Лабораторная работа Исследование системы анализа рисков и проверки политики информационной безопасности предприятия
жүктеу/скачать 7,35 Mb. Pdf көрінісі
|
Зертханалық жұмыстар
| 3. Интерфейс системы.
49 Рис.18. Главное окно программы Первым этап. Определения полного списка информационных ресурсов, представляющих ценность для компании. 50 Рис. 19. Интерфейс программы. Вкладка «Информационные ресурсы». Данная вкладка позволяет отметить виды информации, циркулирующие в системе: Это может быть: - Финансовая информация - Бухгалтерская информация - Информация о зарплатах - Объемы продаж - Себестоимость продукции - Ценная информация - Информация о клиентах в электронном виде - Информация о партнерах в электронном виде - Информация о сотрудниках в электронном виде - Техническая информация о продуктах - Исходные тексты программных продуктов Дистрибутивы программных продуктов ( в том числе и собственные) 51 Стратегические планы развития компании в электронном виде: Вкладка «Пользователи системы» дает возможность выбрать из приведенного списка тех пользователей, которые имеют отношение к данной информационной системе. Это могут быть: Системные администраторы Офицеры безопасности Менеджеры Операторы или обычные пользователи Рис. 20. Интерфейс программы. Вкладка «Пользователи системы» Вкладка «Аппаратные средства» позволяет определить, место хранение и обработки информации. Это могут быть: Сервера Рабочие станции Твердые копии 52 Рис. 21. Интерфейс программы. Вкладка «Аппаратные средства». На вкладке приведенной ниже происходит привязка данных. Требуется расположить на каждом из ранее введенных ресурсов все указанные ранее виды ценной информации. Рис. 22. Интерфейс программы. Вкладка «Привязка данных». Кроме этого на этом этапе работы необходимо еще определить стоимость 53 информации. То есть необходимо оценить ущерб, который понесет компания в случае реализации одной из трех классических угроз, направленных на информацию. Речь идет об угрозах: конфиденциальности (право на чтение), целостности (право на запись) и отказа в обслуживании (нарушение работоспособности ресурса, на котором хранится ценная информация). По ценной информации, расположенной на каждом ресурсе, необходимо указать какой ущерб компания понесет в случае, если: ценная информация будет украдена (угроза конфиденциальности) ценная информация будет уничтожена или изменена (угроза целостности) доступ к ценной информации будет заблокирован на один час Оценивая ущерб от реализации угроз, необходимо учитывать: цену ресурса - затраты на производство; стоимость восстановления или создания (покупку) нового ресурса; стоимость восстановления работоспособности организации (при работе с искаженным ресурсом, без него, при дезинформации); стоимость вынужденного простоя; стоимость упущенной выгоды (потерянный контракт); стоимость выплаты неустоек, штрафов (за невыполнение обязательств контракта); стоимость затрат на реабилитацию подмоченной репутации, престижа, имени фирмы; стоимость затрат на поиск новых клиентов, взамен более не доверяющих фирме; стоимость затрат на поиск (или восстановление) новых каналов связи, информационных источников. Часто люди реально даже не представляют , чем владеют. Однако за владельцев оценить информацию не возможно. Предполагаемый злоумышленник может, конечно, оценить туже информацию иначе. Значить кто-то тут ошибается: владелец или злоумышленник. Здесь речь идет о приблизительной оценки. Точно оценить информацию очень сложно. После проделанной работы мы переходим к следующему этапу, этапу «Проверки организационных мер обеспечения информационной безопасности на соответствие положением МСБ ISO 17799». 54 Рис. 23. Интерфейс программы. Вкладка «Организационные меры». Пользователю предлогается ответить на вопросы, разработанные после изучение положений МБО. Вопросы структурированы по разделам стандарта. Выбор раздела осуществляется в левой части экрана щелчком правой кнопки мыши. Вопросы отображаются в правой части. Это форма, как и все остальные, снабжена подсказками. После ответа на все вопросы, пользователь нажимает кнопку далее и программа переходит к следующему окну. 55 Рис. 24. Интерфейс программы. Вкладка «Доступ». Здесь необходимо определить доступ пользователей и его права (чтение, запись, удаление) ко всем ресурсам, содержащим ценную информацию. Переходим к следующему окну. жүктеу/скачать 7,35 Mb. Достарыңызбен бөлісу:
|