ign="justify">) Система електронного документообігу
) Система роботи з клієнтами
) Сервер безпеки
) Система відеоспостереження
) База даних рецептів
) База даних нормативно-методичної документації
) 1С: Бухгалтерія
) 1С: Кадри
) Інтернет
11) Web-сервер
Складемо матрицю доступу.
Таблиця 16
1234567891011Ген. Дір. ++ Rrrr + rr + rКомм. Дір. + Rw + --- rrrrwrОтдел продажrwrwrw --- rr-rwrwОтдел маркетингу і рекламиrwrwrw --- rrwr- + Начальник проізводстваrwrw --- rwrwrr-rОтдел разработкіrr --- + r --- rОтдел проізводстваrr --- rr ---rОтдел технічного контроляrr --- rrw --- rСіс. Админ. ITотдел-+*+*--+*+*+*+*+*+*Аналитик+*+*+*---r+*+*rw+*СБ-+*+*+++*+*+*+*+*+*Бухгалтерияrrwr---rw+r-rОтдел кадровrrw ---- r - ++ * r - - немає доступу
+ - повний доступ
r - читання
w - запис
+ * - доступ в рамках повноважень, які описані в нормативно-методичної документації
. Загрози інформаційної безпеки
В даний час оцінка ризиків являє собою одне з найбільш актуальних і динамічно розвиваються напрямків в області інформаційної безпеки. Існують різні методології оцінки ризику. Ми будемо використовувати методологію OCTAVE.
Метод OCTAVE (Operationally Critical Threat, Assetand Vulnerability Evaluation) була розроблена в Інституті програмної інженерії при Університеті Карнегі-Меллона і передбачає активне залучення власників інформації в процес визначення критичних інформаційних активів та асоційованих з ними ризиків. Метод OCTAVE - це метод оперативної оцінки критичних загроз, активів і вразливостей.
Метод OCTAVE - це трьохетапний підхід оцінки ризиків інформаційної безпеки.
На першій стадії здійснюється оцінка організаційних аспектів.
Тут же здійснюється визначення найбільш важливих організаційних ресурсів і оцінка поточного стану практики забезпечення безпеки в організації. На завершальному етапі першої стадії визначаються вимоги безпеки, і будується профіль загроз для кожного критичного ресурсу.
На другій стадії проводиться високорівнева аналіз ІТ-інфраструктури організації, при цьому звертається увага на ступінь, з якою питання безпеки вирішуються і підтримуються підрозділами й співробітниками, відповідальними за експлуатацію інфраструктури.
На третій стадії проводиться розробка стратегії забезпечення безпеки та плану захисту інформації. Цей етап складається з визначення та аналізу ризиків та розробки стратегії забезпечення безпеки та плану скорочення ризиків. У процесі визначення та аналізу ризиків оцінюють збитки від реалізації загроз, встановлюють імовірнісні критерії оцінки загроз, оцінюють імовірність реалізації загроз.
Перейдемо до оцінки. Спочатку зробимо класифікацію інформаційних ресурсів по класу інформації, що містяться в них. Ступінь важливості інформаційного ресурсу залежить від чинного законодавства (персональні дані необхідно захищати) і від бізнес-процесу, який задіює його.
До класу секретної інформації (С) віднесемо базу рецептів пива. Неавторизований доступ до цих даних ззовні або зсередини є критичним для компанії. Цілісність даних життєво важлива. Атака на дані інформаційні ресурси критичні для підприємства і можуть підірвати функціонування всього підприємства. Основний бізнес-процес (процес розробки і процес виробництва пива) задіює базу даних рецептів пива і тому є найважливішою для підприємства.
До класу конфіденційної інформації та персональних даних (К) відносяться: система роботи з клієнтами, система електронного документообігу, сервер безпеки, 1С: Бухгалтерія, 1С: Кадри. Дані цього класу конфіденційні всередині компанії і захищені від доступу ззовні. У разі доступу до цих даних сторонніх виникає ризик впливу на ефективність компанії, що може призвести до фінансових втрат, розкрити дані клієнта або дати перевагу конкурентам. Цілісність даних життєво важлива. 1С: Бухгалтерія і 1С: Кадри є важливими інформаційними системами як з точки зору законодавства (містять персональні дані), так і з точки зору процесів підприємства.
До класу інформації для службового користування (ДСК) відносяться: бізнес-план, база даних нормативно-методичної документації, система відеоспостереження. Доступ ззовні до цих даних повинен бути обмежений, але наслідки в разі їх розголошення некритичні.
До класу вільно-поширюваної інформації (СР) відносяться: We...
