денційної інформації.
Етапи побудови КСЗІ.
Для створення комплексної системи захисту інформації на підприємстві необхідно провести ряд заходів:
Ці заходи може проводити як спеціально запрошена фірма-виконавець, так і служба безпеки підприємства (якщо вона має ліцензію на здійснення цієї діяльності). p> 1.Стартовий (Початковий). p> - Отримання згоди вищого керівництва на створення КСЗІ.
- Розробка плану робіт з створенню КСЗІ.
- Формування команди по створенню КСЗІ.
У результаті проведення цього етапу повинні з'явитися наступні документи:
- Наказ про створення КСЗІ,
- план робіт зі створення КСЗІ,
- наказ про формування команди,
- наказ про проведення обстеження підприємства.
2. Етап передпроектного обстеження.
На цьому етапі проводиться обстеження (аудит) підприємства.
- Інвентаризація об'єктів інформатизації та персоналу.
- Виявлення інформаційних потоків.
- Моделювання бізнес-процесів.
- Розробка звіту, в який повинні входити: об'єкти захисту з точки зору загроз, моделі зловмисників, відповідальні за об'єкти інформатизації, розрахунок ризиків, ранжування ризиків.
- Розробка технічного завдання на проектування КСЗІ. У нього входять ключові об'єкти захисту, заходи та засоби захисту, вимоги щодо захисту. p> 3. Проектування. p> - Створення системного проекту.
- Створення "Політики безпеки". p> - Проведення робіт з створенню КСЗІ (технічний проект з опорою на ресурси, В«Технічний проект на створення КСЗІ В»представляє собою комплект документів, до якого входить частина документів розроблених на попередніх етапах і ряд нових документів, в яких описано, як саме буде створюватися, експлуатуватися і, у разі необхідності, модернізуватися КСЗІ).
- Створення робочого проекту. p> 4. Впровадження
На цьому етапі створюється пакет документів В«Експлуатаційна документація на КСЗІВ», який включає:
- Інструкції експлуатації КСЗІ та її елементів;
- Процедури регламентного обслуговування КСЗІ;
- Правила та положення з проведення тестування та аналізу роботи КСЗІ.
На цьому етапі проводиться все пусконалагоджувальні роботи, навчає і інструктує персонал підприємства правилам і режимам експлуатації КСЗІ.
Після реалізації цього етапу впроваджена КСЗІ готова до подальшого випробуванню. У процесі випробувань виконуються тестові завдання та контролюються отримані результати, які і є індикатором працездатності спроектованої КСЗІ. По результату випробування КСЗІ робиться висновок щодо можливості представлення КСЗІ на державну експертизу.
Розрахунок інформаційних ризиків.
Критичність ресурсу (D) - ступінь значущості ресурсу. Відображає вплив реалізації загрози на роботу інформаційної системи. p> Критичність реалізації загрози (ER) - ступінь впливу реалізації загрози на ресурс. Задається в%. p> Ймовірність реалізації загрози через дану уразливість в перебігу року (P (v)) - ступінь можливості реалізації загрози через дану уразливість в тих чи інших умовах, вказується в%.
1. Об'єкт захисту - автоматизоване робоче місце (АРМ) співробітника .
Критерій критичності (D) дорівнює 5000 рублів.
Таблиця загроз і вразливостей.
Загроза
Вразливості
1.Фізіческій доступ порушника до АРМ
1. Відсутність системи контролю доступу службовців до чужих АРМам
2.Відсутність системи відеоспостереження
на підприємстві
3. Неузгодженість у системі охорони периметра завдання
2.Разглашеніе КІ, що зберігається на АРМ
1.Відсутність угоди про нерозголошення між Адміністрацією і службовцями. /Td>
2.Нечеткое розподіл відповідальності між службовцями
3.Разрушеніе КІ за допомогою спеціальних програм і вірусів
1.Відсутність або некоректна робота антивірусного ПЗ
2.Відсутність обмеження доступу користувачів до зовнішньої мережі
Таблиця ймовірності реалізації даної загрози через уразливість на протязі року ( P ( V )) і критичності реалізації загрози ( ER ).
В
Загроза/уразливість
P...