Комплексная система защиты информации на предприятии
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
? при построении системы защиты от конкретных угроз. Эксперты используют этот показатель для составления перечня актуальных угроз;
.Критерии оценки безопасности информационных активов такие критерии в частной модели угроз ООО Кредит Коллектор установлены исходя из законодательства РФ;
.Метод оценки рисков угроз ИБ - в частной модели угроз ООО Кредит Коллектор описана методика обработки и оценки рисков, Основой служит экспертные методы. Риск состоит из двух показателей:
Вероятность реализации угрозы - определяется экспертами на основе статистических данных, собственного опыта и опыта других организаций. Экспертная комиссия в количестве 5 человек присваивает каждой угрозе показатель от 1 до 1000, значение которого совпадает с долями от вероятности реализации угрозы.
Ущерб от реализации угрозы - определяется таким же образом, как и вероятность, эксперты присваивают в зависимости от своих предположений оценку по каждой угрозе. 1 балл соответствует ущербу в одну тысячу рублей.
На основе этих двух показателей рассчитывается мера риска равная их произведению. Таким образом, с помощью этого показателя можно дать оценку важности угрозы, и строить методику оценки эффективности системы защиты (см. раздел 3.6).
Исходя из деятельности организации, её особенностей, модели нарушителя, перечня сведений конфиденциального характера и политики информационной безопасности были произведены следующие действия для создания частной модели угроз:
.Была создана экспертная комиссия по анализу имеющейся системы защиты информации в организации, и на основании этого был сформулирован перечень уязвимостей информационных активов с помощью последовательно применённого метода мозгового штурма и метода многокритериальной оценки;
.С помощью той же экспертной комиссии был оформлен предварительный перечень угроз ИБ;
.На основании имеющихся уязвимостей активов и текущей системы безопасности, экспертной комиссией по каждой угрозе ИБ была проведена оценка вероятностной составляющей оценки риска и оценка возможного ущерба от реализации такой угрозы. Общая схема деятельности По результатам оценки рисков по каждой угрозе ИБ могут быть приняты следующие типы решений:
Сохранение риска - для тех угроз, вероятность реализации которых ничтожна, либо ущерб от реализации которой считается приемлемым. Критерии для отсева таких рисков определяются в задании на обработку рисков. Угрозы с таким риском не представлены в частной модели угроз и отсеяны на этапе обработки рисков.
Снижение риска - действия направленные на: исправление, устранение, предотвращение, минимизацию воздействия, сдерживание, обнаружение, восстановление, контроль и понимание риска. В общем случае деятельность по снижению риска показана на рисунке 7. Перечень угроз, риск реализации которых требует снижения, является основной частью модели угроз. Требования по снижению уровня риска определяются на основании модели угроз частными политиками информационной безопасности и другой документацией.
Предотвращение риска - Когда идентифицированные риски считаются слишком высокими или стоимость осуществления других вариантов обработки риска превышает выгоду, может быть принято решение, чтобы избежать риска полностью, уходя из запланированной или существующей деятельности, совокупности видов деятельности или изменяя условия при которых управляют деятельностью. Например, вызванные природные риски могут быть более эффективно решены в стоимостном эквиваленте по сравнению с альтернативой, если физически переместить средства обработки информации в место, где риск не существует или находится под контролем. В случае ООО Кредит Коллектор использует методы предотвращения риска путём регламентации видов деятельности организации в уставе, например, организация не занимается вопросами, связанными с государственной тайной и с обработкой персональных данных 1 категории;
Перенос риска - Перенос риска затрагивает решение разделить определ?нные риски с внешними сторонами. Перенос риска может создать новые риски или изменить существующие идентифицированные риски. Поэтому может быть необходимой дополнительная обработка риска. Перенос может быть сделан страхованием, которое поддержит последствия или, заключая субподрядный договор на партн?ра, роль которого будет должна контролировать информационную систему и предпринять непосредственные действия, чтобы остановить атаку прежде, чем она сделает определ?нный уровень повреждений. Деятельность ООО Кредит Коллектор заключается в приёме рисков сторонних организаций, снижении их и получении на этом прибыли. Что касается рисков ИБ, организация использует страхование оборудования, включая сервера и СВТ.
Рисунок 7. Деятельность СИБ по снижению риска реализации угрозы ИБ
После описанной выше оценки рисков, эксперты по ИБ составили частную модель угроз включающие как угрозы коммерческой тайне, так и угрозы персональным данным. Для выполнения требований ФСТЭК оценка рисков осуществления угроз ПД была проведена с помощью методики ФСТЭК, а частная модель угроз была разработана на основании базовой модели угроз ФСТЭК.
.После составления частной модели угроз предпринимаются организационные и технические меры по противодействию угрозам ИБ. В ООО Кредит Коллектор такие меры описываются в частных политиках безопасности, положениях о КТ и ПД, требования?/p>