Аналіз ризиків інформаційної безпеки видавництва

Характеристика інформаційних активів видавництва. Аналіз політики безпеки на підприємстві. Визначення джерел загроз, розробка методики оцінювання їх ймовірності. Встановлення розміру збитків. Ранжування ризиків і вироблення заходів для їх нейтралізації.

Рубрика Менеджмент и трудовые отношения
Вид курсовая работа
Язык украинский
Дата добавления 27.08.2017
Размер файла 1021,9 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Приймально-контрольний прилад - Приймально-контрольний прилад - спеціальний пристрій охоронної або охоронно-пожежної сигналізації, призначений для прийому повідомлень від охоронних чи пожежних датчиків, їх аналізу та передачі тривожного сигналу на централізований пульт охоронного нагляду для вжиття відповідних заходів. Приймально-контрольний прилад складається з таких основних компонентів: базового пристрою, який функціонує в автономному режимі; об'єктових пристроїв, які служать для зв'язку з пультом централізованого спостереження; приладів санкціонованого доступу.

Приймально-контрольний прилад вважається головним елементом будь-якої сигналізації (охоронної, пожежної або охоронно-пожежної сигналізації).

Датчик розбиття скла - різновид датчика охоронної сигналізації, який реагує на звук розбиття скла, і встановлюються на стіні або стелі в приміщенні з вікнами. При цьому виділяють 2 види таких датчиків: одні реагують на звук розбитого скла, інші - на звук удару в момент розбиття скла.

Датчик складається з мікрофону та електронної схеми, яка займається обробкою акустичного сигналу, що надходить з мікрофону. У випадку, якщо мікрофон уловлює звук розбитого скла, електронна схема надсилає тривожний сигнал охоронному пристрою.

Новітні моделі датчиків розбиття скла аналізують спектр акустичних шумів у приміщенні під охороною: якщо спектр шуму містить складову, яка збігається зі спектром пошкодження скла, то датчик спрацьовує. Чутливість датчиків розбиття скла може регулюватись за допомогою спеціального імітатора розбиття скла.

Датчик руху - це пристрій, який визначає рух об'єкта в зоні виявлення. За типом використання датчики руху бувають охоронні (застосовуються в охоронної сигналізації та ще називаються інфрачервоні сповіщувачі) і побутові (застосовуються в побуті зазвичай для автоматичного включення освітлення).

Контролер- це пристрій за допомогою якого відбувається вхід в кімнату.

- Принцип входу :

- PIN - за кодом доступу

- PIN + Proximity - за кодом або безконтактної картка

- Proximity - за безконтактною карткою

Безконтактна карта дозволяє здійснювати операцію без проведення картки через термінал, достатньо піднести до сканера.

Загальний стан кімнати контролюється технічними засобами,що розміщені в кімнаті, сигнал з яких також передається на кпп.

3.6 Робочий графік працівників

Видавництво працює з понеділка по п'ятницю. Робочий день починається о 8.30, а закінчується о 18.00. З 12.00 до 13.00 всі працівники мають обідній перерив. Всі працівники можуть користуватись стоянкою на території лабораторії. Вхід та вихід за межі території фіксується охоронцем.

Керівник - має право вільно пересуватись по видавництву. Несе повну відповідальність за роботу видавництва. Основним завданням керівника є видача наказів та актів, що забезпечать функціонування видавництва та контроль за дотриманням встановлених правил.

Працівник служби безпеки - завданням його є створити систему захисту для інформаційного активу, а також перевіряти на справність всі її елементи.

Працівники кабінету розробки- мають право перебувати тільки в кабінеті розробки книг та кімнатах, як основне місце їхньої роботи та до яких мають право доступу. Можуть користуватися комп'ютерною мережею, але з певними обмеженнями та всю техніку необхідну для виконання поставленого завдання.

Працівники цеху друку та зшивки - мають право перебувати тільки в цеху друку та зшивки, як основне місце їхньої роботи та до яких мають право доступу та кімнатах з вільмим доступом. Можуть користуватися комп'ютерною мережею, але з певними обмеженнями та всю техніку необхідну для виконання поставленого завдання.

Системний адміністратор - має найбільші повноваження користуватися комп. мережею без жодних обмежень, працює в окремому кабінеті, що є серверною кімнатою.

Редактор - відповідає за вчасне та якісне виконання замовлення. Має доступ до усіх кімнат, що зв'язані з розробкою та виготовлення книг.

Секретарка - не має повноваження користуватись комп. мережею , має доступ до архіву, відповідає за його впорядкування.

Охоронець - вільно пересувається по об'єкті захисту у випадку виявлення якоїсь небезпеки, про яку повинен спершу повідомити керівництво.

Прибиральниця - має обмежені права. Може знаходитись у окремих кімнатах лише у відведений час:

9.00 - кабінет директора;

9.30 - приймальна кімната;

10.00 - кабінет служби безпеки;

11.00- кабінет головного редактора;

11.30 - щитова;

12.00 -13.00 - обідня перерва;

13.00 - 14.00 - кабінет розробки книг;

14.00 - цех друку та зшивки;

15.00 - кабінет системного адміністратора;

16.00 - туалети;

17.00- технічна кімната;

17.00 - контрольний пункт.

Електрик - має повноваження знаходитись при необхідності у будь-якій кімнаті, попередньо отримавши дозвіл.

Сантехнік - має повноваження знаходитись при необхідності будь-якій кімнаті, попередньо отримавши дозвіл. Може знаходитись біля каналізації і колодця водопостачання, а також - в них, і робити певні зміни в їх конструкції.

3.7 Визначення об'єктів та цілей захисту

Об'єкти захисту.Під об'єктами захисту ми будемо розглядати інформацію, що знаходиться у кабінеті розробки книг, приймальні. А саме:

· неопубліковані тексти;

· усі договори з видавцями;

· носії інформаційних активів.

Частина інформації стосовно видань є інформацією для службового користування та державною таємницею. Ми повинні розділити ці види інформації, щоб чітко розуміти де є державна таємниця, а де службова.

Тому розділимо всю інформацію на такі пункти:

1) інформація, що становить державну таємницю - науково-технічна, технологічна, дослідницька, фінансово-економічна або інша інформація, яка має цінність для держави в цілому.

2) інформація, що містить відомості потрібні для службового використання - інформація про особливості видавництва, про договори. Також сюди відноситься інформація про персонал та інша інформація, яка потрібна службі безпеки для слідкування за повним та безпечним функціонуванням центру. Ця інформація являється важливою і конфіденційною, тому що витік її може привести до збитків, розсекречення режиму, тощо.

3) інша інформація, що не відноситься ні до одного з вказаних вище видів.

Цілі захисту. Так як ми маємо об'єкти захисту різних рівнів секретності, ми повинні детально розглянути і проаналізувати цілі захисту ПБ. Інформація, що містить державну таємницю, повинна бути найбільш захищеною з мінімальним рівнем доступності до неї.

А відомості службового використання, повинні бути навпаки - захищені та з хорошим рівнем доступності до них, щоб можна було їх використовувати для підтримки функціональності центру.

Визначимо цілі ПБ:

1) підвищення функціонування видавництва в цілому|загалом|;

2) досягнення захисту від реальних загроз ІБ;

3) запобігання або зниження збитків|шкоди| від інцидентів ІБ.

Основними завданнями|задачами| ПБ є:

1) розробка вимог по забезпеченню ІБ;

2) контроль виконання встановлених|установлених| вимог по забезпеченню ІБ;

3) підвищення ефективності заходів щодо забезпечення і підтримки ІБ;

4) організація антивірусного захисту інформаційних активів;

5) захист інформації від НСД і витоку по технічних каналах зв'язку.

Розробка ПБ. В видавництві є багато приміщень, які виконують різні обов'язки. Різноманітний персонал, який не може мати доступу до всіх або тих чи інших приміщень інформації чи інформаційного активу.

Тому я вважаю, що на місці узагальненої ПБ, досить ефективною буде мандатна політика бепеки (МПБ). Яка передбачає, що:

· всі суб'єкти й об'єкти повинні бути однозначно ідентифіковані;

· у системі визначено лінійно упорядкований набір міток секретності;

· кожному об'єкту системи надано мітку секретності, яка визначає цінність інформації, що міститься в ньому, його рівень секретності в АС;

· кожному суб'єкту системи надано мітку секретності, яка визначає рівень довіри до нього в АС, максимальне значення мітки секретності об'єктів, до яких суб'єкт має доступ; мітка секретності суб'єкта називається його рівнем доступу.

Основна мета МПБ - запобігання витоку інформації від об'єктів з високим рівнем доступу до об'єктів з низьким рівнем доступу, тобто протидія виникненню в АС інформаційних каналів згори вниз.

Тепер нам необхідно присвоїти мітки секретності кожному об'єкту та суб'єкту видавництва.

Класифікуємо мітки секретності за так:

Відсутність секретності;

Низька ступінь секретності;

Середня ступінь секретності;

Висока ступінь секретності;

Ці види будуть позначатись першими 4 літерами англійського алфавіту, відповідно:

Відсутність секретності - «А»

Низька ступінь секретності - «B»

Середня ступінь секретності - «C»

Висока ступінь секретності - «D»

В таблиці ми присвоємо мітки секретності суб'єктам

Суб'єкт

Мітка секретності

Керівник видавництва

«D»

Системний адміністратор

«С»

Служба безпеки

«В»

Працівник приймальні

«D»

Працівник цеху друку і зшивки

«В»

Працівник розробки книг

«С»

Тех.персонал (Прибиральниця,сантехнік, електрик, охоронець)

«А»

Найбільше звернути увагу при встановленні правил потрібно при розробці:

1) фізичної безпеки;

2) комп'ютерної безпеки та безпеки систем збереження даних;

3) безпеки при роботі в Інтернеті;

4) роботі з персоналом

1.) Політика фізичної безпеки видавництва визначає заходи по забезпеченню фізичного захисту організації та її співробітників. Вона включає в себе доступ суб'єктів в приміщення, фізичний доступ до об'єктів, що захищаються.В даній ситуації буде використана дискреційна ПБ, яка проста в реалізації і буде розмежовувати доступ через введення контрольно-пропускного режиму на територію центру.

2.) Політика комп'ютерної безпеки буде вказувати норми та правила, за якими здійснюється доступ до комп'ютерів та комп'ютерної мережі видавництва.

І в цьому випадку буде використана рольова політика безпеки (РПБ), оскільки в РПБ керування доступом здійснюється як на основі матриці прав доступу для ролей, так і за допомогою правил, які регламентують призначення ролей користувачам та їх активацію під час сеансів. Дана політика є досить зрозумілою. Вона забезпечує прості і зрозумілі правила контролю доступу, які легко застосовуються на практиці, а також досить непоганий рівень захисту. Дана політика буде реалізовуватись через введення імені та паролю, які не повинні розголошуватись.

3.) Політика безпеки при роботі в Інтернеті визначатиме правила доступу працівників лабораторії до мережі Інтернет, доступ до електронної пошти, використання антивірусів, а також міру повноважень при роботі в Інтернеті.

Цей випадок аналогічний до попереднього,а саме - політики безпеки при роботі з ПК, задіяна РПБ, за допомогою якою є імена та паролі потрібні для входу в Інтернет.

4) Політика безпеки при роботі з персоналом визначатиме правила встановлені для працівників. Їх нормування згідно законодавства України. Та розробці правил.

Основою цієї політики є загальний інструктаж, який містить основні правила.

Для дотримання правил укладається трудовий договір.

3.8 Загальний інструктаж

Після прийому на роботу працівнику проводиться інструктаж працівником служби безпеки.

1. Проводиться інструктаж з пожежної безпеки та вказують правила поведінки у кімнаті.

2. Детальніше ознайомлення з видом діяльності організації, та з видом робіт працівника. Видача персонального пароля. Поставлення завдань та цілей.

3. Здійснення постійного резервного копіювання.

4. Ознайомлення з видами заборон, що діють у кімнаті

- заборонено фотографувати, знімати на відео, скидуватина мобільний телефон інформацію видавництва;

- говорити по телефоні в робочий час;

- мати при собі носії інформації (диски, флешки);

- виносити з собою якісь документи чи техніку;

- розголошувати таємну інформацію;

- здійснювати навмисні дії, що принесуть шкоду інформаційному активу.

Регулювання дотримання усіх правил на видавництві регулюється законодавством України. Ознайомлення з Законами України «Про інформацію», «Про телекомунікації», «Про захист інформації в інформаційно-телекомунікаційних системах»

Одним з яких є Закон України «Про захист інформації в інформаційно-телекомунікаційних системах»

Стаття 11. Відповідальність за порушення законодавства про захист інформації в системах

Особи, винні в порушенні законодавства про захист інформації в системах, несуть відповідальність згідно із законом.

Стаття 12. Умови опрацювання інформації. Інформація, що є власністю держави повинна опрацьовуватись а АС, що має відповідний сертифікат захищеності.

В процесі сертифікації відбувається перевірка розроблених засобів захисту. Інформація, яка є власністю інших суб'єктів розповсюджується в залежності від бажання цих суб'єктів.

Стаття 20. Забезпечення інформаційних правоволодінь

Фізичні та юридичні та юридичні особи можуть встановлювати взаємозв'язок з іншими АС.

Такі взаємозв'язки повинні виключати можливість несанкціонованого доступу до неї та оберігати державну таємницю.

5. Щороку кращого працівника нагороджується премією.

За правильне виконання роботи, та відсутності помилок, працівники мають можливість брати путівку на відпочинкову базу організації.

3.9 Життєзабезпечення видавництва

Об'єкт складається з одинадцятикімнатного приміщення і прилеглої території

Електроживлення: у будинку встановлено, в підвальному приміщенні: стабілізатор напруги, що нормалізує мережеву напругу при тривалому зниженні або підвищенні напруги; дизель-генераторна установка (ДГУ), що забезпечує електроживлення важливого обладнання при довготривалій відсутності напруги.

Укомплектовано пристроєм, який забезпечує автоматичний запуск/зупинку станції при відсутності/відновленні подачі напруги;джерело безперебійного живлення (ДБЖ), що постійно захищає побутову техніку і обладнання від проблем електроживлення.

В приміщенні знаходяться розетки типу Rj45.

Рис. 2 схема електротроживлення

Опалення: в будинку автономна система опалення - водяна, в приміщенні знаходяться батареї з регуляторами.

Вода надходить з люка водопостачання, що знаходиться на території лабораторії. Потрапляє до кімнати, де розміщені туалетні кабінки, умивальники. З кімнати виходить канал водовідведення до каналізаційного люка

Рис. 2 схема опалення і водопостачання

Система вентиляції: природна та штучна. Природна створюється без застосування електрообладнання (вентиляторів, електродвигунів) і відбувається внаслідок природних факторів - різниці температур повітря (ззовні та всередині приміщення), зміни тиску, вітряного тиску. До неї відносяться вентиляційні короби.

Штучна - моноблочна система вентиляції, розміщена в шумоізольованому корпусі.Крім вентиляції у приміщені передбачено кондиціонування повітря.

Рис. 3 Схема вентиляції

По всій території розміщені сповіщувачі диму.

Рис. 4 Схема протипожежної сигналізації

Рис.5 Загальна схема

Опис інформаційних активів. Згідно стандарту ISO/IEC 27001:2005 інформаційним активом є матеріальний або нематеріальний об'єкт, який: є інформацією або містить інформацію, слугує для оброблення, зберігання або передавання інформації, має цінність для організації.

Для даного об'єкту захисту інформаційними активами є:

· неопубліковані тексти, які знаходиться:

- в електронному вигляді на жорстких дисках комп'ютерів, доступ до яких можливий через комп'ютерну мережу ;

- у паперовому вигляді, які знаходяться у спеціальних шафах у кабінеті розробки книг та у редактора;

· усі договори з видавцями, що знаходяться у паперовому вигляді у спеціальних шафах у приймальній кімнаті;

· документи про бухгалтерські операції, фінансову звітність, які знаходяться в електронному вигляді на жорсткому диску в кабінеті директора, та у паперовому у спеціальних шафах у кабінеті директора;

· носії інформаційних активів (комп'ютери, шафи для документів, комп'ютерна мережа), що знаходяться у кабінетах видавництва;

· працівники, що мають доступ до інформаційних активів

Етап 1. Опис активу

Актив

Власник

Місце розташу-вання

Категорія активу

1.Неопублікований текст в електро-нному вигляді

Редактор

Комп'ютер №3, кабінет редактора кімната 10

ЕД

2.Неопублікований текст у паперовому вигляді

Працівник кабінету розробки книг

Персональний відділ шафи у кімнаті розробки і друку книг кімната 6

ПД

3. Договір у паперово-му вигляді

Директор

Шафа у кабінеті директора кімната 1

ПД

Розділ 4. Дослідження ймовірності реалізації загроз

Загрози цілісності Опис активу

Джерело загроз

уразливість

Механізм реалізації атаки

Імовірність

актив

власник

Місце розташування

Неопублікований текст в електронному вигляді

Редактор

Каб №10 ПК №3

комп'ютерніатаки через мережу Інтернет,

відсутність обманних систем на комп'ютер №3,

Модифікація тексту за допомогою здійснення комп'ютерних атак через мережу Інтернет через відсутність обманних систем на комп'ютер №3

4

флешка зловмисника та скачений файл з вірусом

відсутність антивіруси і спеціальних програм впізнавачів

Модифікація тексту за допомогою запуску флешки спеціальний вірус-троян

5

Модифікація інформації через файл з вірусом, скачаний з інтернету через необережність редактора

1

Неопублікований текст у паперовому вигляді

Працівник кабінету розробки книг

Персональний відділ шафи у кімнаті розробки і друку книг кімната 6

Необережність персоналу,неуважність персоналу

Залишене без нагляду робоче місце,випадкові

Модифікація активу з використанням вразливості необережність персоналу (залишені без нагляду ключі від персонального відділу шафки,чи залишений без нагляду текст на робочому столі)

4

навмисні дії персоналу

помилки навмисно

Порушення цілісності через навмисні дії працівника

2

Модифікація активу за допомогою використання вразливості неуважності персоналу , здійснення випадкових помилок

1

Договір у паперовому вигляді

Директор

Шафа у кабінеті директора кімната 1

Тех Працівник

Відсутність ящика з замком на сервері.

Модифікація активу з використанням вразливості неуважності директора залишених договорів на робочому місці

4

Неопублікований текст в електро-нному вигляді

Редактор

Комп'ютер №3, кабінет редактора кімната 10

Комптерні атаки. Зловмисник

Відсутність мережевих екранів. Неуважність працівеика

Копіювання тексту ( і загалом вмісту локальних дисків) за допомогою запуску флешки зі спеціальною закладкою

5

Неопублікований текст в електро-нному вигляді

Редактор

Комп'ютер №3, кабінет редактора кімната 10

Флешка із вірусом

Нема антивірусної програми

Втрата інформації через використання запуску флешки з вірусами, що призводять до блокування роботи комп'ютера №3( «синій екран», пошкодження операційної системи, вихід з ладу жорсткого диску)

5

Неопублікований текст у паперовому вигляді

Працівник кабінету розробки книг

Персональний відділ шафи у кімнаті розробки і друку книг кімната 6

Необережність персоналу

Залишене без нагляду робоче місце

Втрата активу через використання вразливості необережність персоналу (залишені без нагляду ключі від персонального відділу шафи,чи залишений без нагляду текст на робочому столі)

4

Навмисні дії

Навмисні дії

Порушення доступності інформації через навмисні працівника

2

Договір у паперовому вигляді

Директор

Шафа у кабінеті директора кімната 1

Необережнвсть директора

Втрата ключів

Втрата активу з використанням вразливості необережності директора залишені без нагляду ключі від шафи на робочому столі

3

Розділ 5. Дослідження збитку та ризиків інформаційної безпеки

Загрози конфіденційності/ Опис активу

Джерело загрози

уразливість

Механізм реалізації атаки

імовірність

збиток

ризик

актив

власник

Місце розташування

Неопублікований текст в електронному вигляді

Редактор

Комп'ютер №3, кабінет редактора кімната 10

Комптерні атаки. Зловмисник

Відсутність мережевих екранів. Неуважність працівеика

Копіювання тексту ( і загалом вмісту локальних дисків) за допомогою запуску флешки зі спеціальною закладкою

5

4

20

Неопублікований текст в електро-нному вигляді

Редактор

Комп'ютер №3, кабінет редактора кімната 10

Флешка із вірусом

Нема антивірусної програми

Втрата інформації через використання запуску флешки з вірусами, що призводять до блокування роботи комп'ютера №3( «синій екран», пошкодження операційної системи, вихід з ладу жорсткого диску)

5

3

15

Неопублікований текст у паперовому вигляді

Працівник кабінету розробки книг

Персональний відділ шафи у кімнаті розробки і друку книг кімната 6

Необережність персоналу

Залишене без нагляду робоче місце

Втрата активу через використання вразливості необережність персоналу (залишені без нагляду ключі від персонального відділу шафи,чи залишений без нагляду текст на робочому столі)

4

4

16

Навмисні дії

Навмисні дії

Порушення доступності інформації через навмисні працівника

2

4

8

Договір у паперово-му вигляді

Директор

Шафа у кабінеті директора кімната 1

Необережнвсть директора

Втрата ключів

Втрата активу з використанням вразливості необережності директора залишені без нагляду ключі від шафи на робочому столі

3

4

12

Загрози цілісності Опис активу

Джерело загроз

уразливість

Механізм реалізації атаки

Імовірність

актив

власник

Місце розташування

Неопублікований текст в електро-нному вигляді

Редактор

Каб №10 ПК №3

комп'ютерніатаки через мережу Інтернет, флешка зловмисника та скачений файл з вірусом

відсутність обманних систем на комп'ютер №3,відсутність антивіруси і спеціальних програм впізнавачів

Модифікація тексту за допомогою здійснення комп'ютерних атак через мережу Інтернет через відсутність обманних систем на комп'ютер №3

4

Модифікація тексту за допомогою запуску флешки спеціальний вірус-троян

5

Модифікація інформації через файл з вірусом, скачаний з інтернету через необережність редактора

1

Неопублікований текст у паперовому вигляді

Працівник кабінету розробки книг

Персональний відділ шафи у кімнаті розробки і друку книг кімната 6

Необережність персоналу,неуважність персоналу,навмисні дії персоналу

Залишене без нагляду робоче місце,випадкові помилкинавмисно

Модифікація активу з використанням вразливості необережність персоналу (залишені без нагляду ключі від персонального відділу шафки,чи залишений без нагляду текст на робочому столі)

4

Порушення цілісності через навмисні дії працівника

2

Модифікація активу за допомогою використання вразливості неуважності персоналу , здійснення випадкових помилок

1

Договір у паперовому вигляді

Директор

Шафа у кабінеті директора кімната 1

Тех Працівник

Відсутність ящика з замком на сервері.

Модифікація активу з використанням вразливості неуважності директора залишених договорів на робочому місці

4

Таблиця 5 Опрацювання ризиків

Етап 1.Опис активу

Етап 2. Опис ризику

Етап 3 . початкова оцінка ризиків

Етап 4. Критерії прийнят-ності ризиків

Етап 4. Критерії прийнятності ризиків

Етап 5. Повторна оцінка ризиків

Заходи

Неопублікова-ний текст в електронному вигляді на комп'ютері №3 в кабінеті редактора

Викрадення тексту через відсутність мережевих екранів, за допомогою здійснення зловмисником комп'ютерних атак на комп'ютер №3

16

10

Регулярне оновлення антивірусних програм

8

Встановлення міжмережевого екрану

Модифікація тексту за допомогою здійснення комп'ютерних атак через мережу інтернет через відсутність обманних систем на комп'ютер №3

12

10

Перехід на безпровідний інтернет Wi_Fi

3

Встановлення технології захищеного доступу Wi_Fi WPA2

Встановлення обманної системи DeceptionToolkit

Копіювання тексту ( і загалом вмісту локальних дисків) за допомогою запуску флешки зі спеціальною закладкою

20

10

Регулярне оновлення антивірусних програм

10

Розроблення спеціальних програм, що знаходять приховані файли

Модифікація тексту за допомогою запуску флешки спеціальний вірус-троян

15

10

Регулярне оновлення антивірусних програм

10

Розроблення спеціальних програм, що знаходять вірус троян

Щомісячне діагностування стану комп'ютера №3 на віруси

Втрата інформації через використання запуску флешки з вірусами, що призводять до блокування роботи комп'ютера №3( «синій екран», пошкодження операційної системи, вихід з ладу жорсткого диску)

15

10

Регулярне оновлення антивірусних програм

10

Щомісячне діагностування стану комп'ютера №3 на віруси

Неопублікований текст у паперовому вигляді у персональних відділах шафи у кімнаті розробки і друку книг кімната 6

Втрата активу через використання вразливості необережність персоналу (залишені без нагляду ключі від персонального відділу шафи, чи залишений без нагляду текст на робочому столі)

16

10

Встановити в кімнаті 6 2 відеокамери

8

Поставити на двері шаф біометричні замки

Модифікація активу з використанням вразливості необережність персоналу (залишені без нагляду ключі від персонального відділу шафки, чи залишений без нагляду текст на робочому столі)

12

10

Встановити в кімнаті 6 2 відеокамери

3

Розвішування різних постерів по кімнаті 6, які нагадуватимуть про уважність

Постійні нагадування редактором при зібраннях, та вказування на можливі штрафні санкції

Договір у паперовому вигляді у шафі в кімнаті 1

Втрата активу з використанням вразливості необережності директора залишені без нагляду ключі від шафи на робочому столі

12

10

Встановити в кімнаті 1 відеокамеру

4

Модифікація активу з використанням вразливості неуважності директора залишених договорів на робочому столі

12

10

Встановити в кімнаті 1 відеокамеру

3

Ранджування

Етап 1. Опис активу

Етап 2. Опис ризику

Етап 3. Попередня оцінка ризику

Імовірність

Збиток

Ризик

Неопублікований текст в електро-нному вигляді на комп'ютері №3 в кабінеті редактора

Копіювання тексту ( і загалом вмісту локальних дисків) за допомогою запуску флешки зі спеціальною закладкою

5

4

20

Модифікація тексту за допомогою здійснення комп'ютерних атак через мережу Інтернет через відсутність обманних систем на комп'ютер №3

4

3

12

Копіювання тексту ( і загалом вмісту локальних дисків) за допомогою запуску флешки зі спеціальною закладкою

5

4

20

Модифікація тексту за допомогою запуску флешки спеціальний вірус-троян

5

3

15

Втрата інформації через використання запуску флешки з вірусами, що призводять до блокування роботи комп'ютера №3( «синій екран», пошкодження операційної системи, вихід з ладу жорсткого диску)

5

3

15

Модифікація інформації через файл з вірусом, скачаний з інтернету через необережність редактора

1

3

3

Неопублікований текст у паперовому вигляді у персональних відділах шафи у кімнаті розробки і друку книг кімната 6

Втрата активу через використання вразливості необережність персоналу (залишені без нагляду ключі від персонального відділу шафи, чи залишений без нагляду текст на робочому столі)

4

4

16

Модифікація активу з використанням вразливості необережність персоналу (залишені без нагляду ключі від персонального відділу шафки,чи залишений без нагляду текст на робочому столі)

4

3

12

Модифікація активу за допомогою використання вразливості неуважності персоналу , здійснення випадкових помилок

1

4

4

Порушення цілісності та доступності інформації через навмисні працівника

2

2

4

Договір у паперовому вигляді у шафі в кімнаті 1

Втрата активу з використанням вразливості необережності директора залишені без нагляду ключі від шафи на робочому столі

3

4

12

Модифікація активу з використанням вразливості неуважності директора залишених договорів на робочому столі

4

3

12

Встановлення критерію прийняття ризику. Для встановлення критерію прийняття ризику виконується циклічна робота згідно стандарту ISO /IEC 27001

Якщо прийняти весь ризик за 100 %, то при заробітку в рік 13000 $ видавництво готове прийняти 25 % ризиків.

Тому показник допустимого ризику визначимо за формулою:

х=5

Отже, весь діапазон значень ризику становить 1-20

Ризики, що є незначними для видавництва становлять 1-5.Обробляти такі ризики непотрібно, бо це ті ризики реалізація яких є малоймовірною або вони нанесуть дуже малі збитки.

Ризики, що вважають значними становлять діапазон 5-20. Бо вони можуть нанести великих збитків для видавництва.

Згідно стандарту ISO /IEC 27001 для обробки ризиків необхідно створити два списки. Перший список міститиме високі ризики, для них створимо таблицю опрацювання ризиків, ці ризику підлягають обробленню, а другий міститиме ризики, які не будуть оброблятись.

Положення про прийняття ризиків

1. Модифікація інформації через файл з вірусом, скачаний з Інтернету через необережність редактора .

2. Модифікація активу за допомогою використання вразливості неуважності персоналу , здійснення випадкових помилок.

3. Порушення цілісності та доступності інформації через навмисні працівника.

Висновок

  • Розробила систему управління інформаційної безпеки видавництва згідно сімейства міжнароднихстандартів ISO 27000. Описала об'єкт захисту, розробила політику безпеки. Склала реєстр оцінки ризиків та створила методику їх оцінки. Визначила критерії прийняття ризиків, запропонувала заходи для їх нейтралізації та переоцінила ризики.
  • Визначила, що найбільше звернути увагу при встановленні правил потрібно на:
  • 1) фізичну безпеку;
  • 2) комп'ютерну безпеку та безпеку систем збереження даних;
  • 3) безпеку при роботі в Інтернеті;
  • 4) роботі з персоналом.
  • ризик загроза інформаційний безпека

Список використаної літератури

1 В.А. Ромака, В.Б. Дудикевич, Ю.Р. Гарасим, І.О. Козлюк «Системи менеджменту інформаційної безпеки», Львів, Видавництво Львівської політехніки, 2012

2 http://ru.wikipedia.org/wiki/ISO/IEC_27001

3 http://zakon4.rada.gov.ua/laws/show/2594-15

4 http://uadocs.exdat.com/docs/index-140602.html?page=4

5 http://ena.lp.edu.ua:8080/bitstream/ntb/23330/1/16-90-99.pdf

Аннотація

Аналіз ризиків інформаційної безпеки видавництва. Лідія Горбова, Національний університет «Львівська політехніка»

Розкрито особливості роботи найбільш поширених моделей оцінювання ризиків інформаційної безпеки в розподілених інформаційних системах. Проаналізовано процесні підходи викладених методологій та підходи до формалізації результатів оцінювання ризиків інформаційної безпеки. Розроблено систему управління інформаційної безпеки видавництва згідно сімейства міжнароднихстандартів ISO 27000. Описано об'єкт захисту,складено реєстр оцінки ризиків. Визначено критерії прийняття ризиків, запропоно заходи для їх нейтралізації.

Ключові слова: інформаційний ризик, процесна модель, інформаційна безпека, оцінка ризику.

Annotation

Analysis of the risks of information security of the publishing house. Lidia Horbova, National University “Lviv Polytechnic”

Working peculiarities of the most common models for information security risk assessment in distributed information systems were revealed. The analysis process approaches of outlined methodologies and approaches to the results formalization of information security risk assessment were analized. System management of information security by the publishing house family international standards ISO 27000 was developed. Described object of protection, compiled a register of of risk assessment. The criteria taking risks were identified, will offer measures to neutralize them.

Keywords: information risk, process model, information security, risk assessment.

Размещено на Allbest.ru


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.