об'єднані в групи Робоче місце центрального офісу та Робоче місце магазину відповідно, на увазі схожості робочих місць, окреме їх розгляд недоцільно. Також в групи були об'єднані Маршрутизатори та Комутатори. Для кожного сервера організації складався власний список загроз та оцінка ризиків.
Був обраний узагальнений список загроз, для їх усунення на даному, початковому етапі. Ряд перерахованих загроз включає в себе певний перелік (BS 7799-3: 2006).
Загроза отримання повного віддаленого контролю над системою включає в себе:
· несанкціонований доступ;
· несанкціонований доступ до журналів аудиту;
· привласнення ідентифікатора користувача;
· доступ до мережі неавторизованих осіб;
Загроза порушення цілісності, правильного функціонування системи включає в себе:
· порушення цілісності;
· помилки;
· впровадження несанкціонованого або б не протестували коду;
· шкідливий код;
Погроза порушення доступності системи включає в себе:
· відмова в обслуговуванні, недоступність системних ресурсів, інформації;
· знищення записів;
· збій обладнання;
· збій комунікаційних сервісів;
Фізичне пошкодження апаратних засобів включає в себе:
· збій системи кондиціонування повітря;
· пошкодження носіїв інформації;
· лиха (стихійні або викликані діями людей);
· несанкціонований фізичний доступ;
· вандалізм;
Можливість негласного отримання і розголошення (публікація) захищається включає в себе:
· несанкціоноване розкриття інформації.
· витік інформації;
· розкриття інформації;
· розкриття паролів;
· перехоплення інформації;
· фальсифікація записів;
Розрахунок інформаційних ризиків:
Вартість ресурсу ( Asset Value, AV ). Характеристика цінності даного ресурсу. 1 - мінімальна вартість ресурсу, 2 - середня вартість ресурсу, 3 - максимальна вартість ресурсу.
Міра уразливості ресурсу до загрози ( Exposure Factor, EF ). Цей параметр показує, якою мірою той чи інший ресурс вразливий по відношенню до даної загрозі. 1 - мінімальна міра вразливості, 2 - середня міра вразливості, 3 - максимальна міра вразливості.
Оцінка ймовірності реалізації загрози ( Annual Rate of Occurrence, ARO ) демонструє, наскільки ймовірна реалізація певної загрози за певний період часу, і також ранжирується за шкалою від 1 до 3 (низька, середня, висока).
На підставі отриманих даних виводиться оцінка очікуваних втрат (рівень ризику):
Оцінка очікуваного можливого збитку від одиничної реалізації певної загрози ( Single Loss Exposure, SLE ) розраховується за формулою: SLE=AV x EF;
Підсумкові очікувані втрати від конкретної загрози за певний період часу ( Annual Loss Exposure, ALE ) характеризують величину ризику і розраховується за формулою: ALE=SLE x ARO.
Кінцева формула розрахунку ризиків являє собою твір: ALE=((AV x EF=SLE) x ARO). [17]
Визначення значення збитку і ймовірностей вироблялася технічними спеціалістами та заступником директора з інформаційної безпеки ВАТ «АйТіПартнер», у складі 3-х чоловік.
Таблиця 2 - Перелік загроз, які становлять потенційну небезпеку для даних
РесурсAVУгрозаМодель нарушітеляEFAROSLEALEDomain Controller3Угроза отримання повного віддаленого контролю над сістемойA1, B232918Угроза порушення цілісності, правильного функціонування сістеми.A1, B2, C1, C233927Угроза порушення доступності сістемиA1, B2, C132918Подмена мережевого адреса.A1, B233927Фізіческое пошкодження апаратних засобів. B11133Exchange3Угроза отримання повного віддаленого контролю над сістемойA1, B232918Возможность негласного отримання і розголошення (публікація) захищається інформаціі.A1, B2, C122612Угроза порушення цілісності, правильного функціонування сістеми.A1, B2, C1, C233927Угроза порушення доступності сістеми.A1, B2, C132918РесурсAVУгрозаМодель нарушітеляEFAROSLEALEExchange3Подмена мережевого адресаA1 , B233927Фізіческое пошкодження апаратних средствB11133Сервер БД3Угроза отримання повного віддал...