- •Самостійна робота
- •1.1. Короткий опис підприємства
- •1.2. Системи життєзабезпечення підприємства
- •1.3. Опис приміщень підприємства
- •1.4. Функції, права та обов’язки персоналу
- •1.5. Бізнес-процес підприємства
- •1.6. Ідентифікація інформаційних активів
- •2.1. Методика оцінювання ризиків
- •2.2. Класифікація джерел загроз
- •2.3. Ранжування джерел загроз
- •Для антропогенних джерел
- •Для техногенних джерел
- •Для стихійних лих
- •Для антропогенних джерел
- •Для техногенних джерел та стихійних лих
- •3.1. Встановлення критерію прийняття ризику
- •4.1. Загальні положення
- •4.1.1. Мета і призначення
- •4.1.2. Область застосування
- •4.1.3. Відповідальність
- •4.2. Вимоги і рекомендації
- •4.2.2. Контроль доступу до інформаційних систем
- •4.2.3. Захист обладнання
- •4.2.4. Повідомлення про інциденти інформаційної безпеки, реагування і звітність
- •4.2.5. Управління мережею
- •4.2.6. Використання паролів
- •4.2.7. Розробка систем і управління внесенням змін
- •5.1. Опрацювання ризиків
4.2.5. Управління мережею
Системний адміністратор контролює зміст усіх потоків даних що проходять через мережу Підприємства.
Співробітникам забороняється:
– порушувати інформаційну безпеку і роботу мережі;
– сканувати порти або систему безпеки;
– контролювати роботу мережі з перехопленням даних;
– отримувати доступ до комп’ютера, мережі або облікового запису через обхід системи ідентифікації користувача або безпеки;
– використовувати будь-які програми, скрипти, команди або передавати повідомлення з метою втрутитися в роботу або відключити користувача пристрою;
– передавати інформацію про співробітників або списки співробітників Підприємства стороннім особам;
– створювати, оновлювати або поширювати комп’ютерні віруси та інше шкідливе програмне забезпечення.
4.2.5.1. Захист і збереження даних
Відповідальність за збереження даних на стаціонарних і портативних персональних комп’ютерах лежить на користувачах. Системний адміністратор зобов’язаний сприяти користувачам в проведенні резервного копіювання даних на відповідні носії.
Необхідно регулярно робити резервні копії усіх основних службових даних і програмного забезпечення.
Тільки системний адміністратор на підставі заявок керівників підрозділів може створювати і видаляти мережеві ресурси і теки загального користування, а також керувати повноваженнями доступу до них.
Співробітники мають право створювати, модифікувати і видаляти файли і директорії в мережевих ресурсах тільки на тих ділянках, які виділені особисто для них або до яких вони мають санкціонований доступ.
Усі заявки на проведення технічного обслуговування комп’ютерів повинні спрямовуватися до системного адміністратора.
4.2.6. Використання паролів
Усі співробітники Підприємства відповідальні за правильне обрання та збереження паролів. Рекомендовані правила:
– усі паролі рівня системи повинні змінюватися щонайменше один раз на квартал;
– усі паролі на критичні елементи інфраструктури повинні зберігатися у системного адміністратора;
– усі паролі користувачів повинні змінюватися щонайменше один раз на шість місяців. Рекомендований інтервал – чотири місяці;
– забороняється передавати паролі іншим особам;
– забороняється запис паролів на будь-яких носіях;
– усі паролі повинні відповідати рекомендаціям, які наведені нижче.
Рекомендації з вибору паролів:
– містять як малі, так і великі букви;
– містять цифри і знаки пунктуації, наприклад 09!*$ % ^* * () _ + | ~= \ `{} []:"; '<?./);
– довжина складає щонайменше вісім алфавітно-цифрових символів;
– не є словами з будь-якої мови, сленгу, діалекту, жаргону тощо.
– не засновані на особистій інформації;
4.2.7. Розробка систем і управління внесенням змін
Усі операційні процедури і процедури внесення змін до інформаційних систем і сервісів мають бути задокументованими та узгодженими з системним адміністратором.
РОЗДІЛ 5. ОПРАЦЮВАННЯ РИЗИКІВ
5.1. Опрацювання ризиків
Головною метою оброблення ризику є вибір ефективних заходів, які забезпечать зменшення середньорічних втрат організації від інцидентів інформаційної безпеки за умови максимального повернення інвестицій. Значення повернених інвестицій дорівнює різниці між отриманою вигодою та вкладеними засобами (у т. ч. коштами) в інформаційну безпеку.
Еквівалентом отриманої вигоди виступає оцінене значення зменшення середньорічних втрат організації, еквівалентом вкладених засобів - грошові засоби, напряму або опосередковано витрачені на механізми інформаційної безпеки і забезпечуючи таке зменшення витрат. Таким чином, можемо записати:
[Повернення інвестицій] = [Зменшення середньорічних втрат] – [Вартість заходів захисту].
Максимальне повернення інвестицій – основна економічна задача інформаційної безпеки. Бюджет на інформаційну безпеку завжди обмежений, тому, актуальним є завдання вибору найефективніших контрзаходів, які дають найбільше повернення інвестицій при найменших вкладеннях.
Для визначення того, наскільки ефективно захисні заходи зменшують витрати, використовується коефіцієнт повернення інвестицій (ROI), який визначається як відношення значення повернення інвестицій до вартості реалізації контрзаходів, у тому числі видатки на їх планування, проектування, впровадження, експлуатацію, моніторинг та вдосконалення.
[Коефіцієнт повернення інвестицій (ROI)i = ([Зменшення середньорічних втрат) –
[Вартість захисних заходів]) / [Вартість захисних заходів].
ROI показує, у скільки разів значення повернення інвестицій переважає видатки на інформаційну безпеку.
Від’ємне повернення інвестицій (ROI < 0) означає, що організація втрачає на інформаційну безпеку більше, ніж отримує від цього вигоду. У такому випадку інформаційна безпека є витратною статтею для організації, а запроваджені заходи захисту або обходяться дорожче, ніж вигоди, які отримує організація, або лише послаблюють реальний захист і зумовлює зростання ризиків.
Актив |
Файл з параметрами роботи АСВСП, збережений на комп’ютерах 192.168.1.2, 9 |
|||||||
Властивість |
Конфіденційність |
|||||||
Джерело загроз |
Механізм реалізації загрози |
Знач. риз. |
Збит. млн. грн |
Крит. прийн. |
Заходи захисту |
Витр. млн.. грн |
ROI |
|
Антропогенне |
Системний адміністратор, оператор-контролер |
Витік інформації через помилки при конфігуруванні ПК через відсутність достатньої кваліфікації, задокументованої відповідальності, відсутність / неефективність навчання |
1,56 |
25,2 |
1,5 |
Проведення тренінгів та навчань |
0,5 |
15,2 |
Сторонні особи |
НСД за допомогою зловмисного ПЗ через відсутність / недосконалість антивірусних засобів |
2,3 |
37,3 |
1,5 |
Встановлення надійного антивірусного захисту |
1 |
4,3 |
|
Властивість |
Цілісність |
|||||||
Антропогенне |
Системний адміністратор, оператор-контролер |
Випадкове видалення / модифікація інформації через відсутність достатньої кваліфікації, задокументованої відповідальності, відсутність / неефективність навчання |
1,54 |
24,9 |
1,5 |
Проведення тренінгів та навчань, встановлення системи резервного копіювання |
2,5 |
10,2 |
Працівники підприємства |
Ненавмисна поломка ПК через відсутність / недосконалість інструкцій |
1,54 |
24,9 |
1,5 |
Складання інструкцій та організація навчання |
0,2 |
15,2 |
|
Сторонні особи |
Навмисна поломка ПК через відсутність / недосконалість контролю доступу |
1,54 |
24,9 |
1,5 |
Встановлення системи контролю доступу |
0,5 |
13,7 |
|
Техногенне |
Внутрішні техногенні джерела загроз |
Втрата інформації через збої або відмови апаратного чи програмного забезпечення через відсутність / недосконалість механізму резервного копіювання |
1,92 |
31,1 |
1,5 |
Дублювання важливої апаратури, використання сертифікованого ПЗ та АЗ, встановлення системи резервного копіювання |
5 |
4,8 |
Властивість |
Доступність |
|||||||
Техногенне |
Внутрішні техногенні джерела загроз |
Недоступність інформації через збої або відмови апаратного чи програмного забезпечення через відсутність механізму резервного копіювання |
2,88 |
46,7 |
1,5 |
Дублювання важливої апаратури, використання сертифікованого ПЗ та АЗ, встановлення системи резервного копіювання |
8 |
8,6 |
Недоступність інформації через припинення подачі електроживлення через відсутність системи резервного електроживлення |
2,56 |
41,5 |
1,5 |
Встановлення |
1 |
|
||
Джерело загроз |
Механізм реалізації загрози |
Знач. риз. |
Збит. млн. грн |
Крит. прийн. |
Заходи захисту |
Витр. млн. грн |
ROI |
|
Актив |
Файл з параметрами роботи АСВСП, збережений на комп’ютерах 192.168.1.2, 9 |
|||||||
Властивість |
Доступність |
|||||||
Техно-генне |
Внутрішні техногенні джерела загроз |
Недоступність інформації через припинення подачі електроживлення через відсутність системи резервного електроживлення |
2,56 |
41,5 |
1,5 |
системи резервного електроживлення |
1 |
40,2 |
Актив |
Конфігураційний файл устаткування для промивки та обробки скла, збережений на комп’ютері 192.168.1.2 |
|||||||
Властивість |
Конфіденційність |
|||||||
Антропогенне |
Системний адміністратор |
Ненавмисне розкриття інформації через відсутність достатньої кваліфікації, задокументованої відповідальності, відсутність / неефективність навчання |
1,6 |
25,9 |
1,5 |
Проведення тренінгів та навчань |
0,5 |
23,9 |
Витік інформації через помилки при конфігуруванні ПК через відсутність достатньої кваліфікації, задокументованої відповідальності, відсутність / неефективність навчання |
3,2 |
51,8 |
1,5 |
Проведення тренінгів та навчань, складання задокументованих правил |
0,7 |
34,7 |
||
Сторонні особи |
НСД за допомогою зловмисного ПЗ через відсутність / недосконалість антивірусних засобів |
1,92 |
31,1 |
1,5 |
Встановлення надійного антивірусного захисту |
1 |
31,9 |
|
Техногенне |
Внутрішні техногенні джерела загроз |
Витік інформації через збої або відмови апаратного чи програмного забезпечення через відсутність механізму ведення журналу подій |
3,2 |
51,8 |
1,5 |
Дублювання важливої апаратури, використання сертифікованого ПЗ та АЗ, встановлення системи автоматичного ведення журналу |
4 |
8,4 |
Властивість |
Цілісність |
|||||||
Антропогенне |
Системний адміністратор |
Випадкове видалення / модифікація інформації через відсутність достатньої кваліфікації, задокументованої відповідальності, відсутність / неефективність навчання |
4 |
64,8 |
1,5 |
Проведення тренінгів та навчань, встановлення системи резервного копіювання |
5,5 |
10,6 |
Навмисне видалення / модифікація інформації через недосконалість процедури звільнення працівників |
4 |
64,8 |
1,5 |
Застосування надійної процедури звільнення працівників, вдосконалення методів роботи з персоналом |
0,5 |
19,8 |
||
Джерело загроз |
Механізм реалізації загрози |
Знач. риз. |
Збит. млн. грн |
Крит. прийн. |
Заходи захисту |
Витр. млн. грн |
ROI |
|
Актив |
Файл з параметрами роботи АСВСП, збережений на комп’ютерах 192.168.1.2, 9 |
|||||||
Властивість |
Цілісність |
|||||||
Антропогенне |
Працівники підприємства |
Ненавмисна поломка ПК через відсутність / недосконалість інструкцій |
1,92 |
31,1 |
1,5 |
Складання інструкцій та організація навчання |
0,2 |
27,5 |
Навмисне видалення / модифікація інформації через недосконалість процедури звільнення працівників, відсутність / недосконалість контролю доступу |
2,4 |
38,9 |
1,5 |
Застосування надійної процедури звільнення працівників, вдосконалення методів роботи з персоналом, застосування сучасних систем контролю доступу |
4 |
9,7 |
||
Сторонні особи |
Видалення / модифікація інформації через відсутність / недосконалість контролю доступу, механізмів ідентифікації та аутентифікації |
3,2 |
51,8 |
1,5 |
Застосування сучасних систем контролю доступу, ідентифікації та аутентифікації |
3,5 |
12,6 |
|
Навмисна поломка ПК через відсутність / недосконалість контролю доступу |
3,2 |
51,8 |
1,5 |
Застосування сучасних систем контролю доступу |
3 |
16,6 |
||
Техногенне |
Внутрішні техногенні джерела загроз |
Втрата інформації через збої або відмови апаратного чи програмного забезпечення через відсутність / недосконалість механізму резервного копіювання |
8 |
129,6 |
1,5 |
Дублювання важливої апаратури, використання сертифікованого ПЗ та АЗ, встановлення системи резервного копіювання |
5 |
27,9 |
Властивість |
Доступність |
|||||||
Техногенне |
Внутрішні техногенні джерела загроз |
Недоступність інформації через збої або відмови апаратного чи програмного забезпечення через відсутність механізму резервного копіювання |
4,8 |
77,8 |
1,5 |
Дублювання важливої апаратури, використання сертифікованого ПЗ та АЗ, встановлення системи резервного копіювання |
8 |
9,1 |
Джерело загроз |
Механізм реалізації загрози |
Знач. риз. |
Збит. млн. грн |
Крит. прийн. |
Заходи захисту |
Витр. млн. грн |
ROI |
|
Актив |
Файл з параметрами роботи АСВСП, збережений на комп’ютерах 192.168.1.2, 9 |
|||||||
Властивість |
Доступність |
|||||||
Техн. |
Внутрішні техногенні джерела загроз |
Недоступність інформації через припинення подачі електроживлення через відсутність системи резервного електроживлення |
1,6 |
25,9 |
1,5 |
Встановлення системи резервного електроживлення |
1 |
10,4 |
Актив |
ПЗ для керування АСВСП, яке знаходиться на комп’ютерах 192.168.1.2, 9 |
|||||||
Властивість |
Цілісність |
|||||||
Антропогенне |
Системний адміністратор |
Випадкове видалення / модифікація інформації через відсутність достатньої кваліфікації, задокументованої відповідальності, відсутність / неефективність навчання |
1,52 |
24,6 |
1,5 |
Проведення тренінгів та навчань, встановлення системи резервного копіювання |
5,5 |
3,5 |
Працівники підприємства |
Ненавмисна поломка ПК через відсутність / недосконалість інструкцій |
1,52 |
24,6 |
1,5 |
Складання інструкцій та організація навчання |
0,2 |
2,1 |
|
Техногенне |
Внутрішні техногенні джерела загроз |
Втрата інформації через збої або відмови апаратного чи програмного забезпечення через відсутність / недосконалість механізму резервного копіювання |
3,84 |
62,2 |
1,5 |
Застосування надійної процедури звільнення працівників, вдосконалення методів роботи з персоналом, застосування сучасних систем контролю доступу |
4 |
18,6 |
Властивість |
Доступність |
|||||||
Техногенне |
Внутрішні техногенні джерела загроз |
Недоступність інформації через збої або відмови апаратного чи програмного забезпечення через відсутність механізму резервного копіювання |
2,56 |
41,5 |
1,5 |
Дублювання важливої апаратури, використання сертифікованого ПЗ та АЗ, встановлення системи резервного копіювання
|
8 |
8,8 |
Недоступність інформації через припинення подачі електроживлення через відсутність системи резервного електроживлення |
2,56 |
41,5 |
1,5 |
Встановлення системи резервного електроживлення
|
1 |
13,8 |
||
Джерело загроз |
Механізм реалізації загрози |
Знач. риз. |
Збит. млн. грн |
Крит. прийн. |
Заходи захисту |
Витр. млн. грн |
ROI |
|
Актив |
Локальна мережа |
|||||||
Властивість |
Конфіденційність |
|||||||
Джерело загроз |
Механізм реалізації загрози |
Знач. риз. |
Збит. млн. грн |
Крит. прийн. |
Заходи захисту |
Витр. млн. грн |
ROI |
|
Антропогенне |
Системний адміністратор |
Витік інформації через помилки про конфігуруванні мережевого обладнання через відсутність достатньої кваліфікації, задокументованої відповідальності, відсутність / неефективність навчання |
1,6 |
25,9 |
1,5 |
Проведення тренінгів та навчань, складання задокументованих правил |
0,7 |
27,9 |
Сторонні особи |
НСД за допомогою зловмисного ПЗ, поширеного локальною мережею через відсутність / недосконалість антивірусних засобів |
1,92 |
31,1 |
1,5 |
Встановлення надійного антивірусного захисту |
1 |
12,7 |
|
Техногенне |
Внутрішні техногенні джерела загроз |
Витік інформації з локальної мережі через збої або відмови апаратного чи програмного забезпечення через відсутність механізму ведення журналу подій |
1,6 |
25,9 |
1,5 |
Дублювання важливої апаратури, використання сертифікованого ПЗ та АЗ, встановлення системи автоматичного ведення журналу |
4 |
5,3 |
Властивість |
Доступність |
|||||||
Техногенне |
Внутрішні техногенні джерела загроз |
Недоступність інформації через збої або відмови апаратного чи програмного забезпечення через відсутність механізму резервного копіювання |
2,4 |
38,9 |
1,5 |
Дублювання важливої апаратури, використання сертифікованого ПЗ та АЗ, встановлення системи резервного копіювання |
8 |
2,9 |
Недоступність інформації через припинення подачі електроживлення через відсутність системи резервного електроживлення |
1,6 |
25,9 |
1,5 |
Встановлення системи резервного електроживлення |
1 |
8,7 |
||
Актив |
Комп’ютер 192.168.1.2, який містить файл з параметрами роботи АСВСП, конфігураційний файл устаткування для промивки та обробки скла та ПЗ для керування АСВСП |
|||||||
Властивість |
Конфіденційність |
|||||||
Техногенне |
Внутрішні техногенні джерела загроз |
Витік інформації через збої або відмови апаратного чи програмного забезпечення через відсутність механізму ведення журналу подій |
4,8 |
77,8 |
1,5 |
Дублювання важливої апаратури, використання сертифікованого ПЗ та АЗ, встановлення системи автоматичного ведення журналу |
4 |
17,2 |
Властивість |
Цілісність |
|||||||
Антропогенне |
Системний адміністратор |
Випадкове видалення / модифікація інформації через відсутність достатньої кваліфікації, задокументованої відповідальності, відсутність / неефективність навчання |
6,4 |
103,7 |
1,5 |
Проведення тренінгів та навчань, встановлення системи резервного копіювання |
2,5 |
29,8 |
Навмисне видалення / модифікація інформації через недосконалість процедури звільнення працівників |
3,2 |
51,8 |
1,5 |
Застосування надійної процедури звільнення працівників, вдосконалення методів роботи з персоналом |
0,5 |
35,7 |
||
Працівники підприємства |
Ненавмисна поломка ПК через відсутність / недосконалість інструкцій |
1,92 |
31,1 |
1,5 |
Складання інструкцій та організація навчання |
0,2 |
23,2 |
|
Навмисне видалення / модифікація інформації через недосконалість процедури звільнення працівників, відсутність / недосконалість контролю доступу |
1,92 |
31,1 |
1,5 |
Застосування надійної процедури звільнення працівників, вдосконалення методів роботи з персоналом, застосування сучасних систем контролю доступу |
4 |
6,4 |
||
Актив |
Комп’ютер 192.168.1.2, який містить файл з параметрами роботи АСВСП, конфігураційний файл устаткування для промивки та обробки скла та ПЗ для керування АСВСП |
|||||||
Властивість |
Цілісність |
|||||||
Джерело загроз |
Механізм реалізації загрози |
Знач. риз. |
Збит. тис. грн |
Крит. прийн. |
Заходи захисту |
Витр. тис. грн |
ROI |
|
Антропо-генне |
Сторонні особи |
Видалення / модифікація інформації через відсутність / недосконалість контролю доступу, механізмів ідентифікації та аутентифікації |
2,56 |
41,5 |
1,5 |
Застосування сучасних систем контролю доступу, ідентифікації та аутентифікації |
3,5 |
18,2 |
Техногенне |
Внутрішні техногенні джерела загроз |
Втрата інформації через збої або відмови апаратного чи програмного забезпечення через відсутність / недосконалість механізму резервного копіювання |
6,4 |
103,7 |
1,5 |
Дублювання важливої апаратури, використання сертифікованого ПЗ та АЗ, встановлення системи резервного копіювання |
5 |
38,5 |
Властивість |
Доступність |
|||||||
Антропогенне |
Системний адміністратор |
Втрата доступу до ПК через відсутність / недосконалість парольної політики |
1,6 |
4 |
4 |
0,26 |
|
1,54 |
Недоступність ПК через помилки при конфігурування через відсутність достатньої кваліфікації, задокументованої відповідальності, відсутність / неефективність навчання |
1,6 |
25,9 |
1,5 |
встановлення системи автоматичного ведення журналу, проведення тренінгів та навчань |
3 |
14,2 |
||
Техногенне |
Внутрішні техногенні джерела загроз |
Недоступність інформації через збої або відмови апаратного чи програмного забезпечення через відсутність механізму резервного копіювання |
3,6 |
58,3 |
1,5 |
Дублювання важливої апаратури, використання сертифікованого ПЗ та АЗ, встановлення системи резервного копіювання |
8 |
3,3 |
Недоступність інформації через припинення подачі електроживлення через відсутність системи резервного електроживлення |
1,6 |
25,9 |
1,5 |
Встановлення системи резервного електроживлення |
2 |
11,9 |
||
Актив |
Комп’ютер 192.168.1.9, який містить файл з параметрами роботи АСВСП та ПЗ для керування АСВСП |
|||||||
Властивість |
Цілісність |
|||||||
Джерело загроз |
Механізм реалізації загрози |
Знач. риз. |
Збит. тис. грн |
Крит. прийн. |
Заходи захисту |
Витр. тис. грн |
ROI |
|
Техногенне |
Внутрішні техногенні джерела загроз |
Втрата інформації через збої або відмови апаратного чи програмного забезпечення через відсутність / недосконалість механізму резервного копіювання |
1,92 |
31,1 |
1,5 |
Дублювання важливої апаратури, використання сертифікованого ПЗ та АЗ, встановлення системи резервного копіювання |
5 |
7,6 |
Властивість |
Доступність |
|||||||
Техногенне |
Внутрішні техногенні джерела загроз |
Недоступність інформації через збої або відмови апаратного чи програмного забезпечення через відсутність механізму резервного копіювання |
1,92 |
31,1 |
1,5 |
Дублювання важливої апаратури, використання сертифікованого ПЗ та АЗ, встановлення системи резервного копіювання |
5 |
7,6 |
ВИСНОВОК
Підприємство “Solar Systems”, яке виготовляє сонячні панелі за допомогою автоматизованої системи, має основний інформаційний актив – дані про конфігурацію обладнання для промивки та підготовки скла (темпера, тиск, хімічний склад), що дозволяє досягти приросту ефективності на 15% і забезпечує конкурентну перевагу на ринку. У ході виконання роботи було:
– наведено детальний опис підприємства;
– проаналізовано бізнес-процес підприємства;
– проведено ідентифікацію інформаційних активів;
– розроблено методику оцінювання ризиків;
– здійснено оцінювання ризиків;
– проведено оброблення ризиків;
Враховуючи велике значення коефіцієнта повернення інвестицій, можна стверджувати, що залучивши незначні кошти для організації інформаційної безпеки, можна відвернути значні збитки і навіть крах підприємства.
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Ромака В. А. Менеджмент у сфері захисту інформації. Підручник / Ромака В. А., Гарасим Ю. Р., Корж Р. О. Дудикевич В. Б., Рибій М. М. – Львів : Видавництво Львівської політехніки, 2013. – 400 с.
2. Ромака В. А. Системи менеджменту інформаційної безпеки. Навчальний посібник / В. А. Ромака, В. Б. Дудикевич, Ю. Р. Гарасим, П. І. Гаранюк, І. О. Козлюк. – Львів : Видавництво Львівської політехніки, 2012. – 232 с.
3. Основи виробництва кремнієвих сонячних модулів. – [Електронний ресурс]. – Режим доступу: http://rentechno.ua/ua/articles/solar-module-manufacturing.html
4. KEYLAND Turnkey PV Solar Panel Manufacturing Plant for Various Capacity. – [Electronic source]. – Regime of access: http://keyland.en.alibaba.com/product/60002240744-218306485/KEYLAND_Turnkey_PV_Solar_Panel_Manufacturing_Plant_for_Various_Capacity.html