Вдипломной работе производится модернизация информационной системы Тюменской компании зао «Облснабсервис»
| Вид материала | Диплом |
- «Докуметообеспечение на зао строительной Компании Дружба», 1250.36kb.
- Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
- 2 приняты и введены в действие с 1 сентября 2003 г постановлением Госстроя России, 1267.85kb.
- Программа дополнительного образования детей «Кадетская школа», 1384.25kb.
- Автор: Ю. Тарасов(зао учебно-методический центр "иста-проф", jtarasov@peterlink ru), 253.6kb.
- Реализация географически распределенной корпоративной информационной системы в трубной, 11.43kb.
- Послания Губернатора Тюменской области В. В. Якушева Тюменской областной Думе «О положении, 45.06kb.
- Исследование существующей информационной системы, 412.37kb.
- Памятка классному руководителю по работе в автоматизированной информационной системе, 18.21kb.
- Курсовой работы должна соответствовать сельскохозяйственной, промышленной или образовательной, 28.04kb.
Анализ рисков
Риск - это вероятный ущерб, который понесет компания при реализации угроз. Риск зависит от стоимости информации и от защищенности информационной системы, в которой она обрабатывается.
Методика оценки информационных рисков
На первом этапе рассчитывается уровень угрозы по уязвимости Th на основе критичности и вероятности реализации угрозы. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации.
Расчёт для режима с одной базовой угрозой:
, где ER - критичность реализации угрозы (указывается в %);
P (V) - вероятность реализации угрозы через данную уязвимость (указывается в %).
Для получения значения уровня угрозы по всем уязвимостям CTh , через которые возможна реализация данной угрозы на ресурсе, нужно просуммировать полученные уровни угроз через конкретные уязвимости по формуле:
, где Th - уровень угрозы по уязвимости. Расчёт для режима с тремя базовыми угрозами:
где Th c , i , a - уровень угрозы конфиденциальность, целостность или доступность по уязвимости.
Значения уровня угрозы по всем уязвимостям получатся в интервале от 0 до 1.
Общий уровень угроз по ресурсу CThR (учитывая все угрозы, действующие на ресурс):
Риск по ресурсу R рассчитывается следующим образом:
Расчёт для режима с одной базовой угрозой:
, где D - критичность ресурса (задается в деньгах или уровнях);
CThR - общий уровень угроз по ресурсу.
Стоимость информационных ресурсов.
Для определения стоимости информационных ресурсов требуются данные категорирования ресурсов компании. Где владельцы ресурсов и руководство определяют стоимость информации хранящейся на информационных ресурсах компании.
Таблица 5. Стоимость информационных ресурсов
| Информационный ресурс | Место хранения (сервер) | Стоимость, (руб). |
| Бюджетные планы Компании, бухгалтерская документация | 1 | 500 000 |
| Содержание аналитических отчетов аудиторских проверок | 1 | 100 000 |
| Сведения о контрагентах | 1 | 200 000 |
| Персональные данные сотрудников | 1 | 170 000 |
| Информация, полученная в ходе кадровых и специальных проверок | 1 | 100 000 |
| Внутренние приказы, распоряжения, инструкции; протоколы совещаний и переговоров; | 1 | 300 000 |
| Сведения об организации технологического (производственного) процесса; | 1 | 100 000 |
| Технологические планы, схемы, техническая документация; программная документация | 1 | 500 000 |
Таким образом, информационные ресурсы, содержащие ПДн, оцениваются в 370 000 руб.
Расчет вероятности реализации угроз, действующих через уязвимость.
Уровень угрозы - это общая вероятность реализации угрозы на рассматриваемый ресурс. Уровень угрозы состоит из двух параметров:
- вероятность реализации угрозы (P(V));
- вероятность того, что реализация угрозы повлияет на рассматриваемый ресурс;
В результате получается суммарная вероятность реализации угрозы по каждому ресурсу.
Таблица 7. Уровень ущерба
| Ресурс | Общий уровень угроз по ресурсу |
| Сервер 1 | 0,742763588 |
| Сервер 2 | 0,433854907 |
| Сервер 3 | 0,729937941 |
| Сервер 4 | 0,6891384784 |
Средства защиты физических периметров безопасности (контролируемых зон), средства контроля и управления физическим доступом.
Вход в здание компании производится только по пропускам.
Доступ ограничен в:
- бухгалтерию;
- архив;
- серверную;
- ИТ-отдел.
Охрана офисных помещений во внерабочее время осуществляется с помощью технических средств ЧОП, а в рабочее время физическую охрану филиала несут сотрудники сектора безопасности.
Оценка ущерба.
Ущерб определяется максимальной величиной стоимости информации, расположенной на ресурсах.
Таким образом, максимальный ущерб составит:
Таблица 8. Максимальный ущерб
| Ресурс | Максимальный ущерб по ресурсу |
| Сервер 1 | 370000 |
| Сервер 2 | 70000 |
| Сервер 3 | 170000 |
| Сервер 4 | 178000 |
| Всего | 1375600 |
Оценка риска
Таблица 8. Риск по ресурсам
| Ресурс | Максимальный ущерб по ресурсу | Уровень угрозы по всем уязвимостям | Риск по ресурсу |
| Сервер 1 | 37000 | 0,7 | 259000 |
| Всего | 259000 | ||