Расчет информационных рисков Компании ООО "Умный дом"
Нормы взаимодействия с бизнес-партнерами. Передача информации внутри корпоративной сети, электронная почта, хранение данных. Ведение переговоров, заключение договоров. Использование современных и стойких сертифицированных средств криптографической защиты.
| Рубрика | Менеджмент и трудовые отношения |
| Вид | отчет по практике |
| Язык | русский |
| Дата добавления | 22.12.2012 |
| Размер файла | 1,1 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Министерство образования и науки Российской Федерации
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Московский государственный индустриальный университет
(ФГБОУ ВПО МГИУ)
Кафедра «Информационная безопасность»
ОТЧЕТ
по ППП «Расчет информационных рисков Компании ООО «Умный дом»
Группа 8281
Студент Виноградова А. А.
Преподаватель Фёдоров Н. В.
МОСКВА 2012
Расчет информационных рисков Компании ООО ««Умный дом»»
Компания работает на рынке информационных технологий, предоставляя качественный информационный сервис своим клиентам, используя технологию массового прямого сбыта. Компания ориентируется на клиентов, у которых сформирована потребность в регулярном получении информационных услуг.
Офис компании располагается внутри одного из 3-х административных зданий офисного комплекса, соединенных между собой переходами. Каждое из зданий имеют один вход, оснащенный контрольно-пропускным пунктом, на котором имеется бюро пропусков и находится охрана. На пропусках имеется идентификационная информация: фото, номер, название фирмы. ФИО; для клиентов и посетителей выдаются временные пропуска, которые изымаются охранником на выходе. Офис находится на 4 этаже и занимает весь этаж. На фирме два основных канала циркуляции конфиденциальной информации. Один из них это ведение переговоров и заключение договоров, для этих целей в офисе существует специальное помещение. Второй же - информация циркулирующая в смой компании, все данные. Которые находятся в ней. Обязательно и автоматически шифруются с использованием современных и стойких сертифицированных средств криптографической защиты, каждый документ. обращающийся к системе, обязательно заверяется в ЭЦП в соответствии с Законом об «ЭЦП». Что делает его юридически эквивалентным бумажному документу, заверенному собственноручной подписью или печатью организации. Так же се данные этой системы хранятся в зашифрованном виде на сервере компании, расположенном в отдельном здании, куда имеют доступ лишь сотрудники. Которые имеют специальный допуск.
В состав компании входят:
1. ? отдел кадров;
2. ? служба безопасности;
3. ? отдел перспективных разработок;
4. ? отдел проектирования по направлениям;
5. ? рекламный отдел;
6. ? финансовый отдел;
7. ? договорной отдел;
8. ? вспомогательные отделы;
9. ? директорат.
Нормы взаимодействия с бизнес-партнерами:
Ориентация на сотрудничество
* Отношения с бизнес-партнерами сотрудники Компании строят на долгосрочной основе, учитывая взаимные интересы.
* Каждый бизнес-партнер дорог для Компании, независимо от длительности отношений, выгодности работы с ним или известности его бренда.
* Каждый бизнес-партнер является достоянием всей Компании и всегда получает высокий уровень сервиса в соответствии с принятыми стандартами.
Выполнение обязательств
информация корпоративный сеть защита
* Сотрудники Компании всегда стремятся к выполнению взятых на себя обязательств в полном объеме, в установленные сроки и с высоким уровнем качества.
* При невозможности выполнить свои обязательства вовремя и с оговоренным качеством, сотрудники Компании оперативно извещают об этом партнера и совместно с ним ищут решение.
* Если сотрудник Компании не может удовлетворить запрос клиента в данный момент, то делает все возможное, чтобы сохранить отношения для будущих контактов.
IT Сервисы
Передача информации внутри корпоративной сети, электронная почта, хранение данных, создание информации с использованием информационной системы, доступ в интернет, сервис печати.
Опросный лист
|
ИТ-Сервис |
Конфиденциальность |
Целостность |
Доступность |
||||||
|
Ущерб |
Вероятность |
Ущерб |
Вероятность |
Повреждение\потеря данных |
Недоступность |
||||
|
Ущерб |
Вероятность |
Ущерб |
Вероятность |
||||||
|
электронная почта |
Н |
В |
У |
С |
З |
Н |
З |
С |
|
|
доступ в интернет |
Н |
С |
У |
В |
Н |
В |
У |
С |
|
|
хранение данных |
К |
В |
З |
С |
К |
С |
З |
С |
|
|
передача информации внутри корпоративной сети |
З |
С |
У |
Н |
К |
С |
У |
С |
|
|
создание информации с использованием информационной системы |
У |
Н |
Н |
Н |
У |
С |
У |
Н |
|
|
сервис печати |
У |
Н |
У |
Н |
У |
С |
У |
Н |
Ущерб может быть: Катастрофичный (К), Значительный (3), Умеренный (У), Несущественный (Н)
Вероятность может быть: Высокая (В), Средняя (С), Низкая (Н).
Расчёт эффективностей контролей и Значения уязвимости по областям рисков
Расчет эффективности одного контроля в одной из областей ИТ рисков производится перемножением коэффициента эффективности данного контроля на коэффициент его значимости в данной области:
Эn=Оn х Кn,
где:
Оn - оценка эффективности контроля;
Кn - коэффициент значимости контроля в данной области рисков.
Величина уязвимости рассчитывается по формуле:
1 - (А : В),
где:
А - эффективность имеющихся (внедренных) контролей;
В - эффективность всех контролей OCTAVE.
Эффективность всех контролей OCTAVE (переменная «В» в вышеприведенной формуле) рассчитывается аналогичным образом, причем коэффициент эффективности каждого из рассматриваемых контролей принимается равным единице.
Таким Образом, Эффективность имеющихся контролей по конфиденциальности будет равна
A1= 0+0,32+0,7+0,18+0+0,24+0,36+0+0=1,8
А Эффективность всех контролей OCTAVE по конфиденциальности будет равна
B1=1*9=9
Соответственно Значение Уязвимости по конфиденциальности будет равно
1-(1,8/9)= 0,8
Эффективность имеющихся контролей по Целостности будет равна
A1= 0+0,32+0,7+0,18+0+0,24+0,36+0+0=1,8
А Эффективность всех контролей OCTAVE по Целостности будет равна
B1=1*9=9
Соответственно Значение Уязвимости по Целостности будет равно
1-(1,8/9)= 0,8
Эффективность имеющихся контролей по Доступности при повреждении/потери данных будет равна
A1= 0+0,04+0,7+0,18+0+0,06+0,06+0+0=1,04
А Эффективность всех контролей OCTAVE по Доступности при повреждении/потери данных будет равна
B1=1*9=9
Соответственно Значение Уязвимости по Доступности при повреждении/потери данных будет равно
1-(1,04/9)= 0,88
Эффективность имеющихся контролей по Доступности при недоступности сервиса будет равна
A1= 0+0,04+0,7+0,18+0+0,06+0,06+0+0=1,04
А Эффективность всех контролей OCTAVE по Доступности при недоступности сервиса будет равна
B1=1*9=9
Соответственно Значение Уязвимости по Доступности при недоступности сервиса будет равно
1-(1,04/9)= 0,88
Матрица ИТ-Рисков
|
ИТ-Сервис |
Величины Рисков по областям ИТ рисков |
||||
|
Нарушение конфиденциальности |
Нарушение Целостности |
Нарушение доступности |
|||
|
Повреждение/Потеря данных |
Временный перерыв в доступности |
||||
|
электронная почта |
Несущественный 35тыс. |
Умеренный 310 тыс. |
Несущественный 55 тыс. |
Несущественный 70 тыс. |
|
|
доступ в Интернет |
Несущественный 11 тыс. |
Умеренный 125 тыс. |
Несущественный 35 тыс. |
Несущественный 7 тыс. |
|
|
хранение данных |
Катастрофичный 1,7 млн. |
Значительный 0,9 млн. |
Катастрофичный 9 млн. |
Значительный 0,4 млн. |
|
|
передача информации внутри корпоративной сети |
Умеренный 0,61 млн. |
Значительный 0,58 млн. |
Значительный 0,98 млн. |
Значительный 0,7 млн. |
|
|
создание информации с использованием информационной системы |
Умеренный 0,22 млн. |
Значительный 0,31 млн. |
Умеренный 400 тыс. |
Умеренный 345 тыс. |
|
|
Сервис печати |
Несущественный 15тыс. |
Умеренный 103 тыс. |
Умеренный 205 тыс. |
Умеренный 258тыс. |
План мероприятий по снижению ИТ рисков при помощи контролей OCTAVE
|
Мероприятия |
Снижаемые опеки |
Приоритет |
Время реализации(дн.) |
Ответственный |
|
|
Усовершенствовать и утвердить планы физической защиты помещений |
Катастрофичный |
7 |
3 |
CISO |
|
|
Изменить и усовершенствовать процедуры предоставления, изменении и удаления учётных записей, прав и паролей. |
Катастрофичный |
5 |
5 |
CISO |
|
|
Протестировать и обновить процедуры управления инцидентами |
Значительный |
4 |
9 |
CISO |
|
|
Ознакомить пользователей с их задачами и ответственностью в области информационной безопасности, оформит документально. |
Значительный |
4 |
7 |
CISO |
|
|
Контролировать исполнение своих обязанностей по обеспечению информационной безопасности сотрудниками всех уровней. |
Значительный |
1 |
3 |
CISO |
|
|
Проверять на соотвествие стандартам все средства информационной безопасности |
Умеренный |
2 |
7 |
CISO |
|
|
Использовать механизмы шифрования для защиты конфиденциальной и строго конфиденциальной информации |
Умеренный |
1 |
7 |
CISO |
|
|
Утвердить план по защите систем и сетей |
Умеренный |
1 |
5 |
CISO |
Для снижения уровня рисков используются контроли с наиболее высоким Коэффициентов значимости в необходимой области.
После осуществления данных мероприятий в компании не должно остаться рисков с неприемлемым уровнем.
Размещено на Allbest.ru
Подобные документы
Понятие корпоративной культуры и ее значение. Типы и виды информационных угроз и методы борьбы с ними. Проверка и обучение персонала. Правильное хранение информации. Борьба с враждебными переманиваниями. Поддержание корпоративного духа компании.
дипломная работа [87,7 K], добавлен 04.05.2011Анализ сложившейся корпоративной культуры. Отражение ценностей компании, норм поведения сотрудников в корпоративной культуре. Правила взаимодействия с внешними целевыми группами - клиентами, партнерами. Выявление основных проблем и путей их преодоления.
эссе [29,5 K], добавлен 14.08.2010Работа по заключению и исполнению договоров. Составление регламента договорной работы. Роль руководителей, юристов и иных сотрудников в договорной работе. Оценка рисков договорного процесса, экспертиза налоговых последствий и оптимизации налогообложения.
отчет по практике [30,1 K], добавлен 20.12.2010Задачи и основные направления обеспечения защиты корпоративной информации. Получение корпоративной информации. Уязвимые места: промышленный шпионаж, поджог, нападение на сотрудников компании. Служба безопасности: задачи и правила работы ее сотрудников.
контрольная работа [56,5 K], добавлен 19.01.2008Понятие взаимодействия с деловыми партнерами, его сущность и особенности, системность и порядок совершения. Принципы обеспечения взаимодействия с деловыми партнерами, с поставщиками и подрядчиками организации. Дебиторская и кредиторская задолженность.
курсовая работа [66,6 K], добавлен 03.04.2009Особенности комплектования переговорной команды. Методы ведения деловых переговоров. Стереотипы поведения и принципы общения бизнес-партнеров. Приемы преодоления психологических аберраций в ходе деловых встреч. Способы достижения успешных соглашений.
презентация [83,4 K], добавлен 19.10.2013Использование современных информационных технологий в сфере туризма. Современные системы бронирования. Реклама туристических услуг в сети Интернет. Состояние и перспективы использования информационных технологий в деятельности компании ООО "Атлас Travel".
курсовая работа [90,0 K], добавлен 14.10.2014Основные закономерности и виды борьбы. Структура, техника и приемы ведения переговоров. Сущность динамических стереотипов. Национальные стили ведения переговоров. Основные принципы, используемые при совершении сделки. Ведение переговоров как искусство.
курсовая работа [41,4 K], добавлен 21.05.2010Понятие деловых коммуникаций. Общение, его виды и свойства. Проведение переговоров с партнерами. Выступление перед аудиторией. Подготовка и проведение презентации. Правила взаимодействия с журналистами, корпоративных коммуникаций в сети Интернет.
курсовая работа [412,9 K], добавлен 15.10.2015Организация деловых переговоров. Планирование деловых встреч. Назначение ведущих переговоров. Подготовка к коммерческим переговорам, протокольные рекомендации. Тактика ведения переговоров, оформление их результатов. Ведение переговоров по телефону.
контрольная работа [29,4 K], добавлен 07.11.2010
