При необходимости введите полное описание контрмеры.
Примечание Введенное описание в отчете не выводится.
Нажмите кнопку Задать или клавишу {Enter}.
Примечание В отчет выводятся только те контрмеры, которые заданы, но не применены.
Свойства контрмеры
В данном окне доступны для редактирования следующие поля:
"Название контрмеры для отчета"
"Стоимость внедрения контрмеры"
"Возможное снижение затрат на ИБ"
"Полное описание контрмеры"
Примечание Введенное описание в отчете не выводится.
Для сохранения изменений нажмите кнопку Задать или клавишу {Enter}.
Для закрытия окна без сохранения изменений нажмите кнопку Закрыть или клавишу {Esc}.
Управление периодами
Период - дата, на момент которой все введенные пользователем данные актуальны для информационной системы организации.
|
Позволяет выбрать период. Термин "выбрать период" означает перейти к работе с выбранным периодом. К периоду относятся данные раздела "Моделирование системы" / "Расходы на информационную безопасность". Примечание В новом проекте автоматически создается период аудита. Дата периода - дата создания проекта. В проекте всегда существует хотя бы один период аудита. |
|
Позволяет добавить новый период аудита. При нажатии на эту кнопку появляется окно "Добавить период". |
|
Позволяет изменить дату выбранного периода. При нажатии на эту кнопку появляется окно "Изменить период". |
|
Позволяет удалить период. Примечание Единственный период проекта удалить невозможно. |
|
Позволяет закрыть окно "Управление периодами". |
Справка
|
Справка Позволяет открыть окно справочной информации по программе. Данный пункт меню также можно вызвать при нажатии F1 на клавиатуре. Лицензионное соглашение Позволяет открыть файл, содержащий лицензионное соглашение. Техническая поддержка Позволяет перейти на web-страницу службы технической поддержки компании Digital Security. О программе... Позволяет открыть окно информации о программе. |
Работа с разделом «Моделирование системы»
Информационная система - это организационно-упорядоченная совокупность информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.
Моделирование системы - раздел, в котором заносятся данные об объектах существующей информационной системы (отделы и ресурсы), а также данные об угрозах и уязвимостях.
Вид рабочего поля зависит от выбранного элемента информационной системы:
При выборе названия объекта анализа (по умолчанию “Информационная система”) данное рабочее поле отображает данные о системе и текущем пользователе: название объекта (название организации), ответственный пользователь, должность пользователя. Эти данные представлены только для просмотра. Редактирование данных об анализируемом объекте доступно из меню Проект / "Свойства проекта" на закладке "Идентификация".
При выборе элемента информационной системы данное рабочее поле позволяет работать с ним: добавить новый элемент, просмотреть свойства добавленного элемента, удалить добавленные элементы. Элементами информационной системы являются "Отделы" и "Ресурсы".
При выборе элемента "Угрозы" рабочее поле отображает перечень возможных угроз информационной системе. Этот перечень состоит из предопределенных угроз (исходная база всевозможных угроз безопасности) и из перечня угроз, введенных пользователем. Рабочее поле позволяет удалять и добавлять новые угрозы.
При выборе элемента "Уязвимости" рабочее поле отображает перечень возможных уязвимостей информационной системы. Этот перечень состоит из предопределенных уязвимостей (исходная база всевозможных уязвимостей с привязками к соответствующим угрозам) и из перечня уязвимостей, введенных пользователем. Рабочее поле позволяет удалять и добавлять новые уязвимости.
При выборе элемента "Расходы на информационную безопасность" рабочее поле позволяет вводить затраты на информационную безопасность.
В этом разделе рассматриваются следующие элементы информационной системы:
Отделы - структурные подразделения организации.
Ресурсы - объекты хранения ценной информации.
Угрозы - действия, которые потенциально могут привести к нарушению безопасности.
Уязвимости - слабые места в информационной системе, которые могут привести к нарушению безопасности путем реализации угроз.
Расходы на информационную безопасность
Данное окно отображает значения расходов на информационную безопасность.
Расходы на информационную безопасность - затраты на обеспечение информационной безопасности.
|
|
Разовые затраты на приобретение систем защиты информации. Другими словами, это стоимость лицензии программного обеспечения. Кроме того, необходимо также учесть в данном пункте затраты на аппаратное обеспечение - стоимость одного или нескольких компьютеров, на которых развернуты компоненты системы защиты. Также необходимо учесть затраты на покупку или создание средств технической защиты. Помимо этого, часто система защиты использует дополнительное программное и аппаратное обеспечение, стоимость которого также необходимо учитывать. К такому обеспечению можно отнести базы данных, браузеры, системы настройки оборудования, системы резервирования, сетевые кабели, тройники, системы бесперебойного питания и т.д.
В крупных компаниях, имеющих распределенную корпоративную сеть, не стоит забывать о затратах на внедрение систем защиты информации (включая этап предварительного аудита).
Ежегодные затраты на поддержку и обучение (если она не включена в стоимость системы защиты). Сюда же можно отнести и командировочные расходы IT-специалистов на поездки в удаленные офисы, и настройку удаленных компонентов системы обеспечения информационной безопасности.
Ежегодные затраты на управление средствами защиты информации, которые включают зарплату администраторов безопасности и другого персонала, связанного с системой обнаружения атак, а также затраты на модернизацию программно-аппаратного обеспечения. К этой статье расходов относится оплата услуг аутсорсинговых компаний и реагирование на инциденты безопасности.
Изменение затрат после внедрения контрмер - изменение затрат на информационную безопасность после принятия контрмер. Это значение равно разности стоимости внедрения контрмеры и возможного снижения затрат на ИБ, т.е.:
Примечание Значение, равное разности возможного снижения затрат на ИБ и стоимости внедрения контрмеры, не должно превышать суммарного значения расходов на ИБ, т.е.:
Работа с разделом «Связи»
Связи - раздел, в котором определяются связи между объектами, занесенными в разделе "Моделирование системы".
Вид рабочего поля зависит от выбранного элемента информационной системы:
При выборе отдела рабочее поле отображает все ресурсы, принадлежащие данному отделу. Пользователь может просмотреть свойства ресурсов и при необходимости отредактировать их.
При выборе ресурса рабочее поле отображает закладки для определения связей между данным ресурсом, угрозами и уязвимостями.
В этом разделе рассматриваются следующие закладки:
Угрозы - действия, которые потенциально могут привести к нарушению безопасности.
Уязвимости - слабые места в информационной системе, которые могут привести к нарушению безопасности путем реализации угроз.
Задание на лабораторную работу. Задание
познакомьтесь с интерфейсом системы ГРИФ. Какие основные блоки имеет программа.
Создайте проект на основе лабораторной работы №1 и внесите этапы своей работы в отчет со скриншотами.