Файл: «Виды и состав угроз информационной безопасности» (ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ).pdf
Добавлен: 28.03.2023
Просмотров: 99
Скачиваний: 1
СОДЕРЖАНИЕ
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1.1 Идентификация и оценка информационных активов
1.2. Выбор защитных мер информационной безопасности
ГЛАВА 2. АНАЛИЗ ПРАКТИКИ ЗАЩИТЫ ИНФОРМАЦИИ
2.1 Комплекс проектируемых программно-аппаратных средств
2.2 Выбор и обоснование методики расчёта экономической эффективности
СКУД «Elsys» и система видеонаблюдения «TRASSIR» устанавливается поставщиком данной системы. Компания-поставщик проводит обучающие семинары с сотрудниками службы безопасности организации, осуществляет сервисное обслуживание.
Настройку программных средств осуществляет официальный поставщик ПО компании Microsoft. Все штатные средства ОС Windows также устанавливают сотрудники компании-поставщика.
Генератор шума ГШ-2500 устанавливается в зале совещаний и включается при проведении конфиденциальных переговоров.
Сонаты - Р2 устанавливается в помещениях предприятия.
Сотрудники отдела безопасности и информационно-технического отдела проходят специальное обучение использования данных программных средств и в дальнейшем работают с ними самостоятельно.
За исправное состояние программных средств несет ответственность дежурный системный администратор.
За исправность технических средств охраны несет ответственность сотрудник отдела безопасности – дежурный начальник смены.
2.2 Выбор и обоснование методики расчёта экономической эффективности
Исходной посылкой при экономической эффективности является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится некоторый ущерб, с другой - обеспечение защиты информации сопряжено с расходованием средств. Полная ожидаемая стоимость защиты может быть выражена суммой расходов на защиту и потерь от ее нарушения.
Очевидно, что оптимальным решением было бы выделение на защиту информации средств, минимизирующих общую стоимость работ по защите информации.
Также очевидно, что экономическая эффективность мероприятий по защите информации может быть определена, через объем предотвращенного ущерба или величину снижения риска для информационных активов организации.
Для определения экономического эффекта от внедрения системы ИБ на предприятии воспользуемся первым вариантом (через объем предотвращенного ущерба), так как известны ожидаемые потери при нарушении защищенности информации и зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.
Для определения уровня затрат Ri нам известен: перечень угроз информации, потенциальную опасность для информации для каждой из угроз, размеры затрат, необходимых для нейтрализации каждой из угроз.
Для определения уровня затрат возможно использование эмпирической зависимости ожидаемых потерь (рисков) от i-й угрозы информации, формула
Ri = 10(Si + Vi – 4) (3.1)
где
Si – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;
Vi – коэффициент, характеризующий значение возможного ущерба при ее возникновении.
Значения коэффициентов Si иVi, приведенные в таблице 2.1 и 2.2.
Таблица 2.1
Значения коэффициентов Si
|
Ожидаемая (возможная) частота появления угрозы |
Предполагаемое значение Si |
|
Почти никогда |
0 |
|
1 раз в 1 000 лет |
1 |
|
1 раз в 100 лет |
2 |
|
1 раз в 10 лет |
3 |
|
1 раз в год |
4 |
|
1 раз в месяц (примерно, 10 раз в год) |
5 |
|
1-2 раза в неделю (примерно 100 раз в год) |
6 |
|
3 раза в день (1000 раз в год) |
7 |
|
Таблица 2.2 Значения коэффициентов Vi |
|
|
Значение возможного ущерба при проявлении угрозы, руб. |
Предполагаемое значение Vi |
|
30 |
0 |
|
300 |
1 |
|
3 000 |
2 |
|
30 000 |
3 |
|
300 000 |
4 |
|
3 000 000 |
5 |
|
30 000 000 |
6 |
|
300 000 000 |
7 |
Суммарная стоимость потерь определяется формулой 2.2
R=
где
N – количество угроз информационным активам,
Ri – стоимость потерь от реализации угрозы к активу.
Результаты расчетов для активов предприятия представлены в таблице 2.3.
Таблица 2.3
Величины потерь (рисков) для критичных информационных ресурсов
до внедрения/модернизации системы защиты информации
|
Актив |
Угроза |
Величина потерь (тыс.руб.) |
|---|---|---|
|
Инструкции по безопасности |
Намеренное повреждение |
900 |
|
Кража |
1400 |
|
|
Информация о деятельности предприятия |
Кража |
2400 |
|
Несанкционированное использование носителей данных |
700 |
|
|
Нелегальное проникновение злоумышленников под видом санкционированных пользователей |
800 |
|
|
Ошибка операторов |
60 |
|
|
Персональные данные клиентов |
Кража |
150 |
|
Персональные данные сотрудников |
Кража |
90 |
|
Сервер БД |
Намеренное повреждение |
60 |
|
Вредоносное программное обеспечение |
30 |
|
|
Неисправности в системе электроснабжения |
10 |
|
|
Аппаратные отказы |
10 |
|
|
Ошибка обслуживающего персонала |
5 |
|
|
Ошибка при обслуживании |
5 |
|
|
Программные сбои |
5 |
|
|
Ошибка операторов |
5 |
|
|
Сбои в функционировании услуг связи |
5 |
|
|
Колебания напряжения |
2 |
|
|
Затопление |
60 |
|
|
Система «1С: Предприятие» |
Намеренное повреждение |
10 |
|
Кража |
10 |
|
|
Вредоносное программное обеспечение |
10 |
|
|
Ошибка операторов |
6 |
|
|
Ошибка обслуживающего персонала |
6 |
|
|
Ошибка при обслуживании |
6 |
|
|
Программные сбои |
6 |
|
|
Сбои в функционировании услуг связи |
6 |
|
|
Суммарная величина потерь |
6757 |
|
2.3 Расчёт показателей экономической эффективности проекта
Риск владельца информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, определяется ресурсами системы.
Ресурс может быть определен в виде количества людей, привлекаемых к защите информации, в виде инженерных конструкций и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительства, разработки и покупки технических средств, их эксплуатации и других расходов.
Наиболее общей формой представления ресурса является денежная мера.
Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.
Разовый ресурс расходуется на закупку, установку и наладку дорогостоящей техники.
Постоянный ресурс — на заработную плату сотрудникам службы безопасности и поддержание определенного уровня безопасности, прежде всего, путем эксплуатации технических средств и контроля эффективности защиты.
Для определения экономической эффективности системы защиты информации предприятия необходимы следующие данные:
- расходы (выделенные ресурсы) на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;
- величины потерь (рисков), обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации.
Содержание и объеме разового ресурса, выделяемого на защиту информации, приведен в таблице 2.4.
Таблица 2.4
Содержание и объем разового ресурса, выделяемого на защиту информации
|
Организационные мероприятия |
||||
|
№ п\п |
Выполняемые действия |
Среднечасовая зарплата специалиста (руб.) |
Трудоемкость операции (чел.час) |
Стоимость, всего (руб.) |
|
1 |
Установка СКУД «Elsys» |
150 |
100 |
15000 |
|
2 |
Проведение обучающих занятий с сотрудниками предприятия |
200 |
40 |
8000 |
|
3 |
Установка системы видеонаблюдения «TRASSIR» |
200 |
80 |
16000 |
|
4 |
Проведение обучающих занятий с сотрудниками предприятия |
200 |
20 |
4000 |
|
5 |
Установка Сонаты - Р2 |
200 |
5 |
1000 |
|
6 |
Установка генератора шума ГШ 2500 |
200 |
5 |
1000 |
|
7 |
Настройка Microsoft Data Protection Management License |
200 |
8 |
1600 |
|
8 |
Настройка Microsoft Operations Manager 2007 |
200 |
8 |
1600 |
|
9 |
Установка и настройка Kaspersky IS 8.0 |
200 |
8 |
1600 |
|
Стоимость проведения организационных мероприятий, всего |
91800 |
|||
Перечень затрат на ПиАСИБ приведен в таблице 2.5.
Таблица 2.5
Перечень затрат на ПиАСИБ
|
№ п/п |
Номенклатура ПиАСИБ, расходных материалов |
Стоимость, единицы (руб) |
Кол-во (ед.измерения) |
Стоимость, всего (руб.) |
|
СКУД «Elsys» |
||||
|
1 |
Усиленный электромоторный системный турникет |
60000 |
2 |
120150 |
|
2 |
Программный модуль «Барьер» |
40000 |
1 |
40000 |
|
3 |
Универсальный контроллер - интерфейсный модуль |
8000 |
1 |
8000 |
|
4 |
Считыватель бесконтактных карт доступа |
2200 |
30 |
66000 |
|
5 |
Генератора шума ГШ 2500 |
15000 |
1 |
15000 |
|
6 |
Соната – Р2 |
15000 |
2 |
30000 |
|
Стоимость проведения мероприятий инженерно-технической защиты |
279000 |
|||
|
Объем разового ресурса, выделяемого на защиту информации |
370800 |
|||
Объеме постоянного ресурса, выделяемого на защиту информации, приведен в таблице 2.5.
Таблица 2.5
Содержание и объем постоянного ресурса, выделяемого на защиту информации
|
Организационные мероприятия |
||||
|
№ п\п |
Выполняемые действия |
Среднечасовая зарплата специалиста (руб.) |
Трудоемкость операции (чел.час) |
Стоимость, всего (руб.) |
|
1 |
Дежурство по ТСО |
100 |
720 |
72015 |
|
2 |
Дежурство администратора сети |
200 |
270 |
54000 |
|
3 |
Аудит работы ИС |
200 |
30 |
6000 |
|
4 |
Выполнение плановых мероприятий по ИБ |
200 |
10 |
2015 |
|
5 |
Выполнение плановых мероприятий по ТСО |
200 |
15 |
3000 |
|
Стоимость проведения организационных мероприятий, всего |
137000 |
|||
|
Мероприятия инженерно-технической защиты |
||||
|
№ п/п |
Номенклатура ПиАСИБ, расходных материалов |
Стоимость, единицы (руб) |
Кол-во (ед.измерения) |
Стоимость, всего (руб.) |
|
1 |
Запасные считыватели бесконтактных карт доступа |
2200 |
5 |
11000 |
|
2 |
Резервные рабочие станции |
20150 |
10 |
201500 |
|
3 |
Резервные сервера |
60000 |
1 |
60000 |
|
4 |
Резервные датчики пожарной сигнализации |
300 |
20 |
6000 |
|
5 |
Резервные датчики охранной сигнализации |
200 |
20 |
4000 |
|
6 |
Резервные носители информации |
3000 |
4 |
12015 |
|
7 |
Резервные БСК |
300 |
30 |
9000 |
|
Стоимость проведения мероприятий инженерно-технической защиты |
302015 |
|||
|
Объем постоянного ресурса, выделяемого на защиту информации |
439000 |
|||
Суммарный объем выделенного ресурса составил: 370800+439000= 809800 рублей (данные взяты из таблиц 2.4 и 2.5 – суммарный размер разового и постоянного ресурсов).
Рассчитанная величина ущерба составила: 6757000 рублей (данная величина взята из таблицы 2.3).
Тем не менее, часть угроз является маловероятными и ими можно пренебречь, таковыми, например, являются стихийные бедствия (потопы, ураганы).
Величина потерь для активов предприятия после внедрения системы ИБ приведена в таблице.
Таблица 2.6
Величины потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации
|
Актив |
Угроза |
Величина потерь (тыс.руб.) |
|---|---|---|
|
Инструкции по безопасности |
Намеренное повреждение |
400 |
|
Кража |
20 |
|
|
Информация о сделках |
Кража |
80 |
|
Несанкционированное использование носителей данных |
70 |
|
|
Нелегальное проникновение злоумышленников под видом санкционированных пользователей |
80 |
|
|
Ошибка операторов |
60 |
|
|
Персональные данные клиентов |
Кража |
50 |
|
Персональные данные сотрудников |
Кража |
60 |
|
Сервер БД |
Намеренное повреждение |
50 |
|
Вредоносное программное обеспечение |
20 |
|
|
Неисправности в системе электроснабжения |
10 |
|
|
Аппаратные отказы |
10 |
|
|
Ошибка обслуживающего персонала |
5 |
|
|
Ошибка при обслуживании |
5 |
|
|
Программные сбои |
5 |
|
|
Ошибка операторов |
5 |
|
|
Сбои в функционировании услуг связи |
5 |
|
|
Колебания напряжения |
2 |
|
|
Затопление |
60 |
|
|
Система «1С: Предприятие» |
Намеренное повреждение |
5 |
|
Кража |
5 |
|
|
Вредоносное программное обеспечение |
5 |
|
|
Ошибка операторов |
4 |
|
|
Ошибка обслуживающего персонала |
4 |
|
|
Ошибка при обслуживании |
4 |
|
|
Программные сбои |
4 |
|
|
Сбои в функционировании услуг связи |
4 |
|
|
Суммарная величина потерь |
1032 |
|