Анализ информационной безопасности

Страница 1

Для оценки рисков будет использован комбинированный метод детально описанный в ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Он основывается на проведении детального анализа рисков для систем и ресурсов, которые имеют важное значение для деловой деятельности предприятия и/или подвержены высокому уровню риска, для остальных систем и ресурсов следует ограничиться базовым вариантом подхода к оценке рисков.

Если прекращение функционирования системы или нарушение безопасности ресурса может причинить ущерб или принести убытки компании, отрицательно повлиять на ее деловую деятельность и другие активы, то для оценки потенциального риска проводят детальный анализ риска. Во всех других случаях достаточная безопасность может быть обеспечена применением базового подхода.

В процессе оценки рисков должны участвовать не только владельцы активов, но и их пользователи, служащие отдела кадров, специалисты ИТ, лица отвечающие за реализацию защитных мер на предприятии, словом все те кто может оценить и ранжировать по определенным критериям те или иные проблемы. Поэтому процедура оценки рисков проводилась на основании экспертного оценивания, т.е. получения оценки на основании группового мнения специалистов. Данный метод дает более качественные оценки, так как совместное мнение обладает большей точностью, чем индивидуальное мнение каждого из специалистов.

Основным преимуществом качественного анализа является то, что он определяет приоритетность рисков и благодаря этому могут быть определены системы и ресурсы, которые требуют немедленных мер по устранению их уязвимостей и угроз. Недостаток качественного анализа заключается в том, что он не предусматривает конкретного количественного измерения величины воздействия рисков, поэтому сделать анализ затрат и выгод от любых рекомендованных мер безопасности трудно.

Основным преимуществом количественного анализа является то, что он обеспечивает измерение величины воздействий рисков, что может быть использовано при анализе затрат и выгод от рекомендованных мер безопасности. Недостатком является то, что, в зависимости от количественных оценок, используемых для выражения измерения рисков, смысл этого количественного анализа воздействия может быть неясен, и скорее всего, будет требовать дополнительного толкования в качественных величинах.

Для оценки рисков был выбран качественный метод оценки с субъективной мерой вероятности, как наименее трудоемкий, требующий меньше ресурсов, так и по причине отсутствия достаточного количества объективных оценок (статистических данных) рисков в прошлом.

В таблице 1 приведены основные защищаемые активы школы.

Для оценки будет использована шкала с показателями значимости:

«низкий» - не зависят критически важные задачи и он может быть восстановлен с небольшими затратами времени и денег.

«средний» - от него зависит небольшой ряд важных задач, при утрате он может быть восстановлен за время, не превышающее критически допустимое, стоимость восстановления – ощутимая.

«высокий» - от него зависит ряд важных задач, при утрате он может быть восстановлен за время, не превышающее критически допустимое, стоимость восстановления – высокая.

Таблица 1 – Идентификация активов

№ актива

Название актива

Значимость

Зависимости

1. Информация

1.1

Сведенья о персональных данных

Высокая

3.1, 4.1, 4.2, 5.12

1.2

Служебная информация

Высокая

2.1, 2.3, 3.1, 3.3, 4.1, 4.2, 5.8, 5.9, 5.12, 5.13

1.3

Прочая информация

Низкая

все

2. Носители информации

2.1

Гибкие магнитные диски

Низкая

2.2

Оптические диски

Низкая

2.3

Накопители типа флэш

Низкая

3. Система передачи данных

3.1

Кабеля передачи данных ЛВС

Средняя

3.2

Коммутатор

Средняя

3.3

Модем

Средняя

4. Аппаратная часть ИС

4.1

Персональный компьютер

Низкая

4.2

Сервер

Средняя

5. Программная часть ИС

5.1

Операционная система Windows Server 2003

Средняя

4.2

5.2

Операционная система Windows XP Professional Edition SP3

Средняя

4.1

5.3

Программный межсетевой экран Kerio Winroute FireWall

Средняя

5.1

5.4

Персональный антивирус, файервол ESET NOD32 Smart Security

Средняя

5.1, 5.2

5.5

Серверная часть Гарант F1

Низкая

5.1

5.6

Клиентская часть Гарант F1

Низкая

5.2

5.7

MS Office 2003

Низкая

5.2

5.8

1С Бухгалтерия

Средняя

5.1, 5.2

Страницы: 1 2 3 4 5 6

Еще по теме:

Личностно ориентированный подход в работе учителя по формированию у младших школьников мотивации учения
В начальной школе вопрос о мотивации учения без преувеличения может быть назван центральным, так как мотив является источником деятельности и выполняет функцию побуждения и смыслообразования. Младший школьный возраст благоприятен для того, чтобы заложить основу для умения, желания учиться. Работа п ...

Идея школы Френе
Мастерская, где главный материал – фантазия В литературе склонны называть Селестена Френе революционером. Селестен Френе ответил на вопрос, как организовать начальную школу в стенах одной-единственной сельской однокомплектной школы на заре ХХ века. Как им, то есть семилеткам, нежнейшему человеческо ...

Активность родителей в обсуждаемых вопросах
Нередко родительские собрания сводятся к монологу педагога, однако следует активно вовлекать родителей в обсуждение проблем учебно-воспитательного и организационного характера. Анализируя данное родительское собрание можно сказать, что была использована традиционная форма проведения родительских со ...

Навигация

Copyright © 2020 - All Rights Reserved - www.goldedu.ru