Информационный актив
Проверка защищенности интернет-магазина
|
Персональные инструменты
+7 (925) 203-95-11
Заявка на обратный звонок
- О нас
- Почему мы?
- Миссия
- История
- Лицензии и сертификаты
- Пресс-центр
- Новости
- Информационные материалы
- Корпоративные брошюры и листовки GlobalTrust
- Презентации решений GlobalTrust
- Видеоматериалы с мероприятий GlobalTrust
- Круглый стол Ассоциации Частных Агентств Занятости (АЧАЗ) «Защита персональных данных кандидатов и работников», 07.02.2018
- Статьи, интервью, публикации в прессе
- Вакансии
- Мероприятия
- Контактная информация
- Продукты
- Protectiva Compliance Manager
- Комплекты документов по информационной безопасности
- Полный комплект типовых документов и стандартов информационной безопасности
- Комплект типовых документов по информационной безопасности
- Комплект типовых документов для операторов персональных данных
- Комплект типовых документов для управления информационными рисками
- Сборники стандартов информационной безопасности
- Русские редакции стандартов по информационной безопасности
- Русские редакции стандартов по обеспечению непрерывности бизнеса
- Услуги
- Аудит и оценка рисков ИБ
- Виды услуг по аудиту ИБ
- Оценка и обработка рисков ИБ
- Аудит безопасности платежных систем по стандарту PCI DSS
- Методика анализа защищенности информационных систем
- Проверка защищенности интернет-магазина
- Внедрение и сертификация СУИБ
- Понятие СУИБ
- Основные принципы создания СУИБ
- Процедура внедрения СУИБ
- Понятие и цели сертификации СУИБ
- Подготовка к сертификации СУИБ
- Процедура сертификации СУИБ
- Разработка и независимая экспертиза документов по ИБ
- Проектирование СОИБ
- Независимая экспертиза документов по ИБ
- Защита персональных данных
- Защита информации в финансовых организациях
- Защита информации в платежных системах
- Обеспечение безопасности объектов КИИ
- Аутсорсинг, техническая поддержка и сопровождение систем ИБ
- Аудит и оценка рисков ИБ
- Обучение
- Открытые семинары
- FS01 — Открытый семинар «Обеспечение соответствия в области персональных данных»
- FS02 — Открытый семинар «Инновационные продукты и технологии информационной безопасности»
- Авторские учебные курсы
- IS001 — Мастер-класс «Аудит информационной безопасности»
- IS002 — Мастер-класс «Управление рисками ИБ в соответствии с требованиями ISO 27001»
- IS002s — Мастер-класс «Практикум по анализу рисков ИБ»
- IS003 — Ликбез для членов управляющего комитета по ИБ
- IS004 — Мастер-класс «Внедрение и сертификация СУИБ в соответствии с требованиями ISO 27001»
- IS005 — Обучающий семинар «Проблемные вопросы обработки и защиты персональных данных»
- IS006 — Обучающий семинар «Ликбез по защите персональных данных для банкиров»
- IS007 — Обучающий семинар «Аудит ИБ организаций банковской системы РФ по требованиям стандарта СТО БР ИББС»
- Открытые семинары
- Клиенты
- Список клиентов
- Наши проекты
- Партнеры
- Список партнеров
- Партнерская программа
- Оставить заявку
- Заявка на обучение
- Заявка на разработку документов
- Заявка на аудит ИБ
- Заявка на оценку рисков
- Заявка на внедрение СУИБ
- Заявка на сертификацию СУИБ
- Заявка на проектирование СОИБ
- Заявка на ПО Veriato (ранее SpectorSoft)
- Заявка на защиту персональных данных (ФЗ 152)
- Заявка на услуги по защите информации в платежных системах
- Анкета руководителя службы информационной безопасности
- Заявка на разработку СОБИ КСИИ
Идентификация и оценка информационных активов.
На данном этапе мы должны идентифицировать информационные активы, входящие в область оценки.
1) Определить ценность этих активов
2) Определить перечень угроз и вероятность их реализации
3) Произвести оценивание и ранжирование рисков
Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении.
Типы активов ООО «Торговый Дом ЛФЗ»:
· Информация (база данных бухгалтерии – содержит информацию обо всех сотрудниках компании, финансовых операциях которые происходят как внутри, так и вне компании, а так же информацию о проведенных транзакциях и их статусе)
· Документы (договора, контракты, служебные записки)
· Программное обеспечение, включая прикладные программы
· Аппаратные средства (персональные компьютеры – необходимые для работы сотрудников). Сервер баз данных, телефоны, медные и оптоволоконные кабели, коммутаторы, принтеры, почтовый сервер.
ООО «Торговый Дом ЛФЗ» — является коммерческой организацией основной ее целью является получение прибыли за счет предоставляемых ею услуг.
Основными рыночными функциями является реализация продукции Петербургского завода «Императорский Фарфоровый Завод» на Московском рынке.
Данные по оценке информационных активов сведена в таблицу 1.2.1.1. Результаты ранжирования активов представлены в таблице 1.2.1.3.
Таблица 1.2.1.1
Оценка информационных активов ООО «Торговый Дом ЛФЗ».
| Наименование актива | Форма представления | Владелец актива | Критерии определения стоимости | Размерность оценки | |
| Количественная оценка (ед.изм.) | Качественная | ||||
| Информационные активы | |||||
| База данных бухгалтерии | Электронная | Бухгалтерия | Степень важности | — | Имеющая критическое значение |
| База данных поставщиков | Электронная | Директор | Степень важности | — | Имеющая критическое значение |
| Персональные данные о сотрудниках | Электронная | Кадровый отдел | Степень важности | — | Высокая |
| Штатное расписание и кадровый учет | Бумажный документ, электронный документ | Кадровый отдел | стоимость обновления или воссоздания | — | критически высокая |
Продолжение Таблицы 1.2.1.1
| Наименование актива | Форма представления | Владелец актива | Критерии определения стоимости | Размерность оценки | |
| Количественная оценка (ед.изм.) | Качественная | ||||
| Активы аппаратных средств | |||||
| Принтеры | Материальный объект | IT-отдел | Первоначальная стоимость | — | Малая |
| Оборудование для обеспечения связи | Материальный объект | IT-отдел | Первоначальная стоимость | — | Средняя |
| Сервер баз данных | Материальный объект | IT-отдел | Первоначальная стоимость | — | Имеющая критическое значение |
| Почтовый сервер | Материальный объект | IT-отдел | Первоначальная стоимость | — | Имеющая критическое значение |
| Персональный компьютер | Материальный объект | Консультанты, товароведы, администрация. | Первоначальная стоимость | — | Средняя |
| База данных заказав (MySQL) | Материальный объект | IT-отдел | Первоначальная стоимость | Высокая | |
Продолжение Таблицы 1.2.1.1
| Наименование актива | Форма представления | Владелец актива | Критерии определения стоимости | Размерность оценки | |
| Количественная оценка (ед.изм.) | Качественная | ||||
| Активы программного обеспечения | |||||
| Учетная Система | Электронная | Дирекция технического сопровождения | Обновление и воссоздание | — | Высокое |
| Программы целевого назначения | Электронная | Дирекция программного сопровождения и разработки | Обновление и воссоздание | — | Высокое |
| Windows 7 Ultimate | Электронная | Дирекция технического сопровождения | Первоначальная стоимость | — | Малая |
| MS Office 2010 | Электронная | Дирекция технического сопровождения | Первоначальная стоимость | — | Малая |
Результат ранжирования представляет собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале (Таблица 1.2.1.1). Самый ценный информационный актив имеет ранг 5, наименее ценный – ранг 1.
Активы, имеющие наибольшую ценность (ранг) в последующем рассматриваются в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия. В рамках поставленной задачи разработки политики безопасности по защите персональных данных выделим наиболее ценные информационные активы (имеющие максимальный ранг).
Таблица 1.2.1.3
Результаты ранжирования активов ООО «Торговый Дом ЛФЗ»
| Наименование актива | Ценность актива (ранг) |
| База данных бухгалтерии | |
| Почтовый сервер | |
| База данных поставщиков | |
| Персональные данные о сотрудниках | |
| Кадровый учет | |
| Учетная Система | |
| База данных заказов (MySQL) | |
| Программы целевого назначения | |
| Windows 7 Ultimate | |
| MS Office 2010 | |
| Принтеры | |
| Оборудование для обеспечения связи |
По результатам ранжирования (Таблица1.2.1.3) выделим активы, имеющие наибольшую ценность (имеющие ранг 5 и 4):
1. База данных бухгалтерии;
2. Почтовый сервер;
3. База данных поставщиков;
4. Сервер баз данных;
5. Персональные данные о сотрудниках;
6. Оборудование для обеспечения связи;
7. Учетная Система;
8. Windows 7.
Перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, представлены в таблице 1.2.1.2.
Таблица 1.2.1.2
Перечень сведений конфиденциального характера ООО «Торговый Дом ЛФЗ»
| № п/п | Наименование сведений | Гриф конфиденциальности | Нормативный документ, реквизиты, №№ статей |
| Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа | Информация ограниченного доступа | – | |
| Требования по обеспечению сохранения служебной тайны сотрудниками предприятия | Информация ограниченного доступа | ст. 139, 857 ГК РФ | |
| Персональные данные сотрудников | Информация ограниченного доступа; подлежат разглашению с согласия сотрудника | Федеральный закон №152-ФЗ; Глава 14 Трудового кодекса РФ | |
| Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам). | подлежит разглашению только по решению предприятия | Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне |
Оценка уязвимостей активов.
Уязвимость информационных активов — тот или иной недостаток, из-за которого становится возможным нежелательное воздействие на актив со стороны злоумышленников, неквалифицированного персонала или вредоносного кода (например, вирусов или программ-шпионов).
Уязвимость – есть событие, возникающее как результат такого стечения обстоятельств, когда в силу каких-то причин используемые в защищаемых системах обработки данных средства защиты не в состоянии оказать достаточного противодействия проявлению дестабилизирующих факторам и нежелательного их воздействия на защищаемую информацию.
В компьютерной безопасности, термин уязвимость используется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.
Уязвимости информационной системы компании можно определить несколькими способами. Их может описать сотрудник компании (системный администратор или специалист службы информационной безопасности) на основании собственного опыта (возможно, в качестве подсказки для наиболее полного описания множества уязвимостей информационной системы используя классификации уязвимостей). Кроме того, могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей.
Основанием для проведения оценки уязвимости является оценка критичности информационных активов и определения адекватности предпринимаемых мер безопасности по отношению к их значимости.
Показателями уязвимости актива и его особо важных зон являются степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая).
После проведения оценки уязвимости предоставляется отчет, который должен в себя включать описание уязвимостей и уязвимых систем. Уязвимости должны быть отсортированы сначала по степени важности, а затем по серверам/сервисам. Уязвимости должны быть расположены в начале отчёта и расставлены в порядке убывания критичности, то есть сначала критические уязвимости, затем с высоким уровнем важности, потом со средним и низким.
Результаты оценки уязвимости активов представлены в таблице 3.
| Группа уязвимостей Содержание уязвимости | Персональные данные о сотрудниках | Кадровый учет | Персональные компьютеры | Сервера баз данных | Почтовый сервер | Коммуникационное оборудование | Учетная Система | Windows 7 |
| 1. Среда и инфраструктура | ||||||||
| Отсутствие физической защиты зданий, дверей и окон | Средняя | Средняя | Средняя | Средняя | ||||
| Нестабильная работа электросети | Средняя | Низкая | Низкая | Низкая | ||||
| 2. Аппаратное обеспечение | ||||||||
| Отсутствие схем периодической замены | Средняя | Средняя | Средняя | Средняя | ||||
| Подверженности воздействию влаги, пыли, загрязнения | Высокая | Высокая | Высокая | Средняя | ||||
| Отсутствие контроля за эффективным изменением конфигурации | Средняя | Низкая | Низкая | |||||
| 3. Программное обеспечение | ||||||||
| Отсутствие тестирования или недостаточное тестирование программного обеспечения | Высокая | Высокая | ||||||
| Сложный пользовательский интерфейс | Средняя | Средняя | ||||||
| Плохое управление паролями | Среднее | Среднее | Среднее | Высокая | Высокая |
| Группа уязвимостей Содержание уязвимости | Персональные данные о сотрудниках | Кадровый учет | Персональные компьютеры | Сервера баз данных | Почтовый сервер | Коммуникационное оборудование | Учетная Система | Windows 7 |
| 4. Коммуникации | ||||||||
| Отсутствие идентификации и аутентификации отправителя и получателя | Средняя | Низкая | Средняя | Высокая | Высокая | |||
| Незащищенные подключения к сетям общего пользования | Средняя | Средняя | Средняя | Средняя | Средняя | |||
| Отсутствие идентификации и аутентификации отправителя и получателя | Средняя | Низкая | Средняя | Высокая | Высокая | |||
| 5. Документы (документооборот) | ||||||||
| Хранение в незащищенных местах | Среднее | Среднее | ||||||
| Бесконтрольное копирование | Высокая | Среднее | ||||||
| 7. Общие уязвимые места | ||||||||
| Отказ системы вследствие отказа одного из элементов | Средняя | Средняя | Высокая | |||||
| Неадекватные результаты проведения технического обслуживания | Средняя | Низкая | Низкая | Средняя |
| Группа уязвимостей Содержание уязвимости | Персональные данные о сотрудниках | Кадровый учет | Персональные компьютеры | Сервера баз данных | Почтовый сервер | Коммуникационное оборудование | Учетная Система | Windows 7 |
| 4. Коммуникации | ||||||||
| Отсутствие идентификации и аутентификации отправителя и получателя | Средняя | Низкая | Средняя | Высокая | Высокая | |||
| Незащищенные подключения к сетям общего пользования | Средняя | Средняя | Средняя | Средняя | Средняя | |||
| Отсутствие идентификации и аутентификации отправителя и получателя | Средняя | Низкая | Средняя | Высокая | Высокая |
Оценка угроз активам.
Угроза (потенциальная возможность неблагоприятного воздействия) обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему. В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно. Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации — оценена. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий.
В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению, как режима управления, так и его качества в условиях ложной или неполной информации. На рисунке 2 представлены основные виды угроз.
Рисунок 2. Основные виды угроз информационной безопасности.
Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.
Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.
Ниже приведены некоторые наиболее часто встречающиеся варианты угроз:
— ошибки и упущения;
— мошенничество и кража;
— случаи вредительства со стороны персонала;
— ухудшение состояния материальной части и инфраструктуры;
— программное обеспечение хакеров, например имитация действий законного пользователя;
— программное обеспечение, нарушающее нормальную работу системы;
— промышленный шпионаж.
При использовании материалов каталогов угроз или результатов ранее проводившихся оценок угроз следует иметь в виду, что угрозы постоянно меняются, особенно в случае смены организацией деловой направленности или информационных технологий. Например, компьютерные вирусы 90-х годов представляют гораздо более серьезную угрозу, чем компьютерные вирусы 80-х. Нужно также отметить, что следствием внедрения таких мер защиты, как антивирусные программы, вероятно, является постоянное появление новых вирусов, не поддающихся воздействию действующих антивирусных программ.
После идентификации источника угроз (кто и что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы.
При этом следует учитывать:
— частоту появления угрозы (как часто она может возникать согласно статистическим, опытным и другим данным), если имеются соответствующие статистические и другие материалы;
— мотивацию, возможности и ресурсы, необходимые потенциальному нарушителю и, возможно, имеющиеся в его распоряжении; степень привлекательности и уязвимости активов системы информационных технологий с точки зрения возможного нарушителя и источника умышленной угрозы;
— географические факторы — такие как наличие поблизости химических или нефтеперерабатывающих предприятий, возможность возникновения экстремальных погодных условий, а также факторов, которые могут вызвать ошибки у персонала, выход из строя оборудования и послужить причиной реализации случайной угрозы.
Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.
Результаты оценки угроз активам представлена в таблице 4.
| Группа уязвимостей Содержание уязвимости | Персональные данные о сотрудниках | Кадровый учет | Персональные компьютеры | Сервера баз данных | Почтовый сервер | Коммуникационное оборудование | Учетная Система | Windows 7 |
| 1. Угрозы, обусловленные преднамеренными действиями | ||||||||
| Похищение информации | Средняя | Средняя | Средняя | |||||
| Вредоносное программное обеспечение | Высокая | Средняя | Средняя | Средняя | ||||
| Взлом системы | Средняя | Средняя | Высокая | Средняя | ||||
| 2. Угрозы, обусловленные случайными действиями | ||||||||
| Ошибки пользователей | Средняя | Средняя | Средняя | |||||
| Программные сбои | Средняя | Средняя | Средняя | |||||
| Неисправность в системе кондиционирова ния воздуха | Низкая | Низкая | Низкая | |||||
| 3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы) | ||||||||
| Колебания напряжения | Средняя | Низкая | Низкая | |||||
| Воздействие пыли | Высокая | Средняя | Средняя | Средняя | ||||
| Пожар | Высокая | Низкая | Низкая | Средняя |
1.2.4 Оценка существующих и планируемых средств защиты.
Под защитой информации– понимают комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.
Организация защиты информации в организации – это один из важнейших моментов, который ни в коем случае нельзя упускать из вида. Последствия будут очень серьезными, если произойдет утрата баз данных, результатов аналитических исследований, исходных кодов, программных продуктов. При плохой организации защиты информации это возможно, что приведет к достаточно проблематичному дальнейшему ведению бизнеса, а в определенных случаях невозможным вообще.
Задачи по защите информации возлагаются на службу информационных технологий.
Организационная структура службы информационных технологий:
1. Структуру и штаты Службы информационных технологий, а также их изменения утверждает Генеральный директор по представлению заместителя генерального директора по информационным технологиям.
2. Служба состоит из одного подразделения, возглавляемого заместителем генерального директора по информационным технологиям.
Функции службы информационных технологий:
1. Анализ и изучение проблем обслуживания автоматизированных систем управления Компанией и ее подразделений;
2. Контроль состояния и безопасности сети и сетевого оборудования;
3. Назначение пользователям сети прав доступа;
4. Обеспечение бесперебойного функционирования системы и оборудования и принятие оперативных мер по устранению возникающих в процессе работы нарушений;
5. Установка, настройка и управление программными и аппаратными системами Организации;
6. Подготовка планов проектирования и внедрения автоматизированных систем управления Компанией и контроль за их выполнением;
7. Согласование технических заданий на разработку и внедрения нового программного обеспечения в отрасли на предмет обеспечения сетевого и системного взаимодействия;
8. Поддержка Internet-технологий в отрасли, обеспечение доступа к Internet-услугам;
9. Обеспечение правильности переноса исходных данных на машинные носители;
10. Проводит мониторинг развития и использования информационно-коммуникационных технологий и подготавливает по его результатам аналитические и отчетные материалы;
11. Сопровождение системного, сетевого и сопутствующего программного обеспечения.
Практическая работа: Анализ рисков информационной безопасности
Тема: Анализ рисков информационной безопасности
Раздел: Бесплатные рефераты по информационной безопасности
Тип: Практическая работа | Размер: 25.05K | Скачано: 171 | Добавлен 30.01.17 в 19:48 | +3 | Еще Практические работы
Вуз: Стерлитамакский колледж строительства и профессиональных технологий
Год и город: Стерлитамак 2017
Задание. 3
Обоснование выбора информационных активов организации. 4
Уязвимости системы защиты информации. 6
Угрозы ИБ.. 7
Оценка рисков. 8
Вывод. 10
Задание
- Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий»
- Ознакомьтесь с Приложениями C, D и Е ГОСТа.
- Выберите три различных информационных актива организации (см. вариант).
- Из Приложения D ГОСТа подберите три конкретных уязвимости системы защиты указанных информационных активов.
- Пользуясь Приложением С ГОСТа напишите три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости.
- Пользуясь одним из методов (см. вариант) предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности.
- Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы.
- База сотрудников, хранящаяся на сервере –она нужна для издательства, так как на ней хранится информация о всех сотрудниках издательства.
- Хранилище на электронном носителе- содержит всю информацию нужную для издательства. Информация доступна только определённым лицам и не должна попасть в руки злоумышленников
- Бухгалтерская документация –информация затраты издательства, зарплата сотрудникам
Оценка ценности информационных активов
В этом издательстве мы выделили 3 важных актива и поставим ему оценку от 0 до 4.
- База сотрудников информация о сотрудниках. Оценка этого актива 2.
Возможный ущерб:
нарушение законов и/или подзаконных актов.
- Хранилище на электронном носителе оценивается тем что находится в нём. Оценка этого актива 3. Возможный ущерб: потеря престижа/негативное воздействие на репутацию
- Бухгалтерская документация самые цены сведенья. Оценка этого актива 4. Возможный ущерб: финансовые потери, нарушение конфиденциальности коммерческой информации, снижение эффективности бизнеса.
Уязвимости системы защиты информации
- Размещение в зонах возможного затопления (возможна, например, угроза затопления).
- Отсутствие механизмов идентификации и аутентификации, например, аутентификации пользователей (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей)
- Отсутствие необходимых знаний по вопросам безопасности (возможна, например, угроза ошибок пользователей).
Угрозы ИБ
- затопление. Размещение в зонах возможного затопления
В зависимости от того на сколько затоплено помещение, можно сказать высока ли угроза потери важнейшей информации. При затопленности, общего помещения, например, из-за наводнения, потери будут колоссальны. Вся информация будет уничтожена.
- Угроза нелегального проникновения злоумышленников под видом законных пользователей. Могут быть выкрадены очень важные документы для организации. И приведет к упадку Издательства.
- Угроза ошибок пользователей. Не значительна ошибка. Вызванная сотрудником Издательства.
Оценка рисков
Вопросы:
База сотрудников:
При угрозе затопление вероятность возникновения угрозы мала, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 2.
При угрозе нелегального проникновения злоумышленников под видом законных пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет среднее значение, то частота будет равна 3.
При угрозе ошибок пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 4.
Хранилище на электронном носителе:
При угрозе затопление вероятность возникновения угрозы мала, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 2.
При угрозе нелегального проникновения злоумышленников под видом законных пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет среднее значение, то частота будет равна 3.
При угрозе ошибок пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 4.
Бухгалтерская документация:
При угрозе затопление вероятность возникновения угрозы мала, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 2.
При угрозе нелегального проникновения злоумышленников под видом законных пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет среднее значение, то частота будет равна 3.
При угрозе ошибок пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 4.
|
Ценность актива |
Уровень угрозы |
||||||||
|
Низкий |
Средний |
Высокий |
|||||||
|
Уровень уязвимости |
Уровень уязвимости |
Уровень уязвимости |
|||||||
|
Н |
С |
В |
Н |
С |
В |
Н |
С |
В |
|
|
0 |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
|
1 |
1 |
2 |
3 |
2 |
3 |
4 |
3 |
4 |
5 |
|
2 |
2 |
3 |
4 |
3 |
4 |
5 |
4 |
5 |
6 |
|
3 |
3 |
4 |
5 |
4 |
5 |
6 |
5 |
6 |
7 |
|
4 |
4 |
5 |
6 |
5 |
6 |
7 |
6 |
7 |
8 |
|
Обозначение: Н — низкий, С — средний, В — высокий. |
|||||||||
Вывод
В результате проведенного исследования были рассмотрены и выявлены угрозы ИБ в сфере обороны, объекты, информационную безопасность которых необходимо обеспечивать, их уязвимости. Была проведен анализ отношений между угрозами, уязвимостями, объектами, реализациями угроз и их источниками.
Для безопасности нужно позаботиться о службах, отвечающих за нее. Увеличение расходов на товары для безопасности, уменьшат риски угроз.
Чтобы избежать возникновение угроз нужно избавится от уязвимых мест.
Внимание!
Если вам нужна помощь в написании работы, то рекомендуем обратиться к профессионалам. Более 70 000 авторов готовы помочь вам прямо сейчас. Бесплатные корректировки и доработки. Узнайте стоимость своей работы
Бесплатная оценка
+3 Размер: 25.05K Скачано: 171 30.01.17 в 19:48 12345raf
Понравилось? Нажмите на кнопочку ниже. Вам не сложно, а нам приятно).
Чтобы скачать бесплатно Практические работы на максимальной скорости, зарегистрируйтесь или авторизуйтесь на сайте.
Важно! Все представленные Практические работы для бесплатного скачивания предназначены для составления плана или основы собственных научных трудов.
Друзья! У вас есть уникальная возможность помочь таким же студентам как и вы! Если наш сайт помог вам найти нужную работу, то вы, безусловно, понимаете как добавленная вами работа может облегчить труд другим.
Добавить работу
Если Практическая работа, по Вашему мнению, плохого качества, или эту работу Вы уже встречали, сообщите об этом нам.
Добавление отзыва к работе
Добавить отзыв могут только зарегистрированные пользователи.