- •Курсова робота
- •Тема: «Побудова системи менеджменту інформаційної безпеки»
- •Завдання
- •Перший етап. Управлінський
- •Розподілити відповідальність за сміб
- •Другий етап. Організаційний.
- •Наказ № 12.23
- •Наказую
- •Визначити область діїСміб
- •Третій етап. Першочерговий аналіз сміб
- •Провести аналіз існуючої сміб
- •Визначити перелік робіт по допрацюванню існуючої сміб
- •Четвертий етап. Визначення політики і цілей сміб
- •Визначити політику сміб
- •ВизначитиціліСміб по кожному процесу сміб
- •П'ятий етап. Порівняння поточної ситуації зі стандартом
- •Провести навчання відповідальних за сміб за вимогам стандарту
- •5.2 Управління трудовими ресурсами
- •5.2.1 Забезпечення кадрами
- •Опрацювати вимоги стандарту
- •4.1 Загальні вимоги
- •4.2 Створення та менеджмент сміб
- •4.2.1 Створення сміб
- •Порівняти вимоги стандарту з існуючим станом справ
- •Шостий етап. Планування і впровадження сміб
- •Визначити перелік заходів для досягнення вимог стандарту
- •Розробитипосібник зінформаційноїбезпеки
- •Визначити відповідальних за активи
- •Восьмийетап.Розробка документації сміб
- •Визначити перелік документів(процедур, записів, інструкцій) для розробки
- •Розробка процедур та інших документів
- •Розробка і впровадження в дію документів сміб
- •4.3 Вимоги забезпечення документацією
- •4.3.1 Загальних положень
- •4.3.3 Контроль записів
- •Дев’ятий етап. Навчання персоналу
- •Навчання керівників підрозділів вимогам іб
- •Навчання всього персоналу вимогам іб
- •Одинадцатий етап. Внутрішній аудит сміб
- •Підбір команди внутрішнього аудиту сміб
- •Планування внутрішнього аудиту сміб
- •Проведеннявнутрішнього аудитуСміб
- •7.3 Вихідних даних перевірок
- •Тринадцятий етап. Офіційнийзапуск сміб
- •Наказ про введення в дію сміб
- •Чотирнадцятийетап.Сповіщення зацікавлених сторін
- •Інформування клієнтів, партнерів, змі про запуск сміб
- •Висновок
- •Список використаної літератури
Визначити відповідальних за активи
Відповідальними за активи в першу чергу є користувачі, оскільки за кожним працівником закріплені відповідні прості і складні активи. Детально відповідальних за активи було визначено в пункті 17цієї роботи.
Оцінити активи
Оцінку активів необхідно здійснювати за критеріями ціни і важливості для фірми. Займається цим працівник з інформаційної безпеки, використовуючи при цьому інформацію з бухгалтерії, через яку здійснюється закупка матеріальних активів і відділ кадрів, через який оформляються на роботу нематеріальні інформаційні ресурси – працівники.
Ідентифікувати загрози та вразливості активів
Загроза -це потенційна можливість завдання шкоди, з використанням вразливостей. Вразливість – слабкемісце системи з використанням якого можна реалізувати атаку на систему, в даному випадку – на активи.
Загрози і вразливості активів, наявних в БК «Озеленення» зазначимо в таблиці:
|
Назва активів |
Вразливості |
Потенційні загрози |
|
ПК |
За деяким ПК працює декілька працівників, ненадійність паролів |
Апаратні збої, крадіжка |
|
Телефони |
Підключення до загальної телефонної лінії |
Прослуховування телефонних переговорів |
|
Сервери |
Мають вихід в Інтернет |
Крадіжка, копіювання інформації |
|
База даних клієнтів |
Ненадійність паролів ПК, доступ до мережі Інтернет |
Копіювання даних , спотворення і підробка даних |
|
База даних працівників |
Ненадійність паролів ПК, доступ до мережі Інтернет |
Копіювання даних, спотворення і підробка даних |
|
База даних співпрац. фірм |
Ненадійність паролів ПК, доступ до мережі Інтернет |
Копіювання даних, спотворення і підробка даних |
|
Архівні документи |
Не всі архівні документи знаходяться в сейфах, доступність до архівів всіх працівників компанії |
Крадіжка і вивчення документації, її підробка |
|
Архівні ел.носії інф. |
Не всі архівні ел.носії інф. знаходяться в сейфах, доступність до них мають всі працівники компанії |
Копіювання даних, крадіжка, спотворення даних |
|
Документація |
Не зберігається в сейфах, до деяких документів доступ мають декілька працівниців |
Копіювання даних, крадіжка, підробка |
|
Фінансові звіти |
Ненадійність паролів ПК |
Копіювання даних, крадіжка, підробка, спотворення |
|
Сейфи |
Недостатня захищеність приміщення |
Вилучення цінних паперів |
|
Пакети ПЗ |
Антивірусний захист, ненадійність ПЗ
|
Збої в роботі ПЗ |
21. Розрахувати і ранжувати ризики
На етапі оцінки ризику визначається потенційний збиток від загроз порушення інформаційної безпеки для кожного ресурсу чи групи ресурсів. Зазвичай виходять з того, що рівень ризику залежить від імовірності реалізації певної загрози щодо певного об'єкта, а також від величини можливого збитку.
В алгоритмі оцінки ризиків розглядаються такі основні об'єктивні чинники:
загрози
уразливості
ризик.
Загрози характеризуються ймовірністю виникнення і ймовірністю реалізації.
Уразливості впливають на вірогідність реалізації загрози;
Ризик - фактор, що відображає можливий збиток організації в результаті реалізації загрози ІБ.
Кінцевою стадією оцінки є прийняття рішення про достатність використовуваних мір і засобів захисту (прийняття остаточного ризику) або про їх недостатності.
Слід провести ранжування можливих ризиків для активів компанії з допомогою одного з методів. Ймовірність виникнення і втрати оцінюються за 5-бальною шкалою, для визначення величини ризику Ймовірність виникнення * Втрати.
|
Назва активів |
Вразливості |
Потенційні загрози |
Ймовірність виникнення/Втрати |
Величина ризику |
Ранг ризику |
|
ПК |
За деяким ПК працює декілька працівників, ненадійність паролів |
Апаратні збої, крадіжка |
4/5 |
20 |
1 |
|
Телефони |
Підключення до загальної телефонної лінії |
Прослуховування телефонних переговорів |
2/3 |
6 |
5 |
|
Сервери |
Мають вихід в Інтернет |
Крадіжка, копіювання інформації |
4/5 |
20 |
1 |
|
База даних клієнтів |
Ненадійність паролів ПК, доступ до мережі Інтернет |
Копіювання даних, спотворення і підробка даних |
4/5 |
20 |
1 |
|
База даних працівників |
Ненадійність паролів ПК, доступ до мережі Інтернет |
Копіювання даних, спотворення і підробка даних |
4/5 |
20 |
1 |
|
База даних співпрацюючих фірм |
Ненадійність паролів ПК, доступ до мережі Інтернет |
Копіювання даних, спотворення і підробка даних |
4/5 |
20 |
1 |
|
Архівні документи |
Не всі архівні документи знаходяться в сейфах, доступність до архівів всіх працівників компанії |
Крадіжка і вивчення документації, її підробка |
4/3 |
12 |
3 |
|
Архівні ел.носії інф. |
Не всі архівні ел.носії інф. знаходяться в сейфах, доступність до них мають всі працівники компанії |
Копіювання даних, крадіжка, спотворення даних |
4/3 |
12 |
3 |
|
Документація |
Не зберігається в сейфах, до деяких документів доступ мають декілька працівників |
Копіювання даних, крадіжка, підробка |
4/5 |
20 |
1 |
|
Фінансові звіти |
Ненадійність паролів ПК |
Копіювання даних, крадіжка, підробка, спотворення |
4/4 |
16 |
2 |
|
Сейфи |
Недостатня захищеність приміщення |
Вилучення цінних паперів |
4/5 |
20 |
1 |
|
Пакети ПЗ |
Антивірусний захист, ненадійність ПЗ |
Збої в роботі ПЗ |
4/2 |
8 |
4 |
Розробити план по зниженню ризиків
План по зниженню ризиків
1. Розрахунок і ранжування ризиків
А)виявлення вразливостей
Б)виявлення загроз
В)визначення величини ризику
2. Проведення оцінки ризиків.
А)вибір методики оцінки ризики
Б)впровадження обраної методики по оцінці ризиків в дію
В)аналіз дієвості застосованої методики і її недоліків
3. Розробка комплексу дій по зниженню ризику
А)дії направлені на покращення захисту приміщень
Б)оновлення антивірусного ПЗ
В)зміна паролів на ПК
Г)навчання персоналу по роботі з ПК
Д)проведення позапланової перевірки роботи працівників і їх кваліфікації
Е)позапланове технічне обслуговування інформаційної системи