Исследование и разработка мероприятий по организации защиты информации на предприятии
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?егодовых потерь (Annualized Loss Expectancy, ALEi) - суммарный размер потерь от нарушений информационной безопасности (реализации рисков) i-го типа в течение года.
ALEi = SLEi x AROi = (AV x EFi) x AROi (3.3)
Непосредственный эффект от реализации мероприятий по повышению уровня информационной безопасности будет проявляться в том, что: - негативные последствия каждой реализованной угрозы после реализации мероприятий (EFi) будут меньше, чем были до их реализации: EFi >EFi; - частота нарушений информационной безопасности уменьшится после реализации мероприятий AROi > AROi.
В результате уменьшенная величина ALEi будет составлять:
ALEi = SLEi x AROi = (AVi x EFi) x AROi (3.4)
Таким образом, суммарный годовой эффект от реализации мероприятия будет определяться как: Исходя из этого, общий денежный поток от реализации мероприятия определяется по следующей формуле:
(3.5)
3.2 Оценка рисков
Под риском информационной безопасности будем понимать возможные потери собственника или пользователя информации и поддерживающей инфраструктуры связанные с реализацией некоторой угрозы.
Риск нарушения конфиденциальности информации (информация - товар).
Риск нарушения целостности информации.
Риск нарушения доступности информации, доступности сервисов.
Организации сейчас жестко завязаны на автоматизацию, на сервисы, несут огромные потери от их простаивания (это ущерб). Не даром сейчас вводят такого рода процессы, как управление доступностью сервисов, управление непрерывностью и т.д.
Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем, основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т.е. с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты информации. Основные выводы о способах использования рассмотренных выше средств, методов и мероприятий защиты, сводится к следующему: не существует универсальной системы расчета затрат на средства ЗИ, но следует учитывать, что затраты на мероприятия не должны превышать стоимость защищаемой информации, на протяжении всего времени использования.
Также следует учитывать развитие и совершенствание средств и технологий ЗИ, и вкладывать средства преимущественно в новейшие разработки.
В этом разделе проведено обоснование выбора методов ЗИ и даны оценки характеристик предлагаемых вариантов.
Задача выбора оптимальных методов обычно сводится к наиболее универсальной реализации c минимальной стоимостью при условии удовлетворения этой реализацией всех поставленных требований по функционированию. Рассмотрим риски и рассчитаем потери в случае возникновения угроз.
В широком смысле, под этим термином понимают все, что представляет ценность с точки зрения организации и является объектом защиты. В прикладных методиках аудита и управления рисками обычно рассматриваются следующие классы активов:
оборудование (физические ресурсы), в том числе носители информации.
информационные ресурсы (базы данных, файлы, все виды документации, формы прикладной системы);
функциональные задачи (сервисы), реализуемые КИС;
сотрудники компании, получающие доступ к информационным ресурсам (пользовательские роли). Автоматизированная система (АС) может иметь достаточно большое количество угроз информационной безопасности и связанных с ними уязвимостей. С помощью таких каталогов, как BSI ITPM (600 угроз) и сканеров безопасности (1800 уязвимостей) их можно только идентифицировать. После этого, у специалиста по ЗИ возникает второй вопрос - стоит ли их все закрывать? Закрытие всех этих угроз и уязвимостей приведет к трате большого количества временных и денежных ресурсов, в этом случае просто не целесообразно. Возникает ответный вопрос - если все множество угроз и уязвимостей закрывать не следует, то какое подмножество следует закрывать и в какой последовательности ответ на этот вопрос можно рассмотреть с разных сторон.
Под угрозой информационной безопасности будем понимать потенциальную возможность злоумышленника совершить воздействия естественного либо искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. (Например, угроза прослушивания канала связи).
Задачей систем защиты информации (СЗИ) является реализация контрмер, направленных на нейтрализацию угроз, либо потерь, связанных с их реализацией.
Уязвимость - слабость в системе защиты, которая делает возможной реализацию определенной угрозы (Например, учетные записи сотрудников КИС удаляются спустя неделю после их увольнения).
Стандартных слов о том, что критичная для бизнеса информация должна быть доступной, целостной и конфиденциальной, явно недостаточно для бизнес-структур, поскольку информация - понятие достаточно абстрактное, угрозы ее безопасности носят вероятностный характер (может случиться, а может и нет), потери от реализации угроз могут быть различными.
С точки зрения собственника информации и поддерживающей ее инфраструктуры существование некой угрозы или уязвимости может быть не очень критично для него. Вероятность реализации этой угрозы либо использования уязвимости может быть настолько мала, что на факт ее существования можно просто закрыть глаза (например, утечка инфо