--PAGE_BREAK--Угроза
Уязвимости
1.Физический доступ нарушителя к серверу
1.Неорганизованность контрольно-пропускного режима на предприятии
2.Отсутствие видеонаблюдения
2.Разглашение КИ, хранящейся на сервере
1.Отсутствие соглашения о нераспространении КИ
2. Нечеткое распределение ответственности между сотрудниками предприятия
Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V) и критичности реализации угрозы (ER).
Угроза/уязвимость
P(V), %
ER,%
1/1
70
80
1/2
40
60
2/1
30
30
2/2
70
50
Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).
Угроза/уязвимость
Th
CTh
1/1
0,56
0,666
1/2
0,24
2/1
0,09
0,408
2/2
0,35
Th=P(V)/100*ER/100
CTh=1-П(1-Th)
Рассчитаем общий уровень угроз по ресурсу:
CThR=1-П(1-CTh)=1-0,344*0,592=0,796
Рассчитаем риск по ресурсу:
R=CTh*D=0,796*15000=11940 (руб).
2. Объект защиты – Конфиденциальная документация.
Критерий критичности (D) равен 3000 рублей.
Таблица угроз и уязвимостей.
Угроза
Уязвимости
1.Физический доступ нарушителя к документам
1.Неорганизованность контрольно-пропускного режима на предприятии
2.Отсутствие видеонаблюдения
2.Разглашение КИ, используемой в документах, вынос документов за пределы КЗ
1.Отсутствие соглашения о неразглашении КИ
2. Нечеткое распределение ответственности за документы между сотрудниками предприятия
3.Несанкционированное копирование, печать и размножение КД
1. Нечеткая организация конфиденциального документооборота
2. Неконтролируемый доступ сотрудников к копировальной и множительной технике
Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V) и критичности реализации угрозы (ER).
Угроза/уязвимость
P(V), %
ER,%
1/1
70
80
1/2
40
60
2/1
30
30
2/2
70
50
3/1
70
50
3/2
90
80
Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).
Угроза/уязвимость
Th
CTh
1/1
0,56
0,666
1/2
0,24
2/1
0,09
0,408
2/2
0,35
3/1
0,35
0,818
3/2
0,72
Th=P(V)/100*ER/100
CTh=1-П(1-Th)
Рассчитаем общий уровень угроз по ресурсу:
CThR=1-П(1-CTh)=1-0,334*0,592*0,182=0,964
Рассчитаем риск по ресурсу:
R=CTh*D=0,964*3000=2892 (руб).
Администрация города Миасса является государственной организацией, поэтому деньги на создание комплексной системы защиты информации будут выделяться из городского бюджета.
Из оценки рисков можно подсчитать какой ущерб может понести Администрация при реализации той. Так же мы можем оценить экономическую целесообразность построения КСЗИ.
Если потери при реализации информационных угроз являются незначительными, то не имеет смысла строить дорогостоящую КСЗИ.
Еще одним важным шагом является разработка Технического задания на КСЗИ (Приложение №3).Оно определяет все основные требования к КСЗИ и возможные пути реализации её составляющих элементов. В ТЗ формулируются и исследуются основные каналы утечки информации и пути и средства их локализации.
Разработка политики безопасности. (Приложение №4)
Под политикой информационной безопасности (ИБ) понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации. Это позволяет обеспечить эффективное управление и поддержку политики в области информационной безопасности со стороны руководства организации.
Политика ИБ является объектом стандартизации. Некоторые страны имеют национальные стандарты, определяющие основное содержание подобных документов. Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17799).
В России к нормативным документам, определяющим содержание политики ИБ, относится ряд РД ФСТЭКа. В отечественных и международные стандартах используются сходная методология, однако ряд вопросов в отечественных РД не рассмотрен или рассмотрен менее подробно. Таким образом, при разработке политики ИБ целесообразно использовать передовые зарубежные стандарты, позволяющие разработать более качественные документы, полностью соответствующие отечественным РД.
Целью разработки политики организации в области информационной безопасности является определение правильного (с точки зрения организации) способа использования информационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности.
Основные этапы:
Разработка концепции политики информационной безопасности
Описание границ системы и построение модели ИС с позиции безопасности
Анализ рисков: формализация системы приоритетов организации в области информационной безопасности, выявление существующих рисков и оценка их параметров
Анализ возможных вариантов контрмер и оценка их эффективности.
Выбор комплексной системы защиты на всех этапах жизненного цикла
Заключение.
Таким образом, поставив перед собой цель разработать проект КСЗИ в Администрации города Миасса, мною были проделаны следующие работы:
1. Я рассмотрела общую характеристику объекта защиты;
2. Построила модель бизнес-процессов с целью выявления конфиденциальной информации;
3. Составила «Перечень сведений конфиденциального характера»;
4. Выявила угрозы, уязвимости и произвела расчет рисков для ключевых объектов защиты;
5. Описала техническое задание
6. Рассмотрела политику безопасности.
7. Получить теоретические знания и практические навыки в создание эффективной системы защиты информации.
Я считаю, что построение КСЗИ в таком муниципальном органе, как городская Администрация необходима.
Источники:
1. Грибунин В.Г. Политика безопасности: разработка и реазизация// «Информационная безопасность», 2005, №1.
2. Демин В., Свалов В. Правовое обеспечение системы защиты информации на предприятии.
3. Домарев В.В. Безопасность информационных технологий. Системный подход. — К.: ООО ТИД «Диасофт», 2004. — 992 с.
4. Торокин А.А. «Основы инженерно-технической защиты информации». – М.:
5. Шиверский А.А Защита информации: проблемы теории и практика. М.: Юрист, 1996.
6. Ярочкин В.И. Информационная безопасность: Учебник для студентов Вузов. М.: Академический Проект; Фонд «Мир», 2003, 640 стр
Приложение №3
«Техническое задание на систему защиты информации»
приложение 1
к Договору №____________от «____»____________2005г.
Для служебного пользования
Экз. №__
От Заказчика:
От Исполнителя:
Первый заместитель главы города
Генеральный директор
ОАО «Безопасность»
___________ А.С. Бородин
______________ А.П. Заикин
«___» ___________ 2008 г.
«___» __________ 2008 г.
Техническое задание
на создание КСЗИ Администрации города Миасса.
Термины и определения
ДЛЯ СЛУЖЕБНОГО ПОЛЬЗОВАНИЯ (ДСП) – конфиденциальная информация, которая: либо получена в процессе производственной деятельности от государственных предприятий и организаций, либо создана для государственных организаций при обработке информации, полученной от любых контрагентов. Либо изначальным, либо конечным собственником данной информации ограниченного распространения является государство. От утечки данной информации могут пострадать интересы государства.
ПЕРСОНАЛЬНЫЕ ДАННЫЕ (ПД) - конфиденциальная информация о частной жизни физического лица, которая получена в процессе производственной деятельности от любых контрагентов. Собственником данной информации ограниченного распространения является физическое лицо. От утечки данной информации могут пострадать интересы этого физического лица.
НЕ СЕКРЕТНО (НС) – открытая информация, доступ к которой не ограничивается требованиями безопасности либо согласно производственной необходимости (общий доступ и т.п.), либо как не подлежащая засекречиванию в соответствии с законодательством (данные бухгалтерского учета и т.п.)
КОНТРОЛИРУЕМАЯ ЗОНА (КЗ) — это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств. Границей КЗ Организации является: периметр охраняемой территории Организации; ограждающие конструкции охраняемого здания или охраняемой части здания.
ОСНОВНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА (ОТСС) — технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации. К ним относятся средства вычислительной техники, средства и системы передачи данных, отображения и размножения документов.
ВСПОМОГАТЕЛЬНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА (ВТСС) — технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с ОТСС. К ним относятся: радио- и телефонные средства и системы; средства и системы охранной и пожарной сигнализации; контрольно-измерительная аппаратура; средства и системы кондиционирования; средства и системы проводной радиотрансляционной и телевизионной сети; средства электронной оргтехники; средства вычислительной техники, не предназначенные для передачи, обработки и хранения конфиденциальной информации.
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП (НСД) – нарушение установленных правил доступа (организационных, технических и программных ограничений) к конфиденциальной информации, преднамеренное либо не преднамеренное, независимо от результата (получен фактический доступ к этой информации или нет).
ПОБОЧНЫЕ ЭЛЕКТРОМАГНИТНЫЕ ИЗЛУЧЕНИЯ И НАВОДКИ (ПЭМИН) – распространение электромагнитного излучения, возникающего в результате обработки конфиденциальной информации, в окружающем пространстве (по эфиру), а также по металлическим проводникам (коммуникациям), и позволяющего интерпретировать данную информацию.
КОНФИДЕНЦИАЛЬНАЯ ЛОКАЛЬНАЯ ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ (ЛВС) – комплекс средств вычислительной техники, соединенных каналами передачи данных, не выходящими за пределы КЗ, и предназначенных для обработки конфиденциальной информации. ЛВС функционально может являться частью вычислительной сети Организации (в остальных частях обрабатывается не конфиденциальная информация), а организационно – это часть АС, расположенная в пределах КЗ.
Общая характеристика объекта.
Предметом защиты является конфиденциальная информация в Администрации города Миасса. Эта информация циркулирует в определенных подразделениях, а также в электронном виде располагается на сервере корпоративной сети.
В этом органе государственно управления конфиденциальная информация создается, обрабатывается, используется и уничтожается.
Выделяют сведения конфиденциального характера на основании следующих документов:
Сведениям различной степени конфиденциальности в соответствии с СТР-К собственниками информации должны присваиваться соответствующие грифы конфиденциальности. На основании анализа входящих документов выявлено следующее:
Конфиденциальная информация в подразделениях Администрации обрабатывается с помощью офисных приложений, ведомственного прикладного программного обеспечения (ПО) с использованием систем управления базами данных (СУБД) и служебных утилит.
Границей КЗ Администрации является ограждающая конструкция территории. Особенностью КЗ является присутствие на контролируемой территории посторонних лиц (ведется прием посетителей).
Телефонная связь в Администрации осуществляется через общую АТС и внутреннюю. Кабели общей АТС выходят за пределы КЗ.
Пожарная и охранная сигнализации установлены во всех помещениях здания.
Электропитание всего здания осуществляется от трансформаторной подстанции, которая расположена на контролируемой территории и обслуживается персоналом станции.
Доступ к информации.
Доступ на территорию Администрации осуществляется свободно, кроме второго этаже где находится КПП. Пропускной режим обеспечивается круглосуточно силами сотрудников вневедомственной охраны УВД. Доступ на территорию Администрации и в помещения, где хранится кон информация, осуществляется по служебному удостоверению либо по специальной отметке в пропуске.
Допуск служащих Администрации к защищаемым информационным ресурсам осуществляется в соответствии с должностными обязанностями, утвержденными службой безопасности, и разграничивается штатными средствами ОС. Физический доступ к серверу и активному сетевому оборудованию ограничен, они размещены на втором этаже здания, в отдельном кабинете, в закрывающихся телекоммуникационных шкафах.
Для передачи данных между пользователями АРМ используются автоматизированные системы документооборота (внутренняя электронная почта, средства передачи сообщений).
Информационная характеристика.
В технологическом процессе обработки конфиденциальной информации определены следующие компоненты:
- субъекты доступа;
- объекты доступа.
К субъектам доступа относятся:
- служащие, имеющие отношение к процессу функционирования Администрации и которые имеют возможность доступа к её ресурсам;
- процедуры (процессы) обработки данных прикладного и системного ПО, а также СУБД, которые получают данные из файлов и баз данных на сервере.
К объектам доступа относятся:
- информационные ресурсы – отдельные файлы и массивы файлов, поля, записи и таблицы БД, документы, машинные носители информации (НЖМД, НГМД, CD-RW (CD-R) диски), доступ к которым должен регламентироваться правилами разграничения доступа;
- элементы системы – средства обработки и передачи информации (технические и программные средства, средства приема, отображения, перемещения информации, машинные накопители и носители на бумажной основе), доступ к которым необходимо регламентировать.
продолжение
--PAGE_BREAK--