- •Глава 1. Экономические проблемы защиты информационных ресурсов предприятия 6
- •Глава 2. Порядок построения и экономическое обоснование создания системы защиты информации 16
- •Глава 3. Характеристика производственных ресурсов
- •Глава 4. Оценка эффективности создания
- •Введение
- •Глава 1. Экономические проблемы защиты информационных ресурсов предприятия
- •1.1. Уровень экономической безопасности предприятия
- •1.2. Информация как важный ресурс экономики
- •1.3. Задачи экономики защиты информации
- •Глава 2. Порядок построения и экономическое обоснование создания системы защиты информации
- •2.1. Этапы построения системы информационной безопасности предприятия
- •2.2. Анализ угроз и оценка рисков информационной безопасности
- •Контрольные вопросы
- •Глава 3. Характеристика производственных ресурсов предприятия и служб защиты информации
- •3.1. Задачи оценки и планирования производственных затрат
- •3.2. Оценка затрат по основным средствам
- •3.3. Затраты на нематериальные активы
- •3.5. Затраты на оборотные средства
- •3.6. Затраты на трудовые ресурсы
- •3.7. Результаты деятельности предприятия и прибыль
- •Контрольные вопросы
- •Глава 4. Оценка эффективности создания и функционирования системы защиты информации
- •4.1. Подходы к оценке эффективности создания средств зи
- •4.2. Оценка эффективности комплексной системы зи
- •4.3. Оценка эффективности инвестиций в систему зи
- •Заключение
- •Список литературы
- •Оценки угрозы и уязвимостей для классов рисков «Использование чужого идентификатора сотрудниками организации («маскарад»)»
Оценки угрозы и уязвимостей для классов рисков «Использование чужого идентификатора сотрудниками организации («маскарад»)»
Для оценки угроз выбраны следующие косвенные факторы:
Статистика по зарегистрированным инцидентам.
Тенденции в статистике по подобным нарушениям.
Наличие в системе информации, представляющей интерес для потенциальных внутренних или внешних нарушителей.
Моральные качества персонала.
Возможность извлечь выгоду из изменения обрабатываемой в системе информации.
Наличие альтернативных способов доступа к информации.
Статистика по подобным нарушениям в других информационных системах организации.
Для оценки уязвимостей выбраны следующие косвенные факторы:
Количество рабочих мест (пользователей) в системе.
Размер рабочих групп.
Осведомленность руководства о действиях сотрудников (разные аспекты).
Характер используемого на рабочих местах оборудования и ПО.
Полномочия пользователей.
По косвенным факторам предложены вопросы и несколько фиксированных вариантов ответов, которые «стоят» определенное количество баллов. Итоговая оценка угрозы и уязвимости данного класса определяется путем суммирования баллов.
Оценка угрозы
1. Сколько раз за последние 3 года сотрудники организации пытались получить несанкционированный доступ к хранящейся в информационной системе информации с использованием прав других пользователей?
Варианты ответов
а) Ни разу - 0
86
87
б) Один или два раза - 10
в) В среднем раз в год - 20
г) В среднем чаще одного раза в год - 30
д) Неизвестно- 10
2. Какова тенденция в статистике такого рода попыток не санкционированного проникновения в информационную систему?
Варианты ответов
а) К возрастанию - 10
б) Оставаться постоянной - 0
в) К снижению- 10
3. Хранится ли в информационной системе информация (на пример, личные дела), которая может представлять интерес для сотрудников организации и побуждать их к попыткам несанк ционированного доступа к ней?
Варианты ответов
а) Да-5
б) Нет-0
4. Известны ли случаи нападения, угроз, шантажа, давления на сотрудников со стороны посторонних лиц?
Варианты ответов
а) Да -10
б) Нет-0
5. Существуют ли среди персонала группы лиц или отдель ные лица с недостаточно высокими моральными качествами?
Варианты ответов
а) Нет, все сотрудники отличаются высокой честностью и порядочностью - 0
б) Существуют группы лиц и отдельные личности с недоста точно высокими моральными качествами, но это вряд ли может спровоцировать их на несанкционированное использование сис темы - 5
в) Существуют группы лиц и отдельные личности с настоль ко низкими моральными качествами, что это повышает вероят ность несанкционированного использования системы сотрудни ками - 10
6. Хранится ли в информационной системе информация, не санкционированное изменение которой может принести прямую выгоду сотрудникам?
Варианты ответов
а) Да-5
б) Нет-0
7. Предусмотрена ли в информационной системе поддержка пользователей, обладающих техническими возможностями со вершить подобные действия?
Варианты ответов
а) Да-5
б) Нет-0
8. Существуют ли другие способы просмотра информации, позволяющие злоумышленнику добраться до нее более простыми методами, чем с использованием «маскарада»?
Варианты ответов а) Да-10 б)Нет-0
9. Существуют ли другие способы несанкционированного изменения информации, позволяющие злоумышленнику достичь желаемого результата более простыми методами, чем с использо ванием «маскарада»?
Варианты ответов
а) Да-10
б) Нет-0
10. Сколько раз за последние 3 года сотрудники пытались получить несанкционированный доступ к информации, храня щейся в других подобных системах в вашей организации?
Варианты ответов
а) Ни разу - 0
б) Один или два раза - 5
в) В среднем раз в год - 10
г) В среднем чаще одного раза в год - 15
д) Неизвестно - 10
Степень угрозы при количестве баллов: а) До 9 - очень низкая б)От 10 до 19-низкая
в) От 20 до 29 - средняя
г) От 30 до 39 - высокая
д) 40 и более - очень высокая
88
89
Оценка уязвимости
1. Сколько людей имеют право пользоваться информацион ной системой?
Варианты ответов а)От1до10-0
б) От 11 до 50 - 4
в) От 51 до 200-10
г) От 200 до 1000-14
д) Свыше 1000-20
2. Будет ли руководство осведомлено о том, что люди, рабо тающие под их. началом, ведут себя необычным образом?
Варианты ответов
а) Да - 0
б) Нет - 10
3. Какие устройства и программы доступны пользователям? Варианты ответов
а) Только терминалы или сетевые контроллеры, ответствен ные за предоставление и маршрутизацию информации, но не за передачу данных - 5
б) Только стандартные офисные устройства и программы и управляемые с помощью меню подчиненные прикладные про граммы - О
в) Пользователи могут получить доступ к операционной сис теме, но не к компиляторам - 5
г) Пользователи могут получить доступ к компиляторам - 10
4. Возможны ли ситуации, когда сотрудникам, предупреж денным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе?
Варианты ответов
а) Да-10
б) Нет-0
5. Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информа ционной системе?
Варианты ответов
а) Менее 10 человек - 0
б) От 11 до 20 человек - 5
в) Свыше 20 человек- 10
6. Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в ре зультате чего его будет очень трудно скрыть)?
Варианты ответов
а)Да-0
б) Нет -10
7. Насколько велики официально предоставленные пользова телям возможности по просмотру всех хранящихся в системе данных?
Варианты ответов
а) Официальное право предоставлено всем пользователям - 2
б) Официальное право предоставлено только некоторым пользователям - 0
8. Насколько необходимо пользователям знать всю инфор мацию, хранящуюся в системе?
Варианты ответов
Всем пользователям необходимо знать всю информацию-4
Отдельным пользователям необходимо знать лишь относящуюся к ним информацию - 0
Степень уязвимости при количестве баллов:
а) До 9 - низкая
б) От 10 до 19 - средняя
в) 20 и более - высокая
90
91
Учебное издание
Ларина Ирина Евгеньевна ЭКОНОМИКА ЗАЩИТЫ ИНФОРМАЦИИ
Учебное пособие
Редактор Н.А. Киселева
Компьютерная версткаЛ/.Л. Махониной
Оформление обложки А.М. Гришиной
Санитарно-эпидем ио логическое з аключение №77.99.60.953.Д.006314.05.07 от 31.05.2007
Подписано в печать 10,09.07
Формат 60x84/16. Изд. № 1-28/07
Усл. печ. л. 6,0. Уч.-изд. л. 6,25. Тираж 500 экз.
Заказ № 849
Издательство МГИУ, 115280, Москва, Автозаводская, 16
По вопросам приобретения продукции издательства МГИУ обращаться по адресу:
115280, Москва, Автозаводская, 16 №\™Лгс!а1.т5ш.ги; е-таИ: 1гс!а1@т5Ш,ги; тел. (495) 677-23-15
Отпечатано в типографии издательства МГИУ
15ВН 978-5-2760-1269-8
9785276012698