Размещено на http://allbest.ru

Міністерстово освіти і науки України

Національний університет „ Львівська політехніка”

Курсова робота

з курсу «Системи менеджменту інформаційної безпеки»

на тему: “ Аналіз ризиків інформаційної безпеки видавництва“

Виконала: ст. Горбова Л.Є.

Перевірив: проф. Ромака В.А.

Львів - 2014



Зміст

Вступ

Розділ 1. Аналіз проблеми оцінювання ризиків інформаційної безпеки на видавництві

1.1 Важливість оцінювання ризику ІБ на видавництві

1.2 Способи оцінки інформаційних ризиків

1.3 Методи оцінювання ризиків ІБ

Висновок по 1 розділу

Розділ 2. Методики оцінювання ймовірності реалізації загроз та збитків

2.1 Методика оцінювання ймовірності реалізації загроз

2.2 Методика оцінювання збитку інформаційної безпеки

Висновок по 2 розділу

Розділ 3. Опис інформаційного активу та визначення ймовірності реалізації загроз

3.1 Опис об'єкту захисту

3.2 Схема роботи видавництва

3.3 Принцип роботи видавництва

3.4 Опис приміщення

3.5 Опис технічних пристроїв, які містить об'єкт захисту

3.6 Робочий графік працівників

3.7 Визначення об'єктів та цілей захисту

3.8 Загальний інструктаж

3.9 Життєзабезпечення видавництва

3.10 Реєстр інформаційних активів

Розділ 4. Дослідження ймовірності реалізації загроз

Розділ 5. Дослідження збитку та ризиків інформаційної безпеки

Список використаної літератури



Вступ

В сучасних умовах захист інформації є надзвичайно актуальним, але в з'язку з швидким темпом наукового розвитку виникає досить багато проблем:

- стрімкий розвиток та розповсюдження засобів електронної обчислювальної техніки;

- вдосконалення та створення нових шифрувальних технологій;

- необхідність захисту не тільки державної і військової таємниці, але і промислової, комерційної і фінансової таємниць;

- дослідження нових можливостей несанкціонованих дій над інформацією;

- створення засобів та методів несанкціонованого доступу інформації.

Ще однією вразливістю є природні канали витоку інформації, що містяться на об'єкті захисту. Природні канали існують на будь-якому об'єкті і зумовлені процесами оброблення та передавання інформації, а також властивостями конструкцій будівлі.

Штучні канали витоку інформації - це навмисні канали витоку, що створюються із застосуванням активних методів і способів отримання інформації. Активні способи припускають навмисне створення технічного каналу витоку інформації з використанням спеціальних технічних засобів. До них можна віднести незаконне підключення до каналів, проводів і ліній зв'язку, високочастотне наведення і опромінення, установка в технічних засобах і приміщеннях мікрофонів і телефонних закладних пристроїв, а також несанкціонований доступ до інформації, що обробляється в автоматизованих системах (АС) і т.д.

Результатом реалізації погроз інформації може бути:

· утрата (руйнування, знищення);

· витік (витяг, копіювання, підслуховування);

· перекручування (модифікація, підробка);

· блокування.

Тому для повноцінної діяльності будь-якого підприємства необхідним є створення системи менеджменту інформаційної безпеки, що забезпечить неперервну роботу організації та мінімізацію розміру збитків від подій, що є загрозою безпеці, шляхом їх нейтралізації.

Мета роботи: дослідження ризиків інформаційної безпеки видавництва «Золоте перо», а також дослідження його загроз та збитків.

Для досягнення мети потрібно вирішити наступні завдання:

1. Описати інформаційні активи підприємства.

2. Визначити загрози інформаційної безпеки інформаційним активам.

3. Визначити джерело загрози

4. Визначити у який спосіб повинна бути реалізована загроза.

5. Розробити методику оцінювання ймовірності реалізації загроз.

6. Розробити методику оцінювання збитку від реалізації загроз.

7. Визначити значення ймовірності реалізації загроз.

8. Встановлення розміру збитку від реалізації загроз.

9. Встановлення та ранжування ризиків інформаційної безпеки.

Обєкт дослідження: інформаційні активи видавництва.

Предмет дослідження: методики оцінювання ймовірності реалізації загроз та збитків видавництва.



Розділ 1. Аналіз проблеми оцінювання ризиків інформаційної безпеки на видавництві

1.1 Важливість оцінювання ризику ІБ на видавництві

Для забезпечення основних властивостей інформації, яка становить певну цінність і є важливою для її власника, існує цілий ряд нормативно-правових документів. Використовується досить дороге технічне обладнання, запроваджуються строго регламентовані організаційні заходи, однак все це не може гарантувати у повній мірі бажаний результат. Цьому є певний ряд причин, які можна розділити на такі групи:

1) нехтування системного підходу до методів захисту інформації;

2) відсутність механізмів повного і достовірного підтвердження якості захисту інформації;

3) недоліки нормативно-правового забезпечення інформаційної безпеки;

4) відсутня система менеджменту та управління інформаційною безпекою.

Під поняттям інформаційної безпеки будемо розуміти стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації.

Конкурент або інша зацікавлена особа (далі по тексту зловмисник) створює загрозу інформації шляхом встановлення контакту з джерелом інформації або перетворення каналу розповсюдження інформації в канал її витоку. Якщо немає загрози, то відповідно відсутній факти витоку інформації до зловмисника. Загроза передбачає намір зловмисника здійснити протиправні дії по відношенню до інформації для досягнення бажаної мети. Загроза може бути потенційною і реальною. Реальні загрози, в свою чергу, поділяються на пасивні і активні. За місцем виникнення і відношенням до фірмі загрози поділяються на внутрішні і зовнішні, за часом - постійні і періодичні (епізодичні).

Зловмисник може створювати уявну загрозу, на протидію якої будуть витрачені реальні сили та засоби. Загрози інформації реалізуються зловмисником за допомогою прийомів і методів промислового або економічного шпіонажу. Загроза збереженню інформації і документів особливо велика при їх виході за межі служби конфіденційної документації, наприклад при передачі документів персоналу на розгляд та виконання, при пересилці або передачі документів адресатам і ті.

Однак необхідно враховувати, що втрата цінної інформації відбувається, як правило, не в результаті навмисних дій конкурента або зловмисника, а через неуважність, не професіоналізм і безвідповідальність персоналу. Втрата (витік) інформації передбачає несанкціонований перехід цінних, конфіденційних відомостей до особи, яка не має права володіти ними і використовувати їх в своїх цілях для отримання прибутку. В тому випадку, коли мова йде про втрату інформації по вині персоналу, зазвичай використовується термін "розголос інформації".

Розголошує інформацію завжди людина - усно, письмово, за допомогою жестів, міміки, умовних сигналів, особисто або через посередника. Термін "витік інформації" використовується найбільш широко, хоча, на мій погляд, в більшому ступені відноситься до втрати інформації за рахунок її перехвату за допомогою технічних засобів розвідки.

При розголошенні, витоку інформація може переходити або до зловмисника а потім, можливо, до конкурента, або до третьої особи. Під третьою особою в даному випадку розуміють любі особи, які отримали інформацію у володіння в силу обставин (тобто які стали її джерелом), але які не мають права володіння нею і, що дуже важливо, не зацікавлені в цій інформації. Однак необхідно враховувати, що від третіх осіб інформація може перейти до зацікавленої в ній особи - конкуренту фірми.

На відміну від третьої особи зловмисник навмисно й таємно організовує, створює канал витоку інформації та експлуатує його по першій більш чи менш тривалий час.

"Знати можливий витік інформації означає: для зловмисника - мати стабільну можливість отримувати цінну інформацію; для власника інформації - протидіяти зловмиснику та зберігати таємницю, а інколи і дезінформувати конкурента"

Інформація повинна поступати до конкурента тільки по каналу, що контролюється, в якому відсутні конфіденційні відомості а інформація, яка циркулює, рангована по складу, користувачам і характеризується загальною відомістю і доступом. Прикладом такого каналу є видання та розповсюдження рекламно-інформаційних матеріалів.

Канали витоку, якими користуються зловмисники, відрізняються більшою різноманітністю. Основними видами цих каналів можуть бути: встановлення зловмисником взаємовідносин з співробітниками фірми або відвідувачами, співробітниками фірм-партнерів, службовцями державних або муніципальних органів управління та іншими особами; аналіз опублікованих матеріалів про фірму, рекламних видань, виставочних проектів та іншої загальнодоступної інформації; вступ зловмисника на роботу в фірму; робота в інформаційних мережах; кримінальний, силовий доступ до інформації, тобто викрадення документів, шантаж персоналу та інші способи; робота зловмисника в технічних каналах розповсюдження інформації.

Для вирішення проблеми забезпечення інформаційної безпеки на видавництві, необхідно чітко визначити та сформулювати цілі та задачі захисту інформації. Крім того, потрібно ясно розуміти те, що чим конкретніше вони сформульовані, чим краще визначений комплекс обмежень та якість ресурсів, тим вірогідніше отримання бажаного результату. Якщо ціль захисту інформації по своєму характеру нескладна, то її реалізація цілком можлива і не вимагає використання серйозних ресурсів. Проте, чим більші вимоги ставляться до системи захисту інформації, тим важча і складніша реалізація поставленої задачі. В даному випадку кожен окремий елемент порівняно втрачає свою вагу, але в комплексі створює значно надійнішу й потужнішу систему. Найперше у таких системах потрібно робити акцент не на властивості кожного окремого елемента, а на їх взаємодії. Саме завдяки цьому система набуває таких специфічних властивостей, які не притаманні жодному з даних елементів.

1.2 Способи оцінки інформаційних ризиків

На Рис. 1 представлені три способи, за допомогою яких можна проводити оцінку інформаційних ризиків:

1. методи;

2. управляючі документи;

3. інструменти;

Рис.1



1.3 Методи оцінювання ризиків ІБ

Метод розуміється, як систематизована сукупність кроків, дій, які необхідно зробити для вирішення певної задачі або досягти поставленої мети, в даному випадку провести оцінку ризиків. Тобто, метод мається на увазі покрокова інструкція плюс інструмент (програмний продукт) для проведення оцінки ризиків на підприємстві.

Кількісні та якісні методи. Всі методи оцінки ризику можна розділити на:

· кількісні

· якісні

· комбінацію кількісних методів з якісними (змішаний).

Кількісні методи використовують вимірні, об'єктивні дані для визначення вартості активів, імовірність втрати і пов'язаних з ними ризиків. Мета полягає в тому, щоб обчислити числові значення для кожного з компонентів, зібраних в ході оцінки ризиків та аналізу витрат і переваг.

Якісні методи використовують відносний показник ризику або вартості активу на основі рейтингу або поділ на категорії, такі як низький, середній, високий, не важливо, важливо, дуже важливо, чи за шкалою від 1 до 10. Якісна модель оцінює дії й імовірності виявлених ризиків швидким і економічно ефективним способом. Набори ризиків записані і проаналізовані в якісній оцінці ризику, та можуть послужити основою для цілеспрямованої кількісної оцінки. Раніше кількісні підходи використовувалися частіше. Однак, останнім часом використання суворо кількісних управлінь ризиками зазвичай призводить до важкої, тривалої роботи, і немає великих переваг перед якісним методом оцінки ризиків.

Комбінація кількісного і якісного методу являє собою змішану сукупність переваг і недоліків вище згаданих методів.



Кращі світові методи для проведення повноцінної оцінки ризиків:

1)ISAMM. Виробник: Бельгія.

Опис: ISAMM була розроблена на основі Telindus. Це кількісний тип методології управління ризиками, де оцінюються ризики, виражаючи їх через щорічні очікувані збитків в грошових одиницях.

Щорічні очікувані збитки (ALE) = [ймовірність] Х [середнє вплив].

ISAMM дозволяє показувати й моделювати зниження ризику для кожного поліпшеного контролю і порівнювати з його вартістю реалізації. Ефективність методу дозволяє виконувати обгрунтовану оцінку ризику в рамках, з мінімальними витратами часу і зусиль. Останньою еволюцією в методології ISAMM є уявлення активів. Це означає, що він може бути використаний для запуску оцінки ризиків щодо активів або згрупувати набір активів. Цей метод оцінки ризиків складається з трьох основних частин: огляду; оцінки; результат розрахунків та звітність.

Метод оцінки ризику: кількісний.

Наявність допоміжних програмних інструментів: немає, але має хорошу керівну документацію.

2) Mehari. Виробник: Франція.

Опис: Це модель управління ризиками, з модульними компонентами і процесами. Модуль оцінки охоплює, крім інформаційної системи, організацію та її місця розташування в цілому, а також умови роботи, правові та нормативні аспекти.

Метод оцінки ризику: якісний і кількісний.

Наявність допоміжних програмних інструментів: є.

3) EBIOS. Виробник: Франція.

Опис: EBIOS являє собою повний набір посібників. Виробляються кращі практики, а також додатки документів, орієнтовані на кінцевих користувачів в різних контекстах. Цей метод широко використовується як в державному, так і приватному секторі. EBIOS формалізує підхід до оцінки ризику в області інформаційної безпеки систем.

Метод враховує всі технічні об'єкти (програмне і апаратне забезпечення, мережі) і нетехнічні об'єкти (організації, людські аспекти, фізична безпека).

Метод оцінки ризику: якісний.

Наявність допоміжних програмних інструментів: є.

4) Octave. Виробник: США.

Опис: OCTAVE є самостійним підходом, що вказує на те, що персонал несе відповідальність за встановлення стратегії безпеки організації. OCTAVE вимагає аналізу в розгляді відносини між критично важливими активами, загрозами для цих активів і вразливостями (як організаційні, так і технологічні). Він визначає пов'язані з інформацією активи, які важливі для організації і зосереджує діяльність на ці активи, тому що вони мають найбільш важливе значення для організації (акцент на кількох важливих активів, не більше п'яти). Існують різні OCTAVE методи, засновані на OCTAVE критеріях: OCTAVE,OCTAVE-S і OCTAVE Allegro.

Метод оцінки ризику: якісний.

Наявність допоміжних програмних інструментів: є.

5) IT-Grundschutz. Виробник: Німеччина.

Опис: IT-Grundschutz пропонує спосіб для створення системи управління інформаційною безпекою. Вона включає в себе як загальні рекомендації по забезпеченню безпеки ІТ так і допоміжні технічні рекомендації для досягнення необхідного рівня ІТ безпеки для конкретного домену.

У методі IT-Grundschutz представлені каталоги: 1) модулі; 2) каталоги загроз; 3) каталоги захисту.

Метод оцінки ризику: якісний.

Наявність допоміжних програмних інструментів: є.

6) CRAMM. Виробник: Великобританія.

Опис: Метод CRAMM досить складно використовувати без CRAMM інструменту. У інструмента такаж назва, як і у методу - CRAMM. В основі методу CRAMM лежить комплексний підхід до оцінки ризиків, поєднуючи кількісні та якісні методи аналізу. Метод є універсальним і підходить як для великих, так і для дрібних організацій, як урядового, так і комерційного сектора.

Грамотне використання методу CRAMM дозволяє отримувати дуже хороші результати, найбільш важливим з яких є можливість економічного обгрунтування витрат організації на забезпечення інформаційної безпеки та безперервності бізнесу. Економічно обгрунтована стратегія управління ризиками дозволяє, в кінцевому підсумку, заощаджувати кошти, уникаючи невиправданих витрат.

Метод оцінки ризику: якісний і кількісний.

Наявність допоміжних програмних інструментів: є.

7) Magerit. Виробник: Іспанія.

Опис: Magerit є відкритою методологією аналізу та управління ризиками пропонованої в якості основи і керівництва:

* для того, щоб особи відповідальні за інформаційні системи знали про існування ризиків і необхідность розглядати їх своєчасно;

* для пропозиції систематичного методу аналізу цих ризиків;

* для опису і планування відповідних заходів по утриманню ризику під контролем;

* для підготовки організації по процесу оцінки, аудиту, сертифікації та акредитації.

Метод оцінки ризику: кількісний і якісний.

Висновок по 1 розділу

Практична значущість даного дослідження полягає в тому, що наведені моделі процесів управління ризиками ІБ дають можливість зручно, швидко та точно отримати цілісну картину ситуації відносно ризиків ІБ організації незалежно від її розмірів, приймати оптимальні управлінські рішення стосовно обробки ризиків. Представлені моделі у сукупності відтворюють процес управління ризиками ІБ, наведений у міжнародному стандарті ISO/IEC 27005:2011.

Запропоновані моделі дозволять отримувати науково-обґрунтовані організаційно-технічні рішення, впровадження яких сприятиме: підвищенню рівня ІБ організації та захисту її активів від множини зовнішніх та внутрішніх загроз, своєчасному виявленню вразливостей, зменшенню потенційних наслідків від реалізації загроз та зниженню ймовірності їх виникнення у майбутньому, мінімізації збитків, усуненню інцидентів та неприйнятних ризиків.

У подальшому дослідженні повинні забезпечити неперервну роботу організації та мінімізацію розміру збитків від подій, що є загрозою безпеці, шляхом їх нейтралізації.



Розділ 2. Методика оцінювання реалізації загроз та збитків

2.1 Методика оцінювання ймовірності реалізації загроз

Усі джерела загроз мають різну міру небезпеки [measure of danger], яку можна оцінити, якщо провести їхнє ранжування. При цьому, оцінка міри небезпеки здійснюється за непрямими показниками. Критеріями порівняння (показників) пропонується, наприклад, вибрати:

* можливість виникнення джерела , що визначає міру доступності до можливості використати фактор (уразливість) (для антропогенних джерел), віддаленість від фактора (уразливості) (для техногенних джерел) або особливості обстановки (для випадкових джерел);

* готовність джерела , що визначає міру кваліфікації та привабливість здійснення діяння з боку джерела загрози (для антропогенних джерел) або наявність необхідних умов (для техногенних та стихійних джерел);

* фатальність , що визначає міру непереборності наслідків реалізації загрози.

Кожний показник оцінюється експертно-аналітичним методом за п'ятибальною системою. Причому, 1 відповідає мінімальній мірі впливу показника, який оцінюється на небезпеку використання джерела, а 5 -- максимальній. Коефіцієнт для окремого джерела можна визначити як відношення добутку наведених вище показників до максимального значення 125:

Міра доступності до об'єкта, що підлягає захисту, може бути класифікована за наступною шкалою:

¦ висока ступінь доступності -- антропогенне джерело загроз має повний доступ до технічних і програмних засобів обробки інформації, що підлягає захисту (характерно для внутрішніх антропогенних джерел, що наділені максимальним правом доступу, наприклад, представники служб безпеки інформації, адміністратори);

* перша середня ступінь доступності -- антропогенне джерело загроз має можливість опосередкованого, не визначеного функціональними обов'язками (за рахунок побічних каналів витоку інформації, використання можливості доступу до привілейованих робочим місць), доступу до технічних і програмних засобів обробки інформації, що підлягає захисту (характерно);

* друга середня ступінь доступності -- антропогенне джерело загроз має обмежену можливість доступу до програмних засобів у силу введених обмежень при використанні технічних засобів, функціональних обов'язків або за видом своєї діяльності (характерно для внутрішніх антропогенних джерел із звичайними правами доступу (наприклад, користувачі) або зовнішніх антропогенних джерел, що мають право доступу до засобів обробки та передачі інформації, що підлягає захисту (наприклад хакери, персонал постачальників телематичних послуг);

* низька ступінь доступності -- антропогенне джерело загроз має дуже обмежену можливість доступу до технічних засобів і програм, які обробляють інформацію, що підлягає захисту (характерно для зовнішніх антропогенних джерел);

* відсутність доступності -- антропогенне джерело загроз не має доступу до технічних засобів і програм, які обробляють інформацію, що підлягає захисту.

Міру віддаленості від об'єкта захисту можна характеризувати наступними параметрами:

* співпадаючі об'єкти -- об'єкти захисту самі містять джерела техногенних загроз і їхній територіальний поділ неможливий;

* близько розташовані об'єкти -- об'єкти захисту розташовані в безпосередній близькості від джерел техногенних загроз, і будь-який прояв таких загроз може вчинити суттєвий вплив на об'єкт;

* середньовіддалені об'єкти -- об'єкти захисту розташовуються на віддалені від джерел техногенних загроз, на якому прояв впливу цих загроз може вчинити несуттєвий вплив на об'єкт захисту;

* віддалено розташовані об'єкти -- об'єкт захисту розташовується на віддаленні від джерела техногенних загроз, що виключає його прямий вплив;

* вельми віддалені об'єкти -- об'єкт захисту розташовується на значному віддаленні від джерела техногенних загроз, що повністю виключає будь-які впливи на об'єкт захисту, в тому числі і за вторинними проявами.

Особливості обстановки характеризуються розташуванням об'єктів захисту в різноманітних природних, кліматичних, сейсмологічних, гідрографічних та інших умовах. Особливості обстановки можна оцінювати за наступною шкалою:

* дуже небезпечні умови -- об'єкт захисту розташований в зоні дії природних катаклізмів;

* небезпечні умови -- об'єкт захисту розташований у зоні, в якій багаторічні спостереження показують можливість прояву природних катаклізмів;

* помірно небезпечні умови -- об'єкт захисту розташований у зоні, в якій за проведеними спостереженнями протягом тривалого періоду відсутні прояви природних катаклізмів, але існують передумови виникнення стихійних джерел загроз на самому об'єкті;

* слабо небезпечні умови -- об'єкт захисту розташований поза межами зони дії природних катаклізмів, і на об'єкті існують передумови виникнення стихійних джерел загроз;

* безпечні умови -- об'єкт захисту розташований поза межами зони дії природних катаклізмів, і на об'єкті відсутні передумови виникнення стихійних джерел загроз.

Класифікація антропогенних джерел відіграє важливу роль у визначенні їхніх можливостей щодо здійснення протиправних дій. Прийнята наступна класифікація по можливості (мірі) взаємодії з мережею, що підлягає захисту:

* нульовий рівень -- визначається відсутністю можливості будь-якого використання програм;

* перший рівень -- обмежується можливістю запуску задач/програм із фіксованого набору, призначеного для обробки інформації, яка підлягає захисту (рівень некваліфікованого користувача);

* другий рівень -- враховує можливість створення й запуску користувачем власних програм із новими функціями з обробки інформації (рівень кваліфікованого користувача, програміста);

* третій рівень -- визначається можливістю керування функціонуванням мережі, тобто впливом на базове програмне забезпечення, його склад і конфігурацію (рівень системного адміністратора);

* четвертий рівень -- визначається повним обсягом можливостей суб'єктів, що здійснюють проектування й ремонт технічних засобів, аж до включення до складу мережі власних технічних засобів із новими функціями з обробки інформації (рівень розробника та адміністратора).

Нульовий рівень є найнижчим рівнем можливостей з ведення діалогу джерела загроз із мережею, що підлягає захисту. При оцінці можливостей антропогенних джерел передбачається, що суб'єкт, який здійснює протиправні дії, або має, або може скористатися правами відповідного рівня.

Привабливість здійснення діяння з боку джерела загроз установлюється наступним чином:

* особливо привабливий рівень -- інформаційні ресурси, які підлягають захисту, містять інформацію, яка може нанести непоправні збитки та привести до краху організації, що здійснює захист;

* привабливий рівень -- інформаційні ресурси, що підлягають захисту, містять інформацію, яка може бути використана для одержання вигоди на користь джерела загрози або третіх осіб;

* помірно привабливий рівень -- інформаційні ресурси, що підлягають захисту, містять інформацію, розголошення якої може нанести збитки окремим особистостям;

* слабо привабливий рівень -- інформаційні ресурси, що підлягають захисту, містять інформацію, яка при її накопиченні та узагальненні протягом певного періоду може спричинити збитки організації, що здійснює захист;

* непривабливий рівень -- інформація не представляє інтересу для джерела загрози.

Необхідні умови готовності джерела визначаються, виходячи з можливості реалізації тієї чи іншої загрози в конкретних умовах розташування об'єкта. При цьому передбачається:

* загроза реалізована -- тобто умови сприятливі або можуть бути сприятливими для реалізації загрози;

* загроза помірно реалізована -- тобто умови сприятливі для реалізації загрози, проте довгострокові спостереження не припускають можливості її активізації у період існування й активної діяльності об'єкта захисту;

* загроза слабо реалізована -- тобто існують об'єктивні причини на самому об'єкті або в його оточенні, що перешкоджають реалізації загрози;

* загроза не реалізована -- тобто відсутні передумови для реалізації передбачуваної подій.

Міра непереборності наслідків загрози (фатальність) визначається за наступною шкалою:

* непереборні наслідки -- результати прояву загрози можуть

призвести до повного руйнування (знищення, втрати) об'єкта захисту і, як наслідок, до непоправних втрат і виключення можливості доступу до інформаційних ресурсів, що підлягають захисту;

* практично непереборні наслідки -- результати прояву загрози можуть призвести до руйнування (знищення, втрати) об'єкта та до значних витрат (матеріальних, часу і т. ін.) на відновлення, які порівнянні з витратами на створення нового об'єкта, та суттєвого обмеження часу доступу до інформаційних ресурсів, що підлягають захисту;

* частково переборні наслідки -- результати прояву загрози можуть призвести до часткового руйнування і, як наслідок, до значних витрат на відновлення, обмеження часу доступу до інформаційних ресурсів, що підлягають захисту;

* переборні наслідки -- результати прояву загрози можуть призвести до часткового руйнування (знищення, втрати) об'єкта захисту, що не потребує великих витрат на його відновлення і, практично не впливає на обмеження часу доступу до інформаційних ресурсів, які підлягають захисту;

* відсутність наслідків -- результати прояву загрози не можуть вплинути на діяльність об'єкта захисту.

Результати проведеного ранжирування відносно конкретного об'єкта захисту можна звести в таблицю, яка дозволяє визначити найбільш небезпечні для даного об'єкта джерела загроз безпеці інформації.

При виборі припустимого рівня джерела загроз передбачається, що джерела загроз, які мають коефіцієнт менше 0,1...0,2, можуть у подальшому не враховуватися як малоймовірні.

Визначення актуальних (найбільш небезпечних) загроз здійснюється на основі аналізу розташування об'єктів захисту та структури побудови системи, а також інформаційних ресурсів, що підлягають захисту.

Ймовірність визначення	Опис	Шкала
Дуже низька	Малоймовірно	1
Низька	1 раз на 3 роки	2
Середня	1 раз на рік	3
Висока	Декілька разів на рік	4
Дуже висока	Раз на місяць і частіше	5



2.2 Методика оцінювання збитку інформаційної безпеки

Річний заробіток видавництва складає 13 000 $. Тому для оцінки збитку використовують таку таблицю

Таблиця 3

Потенційний збиток	Величина/серйозність збитку	Шкала
Низький	Невеликі проблеми (величина збитку до 130$)	1
Середній	Значні проблеми (величина збитку понад 1300$). Негативна реакція клієнтів, партнерів, інвесторів на дії організації.	2
Високий	Може зумовити значні витрати (величина збитку більше 13000$), а також втрату конкурентоспроможності на ринку.	3
Дуже високий	Може зумовити банкрутство організації та її закриття.	4

Висновок по 2 розділу

В результаті оцінювання збитку та ймовірності виникнення загрози проводиться оцінка ризику, під час якого визначається величина ризику.Для визначення величини ризику створено методики для оцінювання ймовірності виникнення загрози та величини можливого збитку.

Добуток коефіцієнтів визначає величину ризику.

Ризик = Ймовірність * Збиток



Розділ 3. Опис об'єкта інформаційної безпеки та аналіз ризиків в інформаційні безпеці

3.1 Опис об'єкту захисту

Видавництво «Золоте перо» займається підготовкою, розробленням дизайну та друком книг українських та іноземних авторів.

Об'єкт захисту містить територію, на якій є автостоянка, контрольний пункт. Приміщення складається з 11 кімнат - кабінет директора,приймальна кімната, кабінет служби безпеки, кабінет головного редактора, кабінет розробки книг, цех друку та зшивки,кабінет системного адміністратора, щитова, туалет, технічна кімната. Територія лабораторії обгороджена парканом, в якому є ворота для входу та в'їзду автомобілів на територію автостоянки.

Рис.1 Загальний план видавництва



Перекриття будівлі: балочне - дерев'яні балки: 20-30 см в висоту, 10-20 см в ширину і до 20 м в довжину. Відстань між балками - в межах 60-120 см. Між балками кріпиться звукоізоляція з мінеральної вати.

Зовнішні стіни: цегляні, товщиною 0,5м.

Внутрішні стіни: цегляні, 0,25 м.

Вікна: пластикові вікна з подвійними склопакетами.

Двері: подвійні, дерев'яні.

Діяльність видавництва контролюється :

- Закон України «Про видавничу справу»

- ДСТУ 3017-95 «ВИДАННЯ. ОСНОВНІ ВИДИ»

- ДСТУ ГОСТ 7.1:2006 «Система стандартів з інформаційної, бібліотечної та видавничої справи»

Базується на законах України. Як відомо, право - це сукупність установлених чи санкціонованих державою загальнообов'язкових правил поведінки (норм), дотримання яких забезпечується методами державного впливу. Правовий елемент інформаційного захисту складають законодавчі засоби захисту інформації, які є множиною нормативно-правових актів (конвенції, закони, укази, постанови, нормативні документи тощо), що діють у певній державі і забезпечують юридичну підтримку для розв'язання задач захисту інформації.

Для створення правового захисту необхідно організувати юридично закріплені правові взаємовідносини між державою та підприємством, щодо правомірності використання інформаційної безпеки, між підприємством та персоналом щодо обов'язковості дотримання порядку захисту інформаційних ресурсів.

Для здійснення захисту на даному рівні керуватимемося такими законами і нормативно-правовими актами, як:

- Закон України «Про інформацію» вiд 02.10.1992 № 2657-XII

Закон регулює відносини щодо створення, збирання, одержання, зберігання, використання, поширення, охорони, захисту інформації.

· Стаття 5. Право на інформацію ("Реалізація права на інформацію не повинна порушувати громадські, політичні, економічні, соціальні, духовні, екологічні та інші права, свободи і законні інтереси інших громадян, права та інтереси юридичних осіб").

· Стаття 20. Доступ до інформації("Будь-яка інформація є відкритою, крім тієї, що віднесена законом до інформації з обмеженим доступом").

· Стаття 27. Відповідальність за порушення законодавства про інформацію

("Порушення законодавства України про інформацію тягне за

собою дисциплінарну, цивільно-правову, адміністративну або

кримінальну відповідальність згідно із законами України").

- Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» вiд 05.07.1994 № 80/94-ВР;

· Стаття 2. Об'єкти захисту в системі("Об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначене для обробки цієї інформації")

· Стаття 9.Забезпечення захисту інформації в системі("Власник системи,в якій обробляється інформація, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю ним").

- Стандарт України “Захист інформації. Технічний захист інформації. Основні положення”

Цей стандарт установлює об'єкт, мету, основні організаційно-технічні положення забезпечення технічного захисту інформації (ТЗІ), неправомірний доступ до якої може завдати шкоди громадянам, організаціям (юридичним особам) та державі, а також категорії нормативних документів системи ТЗІ.

Вимоги стандарту обов'язкові для підприємств та установ усіх форм власності і підпорядкування, які володіють, користуються та розпоряджаються інформацією, що підлягає технічному захисту.

- НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі;

Також дії працівників контролюються через підписання трудового договору, де зазначається, що працівник не має права розповсюджувати інформації, для якої встановлені певні рівні конфіденційності.

Функції видавництва:

ь забезпечення підготовки рукописів до друку:

ь оцінка, літературне редагування;

ь корегування, зчитування;

ь вичитування рукописів;

ь перевірка фактичних даних;

ь уніфікація термінології;

ь оформлення вихідних даних та бібліографії відповідно до чинних стандартів;

ь технічне редагування;

ь художнє оформлення та дизайн видання (із залученням професійних фахівців на договірних засадах);

ь комп'ютерний набір;

ь правка та верстка текстів;

ь виготовлення оригінал-макетів.

3.2 Схема роботи видавництва

Видавництво працює з понеділка по п'ятницю з 8.00-18.00

Цілодобово територію охороняє охоронець. Є 2 охоронці. Вони працюють позмінно з 08:00-20.00. На вахті знаходиться кпп,де є приймальний пристрій, за допомогою якого фіксується стан безпеки системи, а також журнал, в якому охоронці фіксують стан та інциденти. Охоронець щозміни розписується в ньому і передає його наступній вахті.

Вхід у приміщення контролюється охороною за допомогою кпп. Працівники мають спеціальні посвідчення, що свідчать, що їх ідентифікує.

На кпп є приймальний пристрій, який відслідковує сигнали технічних пристроїв.

Керівник - здійснює управління організацією, несе відповідальність за роботу видавництва, визначає обов'язки та ролі працівників, контролює їх виконання, здійснює приймання та звільнення працівників на роботу, видає накази, розпорядження, здійснює контроль за додержанням встановлених правил, в тому числі і щодо інформаційної безпеки, під час діяльності видавництва, укладає договори з клієнтами. Під час робочого дня директор приймає у своєму кабінеті працівників та клієнтів. Його кабінет це кімната №1.

У його кабінеті знаходиться комп'ютер №1, телефон, шафи з документами та сейф.

Комп'ютер №1 підключений до локальної мережі Ethernet та інтернету. На комп'ютері є пароль, який знає тільки директор.

Телефон стаціонарний, підключений до міської АТС. Для захисту телефонних ліній використовується апарат МП-1А.

Шафи з документами металеві на замку. Ключ має тільки директор.

Сейф металічний на кодовому замку. Код та доступ має лише директор.

Працівник служби безпеки - створює систему захисту інформаційних активів, несе головну відповідальність за функціонування системи безпеки, контролює функціонування системи захисту, але лише контролює стан цієї системи, доступу до самої інформації чи інформаційних активів не має.

Розробляє комплексну систему захисту.

Знаходиться у кімната №3.

У його кабінеті знаходиться комп'ютер №9, телефон,шафа з документами та шафа з особистими речима .

Комп'ютер №9 підключений до локальної мережі Ethernet та інтернету. На комп'ютері є пароль, який знає тільки працівник служби безпеки.

Телефон стаціонарний, підключений до міської АТС. Для захисту телефонних ліній використовується апарат МП-1А.

Шафи з металеві на замку. Ключ має тільки працівник служби безпеки.

Головний редактор - приймає замовлення, розприділяє роботу між працівниками кабінету розробки книг та цеху друку та зшивки. Має доступ до неопублікованого тексту.

Його кімната №10.

У цьому кабінеті знаходиться комп'ютер №3, телефон,шафа з документами та шафа з особистими речима .

Комп'ютер №3 підключений до локальної мережі Ethernet та інтернету. На комп'ютері є пароль, який знає тільки головний редактор.

Телефон стаціонарний, підключений до міської АТС. Для захисту телефонних ліній використовується апарат МП-1А.

Шафи з металеві на замку. Ключ має тільки працівник головний редактор.

Працівники кабінету розробки книг -здійснюють оцінку, літературне редагування, корегування, вивчають рукописи, перевірять фактичні дані, оформлюють вихідні дані та бібліографію відповідно до чинних стандартів, здійснюють технічне редагування, здійснюють комп'ютерний набір, художнє оформлення та дизайн видання. Мають доступ до ще неопублікованого тексту, що і є одним з основних інформаційних активів.

Працюють у кімнаті №6.

В кімнаті є спеціальні металічні шафах, де зберігаються неопублікованих текстів, шафи розбиті на багато відділів знаходяться, кожен працівник має свій власний, всі вони знаходяться під замком, ключ у кожного власний. А також комп'ютери №4, 5, 6 підключених до локальної мережі Ethernet та інтернету. Кожний працівник має свій індивідуальний пароль. А також є ксерокс та сканер.

Працівники цеху друку та зшивки -здійснюють правку та верстку текстів,виготовлення оригінал-макетівта створюють книжки, які готові до продажі.Мають доступ до ще неопублікованого тексту, що і є одним з основних інформаційних активів.

Працюють в кабінеті № 9

В кімнаті є комп'ютери № 7, 8 підключені до локальної мережі Ethernet та інтернету. Кожний працівник має свій індивідуальний пароль. Пристрої за допомогою яких тиражуються видання та зшиваються:

ь ксерокси;

ь сканери;

ь лазерні принтери;

ь зшивачі;

ь нарізувачі;

ь ламінатори;

Шафи де зберігається готові видання, які закривають на ключ, ключ має тільки один працівник кабінету, який потім передає їх редактору.

Системний адміністратор - забезпечення справності мережі, стабільності її роботи та надійність виходу в Інтернет, догляд за роботою Ethernet мережі та іншої комп'ютерної техніки. Має доступ до комп'ютерної мережі, в якій є електронний варіант неопублікованих текстів, інформація про договори.

Працює в кімнаті №7.

В кімнаті знаходиться сервер комп'ютерної мережі та металічна шафа з особистими речима системного адміністратора.

Секретар - веде документацію, архів договорів. Має доступ до укладених угод.

Працює в кімнаті №2.

У цьому кабінеті знаходиться комп'ютер №2, телефон,шафа з документами та шафа з особистими речима .

Комп'ютер №2 підключений до локальної мережі Ethernet та інтернету. На комп'ютері є пароль, який знає тільки головний редактор.

Телефон стаціонарний, підключений до міської АТС. Для захисту телефонних ліній використовується апарат МП-1А.

Шафи з металеві на замку. Ключ має тільки працівник головний редактор.

Прибиральниця - підтримує санітарний стан видавництва.

Електрик - забезпечення електроживлення на території видавництва.

Сантехнік - забезпечення водопостачання та водовиведення на території видавництва, справності санвузлів.

3.3 Принцип роботи видавництва

Клієнт проходить через кпп, де в журналі фіксується час проходження, іде в приймальню, де робить замовлення послуг, які пропонує видавництво. Укладає угоду з директором в паперовому вигляді ці договори директор зберігає до виконання послуги в себе,а потім передає в архів. Тоді замовник відправляється до головного редактора і віддає йому рукописи чи електронний варіант тексту ( редактор з флешки клієнта при ньому скидає інформацію на диск свого комп'ютера №3). Редактор визначає вид роботи, який необхідно зробити над замовленням і відповідно передає рукопис особисто або пересилає за допомогою локальної мережі у папку конкретного працівника необхідний документ. В залежності він виду замовлення роботу здійснюють працівники кабінету розробки книг на своїх комп'ютерах № 4, 5, 6, які знаходяться у кімнаті 6.

А далі готовий матеріал передається через локальну мережу Ethernet в цех друку і зшивки де знаходяться комп'ютери № 7, 8, де здійснюють: правку та верстку текстів, виготовлення оригінал-макетів за допомогою спеціальних спеціальної технік,яка знаходяться в кімнаті 9. Готові вироби передаються редактору і той віддає їх замовнику.

3.4 Опис приміщення

Кімната 1. Кабінет директора.

Доступ: директор , прибиральниця, клієнти.

Наявність цінного інформаційного активу: на комп'ютері №1 підключеному до локальної мережі Ethernet та інтернету, а також документація,що міститься у шафах, сейфі, акустична інформація.

Вхід в кімнату регулюється за допомогою дверей на яких є замок. Ключі мають директор та прибиральниця.

Кімната знаходиться на першому поверсі. На вікнах стоять датчики розбиття скла. В кімнаті є датчик руху.

Вхід клієнтів лише з дозволу директора.

Кімната 2. Приймальна кімната.

Доступ: вільний.

Наявність цінного інформаційного активу: архів договорів, який зберігається у шафах кімнати під замком, ключ до якого мають секретарка та директор, акустична інформація, на комп'ютері №2 підключеному до локальної мережі Ethernet та інтернету .

Вхід в кімнату регулюється за допомогою дверей на яких є замок. Ключі мають директор,секретар та прибиральниця.

На вікнах стоять датчики розбиття скла. В кімнаті є датчик руху.

Кімната 3. Кабінет служби безпеки.

Доступ: працівник служби безпеки, прибиральниця.

Наявність цінного інформаційного активу: на комп'ютері №9 підключеному до локальної мережі Ethernet та Інтернету, документація,що знаходиться у шафах, акустична інформація.

Вхід в кімнату регулюється за допомогою дверей на яких є замок. Ключі мають працівники служби безпеки та прибиральниця.

Кімната знаходиться на першому поверсі. На вікнах стоять датчики розбиття скла. В кімнаті є датчик руху.

Кімната 4. Туалет.

Доступ: вільний .

Наявність цінного інформаційного активу: відсутня.

Кімната 5. Технічна кімната.

Доступ: вільний.

Наявність цінного інформаційного активу: відсутня.

Кімната 6. Кабінет розробки книг

Доступ: редактор, працівники цього кабінету, прибиральниця.

Наявність цінного інформаційного активу: у спеціальних шафах зберігаються неопублікованих текстів, шафи розбиті на багато відділів знаходяться, кожен працівник має свій власний, всі вони знаходяться під замком, ключ у кожного власний. А такожнеопубліковані тексти в електронному вигляді, що знаходяться на комп'ютерах №4, 5, 6 підключених до локальної мережіEthernet, акустична інформація.

Вхід в кімнату контролюється спеціальною пропускною системою за допомогою особистих карток, при кожному входженні в кімнату на контрольний пункт надходить сповіщення хто і в який час зайшов у кабінет. На вікнах стоять датчики розбиття скла. В кімнаті є датчики руху.

Кімната 7. Кабінет системного адміністратора

Доступ: системний адміністратор, прибиральниця.

Наявність цінного інформаційного активу: сервер комп'ютерної мережі.

Вхід в кімнату регулюється за допомогою дверей на яких є замок. Ключі мають системний адміністратор та прибиральниця.

Кімната 8. Щитова

Доступ: електрик, прибиральниця.

Наявність цінного інформаційного активу: відсутня.

Кімната 9. Кабінет друку та зшивки

Доступ: редактор, працівники цеху, прибиральниця.

Наявність цінного інформаційного активу: на комп'ютерах № 7, 8 підключених до локальної мережі Ethernet, акустична інформація, пристрої за допомогою яких тиражуються видання та зшиваються. Шафи де зберігається готові видання, які закривають на ключ, ключ має тільки один працівник кабінету.

Вхід в кімнату контролюється спеціальною пропускною системою за допомогою особистих карток, при кожному входженні в кімнату на контрольний пункт надходить сповіщення хто і в який час зайшов у кабінет.

На вікнах стоять датчики розбиття скла. В кімнаті є датчики руху.

Кімната 10. Кабінет редактора .

Доступ: редактор, прибиральниця.

Наявність цінного інформаційного активу: акустична інформація, неопубліковані тексти, електронні документи на комп'ютері №3.

Вхід в кімнату регулюється за допомогою дверей на яких є замок. Ключі мають редактор та прибиральниця.

Кімната 11. Контрольний пункт

Доступ: директор, охоронець, прибиральниця.

Наявність цінного інформаційного активу: відомості про всіх людей та автомобілі , що є на території.

Якщо охоронець іде на обхід. Він закриває кпп на ключ.

3.5 Опис технічних пристроїв, які містить об'єкт захисту

Устаткування для створення книг - це пристрої для обробки інформації, розробки книг, роздруку та зшивки. До нього входить:

ь комп'ютери № 4, 5, 6, 7, 8

ь ксерокси

ь сканери

ь лазерні принтери

ь зшивачі

ь нарізувачі

ь ламінатори

Персональний комп'ютер - це електронний пристрій, за допомогою якого здійснюється перетворення, відображення, зберігання, пересилання, шукання та нагромадження інформації, він здатний виконувати обчислення, опрацьовувати тексти, розпізнавати і формувати зображення, перетворювати та аналізувати сигнали, керувати різноманітними об'єктами і технологічними процесами тощо.

В даному випадку в видавництві буде використовуватися для:

ь корегування, зчитування;

ь вичитування рукописів;

ь перевірка фактичних даних;

ь оформлення вихідних даних та бібліографії ;

ь технічне редагування;

ь художнє оформлення та дизайн видання ;

ь комп'ютерний набір;

ь правка та вестекстів;

ь виготовлення оригінал-макетів;

ь обміну інформацією, за допомогою локальної мережі.

В ПК існує безліч функцій, тому їх всіх перечислити дуже важко і практично неможливо.

Локальна Ethernetмережа - мережа, що об'єднує комп'ютери у видавництві. Їй властиві порівняно короткі, швидкі і добре захищені лінії зв'язку. Локальна мережа надає доступ не тільки до файлів власного комп'ютера, а йдо незахищеної інформації на кожному комп'ютері, який під'єднаний до локальної мережі. Також з її допомогою здійснюється швидкий та ефективний обмін інформацією між працівниками видавництва. Головний комп'ютер в мережі називають сервером. За його допомогою здійснюється управління мережею чи її ділянкою. Сервер повинен мати достатньо велику оперативну пам'ять та місткий диск.

Мережа Інтернет - це глобальна інформаційна мережа. Інтернет включає в себе безліч функцій, основні з яких - це:

ь акумулювання інформаційних ресурсів в світовому масштабі і забезпечення до них швидкого та ефективного доступу;

ь пошук необхідної інформації;

ь пересилання повідомлень з одного комп'ютера на інший, або на мобільний телефон;

ь пересилання документів;

ь спілкування з діловими партнерами та клієнтами;

Сканер - пристрій, призначений для введення в комп'ютер інформації з паперових носіїв (креслень, малюнків, фотографій, текстів тощо). Цей пристрій сприймає зображення, перетворює його по точках у послідовність кодів, що характеризують яскравість та колір точок, і передає їх до пам'яті комп'ютера.

Введені в комп'ютер зображення можуть оброблятися за допомогою специфічних програм - графічних редакторів, зберігатися на дисках, виводитись на друк тощо.

Ксерокс - пристрій, призначений для копіювання інформації на папір. Ксерокс може функціонувати як окрема система або в безпосередньому підключенні до комп'ютера.

Лазерний принтер - один з видів принтерів, що дозволяє швидко виготовляти високоякісні відбитки тексту і графіки на звичайному папері. Подібно до фотокопіювальних апаратів лазерні принтери використовують у процесі ксерографічного друку, однак відмінність полягає у тому, що формування зображення відбувається шляхом безпосередньої експозиції (освітлення) лазерним променем фоточутливих елементів принтера.

Принцип дії лазерного принтера полягає у наступному: на алюмінієву трубку (фотобарабан), покриту світлочутливим шаром, наноситься негативний статичний заряд.

Після цього промінь лазера проходить по фотобарабану, і у тому місці, де потрібно щось надрукувати, знімає частину заряду. Після чого на фотобарабаннаноситься тонер (це сухе чорнило, що складаються із суміші смол, полімерів, металевої стружки, вугільного пилу та іншої хімії), який також має негативний заряд, і тому прилипає до барабана у тих місцях, де пройшов лазер і зняв заряд.

Далі барабан прокочується по паперу (що має позитивний заряд) і залишає на ній весь тонер, після чого папір потрапляє у піч, де під впливом високої температури тонер міцно припікається до паперу.

Для друку кольорового зображення всі кольори на барабан наносяться по черзі, або друк відбувається у 4 проходи (для друку чорного, блакитного, пурпурного і жовтого кольорів). Подібний метод друку використовується в копіювальних апаратах і деяких факсах.

Схожа система використовується і в світлодіодних принтерах, однак у них замість лазера використовується нерухомий рядок зі світлодіодами -- LED-технологія друку (LightEmittingDiode).

Зшивач - прилад для зшивання видавничої продукції.

Нарізувач - прилад для нарізування видавничої продукції.

Ламінатор - ламінатори призначені для ламінування друкованої продукції та накатки самоклеючих матеріалів на пластик або пенокартон.

Провідниковий телефон - пристрій для передачі звуку на великі відстані за допомогою електричних сигналів, який функціонує на основі проведеної телефонної мережі при кабельному підключенні.

Кондиціонер - це пристрій, який забезпечує певну температуру в приміщенні, необхідну для нормального функціонування всіх елементів. Працює на основі електроживлення.

Система пожежогасіння - призначена для швидкого та ефективного гасіння пожеж. Система пожежогасіння підключена до електричної мережі та водопостачання. Вона спрацьовує від наявності диму в приміщенні, після чого включається сирена та подача води.