Лабораторная работа Исследование системы анализа рисков и проверки политики информационной безопасности предприятия
жүктеу/скачать 7,35 Mb. Pdf көрінісі
|
Зертханалық жұмыстар
| 4. Тестирование системы
Данный пункт необходим для проведения проверки верного функционирования расчетного блока программного кода (его части). Тестирование направленно на изучение зависимости потерь организации от некоторых факторов ( от классификация злоумышленника, права доступа пользователей системы и организационных мер обеспечения информационной безопасности ). Используемая при тестировании программного продукта информация не основывается на конкретных значениях, для конкретного предприятия – это абстрактные данные об абстрактном предприятии, необходимые для процесса тестирования. Таблица 5. Исходные данные для исследования. Виды информации Бухгалтерская информация Информация о зарплатах Информация о клиентах в электронном виде 60 Исходные тексты программных продуктов Дистрибутивы программных продуктов ( в том числе и собственные) Информация о партнерах в электронном виде Пользователи системы Системный администратор Офицеры безопасности Пользователь Аппаратные средства Сетевая группа: Один сервер Три рабочих станции Теперь осуществим привязку данных. Расположим на каждом из ранее введенных ресурсов указанные виды ценной информации. Таблица 6. Привязка данных Сервер Исходные тексты программных продуктов Дистрибутивы программных продуктов (в том числе и собственные) Рабочая станция один Бухгалтерская информация Информация о зарплатах Рабочая станция два Бухгалтерская информация Информация о зарплатах Рабочая станция три Информация о клиентах в электронном виде 61 Информация о партнерах в электронном виде Для определения стоимости информации, необходимо оценить ущерб, который понесет компания в случае реализации трех классических угроз. В предыдущем шаге мы разместили один и тот же тип информации на двух рабочих станциях. В этом шаге мы еще и оценим их одинаково. В конце тестов мы посмотрим результат и оценим, на сколько правильно работает алгоритм системы. Таблица 7. Оценка информации Ресурс Информация Ущерб, в случае угрозы конфиденциальности, руб. Ущерб, в случае угрозы целостности, руб. Ущерб, в случае угрозы доступности, руб. Сервер Исходные тексты программных продуктов 80 000 50 000 120 000 Дистрибутивы программных продуктов 110 000 80 000 170 000 Рабочая станция один Бухгалтерская информация 5 000 140 000 120 000 Информация о зарплатах 130 000 260 000 100 000 Рабочая станция Бухгалтерская информация 5 000 140 000 120 000 62 два Информация о зарплатах 130 000 260 000 100 000 Рабочая станция три Информация о клиентах в электронном виде 150 000 170 000 250 000 Информация о партнерах в электронном виде 160 000 145 000 300 000 Определение доступа мы произведем по следующей схеме: 1) Ограничим доступ всех пользователей к информации, хранящейся на первой рабочей станции. 2) К тем же видам информации на второй рабочей станции права доступа оценим по разному. Таблица 8.Определение прав доступа пользователей на рабочей станции два Пользователи Информация Права доступа Системный администратор Бухгалтерская информация Чтение , запись, удаление Информация о зарплатах Чтение и запись Офицер безопасности Бухгалтерская информация Чтение , запись, удаление Информация о зарплатах Чтение и запись Пользователь Бухгалтерская информация Чтение и запись 63 Информация о зарплатах Чтение 3) Укажем доступ к информации, хранящейся на сервере и на третей рабочей станции в хаотичном порядке. Таблица 9. Определение прав доступа пользователей на рабочей станции три Пользователи Информация Права доступа Системный администратор Информация о клиентах в электронном виде Чтение , запись, удаление Информация о партнерах в электронном виде Чтение Офицер безопасности Информация о клиентах в электронном виде Доступ отсутствует Информация о партнерах в электронном виде Чтение, запись Пользователь Информация о клиентах в электронном виде Доступ отсутствует Информация о партнерах в электронном виде Чтение Таблица 10. Определение прав доступа пользователей на сервере Пользователи Информация Права доступа Системный администратор Исходные тексты программных продуктов чтение 64 Дистрибутивы программных продуктов (в том числе и собственные) Чтение и запись Офицер безопасности Исходные тексты программных продуктов Чтение, запись, удаление Дистрибутивы программных продуктов (в том числе и собственные) Чтение и запись Пользователь Исходные тексты программных продуктов Доступ отсутствует Дистрибутивы программных продуктов (в том числе и собственные) Доступ отсутствует Далее, для проверки организационных мер, осуществим невыполнение большинства требования международного стандарта ISO 17799. Это позволит увеличить уровень уязвимости системы. С помощью ответов на вопросы связанных с тем, на сколько сотрудники заинтересованы в неправомерных действиях, мы увеличим уровень угроз. Оценим ежегодные затраты на обеспечения информационной безопасности в 500 тысяч рублей. Процесс тестирования дал следующие результаты. Таблица 11.Результат расчета количественной характеристики рисков Ресурс Информация Риск связанный с угрозой Риск связанный с Риск связанный с 65 конфиденциальности, руб. угрозой целостности, руб. угрозой доступности, руб. Сервер Исходные тексты программных продуктов 480 000 400 000 960 000 Дистрибутивы программных продуктов 660 000 640 000 1 020 000 Рабочая станция один Бухгалтерская информация 30000 840000 720000 Информация о зарплатах 780000 1560000 600000 Рабочая станция два Бухгалтерская информация 40000 1120000 960000 Информация о зарплатах 1040000 2080000 600000 Рабочая станция три Информация о клиентах в электронном виде 900000 1020000 1500000 Информация о партнерах в электронном виде 960000 870000 1800000 Таблица 12. Результат расчета качественной характеристики рисков 66 Ресурс Информация Риск связанный с угрозой конфиденциальности Риск связанный с угрозой целостности Риск связанный с угрозой доступности Сервер Исходные тексты программных продуктов Риск велик Риск очень велик Риск очень велик Дистрибутивы программных продуктов Риск велик Риск очень велик Риск очень велик Рабочая станция один Бухгалтерская информация Риск велик Риск велик Риск велик Информация о зарплатах Риск велик Риск велик Риск велик Рабочая станция два Бухгалтерская информация Риск очень велик Риск очень велик Риск очень велик Информация о зарплатах Риск очень велик Риск очень велик Риск очень велик Рабочая станция три Информация о клиентах в электронном виде Риск велик Риск велик Риск велик Информация о партнерах в электронном виде Риск велик Риск велик Риск велик При этом система показала уровень системы защиты как низкий. 67 Рис. 30. Оценка уровня защиты. Тест номер один. Далее проведем следующее испытание программного комплекса. Теперь наоборот, попробуем выполнить как можно больше требований стандарта ISO17799.Это позволит увеличить уровень уязвимости системы и в некоторых случаях уровень угроз. Ответы ответов на вопросы связанные с тем, на сколько сотрудники заинтересованы в неправомерных действиях оставим такими же как и в первом тесте. Процесс тестирования дал следующие результаты. Таблица 13.Результат расчета количественной характеристики рисков Ресурс Информация Риск связанный с угрозой конфиденциальности, руб. Риск связанный с угрозой целостности, руб. Риск связанный с угрозой доступности, руб. 68 Сервер Исходные тексты программных продуктов 160000 100000 240000 Дистрибутивы программных продуктов 220000 240000 340000 Рабочая станция один Бухгалтерская информация 10000 280000 240000 Информация о зарплатах 260000 520000 200000 Рабочая станция два Бухгалтерская информация 10000 420000 240000 Информация о зарплатах 260000 780000 200000 Рабочая станция три Информация о клиентах в электронном виде 300000 340000 500000 Информация о партнерах в электронном виде 320000 290000 600000 Таблица 14. Результат расчета качественной характеристики рисков Ресурс Информация Риск связанный с угрозой конфиденциальности Риск связанный с угрозой Риск связанный с угрозой 69 целостности доступности Сервер Исходные тексты программных продуктов Риск мал Риск мал Риск мал Дистрибутивы программных продуктов Риск мал Риск существенный Риск существенный Рабочая станция один Бухгалтерская информация Риск мал Риск мал Риск мал Информация о зарплатах Риск мал Риск мал Риск мал Рабочая станция два Бухгалтерская информация Риск мал Риск существенный Риск существенный Информация о зарплатах Риск мал Риск существенный Риск существенный Рабочая станция три Информация о клиентах в электронном виде Риск мал Риск мал Риск мал Информация о партнерах в электронном виде Риск мал Риск мал Риск мал Организационные меры не соответствовали 23 положениям международного стандарта ISO 17799. 70 Рис. 31. Оценка уровня защиты. Тест номер два Из представленного материала мы видим , что произошло уменьшение риска до определенного уровня. Однако уровень угрозы со стороны сотрудников остался на определенном уровне, и это дало о себе знать. В целом система оценила уровень защиты как выше среднего. Полученные данные говорят о том, что не соблюдение положений стандарта ISO 17799 приводит к увеличению риска связанного с угрозой конфиденциальности, целостности и доступности. Это в полнее справедливо так как, стандарт определяет базовый набор требований безопасности для широкого класса ИС, который формируется в результате обобщения мировой практики. Мы заметили, что уровень рисков на рабочей станции два выше чем на номер один. Это говорит о том что, предоставление привилегированный прав доступа к информации, увеличивает уровень угрозы. Для борьбы с этим можно предпринять следующие меры. Для того, чтобы понизить риск вредоносного воздействия со стороны сотрудников, необходимо уже при составлении должности максимально минимизировать количество информационных объектов, к которым пользователь будет иметь доступ 71 впоследствии. В литературных источниках подобный принцип носит название принципа минимизации привилегий (либо прав доступа). Потери предприятия тем меньше, чем меньше в этих потерях заинтересованы сотрудники данного предприятия. Очевидна необходимость ввода личной ответственности за собственную деятельность в отношении информационных активов компании. Личная ответственность предполагает разделение обязанностей по отношению к объектам, к которым пользователь имеет доступ. Отсюда суть второго результата тестирования: чтобы понизить риск вредоносного воздействия со стороны сотрудников, нужно следовать правилу разделения обязанностей. При приеме на работу проводить проверку сотрудников на наличие положительных характеристик, полноты и точности резюме, подтверждение заявленного образования и профессиональной квалификации и независимую проверку документов – паспорта. жүктеу/скачать 7,35 Mb. Достарыңызбен бөлісу:
|