="justify">
Ризик=Можливий збиток * Імовірність атаки Таблиця 2.4.1
Визначення можливого збитку
Величина ущербаОпісаніе збитку від витоку 0Раскритіе інформації принесе нікчемний моральний і фінансовий збиток організаціі1Основние фінансові операції і положення на ринку не затронути2Фінансовие операції не ведеться протягом деякого часу. За цей час фірма зазнає збитків. Але становище на ринку і число клієнтів змінюється мінімально3Значітельние втрати на ринку і в прибутку. Від фірми йде частина кліентов4Потері значні. Фірма втрачає становище на ринку. Для відновлення потрібні значні фінансові вкладення (позики) 5Невосполнімий збиток. Фірма припиняє своє існування
Таблиця 2.4.2
Визначення ймовірності атаки
ВероятностьСредняя частота появи 0Данний вид атаки відсутня вообще1Реже, ніж 1 раз в год2Около 1 рази в год3Около 1 рази в месяц4Около 1 рази в неделю5Ежедневно
Таблиця 2.4.3
Визначення ризику
Найменування елемента інформацііВіди угрозОценка ущербаОценка вероятностіРіск Конфіденційна інформація, що обробляється і зберігається в головному центре1.Фізіческое проникнення в приміщення + подолання захисту від НСД, крадіжка носітелей3262. Приховати інформації при передачі по каналах связі2333. Приховати ПЕМІН1334. Розголошення співробітниками, що займаються обробкою конфіденційної інформаціі3265. НСД допомогою ЛВС з боку співробітників, які не займаються обробкою конфіденційної інформаціі2246. Доступ зловмисника ззовні до ресурсів ЛВС224Конфіденціальная інформація, що обробляється і зберігається в структурних подразделеніях1.Фізіческое проникнення в приміщення + подолання захисту від НСД, крадіжка носітелей224 Найменування елемента інформацііВіди угрозОценка ущербаОценка вероятностіРіск 2. Перехоплення інформації при передачі по каналах связі1333. Приховати ПЕМІН1224. Розголошення співробітниками, що займаються обробкою конфіденційної інформаціі2365. НСД допомогою ЛВС з боку співробітників, які не займаються обробкою конфіденційної інформаціі2246. Доступ зловмисника ззовні до ресурсів ЛВС236Секретние ключі шифрування і ЕЦП користувачів, обробляють конфіденційну інформацію1. Атака по ЛВС3392.Разглашеніе сотруднікамі326База облікових записів, паролів користувачів ЛВС1. Атака по ЛВС ізвне2362. Спроби НСД сотруднікамі1223. Розголошення сотруднікамі122Паролі локальних пользователей1. Атака по ЛВС ізвне1112. Спроби НСД внутрішніх користувачів з метою підвищення прав доступа1223. Розголошення сотруднікамі133Іспользуемие кошти защіти1.Фізіческое проникнення в приміщення і НСД до ресурсів 1112. Розголошення сотруднікамі133Ключі до ліцензійного ПЗ, інформація про ПЗ, використовуваному організаціей1.Фізіческое проникнення в приміщення і НСД до ресурсів 1112. Розголошення співробітниками 133Архівние дані організаціі.1. Фізичне проникнення в приміщення (доступ до документів на паперових носіях та магнітним копіям) +3132. Атака по ЛВС3263. Утретє в результаті надзвичайних обстоятельств212
На етапі аналізу таблиці ризиків задаються деяким максимально допустимим ризиком, наприклад значенням 5. Спочатку перевіряється кожен рядок таблиці на неперевищення ризику цього значення. Якщо таке перевищення має місце, значить, дана рядок - це одне з першочергових цілей розробки політики безпеки. Потім проводиться порівняння подвоєного значення (у нашому випадку 5 * 2=10) з інтегральним ризиком (комірка Разом ). Якщо інтегральний ризик перевищує допустиме значення, значить, в організації набирається безліч дрібних погрішностей в системі безпеки, які в сумі не дадуть підприємству ефективно працювати. У цьому випадку з рядків вибираються ті, які дає найзначніший внесок у значення інтегрального ризику і проводиться спроба їх зменшити або усунути повністю.
Сумарна величина ризику, визначена в таблиці 8, перевищує значення, при якому стан автоматизованої системи можна вважати безпечним.
У пунктах, що включають доступ до цінної інформації по ЛВС, фізичний доступ і НСДдо ПЕОМ, крадіжка, перехоплення при передачі по каналах зв'язку ризик є значним і його зменшення буде коштувати дешевше, ніж можливі фінансові втрати.
Для зниження ймовірності загроз пріоритетними напрямками в розробці системи безпеки повинні бути:
1. управління доступом до інформації та сервісів, включаючи вимоги до поділу обов'язків і ресурсів;
2. перевірка і забезпечення цілісності критично важливих даних на всіх стадіях їх обробки;
. підтвердження достовірності документів з використанням електронно-цифрового підпису, захист від внесення несанкціонованих доповнень і змін...
