкта захисту можна звести в таблицю, яка дозволяє визначити найбільш небезпечні для даного об'єкта джерела загроз безпеці інформації.

При виборі припустимого рівня джерела загроз передбачається, що джерела загроз, які мають коефіцієнт менше 0,1...0,2, можуть у подальшому не враховуватися як малоймовірні.

Визначення актуальних (найбільш небезпечних) загроз здійснюється на основі аналізу розташування об'єктів захисту та структури побудови системи, а також інформаційних ресурсів, що підлягають захисту.

 

Ймовірність визначення Опис Шкала
Дуже низька Малоймовірно
Низька 1 раз на 3 роки
Середня 1 раз на рік
Висока Декілька разів на рік
Дуже висока Раз на місяць і частіше

 

2.2. Методика оцінювання збитку інформаційної безпеки

 

Річний заробіток видавництва складає 13 000 $. Тому для оцінки збитку використовують таку таблицю

Таблиця 3

Потенційний збиток Величина/серйозність збитку Шкала
Низький Невеликі проблеми (величина збитку до 130$)
Середній Значні проблеми (величина збитку понад 1300$). Негативна реакція клієнтів, партнерів, інвесторів на дії організації.
Високий Може зумовити значні витрати (величина збитку більше 13000$), а також втрату конкурентоспроможності на ринку.
Дуже високий Може зумовити банкрутство організації та її закриття.

Висновок: в результаті оцінювання збитку та ймовірності виникнення загрози проводиться оцінка ризику, під час якого визначається величина ризику.Для визначення величини ризику створено методики для оцінювання ймовірності виникнення загрози та величини можливого збитку. Добуток коефіцієнтів визначає величину ризику.

 

Ризик = Ймовірність * Збиток

 

 

Розділ 3

Опис об’єкта інформаційної безпеки та аналіз ризиків в інформаційні безпеці


Дата добавления: 2015-01-15; просмотров: 58; Нарушение авторских прав







lektsii.com - Лекции.Ком - 2014-2021 год. (0.05 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав
Главная страница Случайная страница Контакты