Угроза - вероятность потерь . Цель: разработка политики безопасности.

Оглавление
Введение
1. Анализ рисков информационной безопасности
1.1.1 Идентификация и оценка информационных активов
1.1.2 Оценка уязвимостей активов
1.1.3 Оценка угроз активам
1.1.4 Оценка рисков
1.2. Выбор защитных мер
1.2.1. Выбор организационных мер
1.2.2. Выбор инженерно-технических мер
2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия
3. Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта

Для определения уровня затрат возможно использование эмпирической зависимости ожидаемых потерь (рисков) от i-й угрозы информации, формула
Ri = 10(Si + Vi – 4) (3.1)
где
Si – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;
Vi – коэффициент, характеризующий значение возможного ущерба при ее возникновении.
Значения коэффициентов Si и Vi, приведенные в таблице 3.1 и 3.2.
Таблица 3.1
Значения коэффициентов Si
Ожидаемая (возможная)
частота появления угрозы Предполагаемое значение Si Почти никогда 0 1 раз в 1 000 лет 1 1 раз в 100 лет 2 1 раз в 10 лет 3 1 раз в год 4 1 раз в месяц (примерно, 10 раз в год) 5 1-2 раза в неделю (примерно 100 раз в год) 6 3 раза в день (1000 раз в год) 7
Таблица 3.2
Значения коэффициентов Vi Значение возможного ущерба
при проявлении угрозы, руб. Предполагаемое значение Vi 30 0 300 1 3 000 2 30 000 3 300 000 4 3 000 000 5 30 000 000 6 300 000 000 7
Суммарная стоимость потерь определяется формулой 3.2
R= (3.2)
где
N – количество угроз информационным активам,
Ri – стоимость потерь от реализации угрозы к активу.
Результаты расчетов для активов предприятия представлены в таблице 3.3.
Таблица 3.3
Величины потерь (рисков) для критичных информационных ресурсов
до внедрения/модернизации системы защиты информации
Актив Угроза Величина потерь (тыс.руб.) Инструкции по безопасности Намеренное повреждение 900 Кража 1400 Информация о деятельности предприятия Кража 2400 Несанкционированное использование носителей данных 700 Нелегальное проникновение злоумышленников под видом санкционированных пользователей 800 Ошибка операторов 60 Персональные данные клиентов Кража 150 Персональные данные сотрудников Кража 90 Сервер БД Намеренное повреждение 60 Вредоносное программное обеспечение 30 Неисправности в системе электроснабжения 10 Аппаратные отказы 10 Ошибка обслуживающего персонала 5 Ошибка при обслуживании 5 Программные сбои 5 Ошибка операторов 5 Сбои в функционировании услуг связи 5 Колебания напряжения 2 Затопление 60 Система «1С: Предприятие» Намеренное повреждение 10 Кража 10 Вредоносное программное обеспечение 10 Ошибка операторов 6 Ошибка обслуживающего персонала 6 Ошибка при обслуживании 6 Программные сбои 6 Сбои в функционировании услуг связи 6 Суммарная величина потерь 6757
3.2 Расчёт показателей экономической эффективности проекта
Риск владельца информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, определяется ресурсами системы.
Ресурс может быть определен в виде количества людей, привлекаемых к защите информации, в виде инженерных конструкций и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительства, разработки и покупки технических средств, их эксплуатации и других расходов.
Наиболее общей формой представления ресурса является денежная мера.
Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.
Разовый ресурс расходуется на закупку, установку и наладку дорогостоящей техники.
Постоянный ресурс — на заработную плату сотрудникам службы безопасности и поддержание определенного уровня безопасности, прежде всего, путем эксплуатации технических средств и контроля эффективности защиты.
Для определения экономической эффективности системы защиты информации предприятия необходимы следующие данные:
расходы (выделенные ресурсы) на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;
величины потерь (рисков), обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации.
Содержание и объеме разового ресурса, выделяемого на защиту информации, приведен в таблице 3.4.
Таблица 3.4
Содержание и объем разового ресурса, выделяемого на защиту информации
Организационные мероприятия № п\п Выполняемые действия Среднечасовая зарплата специалиста (руб.) Трудоемкость операции (чел.час) Стоимость, всего (руб.) 1 Установка СКУД «Elsys» 150 100 15000 2 Проведение обучающих занятий с сотрудниками предприятия 200 40 8000 3 Установка системы видеонаблюдения «TRASSIR» 200 80 16000 4 Проведение обучающих занятий с сотрудниками предприятия 200 20 4000 5 Установка Сонаты - Р2 200 5 1000 6 Установка генератора шума ГШ 2500 200 5 1000 7 Настройка Microsoft Data Protection Management License 200 8 1600 8 Настройка Microsoft Operations Manager 2007 200 8 1600 9 Установка и настройка Kaspersky IS 8.0 200 8 1600 Стоимость проведения организационных мероприятий, всего 91800
Перечень затрат на ПиАСИБ приведен в таблице 3.5.
Таблица 3.5
Перечень затрат на ПиАСИБ
№ п/п Номенклатура ПиАСИБ, расходных материалов Стоимость, единицы (руб) Кол-во (ед.измерения) Стоимость, всего (руб.) СКУД «Elsys» 1 Усиленный электромоторный системный турникет 60000 2 120000 2 Программный модуль «Барьер» 40000 1 40000 3 Универсальный контроллер - интерфейсный модуль 8000 1 8000 4 Считыватель бесконтактных карт доступа 2200 30 66000 5 Генератора шума ГШ 2500 15000 1 15000 6 Соната – Р2 15000 2 30000 Стоимость проведения мероприятий инженерно-технической защиты 279000 Объем разового ресурса, выделяемого на защиту информации 370800
Объеме постоянного ресурса, выделяемого на защиту информации, приведен в таблице 3.5.
Таблица 3.5
Содержание и объем постоянного ресурса, выделяемого на защиту информации
Организационные мероприятия № п\п Выполняемые действия Среднечасовая зарплата специалиста (руб.) Трудоемкость операции (чел.час) Стоимость, всего (руб.) 1 Дежурство по ТСО 100 720 72000 2 Дежурство администратора сети 200 270 54000 3 Аудит работы ИС 200 30 6000 4 Выполнение плановых мероприятий по ИБ 200 10 2000 5 Выполнение плановых мероприятий по ТСО 200 15 3000 Стоимость проведения организационных мероприятий, всего 137000 Мероприятия инженерно-технической защиты № п/п Номенклатура ПиАСИБ, расходных материалов Стоимость, единицы (руб) Кол-во (ед.измерения) Стоимость, всего (руб.) 1 Запасные считыватели бесконтактных карт доступа 2200 5 11000 2 Резервные рабочие станции 20000 10 200000 3 Резервные сервера 60000 1 60000 4 Резервные датчики пожарной сигнализации 300 20 6000 5 Резервные датчики охранной сигнализации 200 20 4000 6 Резервные носители информации 3000 4 12000 7 Резервные БСК 300 30 9000 Стоимость проведения мероприятий инженерно-технической защиты 302000 Объем постоянного ресурса, выделяемого на защиту информации 439000
Суммарный объем выделенного ресурса составил: 370800+439000= 809800 рублей (данные взяты из таблиц 3.4 и 3.5 – суммарный размер разового и постоянного ресурсов).
Рассчитанная величина ущерба составила: 6757000 рублей (данная величина взята из таблицы 3.3).
Тем не менее, часть угроз является маловероятными и ими можно пренебречь, таковыми, например, являются стихийные бедствия (потопы, ураганы).
Величина потерь для активов предприятия после внедрения системы ИБ приведена в таблице.
Таблица 3.6
Величины потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации
Актив Угроза Величина потерь (тыс.руб.) Инструкции по безопасности Намеренное повреждение 400 Кража 20 Информация о сделках Кража 80 Несанкционированное использование носителей данных 70 Нелегальное проникновение злоумышленников под видом санкционированных пользователей 80 Ошибка операторов 60 Персональные данные клиентов Кража 50 Персональные данные сотрудников Кража 60 Сервер БД Намеренное повреждение 50 Вредоносное программное обеспечение 20 Неисправности в системе электроснабжения 10 Аппаратные отказы 10 Ошибка обслуживающего персонала 5 Ошибка при обслуживании 5 Программные сбои 5 Ошибка операторов 5 Сбои в функционировании услуг связи 5 Колебания напряжения 2 Затопление 60 Система «1С: Предприятие» Намеренное повреждение 5 Кража 5 Вредоносное программное обеспечение 5 Ошибка операторов 4 Ошибка обслуживающего персонала 4 Ошибка при обслуживании 4 Программные сбои 4 Сбои в функционировании услуг связи 4 Суммарная величина потерь 1032
Динамику величин потерь за 2 года с использование СЗИ и без использования СЗИ приведена в таблице 3.7 (данные за первый год взяты из таблиц 3.3 и 3.6).
Таблица 3.7
Оценка динамики величин потерь
1 кв. 2 кв. 3 кв. 1 год 1 кв. 2 кв. 3 кв. 2 год До внедрения СЗИ 1689250 3378500 5067750 6757000 8446250 10135500 11824750 13514000 После внедрения СЗИ 258000 516000 774000 1032000 1290000 1548000 1806000 2064000 Снижение потерь 1431250 2862500 4293750 5725000 7156250 8587500 10018750 11450000
Таким образом, период окупаемости, рассчитываемый по формуле
Ток = R∑ / (Rср – Rпрогн) (3.3)
где
R∑ - суммарный объем выделенного ресурса;
Rср – средняя суммарная стоимость потерь за 2 года (среднее арифметическое 1 строки таблицы 3.7);
Rпрогн - суммарная стоимость потерь (данная величина взята из таблицы 3.3)
Составляет Ток = 764800 / (7601625 - 6757000) = 684000 / 844625= 0,81 года
Заключение
Целью данной работы является обеспечение нормального функционирования предприятия путем разработки политики безопасности и расчета стоимости рисков.
В ходе достижения поставленной цели были выполнение следующие задачи:
Проведен анализ предметной области;
Проведен анализ активов организации и отранжировать их;
Проведен анализ угроз и уязвимостей для каждого актива;
Проведен анализ программно-технической архитектуры организации;
Проведен анализ существующих технических средств охраны;
Разработан перечень решений по правовому, инженерному и организационному обеспечению ИБ;
Проведено экономическое обоснование проекта ИБ.
На первом этапе проводился анализ информации, циркулирующей в организации, системы безопасности организации, а также анализ угроз и уязвимостей информации.
Все активы предприятия отранжированы по ценности, определены угрозы и уязвимости для каждого актива.
Описана программная и техническая архитектура организации, описаны существующие технические средства охраны (пожарная и охранная сигнализация).
Далее даны решения по инженерному и организационному обеспечению системы ИБ.
Во второй главе дан анализ правовых основ обеспечения информационной безопасности в организации, описана структура программно-аппаратного комплекса системы ИБ.
В третьей, было приведено технико-экономическое обоснование внедряемой системы защиты и рассчитаны сроки ее окупаемости.
СПИСОК ИСПОЛЬЗУЕМЫЗХ ИСТОЧНИКОВ
Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право: Учебник/Под ред. Акад. РАН Б.Н. Топорникова. - СПб.: Издательство «Юридический центр Пресс», 2001.
Герасименко В.А., Малюк А.А. Основы защиты информации. – М.: 2000.
Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности: Учебное пособие для ВУЗов. – М.: Радио и связь, 2000. – 192с.
Диева С.А., Шаеаева А.О. Организация и современные методы защиты информации. — М: Концерн «Банковский Деловой Центр», 2004.
Мельников В.В. Безопасность информации в автоматизированных системах. – М.: Финансы и статистика, 2003. – 368с.
Козлачков П.С., Основные направления развития систем информационной безопасности. – М.: финансы и статистика, 2004.- 736 с.
Леваков Г.Н., Анатомия информационной безопасности. – М.: ТК Велби, издательство Проспект, 2004.- 256 с.
Герасименко В.А. Защита информации в автоматизированных системах обработки данных.— М., 1993. Ч. 1,2.
Горбатов В.С, Кондратьева Т. А. Информационная безопасность. Основы правовой защиты. — М., 1993.
Соколов Д.Н., Степанюк А. Д., Защита от компьютерного терроризма. – М.: БХВ-Петербург, Арлит, 2002.- 456 с.
Сыч О.С., Комплексная антивирусная защита локальной сети. – М.: финансы и статистика, 2006.- 736 с.
Закон Российской Федерации «О государственной тайне» от 21.07.93 №5485-1.
Закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. № 149-ФЗ;
Закон Российской Федерации «О персональных данных» от 27.07.2006г. № 152-ФЗ.
«Доктрина информационной безопасности Российской Федерации», утверждена Президентом Российской Федерации 9.09.2000 г. № Пр.-1895.
Указ Президента Российской Федерации от 17.12.97 г. № 1300 «Концепция национальной безопасности Российской Федерации» в редакции указа Президента Российской Федерации от 10.01.2000 г. №24.
Указ Президента Российской Федерации от 06.03.97 г. № 188 «Перечень сведений конфиденциального характера».
Указ Президента Российской Федерации «Об утверждении перечня сведений, отнесенных к государственной тайне» от 30.11.95 №1203.
«Положение о сертификации средств защиты информации». Утверждено постановлением Правительства Российской Федерации от 26.06.95 №608.
ГОСТ Р 50922-96 «Защита информации. Основные термины и определения».
ГОСТ 29339-92 «Информационная технология. Защита информации от утечки за счет ПЭМИН при её обработке средствами вычислительной техники. Общие технические требования».
ГОСТ Р 50752-95 «Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при её обработке средствами вычислительной техники. Методы испытаний».
ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения».
ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищенном исполнении».
ГОСТ Р 51241-98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний».
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.
230201.3.ПК12ПЗ.
Лист
Дата
Подпись
№ докум.
Лист
Изм.