- •8.160101 Защита информации с ограниченным доступом и автоматизация ёё обработки
- •8(7).160105 Защита информации в компьютерних системах и сетях
- •8(7).160104 Административный менеджмент в сфере защиты информации с с ограниченным доступом
- •Лабораторная работа № 1 Разработка политики безопасности предприятия.
- •Методические указания по работе и комплекс лабораторных работ с программным комплексом Digital Security Office 2006
- •1. Введение
- •1.1. Общие положения
- •4.1.3. Приступая к работе
- •4.1.4. Алгоритм
- •4.1.5. Общие принципы работы с программой
- •4.1.6. Пример расчета рисков невыполнения требований стандарта
- •4.2. Программа Гриф
- •4.2.1. Гриф. Модель информационных потоков
- •4.2.1.1. Общее описание
- •4.2.1.2. Приступая к работе
- •4.2.1.3. Алгоритм
- •4.2.1.4. Общие принципы работы с программой
- •4.2.1.5. Пример расчета рисков информационной системы на основе модели информационных потоков
- •Вопрос 1:
- •Вопрос 2:
- •Вопрос 3:
- •4.2.2. Гриф. Модель угроз и уязвимостей
- •4.2.2.1. Назначение
- •4.2.2.2. Классификация угроз dsecct (Digital Security Classification of Threats)
- •4.2.2.3. Приступая к работе
- •4.2.2.4. Алгоритм
- •4.2.2.5. Общие принципы работы с программой
- •4.2.2.6. Пример построения модели информационной системы на основе модели угроз и уязвимостей
- •Раздел 1. Физическое воздействие человека, направленное на ис
- •Раздел 2. Физические угрозы, направленные на ис
- •Раздел 3. Локальные программные угрозы, направленные на ресурс
- •4.2.2.7. Пример расчета рисков информационной системы на основе модели угроз и уязвимостей
- •6. Лабораторные работы
- •6.1. Программа Кондор
- •6.1.1. Лабораторная работа 1
- •6.1.2. Лабораторная работа 2
- •6.2. Программа Гриф.
- •6.2.1. Гриф. Модель информационных потоков
- •6.2.1.1. Лабораторная работа 1
- •6.2.1.2. Лабораторная работа 2
- •6.2.2. Гриф. Модель угроз и уязвимостей
- •6.2.2.1. Лабораторная работа 1
- •6.2.2.2. Лабораторная работа 2
4.2. Программа Гриф
ГРИФ - инструмент для анализа защищенности ресурсов информационной системы компании и эффективного управления рисками.
4.2.1. Гриф. Модель информационных потоков
4.2.1.1. Общее описание
Анализ рисков ИБ осуществляется с помощью построения модели ИС компании. Рассматривая средства защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, влияние прав доступа групп пользователей, организационные меры, модель исследует защищенность каждого вида информации.
В результате работы алгоритма программа представляет следующие данные:
Инвентаризация.
Значения риска для каждого ценного ресурса компании.
Перечень всех уязвимостей, которые стали причиной полученного значения риска.
Значения риска для ресурсов после задания контрмер (остаточный риск).
Эффективность контрмер.
Рекомендации экспертов.
4.2.1.2. Приступая к работе
Перед заполнением программы ГРИФ необходимо провести инвентаризацию ценных ресурсов и информации компании, то есть определить, всю ценную информацию и ресурсы, на которых она хранится.
Далее владельцы информации или ответственные лица (как правило, начальники отделов, в которых ведется обработка информации) должны определить ущерб, который понесет Компания при осуществлении угроз конфиденциальности, целостности и доступности данной информации. Если владелец информации затрудняется оценить ущерб информации в деньгах, программа позволяет заносить ущерб в уровнях (количество и оценку уровней владелец выбирает самостоятельно (в диапазоне от 2 до 100), но для всех видов информации в ИС компании количество и оценка уровней должны быть одинаковы).
Отметим, что в программу ГРИФ заносятся только ресурсы, на которых обрабатывается ценная информация, т.е. информация, для которой можно оценить ущерб при реализации угроз.
Далее специалист отдела ИТ (администратор системы) предоставляет данные о группах пользователей, которые имеют доступ к информации, особенностях предоставления доступа пользователей к ресурсам компании (права доступа, вид доступа, сетевое оборудование) и средствах защиты, установленных в ИС.
Специалисты отдела ИБ предоставляют данные о расходах на ИБ.
Сотруднику, заполняющему программу, требуется внести следующие данные:
Данные, которые заносятся в программу |
Сотрудник, отвечающий за предоставление данных |
Виды ценной информации |
Владелец информации (или начальник отдела, в котором осуществляется обработка информации) |
Ущерб для каждого вида ценной информации по трем видам угроз |
Владелец информации (или начальник отдела, в котором осуществляется обработка информации) |
Бизнес-процессы, в которых обрабатывается информация |
Владелец информации (или начальник отдела, в котором осуществляется обработка информации) |
Ресурсы, на которых хранится ценная информация |
Специалист службы ИТ |
Сетевые группы, в которых находятся ресурсы системы (т.е. физические связи ресурсов друг с другом) |
Специалист службы ИТ |
Отделы, к которым относятся ресурсы |
Как правило, совпадают с организационной структурой компании |
Группы пользователей, имеющих доступ к ценной информации |
Специалист службы ИТ |
Класс группы пользователей |
Специалист службы ИТ |
Доступ группы пользователей к информации |
Специалист службы ИТ |
Характеристики доступа группы пользователей к информации (вид и права) |
Специалист службы ИТ |
Средства защиты, установленные в ИС |
Специалист службы ИТ |
Расходы на ИБ |
Специалист службы ИБ |