2020-05-13
404
Анализ состояния информационной безопасности в компании представляет собой экспертное обследование основных аспектов информационной безопасности, их проверку на соответствие определенным требованиям. Анализ информационной безопасности является комплексным (по возможности, исчерпывающим) исследованием всех аспектов информационной безопасности (как технических, так и организационных) в контексте всей хозяйственной деятельности компании с учетом действующей политики информационной безопасности, объективных потребностей компании и требований, предъявляемых заказчиком в соответствии с выбранной методикой и критериями. Основными целями при этом являются:
1. Оценка текущего состояния;
2. Идентификация угроз и уязвимостей ресурсов информационной системы компании;
3. Оценка значения риска для каждого ценного ресурса компании;
4. Определение значения риска для ресурсов после задания контрмер;
5. Определение эффективности контрмер;
6. Разработка рекомендаций по организации и проведению аудита информационной безопасности.
|
|
|
При оценке рисков информационной системы компании, защищенность каждого ценного ресурса определяется при помощи анализа угроз, которые действуют на конкретный ресурс, и уязвимостей, через которые могут быть реализованы данные угрозы. Оценивая вероятность реализации актуальных для ценного ресурса угроз и степень влияния реализации угрозы на ресурсы, анализируются информационные риски ресурсов компании.
Среди угроз компании возможны следующие:
1. Неумышленное удаление и искажение информации;
2. Кража носителей информации;
3. Кража мобильных компьютеров;
4. Пожар;
5. Отказы оборудования;
6. Вирусы;
7. Воздействие конкурентов;
8. Запуск операционной системы с внешнего носителя;
9. Несанкционированное подключение к беспроводной сети;
10. Подбор аутентификационных данных пользователя;
11. Чтение ценной информации с бумажных носителей и экранов ПК;
12. Отказы носителей данных;
13. Перехват сетевого трафика на логическом уровне;
14. Кража отработанных материалов.
Среди уязвимостей компании возможны следующие:
1. Отсутствие системы видеонаблюдения;
2. Недостатки в системе защищённости;
3. Недостатки функционирования пожарной сигнализации;
4. Несвоевременное обновление программного обеспечения;
5. Низкая обученность персонала;
6. Отсутствие программно-аппаратной системы защиты сети.
Критичность ресурсов информационной системы компании определяется методом экспертных оценок. Наибольший ущерб компании наносит нарушение доступности ресурса, наименьший – нарушение ее целостности.
|
|
|
После построения модели информационной системы компании, необходимо сформировать перечень контрмер по уязвимостям информационной системы. Стоимостные показатели контрмер необходимо брать из расчёта реальной денежной стоимости.
Далее проводится оценка снижения риска.
Порядок выполнения работы:
1. Получить у преподавателя вариант информационной системы.
2. Создание проекта (выбираем создание модели информационных потоков):
2.1. Введите название нового проекта.
2.2. Введите название объекта, ответственного за выполнение работы пользователя и его должность.
3. Моделирование ИС: для приведенных в модели объектов создать по 4-5 элементов:
1. Отделы - структурные подразделения организации.
2. Сетевые группы - сегменты физически объединенных ресурсов.
3. Ресурсы - объекты хранения ценной информации.
4. Сетевые устройства - устройства, с помощью которых осуществляется связь между ресурсами сети.
5. Виды информации - виды ценной информации, хранимой и обрабатываемой на ресурсе.
6. Группы пользователей - группы пользователей, имеющие одинаковый класс и средства защиты (все пользователи в группе должны обладать одинаковыми правами доступа к ценной информации).
7. Бизнес-процессы - производственные процессы, в которых обрабатывается ценная информация.
Для каждых ресурсов указать значения по конфиденциальности, целостности, доступности. Нажав в панели кнопку «модель угроз и уязвимостей», ввести угрозы, воздействующие на ресурсы и уязвимости самих ресурсов. Построить отчет №1 по результатам оценки риска ИС – отчет о текущем состоянии информационной безопасности на предприятии. Данные из этого отчета необходимо привести в вашем отчете по лабораторной работе.
4. Проанализируйте данные отчета №1 (результаты анализа также приведите в отчете по лабораторной работе).
5. Задайте контрмеры для уязвимостей, выявленных на 1 этапе. Введите стоимость контрмеры и возможное снижение затрат на ИБ.
6. Создайте отчет №2. Проанализируйте, изменился ли риск при задании контрмер. Результаты этого отчета и его анализа также должны быть приведены в отчете по лабораторной работе.
Отчет по лабораторной работе должен содержать:
1. Задание, назначенное преподавателем.
2. Словесное описание специфики информационных рисков рассматриваемого предприятия.
3. Отчет №1 и результаты анализа отчета №1.
5. Перечень контрмер и их стоимости.
6. Отчет по проекту №2 и результаты его анализа. Отметьте, какие изменения произошли по сравнению с отчетом №1.
7. Сделайте выводы по проделанной работе.
Варианты информационных систем:
Вариант 1. ИС крупного промышленного предприятия с территориально распределенными производственными площадками, соединенными волоконно-оптическими линиями связи.
Критическая информация: коммерческая тайна, персональные данные работников.
Вариант 2. Коммерческий банк с филиалами по городу и в других городах. Связь филиалов с головным офисом – с использованием VPN (виртуальных частных сетей).
Критическая информация: банковская тайна, персональные данные работников и клиентов.
Вариант 3. Провайдер услуг связи (сотовая связь, телефон, интернет, телевидение). Имеется корпоративный портал доступа к услугам, в том числе личные кабинеты клиентов. Также есть точки подключения по городу с доступом в центральную базу данных клиентов.
Критическая информация: коммерческая тайна, персональные данные работников и клиентов.
Вариант 4. Государственное учреждение с предоставлением услуг населению, в том числе через собственный портал и портал государственных услуг.
Критическая информация: служебная тайна, персональные данные работников и населения.
|
|
|
Вариант 5. Башкортостанская таможня с двумя офисами по городу и 7 таможенными постами по городу и в других городах. Связь постов с головным офисом, а также с Федеральной таможенной службой в Москве – с использованием VPN (виртуальных частных сетей).
Критическая информация: служебная тайна, персональные данные сотрудников, физических и юридических лиц.
Вариант 6. Торговая компания (продажа электроники) со своим Интернет-магазином и несколькими торговыми точками.
Критическая информация: коммерческая тайна, персональные данные работников и клиентов.
Вариант 7. Образовательное учреждение. Имеется внутренняя ЛВС, объединяющая кафедры и факультеты, выход в Интернет через общий прокси-сервер по оптоволоконному каналу.
Критическая информация: конфиденциальные документы, персональные данные сотрудников и студентов.
Вариант 8. Налоговая инспекция с предоставлением услуг населению, через собственный портал и портал государственных услуг.
Критическая информация: служебная (налоговая) тайна, персональные данные работников и населения.
Вариант 9. Медицинское учреждение (городская больница).
Критическая информация: врачебная тайна, персональные данные сотрудников и больных.
Вариант 10. Компания по добыче и переработке нефти (газа). Имеется несколько филиалов (в том числе, в других городах), связанных между собой каналами связи.
Критическая информация: коммерческая тайна, картографические данные, персональные данные работников.
