- •Техническое задание Введение
- •Основание для разработки
- •Назначение разработки
- •Требования к ксзи
- •Стадии и этапы разработки
- •Реферат
- •Содержание определения, обозначения и сокращения
- •Введение
- •1 Анализ проблемы и методов ее решения
- •1.1. Общие сведения о защищаемом объекте
- •1.2 Описание защищаемого объекта информатизации
- •1.3. Функции основных структурных подразделений
- •1.4 Объекты и предметы защиты в медицинском учреждении
- •1.5 Угрозы защищаемой информации
- •1.6 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
- •1.7 Причины дестабилизирующего воздействия на защищаемую информацию в медицинском учреждении
- •1.8. Каналы и методы несанкционированного доступа к защищаемой информации в медицинском учреждении
- •1.9. Вероятная модель злоумышленника
- •1.10 Фактическая защищенность медицинского учреждения
- •1.11 Прошлые случаи кражи в ск
- •1. 12. Недостатки в защите страховой компании
- •1.13 Финансовые возможности страховой компании "Уникум"
- •1.14 Этапы построения ксзи для страховой компании
- •1.15 Требования руководящих документов к системе безопасности объекта
- •1.15.1 Требования руководящих документов к системам видеонаблюдения
- •1.15.2 Требования руководящих документов к системам охранно-пожарной сигнализации
- •1.15.3 Требования нормативно-методических документов по защите информации на объект
- •Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:
- •Закон "Об информации, информационных технологиях и защите информации"
- •1.16 Обоснование выбора методов и средств защиты
- •1.17 Выводы
- •2 Описание постановки задач
- •2.1 Постановка задачи
- •2.2. Цель и назначение системы безопасности
- •3 Описание комплексной системы защиты информации
- •3.1 Правовая защита
- •3.2 Организационная защита
- •3.2.1 Создание службы защиты информации
- •3.2.2 Проверка лояльности персонала медицинского учреждения
- •3.2.3 Организационные меры по системе допуска сотрудников к конфиденциальной информации
- •3.3 Инженерно-техническая защита
- •3.3.2 Выбор аппаратных средств защиты
- •Защита телефонной линии
- •Защита по акустическому каналу
- •Генератор шума гш-1000м
- •Генератор шума гш-к-1000м
- •Устройство защиты цепей электросети и заземления sel sp-44
- •3.3.3 Выбор программных средств защиты
- •3.4 Введение в эксплуатацию системы защиты информации
- •4. Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования
- •Оценка уязвимости
4. Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования
Для решения задачи по анализу эффективности комплексной системы безопасности информации разработанной для страховой компании, воспользуемся известным методом CRAMM. Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.
Для оценки угроз выбраны следующие косвенные факторы:
Статистика по зарегистрированным инцидентам.
Тенденции в статистке по подобным нарушениям.
Наличие в системе информации, представляющей интерес для потенциальных внутренних или внешних нарушителей.
Моральные качества персонала.
Возможность извлечь выгоду из изменения обрабатываемой в системе информации.
Наличие альтернативных способов доступа к информации.
Статистика по подобным нарушениям в других информационных системах организации.
Для оценки уязвимостей выбраны следующие косвенные факторы:
Количество рабочих мест (пользователей) в системе.
Размер рабочих групп.
Осведомленность руководства о действиях сотрудников (разные аспекты).
Характер используемого на рабочих местах оборудования и ПО.
Полномочия пользователей.
По косвенным факторам предложены вопросы и несколько фиксированных вариантов ответов, которые «стоят» определенное количество баллов.
Итоговая оценка угрозы и уязвимости определяется путем суммирования баллов. Несомненным достоинством данного подхода является возможность учета множества косвенных факторов (не только технических). Методика проста и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить оценки.
Оценка уязвимости
Таблица 4 - Оценка уязвимостей
|
1.Сколько людей имеют право пользоваться информационной системой? | |||
|
Варианты ответа |
Количество баллов | ||
|
a |
От 1 до 10 |
0 | |
|
b |
От 11 до 50 |
4 | |
|
c |
От 51 до 200 |
10 | |
|
d |
От 200 до 1000 |
14 | |
|
e |
Свыше 1000 |
20 | |
|
2. Будет ли руководство осведомлено о том, что люди, работающие под их началом, ведут себя необычным образом? | |||
|
a |
Да |
0 | |
|
b |
Нет |
10 | |
|
3. Какие устройства и программы доступны пользователям? | |||
|
a |
Только терминалы или сетевые контроллеры, ответственные за предоставление и маршрутизацию информации, но не за передачу данных |
5 | |
|
b |
Только стандартное офисные устройства и программы и управляемые с помощью меню подчиненные прикладные программы |
0 | |
|
c |
Пользователи могут получить доступ к операционной системе, но не к компиляторам |
5 | |
|
d |
Пользователи могут получить доступ к компиляторам |
10 | |
|
4. Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе? | |||
|
a |
Да |
10 | |
|
b |
Нет |
0 | |
|
5. Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информационной системе? | |||
|
a |
Менее 10 человек |
0 | |
|
b |
От 11 до 20 человек |
5 | |
|
c |
Свыше 20 человек |
10 | |
|
6. Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)? | |||
Продолжение Таблицы 3
|
a |
Да |
0 |
|
b |
Нет |
10 |
|
7. Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных? | ||
|
a |
Официальное право предоставлено всем пользователям |
2 |
|
b |
Официальное право предоставлено только некоторым пользователям |
0 |
|
8 .Насколько необходимо пользователям знать всю информацию, хранящуюся в системе? | ||
|
a |
Всем пользователям необходимо знать всю информацию |
4 |
|
b |
Отдельным пользователям необходимо знать лишь относящуюся к ним информацию |
0 |
Таблица 5 - Степень уязвимости при количестве полученных баллов
|
Степень уязвимости при количестве баллов: | |
|
До 9 |
Низкая |
|
От 10 до 19 |
Средняя |
|
20 и более |
Высокая |
Таблица 6 - Полученные результаты (до разработки КСЗИ)
|
Варианты Ответов до разработки КСЗИ :
| ||
|
Номер вопроса |
Вариант ответа |
Кол-во Баллов |
|
1 |
b |
4 |
|
2 |
b |
10 |
|
3 |
a |
0 |
|
4 |
a |
10 |
|
5 |
c |
10 |
|
6 |
a |
0 |
|
7 |
b |
0 |
|
8 |
b |
0 |
|
Сумма баллов |
|
34 |
Так как сумма баллов 34, следовательно, степень уязвимости до разработки комплексной системы защиты информации является Высокой. Отсюда делаем вывод, что требуется незамедлительное улучшение и доработка СКЗИ.
Таблица 7 - Полученные результаты (после разработки КСЗИ)
|
Варианты Ответов до разработки КСЗИ :
| ||
|
Номер вопроса |
Вариант ответа |
Кол-во Баллов |
|
1 |
|
|
|
2 |
|
|
|
3 |
|
|
|
4 |
|
|
|
5 |
|
|
|
6 |
|
|
|
7 |
|
|
|
8 |
|
|
|
Сумма баллов |
|
|
Так как сумма баллов 29, следовательно, степень уязвимости комплексной системы защиты информации является Высокой.