- •Введение
- •1 Анализ современных отечественных и зарубежных технологий защиты информации
- •2 Аналитическая часть
- •2.1 Исследование объекта защиты
- •2.1.1 Общая характеристика органа муниципального управления
- •2.1.2 Организационная структура
- •2.1.3 Анализ существующей информационной системы
- •2.2 Основные угрозы информационной безопасности
- •2.2.1 Классификация угроз информационной безопасности
- •2.2.2 Неформальная модель нарушителя
- •2.2.3 Описание модели угроз
- •2.2.4 Оценка рисков
- •2.3 Нормативно-правовая база организации защиты информации
- •3 Конструкторская часть
- •3.1 Общие принципы построения комплексной системы защиты информации
- •3.2 Организационные меры защиты
- •3.3 Физические меры защиты
- •З.4 Аппаратно-программные средства защиты
- •3.4.1 Средства защиты информации от несанкционированного доступа
- •3.4.2 Средства криптографической защиты информации
- •3.4.3 Антивирусное программное обеспечение
- •3.4.4 Межсетевое экранирование
- •3.4.5 Резервирование информации
- •3.4.6 Обеспечение целостности данных при отключении электроэнергии
- •4 Организационно-экономическая часть
- •4.1 Расчет стоимости проекта
- •4.2 План организационных мероприятий по внедрению разработанной системы
- •4.3 Описание эффекта от внедрения разработанной системы
- •5 Безопасность жизнедеятельности
- •5.1 Введение в безопасность жизнедеятельности
- •5.2 Условия трудовой деятельности инженера
- •5.3 Требования к помещению
- •5.3.1 Требования к освещению
- •5.3.2 Требования по шуму и вибрации
- •5.3.3 Требования по электромагнитному излучению
- •5.3.4 Требования по микроклимату
- •5.3.5 Требования по окраске помещений
- •5.3.6 Требования к режиму труда
- •5.3.7 Требования к эргономике рабочего места
- •5.3.8 Требования по пожаробезопасности
- •5.3.9 Требования по электробезопасности
- •5.3.10 Выводы по разделу
- •Список литературы
- •Приложение в
- •Приложение г
- •Приложение д
- •Приложение е
- •Приложение ж
- •II. Взаимоотношения и связи
- •III. Должностные обязанности
- •IV. Права
- •V. Ответственность:
- •2. Порядок пропуска в административное здание и проезд транспортных средств на прилегающую к зданию территорию
- •3. Оформление и выдача постоянных электронных пропусков
- •5. Оформление и выдача разовых электронных пропусков
- •6. Соблюдение внутриобъектового режима
- •7. Контроль за соблюдением пропускного и внутриобъектового режима
- •Приложение к
- •I.Общие положения
- •II. Цели и задачи отдела
- •III. Структура
- •IV. Руководство
- •V.Деятельность
- •VI. Права и ответственность отдела по защите информации.
- •VII. Взаимодействие отдела с другими структурными подразделениями.
- •VIII. Заключительные положения
2.2.4 Оценка рисков
Для того чтобы оценить риски информационной безопасности, необходимо проанализировать все описанные выше виды угроз, действующие на информационную систему, и уязвимости, через которые возможна реализация угроз.
Уровень угрозы рассчитывается на основе величины потерь и вероятности реализации угрозы через данную уязвимость.
Величина потерь определяет последствия нарушения безопасности того или иного элемента информации. Устранение последствий нарушения безопасности может потребовать значительных финансовых вложений, даже если пострадали некритические сервисы. Необходимо также учитывать политические или организационные последствия.
Вероятность реализации угрозы или реальность возникновения угрозы связана с частотой реализации той или иной угрозы и определяется на основании опыта атак на автоматизированную систему, а также анализа слабых мест технической и организационной защиты.
Расчет риска происходит по следующей схеме:
Риск = Величина потерь * Вероятность реализации угрозы
Величина потерь – неотрицательное число в соответствии с таблицей 4. Шкала для определения вероятности угрозы представлена в таблице 5.
Таблица 4 - Шкала для определения возможного ущерба
Величина потерь |
Описание ущерба |
0 |
Раскрытие информации принесет ничтожный моральный и финансовый ущерб органу муниципального управления |
1 |
Раскрытие и/или модификация информации приносит средние потери и моральный ущерб, для ее восстановления требуется время |
2 |
Значительные потери. Орган муниципального управления теряет большую часть необходимой для работы информации. Деятельность прерывается на длительный срок, для восстановления требуются значительные финансовые вложения и время. |
продолжение
таблицы 4.
Таблица 5 - Шкала для определения вероятности угрозы
Вероятность реализации угрозы |
Средняя частота появления |
0 |
Данный вид угрозы отсутствует вообще |
1 |
Реже, чем 1 раз в год |
2 |
Около 1 раза в год |
3 |
Около 1 раза в месяц |
4 |
Около 1 раза в неделю |
5 |
Ежедневно |
Сводная таблица рисков представлена ниже.
Таблица 6 - Сводная таблица рисков
|
Угроза |
Вероятность |
Потери |
Риск |
Кража (копирование) программного обеспечения |
3 |
0 |
0 | |
Подмена (несанкционированный ввод) информации |
4 |
1 |
4 | |
Уничтожение (разрушение) данных на носителях информации |
4 |
1 |
4 | |
Нарушение нормальной работы (прерывание) в результате вирусных атак |
2 |
1 |
2 | |
Модификация (изменение) данных на носителях информации |
4 |
1 |
4 | |
Перехват (несанкционированный съем) информации |
4 |
0 |
0 | |
Кража (несанкционированное копирование) ресурсов |
1 |
1 |
1 | |
Нарушение нормальной работы (перегрузка) каналов связи |
1 |
1 |
1 | |
Непредсказуемые потери |
1 |
0 |
0 | |
Суммарный риск |
16 |
продолжение
таблицы 6.
Суммарный риск подсчитывается как сумма максимальных величин риска для каждой угрозы.