Информационные активы

Обоснование выбора информационных активов организации

123

Отчёт практической работы

по дисциплине «Информационная безопасность»

На тему «Анализ рисков информационной безопасности»

Подготовила: ФИО

Проверила: Т.В.Михайлова

Оценка_____________

г.Стерлитамак

2016г.

Задание. 3

Обоснование выбора информационных активов организации. 4

Оценка ценности информационных активов. 5

Уязвимости системы защиты информации. 6

Угрозы информационной безопасности. 7

Оценка рисков. 9

Заключение. 12

Список литературы.. 13

Задание

1. Загрузить ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий»

2. Ознакомится с Приложениями C, Dи Е ГОСТа.

3. Выбрать три различных информационных актива туристического агентства.

4. Из Приложения D ГОСТа подобрать три конкретных уязвимости системы защиты указанных информационных активов.

5. Пользуясь Приложением С ГОСТа написать три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости.

6. Пользуясь одним из методов, предложенных в Приложении Е ГОСТа произвести оценку рисков информационной безопасности.

7. Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы.

Обоснование выбора информационных активов организации

Информационный актив – это материальный или нематериальный объект, который:

· является информацией или содержит информацию,

· служит для обработки, хранения или передачи информации,

· имеет ценность для организации.

В туристическом агентстве можно выделить ряд информационных активов. В данном случае мы возьмем:

1. общий сетевой диск — служит для быстрого обмена большими объемами информации между сотрудниками компании, которая может содержать помимо документов промежуточные варианты контента, который предназначается для заказчика. Данная информация носит сугубо конфиденциальный характер, и ни при каких обстоятельствах не должна попасть в руки злоумышленников.

2. бухгалтерская документация — сведения о заработной плате сотрудников, налоговая отчетность, доходы и расходы компании.

3. информационная база клиентов, хранящаяся в архиве — данные о заключенных текущих и выполненных договорах, информация о суммах сделки, услугах, предоставляемых компанией и заказчиках.

Выбор пал именно на данные активы, так как это главная документация, рассказывающая о работе фирмы и ее клиентах.

Оценка рисков информационной безопасности с помощью метода нечеткой кластеризации и вычисления взаимной информации

Для решения проблемы отсутствия готовых данных и сложности поиска оптимального значения оценки рисков информационной безопасности в данной статье применяется новый метод информационной меры и нечеткой кластеризации в оценке рисков информационной безопасности. Новый метод определяет количество факторов риска всех данных и зависимость степени безопасности при вычислении взаимной информации. Затем поиск оптимального значения для каждой степени риска определяется как центр точек по К-means алгоритму кластеризации, используется К-meansалгоритм кластеризации для классификации данных. Этот метод прост в реализации, легко рассчитывается и позволяет избежать проблемы чувствительности к начальному значению, нелинейности и сложности оценки рисков информационной безопасности. Экспериментальные результаты показывают эффективность данного метода.

Ключевые слова: информационная безопасность, оценка рисков, информационные измерения, нечеткая кластеризация.

1. Введение

С развитием Internet-технологий и электронной коммерции с каждым днем появляется все больше угроз безопасности информации. Сегодня организации все чаще используют информацию в бизнес-процессах, для облегчения управленческих решений и ведения бизнеса. Зависимость от информации в бизнес-среде крайне велика, где множество торговых операций осуществляется в электронном виде через Internet. Такая информационная зависимость привела к существенному увеличению влияния уровня безопасности информационных систем на успех, а иногда и просто возможность ведения бизнеса. Поэтому безопасность информационных систем является одним из важнейших вопросов, который привлекает большое внимание со стороны аналитиков, инженеров и других специалистов в области информационно безопасности.

Оценка рисков начала использоваться на атомных электростанциях Европы и Америки в начале 1960-х годов, а в последствии развивалась и применялась аэрокосмической инженерии, химической промышленности, охране окружающей среды, здравоохранении, спорте, развитии национальной экономики и многих других областях. В информационной безопасности методики оценки рисков появились с целью прогнозирования возможного ущерба, связанного с реализацией угроз, и соответственно оценки необходимого размера инвестиций на построение систем защиты информации.

Четкой методики количественного расчета величин рисков как не было, так и нет. Это связано в первую очередь с отсутствием достаточного объема статистических данных о вероятности реализации той или иной угрозы. В результате наибольшее распространение получила качественная оценка информационных рисков. Но как использовать результаты такой оценки? Как рассчитывать возможный ущерб и размер необходимых инвестиций для предотвращения реализации рисков?

До сих пор ведутся споры на тему оценки информационных рисков или экономического обоснования инвестиций в информационную безопасность. В настоящее время идет активное накопление данных, на основании которых можно было бы с приемлемой точностью определить вероятность реализации той или иной угрозы. К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям.

В настоящее время основные научные достижения в области оценки рисков информационной безопасности включают известные методы: OCTAVE-метод , CRAMM5 , PRA , и т. д. Но эти стандарты и методы имеют некоторые недостатки, некоторые из них являются только качественными методами анализа, некоторые — только количественными, громоздкими для реализации. Оценка рисков информационной безопасности имеет некоторые характеристики, такие как нелинейность, сложность применения, характеристики, обусловленные некоторыми ограничениями на использование традиционных моделей для проведения оценки рисков информационной безопасности. Эти традиционные методы оценки массу субъективных проблем и неясностей, поэтому они более сложны в применении.

Данная статья предлагает новый метод оценки рисков информационной безопасности, основанный на комбинации вычисления взаимной информации и К-means алгоритма кластеризации. Для того чтобы добиться эффективной оценки уровня рисков информационной безопасности, новый метод определяет количество факторов риска всех данных и зависимость степени безопасности при вычислении взаимной информации. Затем осуществляется поиск оптимального значения для каждой степени риска как центр точек К-means алгоритма кластеризации и используется К-means алгоритм кластеризации для классификации данных.

Статья построена следующим образом. Раздел 2 описывает риски системы информационной безопасности. Раздел 3 предлагает оценку рисков информационной безопасности на основе взаимной информации и K-means методе. Затем показаны экспериментальные результаты в разделе 4 и обобщение работы в разделе 5.

2. Риски системы информационной безопасности

Риск информационной безопасности определяется как произведение финансовых потерь (ущерба), связанных с инцидентами безопасности, и вероятности того, что они будут реализованы. Данное определение подходит при рассмотрении различных архитектур информационных систем.

Информация может существовать в различных формах. Она может быть написана на бумаге, храниться в электронном виде, пересылаться по почте или с использованием электронных средств, транслироваться на экране или обсуждаться в разговоре. Какие бы формы информация ни принимала, она всегда должна быть защищена соответствующим образом.

Оценка рисков информационной безопасности, с точки зрения управления рисками, анализ систематически подвергающихся угрозам и существующим уязвимостям информационных систем и технологий научными методами и средствами. Оценка потенциального ущерба в случае угрожающих событий проведена и выдвинуты контрмеры против угроз для предотвращения и урегулирования рисков информационной безопасности, а также контроль рисков на приемлемом уровне таким образом чтобы максимально обеспечить безопасность информации. Оценка рисков информационной безопасности состоит из трех основных этапов: идентификация угроз, идентификация уязвимостей, идентификация активов (рис.1)

Рис.1. Элементы оценки рисков информационной безопасности

Процесс оценки риска информационной безопасности выглядит следующим образом:

1) Определение информационных активов, установление ценности активов;

2) Анализ угроз, определение вероятности угроз

3) Идентификация уязвимостей информационных активов, определение степени уязвимости

4) Вычисление вероятности наступления события по реализации угроз (использованию уязвимостей)

5) Сочетая важность информационных активов и возможность возникновения инцидентов, выполняется расчет значения риска информационной безопасности для информационного актива.

Проиллюстрируем вычисление риска с помощью формулы:

Riskvalue = R (A, T, V) = R (L (T, V), F (Ca, Va)), (1)

где R — функция вычисления риска,

A — активы,

T — угрозы,

V — уязвимости,

Ca — стоимость активов, принесенная инцидентом,

Va — степень уязвимости,

L — возможность угрозы привести к инцидентам с помощью уязвимостей,

F — потери, вызванные событиями безопасности.

Определение значения риска связано с результатами оценки риска и выработкой мер по контролю риска, поэтому это является важным и сложным этапом в процессе оценки риска. Это основной вопрос моего исследования.

В целях предотвращения несанкционированного доступа организации используют различные контрмеры для защиты своих активов. Но даже благодаря применению контрмер и управлению информационной безопасностью активы зачастую не в полной мере защищены от угроз из-за недостатка контроля.

Таким образом, оценка рисков является одним из важнейших шагов в управлении рисками инфо рационной безопасности. На практике оценка рисков информационной безопасности является довольно сложным и полным неопределенностей процессом . Неопределенности, существующие в процессе оценки, являются основным фактором, влияющим на эффективность оценки риска информационной безопасности. Поэтому они должны быть приняты во внимание при оценке рисков. Однако большинство существующих подходов имеют некоторые недостатки по обработке неопределённости в процессе оценки.

3. Оценка рисков информационной безопасности на основе взаимной информации и k-means алгоритма кластеризации

В оценке рисков информационной безопасности основные элементы риска отражаются в активах системы, существующих угрозах и уязвимостях, а также анализ рисков оценивает уровень риска от оценки показателей, таких как частота угрозы, степень тяжести уязвимости, стоимость активов и т. д. Оценочные показатели имеют некоторые свойства значительной двусмысленности и неопределенности, поэтому обычные методы с трудом поддаются измерению. Кроме того, эти оценки показателей и уровней риска являются нелинейными и динамические изменяющимися, поэтом обычные методы так трудно перерабатывать. Новый метод оценки рисков не содержит данных проблем. Во-первых, мы используем метод нечеткой оценки для количественного измерения риска. Во-вторых, рассчитывается значение взаимной информации риска для обозначения зависимости степени риска и уровня риска. Данные были классифицированы по К-means алгоритму с оптимальными взаимными информационными данными в качестве исходных центров кластеров. Этот способ прост и содержит небольшое количество вычислений. Он позволяет избежать проблемы чувствительности к начальному значению, нелинейности и сложности оценки рисков информационной безопасности.

3.1. K-means алгоритм

Кластерный анализ является общей техникой для статистического анализа данных, которая стремится сгруппировать объекты подобного рода в отдельные категории. Это широко используется в математике, в социальных науках, маркетинге, биоинформатике и т. д. Кластерный анализ включает в себя ряд эвристических методов, в том числе К-means алгоритм и модель смеси.

Алгоритм K-means является непараметрическим подходом, направленным на классификацию объектов на К взаимоисключающих кластеров путем минимизации квадрата расстояния от объекта до его ближайшего центра.

Алгоритм разделяет данные на k кластеров Si (I = 1, 2, …, k). Кластер Si связан с представителем (центр кластера) Ci.

Обозначим множество точек данных через S = { Xm}, m =1, 2, …, N. N количество точек данных в наборе S. Пусть d (X, Y) будет искажением между любыми двумя из векторов X и Y.

Пусть Cmm будет ближайшим центром кластера Xm и dm = d (Xm, Cmm). Цель K-means кластеризации — найти множество центров кластеров SC {Cl}, таких, что искажения J определенные ниже, сведены к минимуму, где l = 1.. K. K — это количество кластеров.

(2)

Основной процесс K-means кластеризации — это отображение заданного набора векторов в улучшенных через разделение точек данных. Оно начинается с начальным набором центров кластеров и повторяет это отображение процесса, пока критерий остановки не будет выполнен.

Итерации Ллойда K-means алгоритма кластеризации выглядят следующим образом:

1) Дано множество центров кластеров SCp = {Ci}, найти разбиение S; то есть S разделить на K кластеров Sj, где j = 1, 2, …, и Sj = {X / d (X, Cj) <= d (X, Cj) для всех i не равно j).

2) Вычислить центр тяжести для каждого кластера, чтобы получить новый набор кластеров SC p+1.

К-means алгоритм кластеризации кратко описывается следующим образом:

1) Начать с начальным набором центров кластеров SC0. Множество P=0.

2) C учетом множества центров кластеров SCp, выполнить итерацию Ллойда для создания улучшенного набора кластеров SCp+1.

3) Рассчитать среднее искажения J для SCp+1. Если оно изменилось на достаточно маленький объем после последней итерации, нужно остановиться. В противном случае установить р +1 → P и перейти к шагу 2.

Ближайший центр кластера определяется путем расчета расстояния между каждым центром кластера и точкой данных. В данной статье, функция расстояния принимает, xd)евклидово расстояние. Евклидово расстояние между точкой данных X = (x1, x2, …, xd) в степени t и центр кластера C = c1, c2, …, cd) в степени t определяется как

(3)

Тем не менее, К-means алгоритм это процедура локального поиска и хорошо известно, что данный алгоритм страдает серьезным недостатком, что его производительность сильно зависит от начальных условий . В нашем методе мы используем вычисление взаимной информации, чтобы решить эту проблему.

3.2. Модель оценки

Основная идея модели оценки риска информационной безопасности, основанной на вычислении взаимной информации и K-means алгоритме в следующем. Во-первых, определение количественной оценки риска с нечетким подходом к оценке, во-вторых, поиск оптимальных значений в каждом уровне риска с вычислением взаимной информации после количественной обработки и обработки на совместимость, в качестве исходных центров кластеров алгоритма кластеризации K-means. Модель структуры показан на рис. 2.

Рис. 2. Структура модели оценки

Как показано на рис. 2, уровни безопасности информационной системы разделены на четыре класса соответственно определенных как L1, L2, L3 и L4. L1 представляет собой минимальный уровень безопасности, L4 представляет собой самый высокий уровень безопасности. Есть 4 кластера в результатах K-means кластеризации, так что K = 4.

1) Формат информации исходных данных, полученных из информационной системы не в соответствии с нашим методом, должен быть обработан, чтобы быть векторной форме как требуется для нашего метода. Поскольку значения риска имеют свойство неопределенности, в этой статье мы используем нечеткий подход для предварительной оценки показателей риска информационной безопасности.

2) Обработка данных:

Данные, которые были введены в нашем алгоритме, делятся на два класса: подготовительные данные и тестовые данные. Основная польза подготовительных (обучающих) данных — обучение K-means алгоритма кластеризации. Это говорит о том, что алгоритм К-means кластеров с подготовительными данными нужен для поиска оригинальных кластеров и центров кластеров. Это процесс обнаружения (раскрытия) знаний. Затем K-means алгоритм кластеризации классифицирует данные с исходными кластерами и центрами кластеров. Для подготовки данных:

а) Вычислить значение взаимной информации между предварительно обработанными данных и дать четыре оптимальных набора точек в соответствии с уровнем риска L1, L2, L3 L4 для каждых обучающих данных. Взаимная информация (mutual information — MI) определяется как снижение неопределенности одной случайной переменной из-за знания о другом, или, другими словами, количество информации, которое одна случайная переменная содержит о другой.

Наша модель имеет набор данных, хранение оптимальных точек установлено в соответствии с уровнем риска L1, L2, L3 и L4, которые получены через экспертный анализ большого количество данных.

б) для каждого уровня риска, рассчитать значения взаимной информации между всеми данными, а затем вычислить сумму этих значений взаимной информации, которая получена на последнем шаге. Так мы можем получить среднее значение всей взаимной информации.

в) получить четыре средних значения взаимной информации соответствующих в указанном порядке для четырех уровней риска информационной безопасности. Затем искать четыре оптимальные точки, ближайших к средним значениям в качестве начальных центров кластеров К-means алгоритма кластеризации.

Для проверки данных, вычислить расстояние между каждым центром кластера и каждыми тестовыми данными, чтобы определить ближайший центр кластера (для присоединения), кластер с К-means алгоритмом, который уже обладает начальными центрами кластеров, сгенерировать новые результаты кластеризации.

3) Судьи изменяют результаты кластеризации или нет. Если метки некоторых данных в кластере изменены в новых результатах кластера, то это означает, что новый центр кластера может быть неправильным, неправильные центры кластеров могут быть вызваны ложным обнаружением курса. В целях обеспечения и повышения точности обнаружения, мы пересчитаем значение взаимной информации всех данных, чтобы найти оптимальные точки в качестве начальных центров кластера алгоритма К-means.

3.3. Предварительная нечеткая обработка

В оценке рисков информационной безопасности, оценка показателей риска не имеет четких свойств и неопределенностей, наш метод количественно оценивает риски информационной безопасности с нечетким подходом к оценке. Конкретные шаги заключаются в следующем:

1) корреляционный анализ активов, уязвимостей, угроз и отношения угрозы и уязвимости к выявлению риска информационной безопасности.

2) На основе нечеткого подхода к оценки, факторы риска создают множество U = {u1, u2, …, un}.

3) Создание набора оценки. Оценить различные факторы риска конфиденциальности и целостности активов, степень уязвимости, техническое содержание угрозы и другие аспекты. Эксперты дают обзор рисков различных факторов риска, каждый обзор рисков делится на m классов, набор оценок: V = {v1, v2, …, vm}.

4) Эксперт дает обзор рисков каждого фактора риска, создавая нечеткое изображение: f: U стрелка F (V), F (V) все нечеткое множество на V, ui стрелка f (ui), где ui= (ri1, ri2, …, rim) принадлежит F (V). Отображение функции f представляет собой фактор риска ui как вектор ui, прилагаемый к набору оценок (степень каждого обзора в наборе оценок). Установить риск R = {ri1, ri2, …, rim}, I = 1, 2, …, n, получим матрицу R.

5) Значение индекса в наборе оценок непосредственно влияет на степень риска, поэтому, важно учитывать вес каждой оценки индекса. Установить набор распределения весов как A = (a1, a2, …, an). Посредством нечеткого преобразования оператора, получим:

(4)

В представляет веса всех факторов риска при оценке. B отражает оценку вида фактора риска, значение которого находится в наборе (0,1).

3.4. Вычисление взаимной информации

Взаимная информация является важным понятием теории информации, которая измеряет статистическую зависимость между двумя переменными, то есть информация, которую одна переменная содержит о другой. Впервые она была предложена в качестве регистрационной меры в медицинской регистрации изображений в 1995 году независимо друг от друга учеными Viola и Wells. Это важное понятие в области теории информации, которая измеряет степень взаимозависимости между двумя сообщениями, широко используется в классификации текстов и функция сокращения. Взаимная информация также широко используется для установления одного из наиболее важных параметров.

Взаимная информация определяется как снижение неопределенности одной случайной переменной вследствие наличия знаний о другом, или, другими словами, количество информации об одной случайной переменной содержащейся в другой.

Мы используем меру взаимной информации как статистическую степень корреляции между значением фактора риска и уровнем риска, который определяется как:

, (5)

где

,

— является атрибутом (конкретное значение факторов оценки риска),

представляет собой количество различных значений фактора оценки риска во всех примерах данных,

представляет собой вероятность вида , а именно отношение числа появления во всех факторах оценки подготовительных данных и общего количества значений факторов оценки, больше

p(d) = в /N — представляет собой вероятность подготовительных данных, которые относятся к уровню d (эта статья делит степень безопасности на 4 уровня, так что значение d может быть одним из .

представляет условную вероятность , представляет собой число выборочных данных, значения атрибута которых — , и уровень риска принадлежит d, d представляет собой общее число выборочных данных, чей уровень риска принадлежит d.

— представляет собой вероятность появления , в то время как данные с атрибутом принадлежат уровню риска d.

Значение указывает на соответствующую степень и уровень риска d, тем больше значение, тем выше степень связи. Таким образом, к привносит большой вклад в уровень d.

Предположим, оценка факторов риска учитывалось от четырех факторов, в том числе конфиденциальности и целостности активов, степень уязвимости и техническое содержание угрозы. Уровень защиты делится на четыре класса, представляет минимальный уровень безопасности, представляет собой максимальную безопасность. Мы выбираем восемь наборов нечетких данных для предварительной оценки, как показано в таблице 1.

Таблица 1

Уровни безопасности

№ данных

Уровень безопасности

0, 1

0,3

0,3

0,2

0,5

0,3

0,4

0,3

0,5

0,3

0,4

0,3

0,3

0,7

0,5

0,3

0,3

0,3

0,2

0,3

0,3

0,1

0,3

0,3

0,5

0,3

0,3

0,5

0,3

0,3

0,1

0,1

Сначала мы подсчитаем количество значений для каждого атрибута., Затем вычисляем взаимную информацию для значений (0,1; 0,2, …) в атрибутах , … соответствующего уровня риска L1 следующим образом:

(6)

3.5. Оценка рисков информационной безопасности на основе взаимной информации и K-means алгоритма

К-means алгоритм кластеризации является одной из основных алгоритмов кластерного анализа, которые используют итерационный метод для обновления. Конечный результат состоит в получении минимальной целевой функции и для достижения оптимального эффекта кластеризации. К-means алгоритм работает следующим образом. Во-первых, случайным образом выбираются k объектов данных из n данных в качестве исходных центров кластеров. Для остальных объектов, в соответствии с их сходством с центром кластера (расстояние) соответственно назначаем им наиболее похожую (представленные ??центром кластера) кластеризацию, а затем пересчитываем центра кластера для каждого нового приобретенного кластера. Алгоритм завершается, когда на какой-то итерации не происходит изменения кластеров. Это происходит за конечное число итераций, так как количество возможных разбиений конечного множества конечно.

Традиционный алгоритм К-means случайного выбора начальных центров кластеров с различными начальными значениями результатов может легко колебаться. Это вызвано обнаружением значительного отклонения результатов и необходимости большего количества итераций.

В нашем методе, значение взаимной информации используем в качестве исходных центров кластеров, так что в начале кластеризации центры кластеров являются оптимальными значениями. Поэтому наш метод может преодолеть недостатки чувствительности к начальному значению, а также уменьшает количество итераций. За функцию определения расстояния принимается евклидова функция.

Для приведенных подготовительных данных, формы данных предварительно обработаны как показано в Таблице 1. Для данных Di мы можем вычислить , что представляет собой степень вклада всех атрибутов bi в уровень Li. Li представляет уровень соответствующего класса Di.

, (7)

где — это вес, соответствующий каждому атрибуту, направленный на приведение соотношения атрибута в . Чем больше тем больший вклад имеет в .

Определим среднее значение взаимной информации всех данных, степень которой принадлежит :

, (8)

где представляет количество данных, которые принадлежат уровню . представляет собой среднее значение вклада данных в , которые принадлежат уровню .

4. Эксперимент

Экспериментальные образцы взяты из информационных систем компании из сферы деятельности электронной коммерции. В нашем эксперименте мы разделили три основных фактора (идентификация угроз, идентификация уязвимостей, идентификация активов), которые оказывают влияние на оценку рисков информационной безопасности в 10 конкретных факторах:

— информация украдена, удалена или потеряна;

— сетевые ресурсы уничтожены;

— ложное использование и фальсификация информации;

— прерывания работы и запреты;

— аппаратных дефекты;

— сетевые уязвимости;

— утечка данных;

— вмешательство в связь;

— восстановление обслуживания;

— прерывание обслуживания.

Оценим факторы риска экспертно, присвоим вес каждому фактору в качестве входных данных.

Разделим результаты оценки на четыре категории: высокой безопасности, средней безопасности, подозрительно и опасно, соответственно, как L1, L2, L3 и L4.

Данные включают в себя подготовительные данные и тестовые данные. Для подготовительных данных: каждые такие данные могут быть выражены как 1 * 10-мерный вектор, то есть . Для эксперимента выберем 200 подготовительных данных, как показано в таблице 2.

Данные в таблице 2, которые прошла через нечеткую предварительную обработку в качестве подготовительных данных, были рассчитаны по 10 показателям безопасности каждого образца. И 100 тестовых данных, как показано в таблице 3, также списком по 10 показателям безопасности. Все данные разделены на 10 групп, и каждая группа включает в себя 20 обучающих данных и 10 текстовых данных для исследования нашего алгоритма.

Таблица 2

Подготовительные данные

№ данных

Уровень безопасности

0, 4

0,3

0,4

0,5

0,3

0,3

0,5

0,3

0,3

0,3

0,7

0,3

0,3

0,3

0,3

0,3

0,1

0,3

0,5

0,3

0,5

Таблица 3

Тестовые данные

№ данных

Уровень безопасности

0, 6

0,3

0,4

0,3

0,3

0,3

0,5

0,3

0,4

0,4

0,7

0,3

0,4

0,3

0,3

Точность обнаружения нашего метода достигла 98 % для данных в таблице 3. Экспериментальные результаты показывают, что наш метод эффективен, кроме того, имеет меньше вычислений, чем традиционные методы. Также наблюдается высокая скорость вычислений.

Наша оценка риска метод может более точно оценить уровень риска информационной безопасности, а значит более надежно защититься от реализации рисков.

5. Заключение

Для того чтобы решить проблему оценки рисков информационной безопасности, связанную со сложностью определения оптимальных значений, в данной статье предложен новый метод оценки рисков информационной безопасности, основанный на вычислении взаимной информации и K-means алгоритме кластеризации, позволяющем эффективно оценивать уровни риска информационной безопасности.

Метод определяет степень количественной зависимости между факторами риска и уровнем информационной безопасности с вычислением взаимной информации.

На каждом уровне риска, определяются оптимальные точки как начальные центры кластеров по алгоритму К-means, затем алгоритм кластеризации К-means классифицирует данные. Наш метод может динамически регулировать центр кластера в соответствии с результатами кластеризации и вычисление значения взаимной информации.

Этот метод легко применять, он имеет меньше вычислений, чем традиционные методы. Метод позволяет предотвратить чувствительность к входным данным, нелинейность, сложность и другие проблемы оценки рисков информационной безопасности. Экспериментальные результаты также показывают превосходность метода.

Литература:

1. Maiwald E. Netwok Secuity: A Begginner’s. The McGraw-Hill Companies, Inc,2001.

2. ISO/IEC 17799. Information Technology-Code of practic for information security management.2000.

3. MnSCU. Security Risk Assessment-Applied Risk Management Minnesota State Colleges & Universities, 2002, с.7.

4. А. Астахов. Искусство управления рисками. GlobalTrust. 2009.

>Методика оценки рисков информационной безопасности

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

  • ценность активов в денежном выражении;
  • полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
  • частота реализации каждой угрозы;
  • потенциальный ущерб от каждой угрозы;
  • рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Анализ рисков информационной безопасности

Идентификация и оценка информационных активов

Оценка активов организации является важным этапом в общем процессе анализа риска. Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и юридическому лицу, ведущему деловую деятельность. Чтобы выполнить оценку активов, организация сначала должна провести инвентаризацию своих активов. Для обеспечения полного учета активов часто полезно сгруппировать их по типам, например информационные активы, активы программного обеспечения, физические активы и услуги. Целесообразно также назначить «владельцев» активов, которые будут нести ответственность за определение их ценности.

Следующий этап — согласование масштабов оценки, которая должна быть произведена, и критериев определения конкретной стоимости активов. Из-за разнообразия активов большинства организаций весьма вероятно, что некоторые активы из тех, что могут быть оценены в денежных единицах, будут оцениваться в местной валюте, в то время как другие активы могут оцениваться по качественной шкале в диапазоне от «очень низкой» до «очень высокой» цены. Решение использовать количественную или качественную оценку принимает конкретная организация, но при этом выбранный тип оценки должен соответствовать подлежащим оценке активам. Для одного и того же актива могут быть использованы также оба типа оценки.

Типичными терминами, используемыми для качественной оценки ценности активов, являются: «пренебрежимо малая», «очень малая», «малая», «средняя», «высокая», «очень высокая», «имеющая критическое значение». Выбор и диапазон терминов, являющихся подходящими для данной организации, в значительной степени зависят от потребностей организации в безопасности, величины этой организации, а также других, специфичных для данной организации факторов.

Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться в однозначных (недвусмысленных) терминах. С этим часто бывают связаны наиболее сложные аспекты оценки активов, поскольку ценность некоторых из них приходится определять субъективно. Поэтому для определения ценности активов целесообразно привлекать достаточно большое число разных людей. Возможны следующие критерии определения ценности активов: первоначальная стоимость актива, стоимость его обновления или воссоздания. Ценность актива может также носить нематериальный характер, например цена доброго имени или репутации компании.

Кроме того, организация может устанавливать собственные пределы ценности активов (например «малая», «средняя» и «высокая»). Эти пределы должны быть оценены по выбранным критериям, например, возможные финансовые потери следует оценивать в денежных единицах, тогда как при оценке по критерию угрозы для личной безопасности оценка в денежных единицах окажется непригодной. В конечном счете организация сама должна решить, какой ущерб считать малым, а какой — большим. Ущерб, который может стать бедственным для маленькой организации, для очень крупной организации может быть сочтен малым или даже пренебрежимо малым.

В таблице 2 представим наиболее используемые и важные активы.

Таблица 2.

Оценка информационных активов предприятия

Вид деятельности

Наименование актива

Форма представления

Владелец актива

Критерии определения стоимости

Размерность оценки

Количественная оценка

Качественная

Информационные активы

обработка документов

Документы

Бумажный документ и электронный вид документа.

Отдел сбора и обработки статистической и бухгалтерской отчетности

Первоначальная стоимость актива

малая

обработка документов

БД компании

Электронный носитель

Отдел сбора и обработки статистической и бухгалтерской отчетности

Первоначальная стоимость актива

средняя

Количественная оценка

Качественная

доступ к информационным ресурсам

БД компании

Электронный носитель

Отдел материально-технического обеспечения и технического обслуживания;

Сотрудники научно-исследовательских центров.

Первоначальная стоимость актива

средняя

обмен корреспонденцией

Файлы электронной почты, стандарты форм, справочники, приказы

Электронный носитель

Все сотрудники

Первоначальная стоимость актива

малая

Активы программного обеспечения

обработка документов

Офисные программы;

Электронный носитель

Сотрудники

Первоначальная стоимость актива

малая

обеспечение непрерывной работы

Системное ПО; Антивирусное ПО

Электронный носитель

Отдел материально-технического обеспечения и технического обслуживания

Первоначальная стоимость актива

средняя

Количественная оценка

Качественная

защита данных

Страж NT

Электронный носитель

Отдел материально-технического обеспечения и технического обслуживания

Первоначальная стоимость актива

высокая

управление данными

СУБД MS SQL Server

Электронный носитель

Отдел материально-технического обеспечения и технического обслуживания

Первоначальная стоимость актива

высокая

Количественная оценка

Качественная

обработка документов

ПО «СПД»

Электронный носитель

Отдел сбора и обработки статистической и бухгалтерской отчетности

Первоначальная стоимость актива

средняя

Разработка программного обеспечения по конкурсам

Разрабатываемое ПО

Электронный носитель

Отдел разработки, внедрения и сопровождения программных средств

Первоначальная стоимость актива

высокая

Физические активы

доступ к информационным ресурсам

Аппаратные средства (компьютеры, принтера, факсы)

Материальный объект

Сотрудники

Первоначальная стоимость актива

очень высокая

Количественная оценка

Качественная

хранение данных

Сервера

Материальный объект

Отдел материально-технического обеспечения и технического обслуживания

Первоначальная стоимость актива

высокая

Таблица 3.

Перечень сведений конфиденциального характера ОАО «Расчет»

№ п/п

Наименование сведений

Гриф конфиденциальности

Нормативный документ, реквизиты, №№ статей

Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа.

ДСП

Федеральный закон №24-ФЗ1995г.

Требования по обеспечению сохранения служебной тайны сотрудниками предприятия.

ДСП

Гражданский кодекс РФ ст.139

Персональные данные сотрудников

Конфиденциально

Федеральный закон 152-Ф3

Таблица 4.

Результаты ранжирования активов

Наименование актива

Ценность актива (ранг)

Обработка документов (ПО)

Обеспечение непрерывной работы (ПО)

Обмен корреспонденцией

Защита данных (ПО)

Управление данными (ПО)

Обработка документов (ПО)

Доступ к информационным ресурсам

Пользовательские компьютеры

Документы

Наименование актива

Ценность актива (ранг)

Разработка программного обеспечения по конкурсам

Сервера

Доступ к информационным ресурсам (БД)

Активы, имеющие наибольшую ценность:

1. Сервера

2. Доступ к информационным ресурсам (БД)

3. Программное обеспечение

4. Документы

5. Компьютеры

Анализ рисков информационной безопасности

⇐ ПредыдущаяСтр 2 из 4

Идентификация и оценка информационных активов

Идентифицируем информационные активы организации. Для этого сначала приведем понятие информационного актива.

Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении. У каждой организации свой набор активов, относящихся к тому или иному типу.

Рассмотрим информационные активы организации. Для более удобного рассмотрения активов сгруппируем их согласно типам.

1. Информация/данные.

— Данные о разработках;

— Персональные данные сотрудников;

— Данные по продукции.

2. Аппаратные средства.

— 8 серверов;

— 374 компьютера;

— 36 принтеров;

— 22 сканера.

3. Программное обеспечение.

— MS Office;

— SAP WMS;

— 1C: Предприятие;

— MS Windows XP/7

4. Документы.

— Контракты с вендорами;

— Контракты с клиентами;

— Бухгалтерская отчетность;

Рассмотрим выделенные активы более подробно, т.е. приведем форму представления, владельца актива, критерии определения стоимости и осуществим оценку активов.

В таблице 1.1. представлена информация по выделенным активам организации.

Таблица 1.1.

Оценка информационных активов предприятия

Вид деятельности Наименование актива Форма представления Владелец актива Критерии определения стоимости Размерность оценки
Количественная оценка Качественная
Информационные активы
Кадровое обеспечение Персональные данные сотрудников Электронная Специалист по кадрам Стоимость воссоздания 170 тыс. руб. Средняя
Реализация продукции Данные по продукции Электронная Бухгалтер Стоимость воссоздания 500 тыс. руб. Критическая
Активы аппаратного обеспечения
Обработка информации Сервера Материальная Системный администратор Первоначальная стоимость 300 тыс. руб. Критическая
Обработка информации Компьютеры Материальная Системный администратор Первоначальная стоимость 100 тыс. руб. Средняя
Обработка информации Принтеры Материальная Системный администратор Первоначальная стоимость 25 тыс. руб. Малая
Обработка информации Сканера Материальная Системный администратор Первоначальная стоимость 15 тыс. руб. Малая
Активы программного обеспечения
Обработка информации Microsoft Windows Электронная Системный администратор Стоимость воссоздания 15 тыс. руб. Малая
Обработка информации Microsoft Office Электронная Системный администратор Стоимость воссоздания 17 тыс. руб. Малая
Обработка информации 1C: Предприятие Электронная Системный администратор Стоимость воссоздания 120 тыс. руб. Средняя
Обработка информации SAP WMS Электронная Системный администратор Стоимость воссоздания 400 тыс. руб. Критическая
Физические активы
Реализация продукции Документация по разработкам Бумажная Менеджер по работе с клиентами Стоимость воссоздания 55 тыс. руб. Малая
Реализация продукции Контракты с клиентами Бумажная Менеджер по работе с клиентами Стоимость воссоздания 82 тыс. руб. Малая
Бухгалтерия Бухгалтерская отчетность Бумажная Бухгалтер Стоимость воссоздания 75 тыс. руб. Малая

Рассмотрим перечень информационных активов, обязательное ограничение доступа, к которым регламентируется законодательством РФ. Данный перечень представлен в таблице 1.2.


Таблица 1.2.

Перечень сведений конфиденциального характера

№ п/п Наименование сведений Гриф конфиденциальности Нормативный документ
Данные контрагентов Коммерческая тайна Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»
Данные по продажам Коммерческая тайна
Документация по разработкам Коммерческая тайна
Контракты с клиентами Коммерческая тайна
Персональные данные сотрудников Персональные данные Федеральный закон «О персональных данных» (№ 152-ФЗ)

Подведем итоги ранжирования выделенных активов. Результаты ранжирования представлены в таблице 1.3.

Таблица 1.3.

Результаты ранжирования активов.

Наименование актива Ценность актива (ранг)
Данные контрагентов
Данные по продажам
8 серверов
Персональные данные сотрудников
Данные по продукции
1C: Предприятие
Компьютеры
Microsoft Windows
SAP WMS
Microsoft Office
Принтеры
Сканеры
Контракты с клиентами
Бухгалтерская отчетность

Итак, подводя итог можно сказать, что активы имеющие наибольшую ценность:

— Данные контрагентов;

— Данные по продажам;

— Сервера;

— Компьютеры;

— Персональные данные сотрудников;

— Данные по продукции;

— 1C: Предприятие;

— SAP WMS;

— Контракты с клиентами;

— Бухгалтерская отчетность

Остальные активы представляют минимальную ценность по сравнению с выделенными.

Сгруппируем активы «Принтеры» и «Сканеры» в группу «Принтеры и сканеры», также сгруппируем активы «Microsoft Windows» и «Microsoft Office» в группу «ПО Microsoft», а также все физические активы организации в группу «Документация», поскольку ранги ценности у данных активов одинаковы, а подобная группировка заметно упростит дальнейший анализ.

Оценка уязвимостей активов

Осуществим оценку уязвимостей выделенных активов предприятия. Результаты данной оценки представлены в таблице 1.4.

Таблица 1.4.

Результаты оценки уязвимости активов

Группа уязвимостей Данные контрагентов Данные по продажам Сервера Персональные данные сотрудников SAP WMS 1С: Предприятие Компьютеры Принтеры и сканеры ПО Microsoft Документация
1. Среда и инфраструктура
Ненадежная охрана здания Низкая Низкая Низкая Низкая
Проблемы с электропитанием Средняя Средняя Низкая Низкая Низкая Низкая Низкая Низкая Низкая
2. Аппаратное обеспечение
Передача или повторное использование средств хранения информации без надлежащей очистки Средняя Средняя Низкая Средняя
3. Программное обеспечение
Недостаточное обслуживание носителей данных Средняя Средняя Низкая Средняя Низкая
Отсутствие обновления программного обеспечения, используемого для защиты от вредоносного кода Высокая Высокая Высокая Высокая Высокая Высокая Высокая Низкая
4. Коммуникации
Незащищенные соединения с сетями общего пользования Высокая Высокая Высокая Высокая Высокая Высокая Высокая
5. Физический доступ
Незащищенное хранение Низкая Низкая Низкая Низкая
6. Персонал
Неосведомленность в вопросах безопасности Средняя Средняя Средняя Средняя Средняя Средняя Низкая
7. Общие уязвимые места
Внедрение аппаратных и программных закладок Высокая Высокая Высокая Высокая

Оценка угроз активам

Угроза (потенциальная возможность неблагоприятного воздействия) обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему. В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно. Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации — оценена. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий.

Оценка угроз безопасности производится экспертным путем в зависимости от текущего уровня информационной безопасности и вероятности реализации угроз.

Выделим угрозы активам организации, а также осуществим их оценку. Результаты данных действий представлены в таблице 1.5.

Таблица 1.5.

Результаты оценки угроз активам

Группа уязвимостей Данные контрагентов Данные по продажам Сервера Персональные данные сотрудников SAP WMS 1С: Предприятие Компьютеры Принтеры и сканеры ПО Microsoft Документация
1. Угрозы обусловленные преднамеренными действиями
Кража документов и других носителей Низкая Низкая Низкая Низкая
Подмена документов и других носителей Низкая Низкая Низкая Низкая
Уничтожение документов и других носителей Высокая Высокая Высокая Низкая
Несанкционированное копирование документов и носителей информации Низкая Низкая Низкая Низкая Низкая Низкая
Несанкционированное обращение к данным. Высокая Высокая Высокая Низкая Низкая Высокая
Раскрытие данных путем их выгрузки с носителя данных неуполномоченным лицом Низкая Низкая Низкая Низкая Низкая
2. Угрозы, обусловленные случайными действиями
Утечка информации из сети по каналам связи Низкая Низкая Низкая Низкая Низкая
Неумышленное раскрытие информации сотрудниками компании Низкая Низкая Низкая Низкая Низкая Низкая
Недостаточное обслуживание компьютерной техники Высокая Высокая Высокая Высокая Высокая Высокая Высокая Высокая Высокая
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)
Антропогенные катастрофы (взрыв, терроризм, вандализм, другие способы умышленного причинения ущерба) Низкая Низкая Низкая Низкая Низкая Низкая Низкая Низкая Низкая Низкая

1.2.4. Оценка существующих и планируемых средств защиты

Осуществим анализ уже используемых на предприятии средств защиты информации. Для этого необходимо провести анализ технической и программной архитектуры предприятия.

Под архитектурой компьютерной системы будем понимать концепцию организации информационной системы, ее элементы, а также характер взаимодействия этих элементов.

Целесообразно рассматривать отдельно техническую и программную архитектуру существующей информационной системы.

В компании довольно широко используются компьютерные средства. В техническую архитектуру входит:

— Сервера. Используются сервера, обеспечивающие создание и функционирование единой локальной сети.

— Рабочие станции. Около 380 рабочих станций, различных марок, производителей и с абсолютно различными техническими характеристиками, т.к. используются в подразделениях с различной направленностью.

— Ноутбуки. Используется порядка 20 ноутбуков, также различной производительности.

— Коммутаторы. Установлено 10 коммутаторов, необходимых для создания единой локальной сети.

— Модем-роутер. Используется для обеспечения всех компьютеров доступом к сети Интернет.

Схема технической архитектуры информационной системы представлена на рисунке 1.2.

Рис. 1.2. Техническое обеспечение предприятия

На рисунке 1.3 представлена схема программного обеспечения предприятия.

Рис. 1.3. Схема программного обеспечения

В компании используются операционные системы Windows 7 и XP от компании Microsoft. Интегрированные офисный пакет Microsoft 2003/2007. Интернет-браузер Google Chrome. Антивирусная защита представлена антивирусом Avast! Business Pro. Также используется информационная система «1С: Бухгалтерия», которая установлена на компьютерах бухгалтерии.

Рассмотрим защиту от физического проникновения. На рисунке 1.4 представлено здание главного офиса и расположение датчиков движения.

Рис. 1.4. Расположение датчиков движение

Исходя из представленных схем можно сделать вывод об относительно слабой защите с точки зрения физического проникновения, а также с точки зрения вирусных и хакерских атак

Подведем итог всех действий организации по обеспечению информационной безопасности. Сводная таблица анализа выполнения основных задач по обеспечению информационной безопасности представлена в таблице 1.6.

Таблица 1.6.

Анализ выполнения основных задач по обеспечению информационной безопасности

Основные задачи по обеспечению информационной безопасности Степень выполнения
Обеспечение безопасности производственно-торговой деятельности, защита информации, являющихся коммерческой тайной; Частично
Организация работы по правовой, организационной и инженерно-технической защите коммерческой тайны; Частично
Организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной; Частично
Предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну; Частично
Выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных ситуациях; Частично
Обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне; Не выполняется
Обеспечение охраны территории, зданий помещений, с защищаемой информацией. Частично

Оценка рисков

Осуществим оценку выделенных рисков. Результаты оценки активов приведены в таблице 1.7.

Таблица 1.7.

Результаты оценки рисков информационным активам организации

Риск Актив Ранг риска
Уничтожение документов и других носителей Данные контрагентов Высокий
Данные по продажам Высокий
Персональные данные сотрудников Высокий
Данные по продукции Высокий
Несанкционированное обращение к данным Данные контрагентов Высокий
Данные по продажам Высокий
Персональные данные сотрудников Высокий
Данные по продукции Высокий
Недостаточное обслуживание компьютерной техники Данные контрагентов Высокий
Данные по продажам Высокий
Персональные данные сотрудников Высокий
Данные по продукции Высокий
Программное обеспечение Высокий
Сервера Высокий
1С: Предприятие Высокий
SAP WMS Высокий
Компьютеры Высокий

Таким образом, основываясь на результатах проведенного анализа рисков угроз, можно сделать вывод, что в первую очередь необходимо повысить защиту информации от вирусных и хакерских атак, т.е. модернизировать существующую антивирусную защиту на предприятии. Уже в дальнейшем рекомендуется организации повысить и физическую безопасность активов организации.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *