Читайте также:
|
Домашнее задание
по предмету: «Теория риска»
Выполнила:
студентка 331 УБ
Горячева А.С.
Проверила:
Иванченко Е.В.
Киев 2013
І ЭТАП
1. Внимательно изучить сценарий и ознакомиться с рекомендованной литературой.
2. Сделать оценку риска стандартного сценария с помощью программного продукта Microsoft Security Assessment Tool (MSAT).
Интерпретация графиков
Ÿ Показатель ПРБ находится в диапазоне от 0до 100,где более высокая оценка подразумевает более высокий показатель потенциального риска для бизнеса в данной специфической области анализа (AoA). Важно отметить, что нулевое значение в данном случае невозможно, так как деловая деятельность сама по себе подразумевает наличие какого-то уровня риска. Кроме того, важно понимать, что существуют определенные аспекты ведения бизнеса, для которых отсутствует прямая стратегия снижения риска.
-профиль риска для бизнеса (ПРБ):Величина измерения риска, которому подвергается организация, взависимости от бизнес-среды и отрасли, в условиях которых она конкурирует. -AoAs:Области анализа, которые являются инфраструктуры, приложений, операции, и люди.
Ÿ Индекс DiDI также находится в диапазоне от 0до 100.Высокий показатель свидетельствует о среде, в которой было принято множество мер для развертывания стратегий эшелонированной защиты (DiD) в конкретной области (AoA). Показатель DiDI не отражает общей эффективности безопасности или же ресурсы, затраченные на безопасность. Это, скорее, отражение общей стратегии, использованной для защиты среды.
-индекс эшелонированной защиты (DiDI):Величина измерения защитных мер по обеспечению безопасности, используемых в отношении персонала, процессов и технологий для снижения рисков, выявленных на предприятии.
Ÿ На первый взгляд, может показаться, что низкий показатель ПРБ и высокий показатель DiDI -это хороший результат, но это не всегда так. Масштаб данной самооценки не предусматривает все факторы, которые следует принятьво внимание. При значительной диспропорции между показателями ПРБ и DiDI в конкретной области анализа рекомендуется изучить ее (AoA) как можно глубже. При анализе результатов важно учитывать индивидуальные показатели, как для ПРБ, так и DiDI, по отношению друг к другу. Стабильная среда, вероятно, будет представлена сравнительно одинаковыми показателями во всех областях. Разница между показателями DiDI -это явный признак того, что общая стратегия безопасности базируется на одной методике снижения риска. Если стратегия обеспечения безопасности не уравновешивает аспекты,связанные с персоналом, процессами и технологиями, то для среды существует вероятность повышенной уязвимости длязлонамеренных атак.
ІІ ЭТАП
1. Создать свой сценарий, по которому можно получить полный объем информации для оценки риска. Исходные данные смотреть в таблице 1.
| Вариант сума 2-х последних цифр зачетной книжке | Название предприятия | Территория | Количество сотрудников | Наличие филиалов | Сфера деятельности | Главное девствующее лицо | Максимальное количество ответов «не знаю» |
| Трест | - | Разработка средств ТЗИ | Научный руководитель |
Александр устроился на работу в фирму «Трест», которая занимается разработкой средств технической защиты информации (ТЗИ). Он занял должность научного руководителя. В организации работают 150 сотрудников. Фирма разрабатывает средства ТЗИ, а также сотрудничает с фирмами - поставщиками программных и аппаратных средств защиты, которые используются в работах для построения средств ТЗИ и так же для нужд фирмы. Главным регулирующим государственным органом деятельности фирмы, является государственная служба специальной связи и защиты информации Украины.
Первый рабочий день начался с 8.00 часов утра в понедельник. Главный офис находился в деловом районе города. Фирма арендовала отдельно стоящее здание, общая площадь офиса занимает двухэтажное здание. На территорию здания можно попасть, только пройдя через контрольно-пропускной пункт который оборудован турникетами и устройствами считывания. Александр, подойдя к территории позвонил в офис фирмы, чтоб его провели через КПП, поскольку его пропуск не был еще изготовлен. На КПП Александра встретил сотрудник фирмы, который был уполномочен сопроводить и ознакомить Александра с деятельностью фирмы и с его непосредственными обязанностями. Здание офиса находится в 50 метрах от КПП. Подходя к зданию, Александр обратил внимание, что здание оснащено системой видеонаблюдения. Александр с сотрудником фирмы зашли в здание через парадную дверь и прошли в кабинет генерального директора, который находится на 2 этаже, потом в отдел кадров и сам IT-отдел (на 1 этаже). Александр обратил внимание, что в помещении используется сигнализация и система противопожарной защиты.
Сперва Александра пригласили пройти в отдел кадров для подписания договора найма после проверки данных, которые он подал. Александр ознакомился с основными пунктами договора и подписал его.
После всех инструктажей и знакомства с работниками научного отдела, Александр начал работу и в первую очередь пригласил в свой кабинет своего заместителя. Первый вопрос, который интересовал Александра, касался конфигурации сети и защитных механизмов на фирме. Заместитель рассказал Александру, что компания использует 1 сервер и общее число рабочих станций вместе с филиалами фирмы составляет 150 ПК согласно числу сотрудников. Фирма покупает безлимитный интернет у крупного провайдера города. Клиенты доступ имею только на сайт фирмы. Фирма занимается разработкой как аппаратных, так и программных средств защиты. Поэтому регулярное обновление приложений клиенты могут скачивать с сервера, который доступен как внутренним, так и внешним пользователям (через Интернет). Все используемые приложения регулярно тестируются, и в случае сбоя выполняется восстановление приложения. Тестирование всех приложений происходит во внутренней сети фирмы. Конфигурирования сети выполняется внутренним персоналом. Так же в фирме существует WI-FI соединения, с помощью которого сотрудники могут подсоединять свои ноутбуки. Александр отметил, что такое подключение не допустимо, это может привести к утечке конфиденциальной информации и бесконтрольному её выносу за пределы фирмы. При утечке такой информации компания может понести большие убытки, и соответственно пострадают клиенты, с которыми работает фирма, в том числе понести ответственность согласно действующему законодательству Украины. Так как для деятельности в такой сфере услуг фирма получила лицензию. Так же научный руководитель отметил, что информация, хранящаяся в сети и в том числе на ПК сотрудников, не категорирована. Фирма руководствуется нормами Украинского законодательства.
Что касается защиты, Александр отметил – используются аппаратные межсетевые экраны, которые развернутые на границах сети и тестируются регулярно; антивирусная защита на рабочих станциях и на сервере; учетные записи делятся на администраторов и пользователей, все защищены простым паролем и для удаленного подключения также. Предусмотрена блокировка учетных записей при неоднократном введении не правильного пароля. Существует блокировка рабочего стола – электронная заставка с паролем. Сервер, сетевое оборудование, аппаратные средства ТЗИ находятся в специальных панелях и в закрытых, оборудованных помещениях которые оснащены пожарной и охранной сигнализацией. За нарушением безопасности следят администраторы, которые докладываю начальнику IT - отдела. Начальник должен руководствоваться инструкцией, утвержденной генеральным директором. Александру предстояло ознакомиться со множеством инструкций, которые образовывали политику безопасности. Обучение персонала происходит регулярно раз в год. Каждый сотрудник ознакомлен со своими обязанностями в сфере ИБ. Оценка состояния ИБ проводиться раз в полгода собственными силами фирмы. Все неиспользованные ресурсы фирмы уничтожаются обычным путем без инструкций и процедур.
Александру предстояло провести внутренний аудит состояния информационной безопасности в своем отделе и провести корректирующие работы по повышению уровня защиты.
2. Сделать оценку риска с помощью программного продукта Microsoft Security Assessment Tool (MSAT).
Дата добавления: 2015-10-26; просмотров: 97 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Глава 10. Ни это, ни то. | | | Интерпретация графиков |