6.1.3. Настройка
После введения ключа программа попросит ввести имя пользователя. Этого пользователя необходимо добавить в список пользователей на серверной части и дать ему права администратора, иначе пользователь не сможет создать собственный проект. Для этого (рис.1.4):
-
Запустите сервер. (Нижняя панель меню -> Запустить сервер)
-
Администрирование. (Там же)
-
Нажмите "Добавить". Задайте имя пользователя и предоставьте ему права администратора.
-
Убедитесь, что пользователь может создавать проект. Для этого Пуск –> Программы –> Digital Security –> Digital Security Office 2006 Клиент -> ГРИФ 2006. Введите имя пользователя и пароль. Создайте проект.
-
Перейдите в локальный режим, остановив сервер. Теперь вы не зависите от сервера.
Рис.1.4. Администрирование
6.1.4. Ознакомление с алгоритмом работы программы «Гриф»
Для оценки рисков ИС компании защищенность каждого ценного ресурса определяется при помощи анализа угроз ИБ, действующих на конкретный ресурс, и уязвимостей, через которые данные угрозы могут быть реализованы. Оценивая вероятность реализации актуальных для ценного ресурса угроз и степень влияния реализации угрозы на ресурсы, анализируются информационные риски ресурсов компании.
В результате работы алгоритма программа представляет следующие данные:
-
Инвентаризация.
-
Значения риска для каждого ценного ресурса компании.
-
Перечень всех уязвимостей, которые стали причиной полученного значения риска.
-
Значения риска для ресурсов после задания контрмер (остаточный риск).
-
Эффективность контрмер.
Перед заполнением программы «Гриф» проводится инвентаризацию ценных ресурсов и информации компании, то есть определить, всю ценную информацию компании и ресурсы, на которых она хранится.
Далее владельцы информации или ответственные лица (как правило, начальники отделов, в которых ведется обработка информации) должны определить ущерб, который понесет компания при осуществлении угроз конфиденциальности, целостности и доступности данной информации. Если владелец информации затрудняется оценить ущерб информации в деньгах, программа позволяет заносить ущерб в уровнях (количество и оценку уровней владелец выбирает самостоятельно (в диапазоне от 2 до 100), но для всех видов информации в ИС компании количество и оценка уровней должны быть одинаковы).
В программу «Гриф» заносятся только ресурсы, на которых обрабатывается ценная информация, т.е. информация, для которой можно оценить ущерб при реализации угроз.
Далее специалист службы ИТ определяет угрозы, действующие на ресурсы с ценной информацией, и уязвимости, через которые реализуются угрозы, критичность угроз и вероятность реализации угроз через указанные уязвимости.
Специалисты отдела ИБ предоставляют данные о расходах на ИБ.
Различным типам сотрудников, заполняющим программу, требуется внести данные как это показано в табл.1.
Таблица 1.1. Ответственность за занесение данных.
Данные, которые заносятся в программу |
Сотрудник, отвечающий за предоставление данных |
Ресурсы, на которых хранится ценная информация |
Специалист службы ИТ |
Критичность ресурса, на котором хранится ценная информация |
Владелец информации (или начальник отдела, в котором осуществляется обработка информации) |
Отделы, к которым относятся ресурсы |
Как правило, совпадают с организационной структурой компании |
Угрозы, действующие на ресурсы |
Специалист служб ИТ и ИБ |
Уязвимости, через которые реализуются угрозы |
Специалист служб ИТ и ИБ |
Расходы на ИБ |
Специалист службы ИБ |
С точки зрения базовых угроз ИБ существует два режима работы алгоритма:
-
Одна базовая угроза (суммарная).
-
Три базовые угрозы.
C точки зрения единиц измерения критичности и риска ресурса существуют два режима работы алгоритма:
-
В денежных единицах.
-
В уровнях (процентах).
При работе с алгоритмом используется шкала от 0 до 100%. Максимальное число уровней – 100, т.е. шкалу можно разбить на 100 уровней. При разбиении шкалы на меньшее число уровней, каждый уровень занимает определенный интервал на шкале. Причем, возможно два варианта разделения:
-
Равномерное.
-
Логарифмическое.
6.2. Смоделировать информационную сеть (ИС) филиала банка.
Схема моделируемой системы «филиал банка» представлена на рис.1.5.
Рис.1.5. Схема моделируемой системы «филиал банка»
6.2.1. Создание проекта
1. Запустите программу «Гриф»: Пуск –> Программы –> Digital Security –> Digital Security Office 2006 Клиент -> ГРИФ 2006.
2. Введите имя пользователя и пароль (рис.1.6).
Рис.1.6. Вход в систему
3. Выберите Алгоритм «Анализ модели угроз и уязвимостей» и создайте проект (рис.1.7).
Рис.1.7. Создание проекта «анализ модели угроз и уязвимостей»
4. Задайте имя проекта. Появится окно следующего вида (рис.1.8):
Рис.1.8. Окно проекта
6.2.2. Установка свойств проекта
В верхней панели меню (рис.1.8) выберите «Проект» - > «Свойства проекта».
Во вкладках задайте/измените свойства проекта.
-
Идентификация: здесь можно задать название объекта, ответственного пользователя и его должность.
-
Контроль доступа: здесь можно изменить доступ к проекту для других пользователей, например, позволить им просматривать проект.
-
Уровни: по умолчанию устанавливается три уровня в шкале (например, критичности ресурса). Можно изменить разбивку шкалы (рис.1.9).
Рис.1.9. Свойства проекта
-
Отчет: здесь можно изменить состав и форму отчета. Рекомендуется выбрать максимально полный отчет.
-
Оценка критичности: выбираем оценку критичности с привязкой к видам угроз.
-
Единицы измерения: здесь можно выбрать единицы измерения (проценты или деньги).
6.2.3. Создание отчетного периода
На верхней панели меню выберите «Управление периодами» - > «Добавить» (рис.1.10).
Рис.1.10. Создание отчетного периода
6.2.4. Моделирование системы
Смоделируйте систему филиала банка по следующей схеме:
1.Отделы.
Для создания отделов слева в списке выберете «Отделы» и справа нажмите «Добавить».
Создайте следующие отделы (рис.1.11):
- Руководство
- Отдел кадров
- Бухгалтерия
- Отдел работы с клиентами.
Рис.1.11. Отделы моделируемой системы
2. Ресурсы.
Для создания ресурсов перейдите по списку ниже на «Ресурсы» и справа нажмите «Добавить».
Создайте следующие объекты с указанием типа ресурсов, отдела, к которому относится данный ресурс (табл.1.2). Критичность каждого ресурса определите по своему усмотрению (рис.1.12).
Таблица 1.2. Ресурсы моделируемой системы.
Ресурс |
Тип ресурса |
Отдел |
ПК_Директор |
Рабочая станция |
Руководство |
ПК_Админ_АБС |
Рабочая станция |
Руководство |
ПК_Админ_ИБ |
Рабочая станция |
Руководство |
ПК_начальник_отдела_кадров |
Рабочая станция |
Отдел кадров |
Сервер_отдела_кадров |
Сервер |
Отдел кадров |
ПК_бухгалтер |
Рабочая станция |
Бухгалтерия |
Сервер_бухгалтерии |
Сервер |
Бухгалтерия |
Сервер_клиентских_данных |
Веб_сервер |
Отдел работы с клиентами |
ПК_1, ПК_2, ПК_3 |
Рабочая станция |
Отдел работы с клиентами |
Рис.1.12. Ресурсы моделируемой системы.