- •Список сокращений
- •Введение
- •1 Аналитическая часть
- •1.1 Описание предприятия
- •1.2 Описание хранилища данных оао «Ростелеком»
- •1.3 Классификация испДн
- •1.4 Угрозы безопасности пДн
- •1.5 Описание модели угроз
- •1.6 Модель нарушителя в испДн
- •1.7 Анализ рисков
- •2 Конструкторская часть
- •2.1 Техническое задание
- •2.2 Организационные мероприятия по защиты информации в ис хранилища данных оао «Ростелеком»
- •2.3 Физические мероприятия по защите информации в ас
- •2.4 Система охранно-пожарной сигнализации
- •2.5 Программно - аппаратные средства защиты пд в испДн
- •2.5.1 Обзор рынка программно - аппаратных средств защиты от нсд
- •Сзи «Страж nt (версия 2.5)»
- •Аккорд-амдз
- •Аккорд nt/2000 V. 3.0.
- •Ксзи «панцирь-с»
- •Secret Net 5.0-с(сетевой вариант)
- •Сзи "Блокпост-2000/xp"
- •2.5.2 Выбор программно-аппаратного средства защиты от нсд
- •2.5.3 Межсетевые экраны
- •2.5.3 Обзор рынка и выбор средства антивирусной защиты
- •2.5.4 Защита базы данных
- •Безопасность жизнедеятельности
- •Анализ помещения, где располагается рабочее место начальника вц
- •Анализ организации рабочего места начальника вц
- •Анализ освещения рабочего места начальника вц
- •Анализ микроклимата
- •Анализ уровня шума и вибраций
- •Анализ электробезопасности
- •Анализ пожарной безопасности
- •Расчет естественного бокового освещения
- •Рекомендации по охране труда
- •Заключение
- •Список литературы
- •Приложение
1.7 Анализ рисков
При проектировании системы защиты информации необходимо определить, насколько серьезный ущерб может принести фирме реализация той или иной угрозы. Этот этап носит название "вычисление рисков". В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки". Существует множество схем вычисления рисков, остановимся на одной из них.
Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии с таблицей 1.
Таблица 1. Оценка величины ущерба.
|
Величина ущерба |
Описание |
|
0 |
Раскрытие информации принесет ничтожный моральный и финансовый ущерб. |
|
1 |
Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение не затронуты. |
|
2 |
Финансовые операции не ведутся в течение некоторого времени, за это время организация терпит убытки, но ее положение изменяется минимально. |
|
3 |
Значительные потери в прибыли. |
|
4 |
Потери очень значительны. Для восстановления положения требуются крупные финансовые займы. |
|
5 |
Организация прекращает существование. |
Вероятность атаки представляется неотрицательным числом в приблизительном соответствии с таблицей 2.
Таблица 2. Оценка вероятности реализации угрозы.
|
Вероятность |
Средняя частота появления |
|
0 |
Данный вид атаки отсутствует |
|
1 |
реже, чем раз в год |
|
2 |
около 1 раза в год |
|
3 |
около 1 раза в месяц |
|
4 |
около 1 раза в неделю |
|
5 |
практически ежедневно |
Следующим этапом составляется таблица рисков предприятия (таблица 3.) Она имеет следующий вид:
Таблица 3. Таблица рисков предприятия
|
Угроза |
Вероятность |
Потери |
Риск |
|
Утечка информации по каналам ПЭМИН |
1 |
1 |
1 |
|
Кража носителей информации |
0 |
0 |
0 |
|
Несанкционированное отключение средств защиты |
2 |
1 |
2 |
|
Взлом локальной сети |
3 |
2 |
6 |
|
Компьютерные вирусы |
3 |
1 |
3 |
|
Недекларированные возможности системного ПО и ПО для обработки персональных данных |
1 |
1 |
1 |
|
Внедрение аппаратных закладок сотрудниками организации |
0 |
0 |
0 |
|
Внедрение аппаратных закладок обслуживающим персоналом (ремонтными организациями) |
1 |
1 |
1 |
|
Сбой системы электроснабжения |
0 |
0 |
0 |
|
Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке |
2 |
1 |
2 |
|
Перехват в пределах контролируемой зоны внутренними нарушителями |
1 |
1 |
1 |
|
Непредсказуемые потери |
1 |
0 |
0 |
|
Суммарный риск |
17 |
||
Суммарный риск подсчитывается как сумма максимальных величин риска для каждого элемента информации.
Максимальный риск – это риск, который понесет организация при осуществлении угроз на все элементы информации. Максимальный риск рассчитывается как произведение суммарной цены всех элементов информации на максимальную величину возможности реализации угрозы. Максимальный риск составляет 17 ед.
Исходя из шкалы, различные угрозы осуществляются примерно раз в год.
Итак, анализ рисков позволяет решить следующие задачи:
-
Выявить угрозы, которые необходимо блокировать или уменьшить вероятность их реализации в первую очередь (угрозы с наибольшим риском);
-
Оценить общую защищенность существующей системы (на основе интегральной оценки рисков);
-
Оценить эффективность внедряемой системы защиты (на основе сравнения интегральных оценок рисков).