Лабораторная работа Исследование системы анализа рисков и проверки политики информационной безопасности предприятия
жүктеу/скачать 7,35 Mb. Pdf көрінісі
|
Зертханалық жұмыстар
|
2.3. Выбор методика анализа рисков Как уже упоминалась выше для оценки угроз и уязвимостей используются различные методы, в основе которых могут лежать [6]: - Экспертные оценки. - Статистические данные. - Учет факторов, влияющих на уровни угроз и уязвимостей. Мы же, выбрали наиболее распространенный в настоящее время подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты. Нам необходимо оценит следующие вероятности: - вероятность уровня(степени) угрозы и вероятность уровня уязвимости . Для оценки угроз выберем следующие косвенные факторы: - Статистика по зарегистрированным инцидентам. - Тенденции в статистке по подобным нарушениям. 38 - Наличие в системе информации, представляющей интерес для потенциальных внутренних или внешних нарушителей. - Моральные качества персонала. - Возможность извлечь выгоду из изменения обрабатываемой в системе информации. - Наличие альтернативных способов доступа к информации. Для оценки уязвимостей выберем следующие косвенные факторы: - Количество рабочих мест (пользователей) в системе. - Размер рабочих групп. - Осведомленность руководства о действиях сотрудников (разные аспекты). - Характер используемого на рабочих местах оборудования и ПО. - Полномочия пользователей. Далее мы берем подготовленный список вопросов, составленный при изучении разделов стандарта ISO 17799, и делим его на две части, влияющих на уровень угроз и влияющих на уровень уязвимости. Напротив фиксированных вариантов ответов поставим определенное количество баллов, определяющих уровень критичности. Для определения факторов влияющих на уровень угроз, приведем следующий вопрос с вариантами ответов: Может ли сокрытие информации принести прямую финансовую или иную выгоду сотрудникам? Варианты ответов: a) Да 15 б) Нет 0 Для определения факторов влияющих на уровень уязвимости, приведем следующий вопрос с вариантами ответов: Есть ли у сотрудников возможность осуществить несанкционированный доступ к информации (например, когда их непосредственно не контролируют, по вечерам и т.п.)? a) Да 20 б) Нет 0 39 Итоговая оценка угрозы и уязвимости данного класса будет определяться суммированием баллов. Программный код сам оценит степень угрозы и уязвимости по количеству накопленных балов. Таблица 4.Степень угрозы при количестве баллов. До 60 жүктеу/скачать 7,35 Mb. Достарыңызбен бөлісу:
|