Аналіз та обробка ризиків інформаційної безпеки офісу інтернет магазину . Самостійна робота з Захист інформації. Робота № 527046

Перехід до торгівельного партнера Binance

Аналіз та обробка ризиків інформаційної безпеки офісу інтернет магазину

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

Факультет:

Менеджмент

Кафедра:

Не вказано

Інформація про роботу

Рік:

2014

Тип роботи:

Самостійна робота

Предмет:

Захист інформації

Завантажити

Частина тексту файла (без зображень, графіків і формул):

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» / Самостійна робота з дисципліни «Менеджмент у сфері захисту інформації» на тему: «Аналіз та обробка ризиків інформаційної безпеки офісу інтернет магазину «Рогатка»» ЗМІСТ Вступ………………………………………………………………………………………….….3 РОЗДІЛ 1 АНАЛІЗ ПРОБЛЕМИ ОЦІНЮВАННЯ ЗБИТКУ ІНФОРМАЦІЙНОЙ БЕЗПЕКИ КОМПАНІЙ .....................……..……………...7 1.1 Загальна постановка проблеми……………………………………………………..7 1.2 Збільшення кількості загроз інформаційній безпеці…………………………..7 1.3 Витрати на забезпечення ІБ більші – ефективність менша …………………9 РОЗДІЛ 2. РОЗРОБЛЕННЯ МЕТОДИКИ ОЦІНЮВАННЯ РЕАЛІЗАЦІЇ ЗАГРОЗ ..11 2.1 Механізм оцінювання загроз ІБ …………………………………………………...11 2.2. Опис методики оцінювання збитку ІБ …………………………………………..15 РОЗДІЛ 3. ОПИС ОБ'ЄКТА ЗАХИСТУ ТА ОЦІНЮВАННЯ ІМОВІРНОСТЕЙ РЕАЛІЗАЦІЇ ЗАГРОЗ ………………………………………………………………………..18 3.1 Опис діяльності підприємства …………………………………………………….18 3.2 Персонал і їхні посадові інструкції ……………………………………………….19 3.3 Інформаційні активи ……………………………………………………………….19 3.2 Оцінювання ймовірності реалізації загроз ……………………………………….22 Висновки Список використаної літератури Вступ В часи бурхливого розвитку інформаційних технологій різні підприємства, заводи, банки та інші установи, залежать від інформаційних систем. З розвитком інформаційних технологій розвиваються і способи їх захисту, але разом з ним розвиваються методи негативного впливу на них. Такий розвиток знань та технологій дає багато різноманітних можливостей впливу на підприємство, що може призвести до порушень в його роботі або навіть до повного банкротства. Це відбувається через те що запровадженні політики інформаційної безпеки мають багато недоліків і вразливих місць, які дають змогу зловмисникам нашкодити підприємству. Різниця між порушенням роботи персонального комп’ютера та порушенням роботи цілої мережі підприємства може бути дуже великою. Якщо порушується робота одного окремого комп’ютера то постраждає невелика кількість інформації та людей, і їх збитки від цього будуть не великими, але коли порушується робота великої компанії з величезними прибутками тоді можуть постраждати велика кількість людей, які зв’язані з цим підприємством, і загальний збиток буде дуже великим. Все це може трапитись через вразливості інформаційних систем, тому забезпечення необхідного рівня інформаційної безпеки є досить важливою задачею, що дозволить підприємству уникнути великих втрат, а також це буде стимулювати розвиток підприємства. В умовах інформатизації, пов'язаної з формуванням інформаційної економічної системи, величезне значення набувають Інтернет-технології, впровадження яких у маркетингову діяльність підприємств дозволяє останнім адаптуватися до сучасних ринкових умов, що сприяє підвищенню ефективності їх функціонування. У цьому і полягає актуальність обраної теми. Отже, що ж становлять Інтернет-технології в маркетингу? Інтернет володіє унікальними характеристиками, які значно відрізняються від традиційних інструментів маркетингу. Однією з основних і найбільш яскравих характеристик Інтернету є гіпермедійна природа його побудови, що робить Інтернет високоефективним у поданні та засвоєнні інформації, що, в свою чергу, значно підвищує можливості маркетингу в посиленні взаємозв'язку виробників товарів та їх споживачів. Крім того, мережа Інтернет дозволяє укладати угоди, здійснювати покупки, проводити платежі, що надає Інтернету риси глобального електронного ринку. І, нарешті, Інтернет надзвичайно зближує продавців і покупців не лише в різних містах, але і на різних континентах . Згідно із дослідженнями фахівців Intel, до 2014 року кількість користувачів Інтернету досягне 2 мільярдів, а оборот електронної комерції зросте до 1 трильйона доларів. Подібні досягнення свідчать про те, що компанія, яка не використовує електронний бізнес та електронну комерцію, може втратити свої позиції на ринку. Таким чином, у наш час, у тому числі завдяки маркетингу, що здійснюється через Інтернет, відбувається різке збільшення використання Інтернету, що стимулюється швидким збільшенням самих ресурсів мережі. Використання Інтернету в системі маркетингу може значно збільшити ефективність діяльності підприємства . Поряд із збільшенням ролі Інтернет-технологій у маркетингу все більш актуальною стає проблема забезпечення інформаційної безпеки. Заходи безпеки спрямовані на запобігання несанкціонованого отримання інформації, фізичного знищення або модифікації інформації, що захищається. Як показують зарубіжні публікації, можливості зловживання інформацією, що передається через Інтернет, розвивалися не менш інтенсивно, ніж засоби їх попередження. У цьому випадку для захисту інформації потрібно застосування не просто приватних механізмів захисту, а організація комплексу заходів із використанням спеціальних засобів, методів і заходів з метою запобігання втрати інформації . Під загрозою безпеки розуміється будь-яка дія, яке може призвести до руйнування, спотворення або несанкціонованого використання інформаційних ресурсів, включаючи збережену, передану й інформацію що обробляються, а також програмні й апаратні засоби. Крім того, при розробці Інтернет-технологій виникає проблема з вирішення питання безпеки інформації, що становить комерційну таємницю, а також безпеки самих комп'ютерних інформаційних систем. Основні ознаки безпеки сучасних Інтернет-технологій 1) містять інформацію різного ступеня конфіденційності; 2) при передачі даних мають криптографічний захист інформації різного ступеня; 3) відображають ієрархічність повноважень суб'єктів, відкриваючи доступ до програм, АРМ, файлів-серверів, каналів зв'язку та інформації системи; 4) оперативна зміна цих повноважень;: 5) обробка інформації у діалоговому режимі, в режимі поділу часу між користувачами і в режимі реального часу; 6) реєструє і враховує спроби несанкціонованого доступу; 7) встановлює наявність засобів відновлення системи захисту інформації; 8) створює умови для фізичної охорони засобів обчислювальної техніки і носіїв інформації. До основних засобів захисту відносяться такі : 1) технічні засоби становлять електричні, електромеханічні та електронні пристрої; 2) апаратні засоби становлять пристрої, що вбудовуються безпосередньо в обчислювальну техніку; 3) фізичні засоби – це автономні пристрої та системи, наприклад, замки, ґрати, охоронна сигналізація тощо; 4) організаційні засоби захисту становлять організаційно-технічні та організаційно-правові заходи, здійснювані в процесі створення й експлуатації обчислювальної техніки та апаратури телекомунікації; 5) морально-етичні засоби захисту реалізуються в результаті виконання різних норм і правил; 6) законодавчі засоби захисту визначаються законодавчими актами країни. У практичній маркетинговій діяльності прийняття заходів і засобів захисту інформації включає такі самостійні напрями: захист інформації від несанкціонованого доступу; захист інформації в системах зв'язку; захист юридичної значущості електронних документів; захист конфіденційної інформації від витоку каналами побічних електромагнітних випромінювань; захист інформації від комп'ютерних вірусів; захист від несанкціонованого копіювання програм Отже, можна зробити висновки, що на сьогоднішній день в Інтернеті представлена величезна кількість інформації, в тому числі і про підприємства, різна фінансова та аналітична інформація, новини економіки і політики, а також багато іншого. Більшість організацій, незалежно від напрямів діяльності та форм власності, має свої представництва в Інтернеті (web-сайти або просто сторінки), де подана інформація про їх діяльність, пропозиції, потреби тощо. Унаслідок цього Інтернет надає прекрасні можливості для проведення маркетингової конкурентної розвідки. Причому, на відміну від традиційних методів досліджень, Інтернет дозволяє знайти необхідну інформацію досить оперативно і в повному обсязі. Такі дослідження просто необхідні для розробки стратегії розвитку бізнесу, для швидкого реагування на зміни ринку і для планування рекламної кампанії.. Актуальність. Зараз розвиток торгівлі в мережі Інтернет є досить високим і стабільним. Існують цілі корпорації які основані на торгівлі в Інтернеті з тисячами співробітниками та мільйонними прибутками, а також невеликі компанії в яких прибутки на порядок менші. Але в них також циркулює велика кількість інформації, технічних комплексів, вони також є учасниками різних фінансових операцій як в середині країни так і міжнародних. І порушення роботи навіть невеликої компанії може нести доволі серйозні наслідки не тільки для компанії а й для її клієнтів. Мета роботи. Виявити та максимально ефективно запобігти реалізації ризиків інформаційної безпеки в роботі Інтернет магазину. Також виявити інформаційні активи та надати їм захисту від порушення їх властивості конфіденційності, доступності та цілісності РОЗДІЛ 1. АНАЛІЗ ПРОБЛЕМИ ОЦІНЮВАННЯ ЗБИТКУ ІНФОРМАЦІЙНОЙ БЕЗПЕКИ КОМПАНІЙ 1.1 Загальна постановка проблеми З'ясовано, що проблема забезпечення ІБ будь-якої компанії є надзвичайно актуальною на сучасному етапі розвитку інформаційних технологій ( ІТ ), вона супроводжується постійними інформаційними загрозами – як зовнішніми , так і внутрішніми. Тому керівники служб ІБ мають прийняти як аксіому твердження про те , що звичайна оперативність реагування на сучасні загрози ІБ вже не є достатньою для запобігання їм чи знешкодження з найменшими втратами . Хоча на сьогодні керівники практично всіх компаній поступово нарощують свій потенціал у вирішенні короткотермінових завдань, пов'язаних із проблемою забезпечення ІБ , але при цьому не приділяють уваги проблемам , вирішення яких є доцільним вже зараз для зниження загрози ІБ в майбутньому. Насамперед відчувається потреба в створенні надійної архітектури ІБ. Це означає, що керівники служб ІБ мають прийняти як аксіому твердження про те, що звичайна оперативність реагування на сучасні загрози ІБ вже не є достатньою для їх попередження чи знешкодження з найменшими втратами. Швидкість і складність динаміки джерел загроз ІБ промислових компаній зростає з роками колосальними темпами . І без того непроста ситуація у сфері ІБ ускладнюється впливом ринків нових ІТ , кількість яких стрімко розвиваються , тривалою нестабільністю в економіці та політиці, офшорній діяльності багатьох промислових компаній і посиленням нормативних вимог у сфері ІБ. 1.2 Збільшення кількості загроз інформаційній безпеці. У багатьох керівників служб ІБ промислових компаній на сьогодні вже є розуміння того, що сама природа і характер ризиків втрат інформаційних ресурсів швидко міняються, а разом із збільшенням частоти появи загроз ІБ зростає і кількість порушень та інцидентів ІБ. Компанія Sophos опублікувала " Дослідження загроз у сфері ІБ – 2013", в якому було проведено детальний аналіз подій в області ІТ безпеки за 2012 року та зроблено прогноз на 2013 рік. Зокрема, зазначалося , що 80 % хакерських атак у 2012 році використали переадресацію з нібито благонадійних сайтів різних організацій , а майже 18 % доменів – з експлойт Blackhole, які знаходилися в Росії. За словами фахівців цієї компанії , 2012 рік був роком нових програмних платформ і нових хакерських загроз . Якщо зовсім недавно основною операційною системою в світі була Windows, то тепер на зміну їй прийшла нова різноманітність програмних платформ. Розробники шкідливого ПЗ активно користуються цією ситуацією, придумуючи нові неприємні сюрпризи для працівників відділу ІТ та служби ІБ промислових компаній . Незахищені комп'ютери схильні до атак різного шкідливого ПЗ, яке поширюється мережею Інтернет. Шкідливе ПЗ ( англ. malware, malicious software – шкідлива програма , зловмисне ПЗ) – будь - яке ПЗ, призначене для отримання несанкціонованого доступу до обчислювальних ресурсів самого комп'ютера або до інформаційних ресурсів , які зберігаються на ньому , призначене для несанкціонованого власником їх використання чи спричинення шкоди ( нанесення збитку ) власникові комп'ютера, інформації чи комп'ютерній мережі шляхом копіювання , спотворення даних , видалення або підміни інформації . Шкідливі програми за нанесеним збитком поділяються на такі , що: 1) Створюють перешкоди в роботі зараженого комп'ютера: починаючи від відкриття закриття піддону CD-ROM і закінчуючи знищенням даних і поломкою апаратного забезпечення; блокування антивірусних сайтів , антивірусного ПЗ і адміністративних функцій ОС. 2) Виконують інсталяцію іншого шкідливого ПЗ: завантаження з мережі (downloader); розпаковування іншої шкідливої програми, що вже міститься усередині файлу (dropper). 3) Здійснюють крадіжку , шахрайство , здирство і шпигунство за користувачем. Для крадіжки може застосовуватися сканування жорсткого диска, реєстрація натиснень клавіш (Keylogger) і перенаправлення користувача на підроблені сайти, в точності повторюючи вихідні ресурси. Викрадання даних, які представляють цінність або таємницю. 4) Виконують іншу незаконна діяльність: отримання несанкціонованого ( і дармового) доступу до ресурсів самого комп'ютера або третіх ресурсів , доступних через нього, у т .ч . пряме управління комп'ютером ( так званий backdoor). Організація на комп'ютері відкритих релеїв і загальнодоступних проксі-серверів . Заражений комп'ютер ( у складі ботнета) може бути використаний для проведення DDoS-атак . Також в галузі ІБ буде характерно : ● збільшення кількості критичних помилок для систем ІБ у налаштуваннях веб-серверів ; ● зростання обсягів шкідливого ПЗ, яке важко аналізувати ; ● поява інструментів для створення хакерських програм з новими сервісами; ● спрощення процесу виявлення експлойтів – шкідливого ПЗ; ● проблеми інтеграції, конфіденційності інформації та її безпеки. Поява нових ІТ відкривають перед компаніями не тільки небачені можливості , але й піддають їх потенційним загрозам з невідомих раніше джерел. Хмарні комп'ютерні технології як і раніше є головним джерелом інновацій в сучасному інформаційному середовищі: за останні декілька років кількість компаній , які використовують хмарні обчислення , збільшилася майже удвічі . Тим не менше , 38 % таких компаній не вжили жодних заходів щодо зниження ризиків витоку інформації , зокрема не забезпечили більш строгого нагляду за управлінням контрактами з провайдерами, які надають послуги з хмарного оброблення даних , або застосування методів шифрування 1.3 Витрати на забезпечення ІБ більші – ефективність менша. Біль шість керівників різних компаній відповідають на зростання ризиків і збільшення кількості інформаційних систем , які підлягають захисту, збільшенням бюджетів на їх обслуговування та зміною пріоритетів . 51 % керівників різних компаній повідомили, що в 2013 році планують збільшити бюджет на 5 %. 32 % компаній вклали в розвиток системи ІБ більше 1млн $, однак обсяг інвестицій істотно відрізняється залежно від регіону: 48 % американських компаній витратили на ІБ більше 1млн $, водночас як у Азіатсько-Тихоокеанському регіоні , країнах Європи, Близького Сходу , Африки і в Індії (EMEIA) частка таких компаній становила 35 % і 26 % відповідно . Що стосується розподілу бюджету, то головними статтями витрат є отримання нових ІТ (55 %) і забезпечення безперервності бізнесу (47 %). Однак заплановане збільшення бюджету на удосконалення системи ІБ виявиться ефективним тільки в разі належного розподілу обов'язків між відповідальними за прийняття рішень. У багатьох компаніях питанням забезпечення ІБ як і раніше займаються інформаційно-технологічні відділи. Оскільки забезпечення ІБ починає виходити за рамки традиційних можливостей ІТ, в даний час потрібно приймати рішення про вибір дещо інших інструментів, процесів і методів моніторингу джерел загроз ІБ, оцінювання ефективності роботи персоналу служби ІБ, пошуку прогалин у системі ІБ, що і визначає потребу перерозподілу відповідальності. Щодо перспектив удосконалення системи ІБ , то тут можна констатувати таке : фахівцям з відділу ІТ і служби ІБ вдалося виявити декілька сучасних проблем , але на горизонті виникають нові, серед яких – посилення ролі державних органів управління та посилення регулятивних вимог щодо управління ІБ загалом [10]. Якщо найближчим часом керівники компаній не приймуть заходів щодо розроблення всеосяжної системи ІБ, наслідки сучасних і майбутніх проблем тільки додадуть джерел загроз ІБ в майбутньому . Таким чином, використання наявних ІТ в повсякденній діяльності різних компаній значно підвищує ефективність виробничих процесів , зменшує затрати на їх проведення , проте водночас зумовлює виникнення нових загроз ІБ для успішного їх функціонування . Отже, ІБ фактично відображається у ступені захищеності важливої для компанії інформації від впливу дій випадкового або навмисного характеру, які можуть завдати збитків компанії . Оптимальним варіантом забезпечення ІБ компанії є дотримання систематичного поєднання правових , організаційних і програмно - технічних методів у процесі управління ІБ . Проблема забезпечення інформаційної безпеки ( ІБ ) будь-якої компанії є надзвичайно актуальною на сучасному етапі розвитку інформаційних технологій ( ІТ ), яка супроводжується постійними інформаційними загрозами – як зовнішніми , так і внутрішніми, і поява нових ІТ відкривають перед компаніями не тільки небачені можливості , але й піддають їх потенційним загрозам з невідомих раніше джерел також заплановане збільшення бюджету на удосконалення системи ІБ виявиться ефективним тільки в разі належного розподілу обов'язків між відповідальними за прийняття рішень . РОЗДІЛ 2. РОЗРОБЛЕННЯ МЕТОДИКИ ОЦІНЮВАННЯ РЕАЛІЗАЦІЇ ЗАГРОЗ 2.1 Механізм оцінювання загроз ІБ Існують різноманітні способи класифікації загроз безпеки: за об’єктом впливу, за джерелом загроз, за способами здійснення, можливими наслідками та видами збитків. Виходячи з попередніх міркувань, можна виділити три основні види загроз інформаційній безпеці інформації: загрози при забезпеченні конфіденційності, доступності та цілісності. Деякі автори наводять таку класифікацію загроз безпеці інформації: 1. Загрози безпеці інформації при забезпеченні конфіденційності:  крадіжка (копіювання) інформації і/або засобів її оброблення;  втрата (ненавмисна втрата, витік) інформації і/або засобів її оброблення. 2. Загрози безпеці інформації при забезпеченні доступності:  блокування інформації;  знищення інформації і/або засобів її оброблення. 3. Загрози безпеці інформації при забезпеченні цілісності:  модифікація (спотворення) інформації;  заперечення автентичності інформації;  нав’язування фальшивої інформації. Одночасно можуть використовуватися не лише критерії класифікації за об’єктом впливу, додатково, в середині кожного класу, можуть класифікуватися за розміром збитку та джерелом загрози. 1. За видом активів, на які вони націлені (об’єкт впливу), загрози діляться на:  загрози, які скеровані проти інформаційних активів;  загрози, які скеровані проти програмного забезпечення;  загрози, які скеровані проти технічних засобів;  загрози кадровим ресурсам;  загрози приміщенням організації. У кінцевому результаті усі перелічені класи загроз, за виключення останньої, можуть створювати безпосередній вплив на безпеку інформаційних активів. 2. За джерелами загрози можна розділити, наприклад, на такі класи:  загрози з боку різних класів зовнішніх порушників;  загрози з боку різних класів внутрішніх порушників;  загрози з боку партнерів та підрядників;  антропогенні катастрофи (тероризм, вибухи, масові безлади);  техногенні аварії (збої технічних засобів);  природні катаклізми (землетруси, повені, буревії тощо);  нещасні випадки (пожежа, руйнування будівлі тощо); 3. За типом порушення загрози можна поділити на такі класи:  загрози порушення конфіденційності інформації;  загрози порушення цілісності інформації;  загрози порушення доступності інформації;  загрози відмови від здійснення дій з інформацією (загрози «невідмовності»);  загрози, які пов’язані з неможливістю встановлення авторів електронних документів (загрози аутентичності);  загрози порушення вимог законодавства. Усі джерела загроз безпеці інформації можна розділити на три групи (рис. 2.4): 1. обумовлені діями суб’єкта (антропогенні джерела загроз); 2. обумовлені технічними засобами (техногенні джерела загроз); 3. обумовлені стихійними джерелами. Антропогенними джерелами загроз виступають суб’єкти, дії яких можуть бути кваліфіковані як навмисні або випадкові злочини. Друга група містить джерела загроз, що визначаються технократичною діяльністю людини та розвитком цивілізації. Третя група джерел, антропогенних, загроз об’єднує обставини, що складають непереборну силу, тобто такі обставини, які носять об’єктивний і абсолютний характер, що розповсюджується на всіх. До таких загроз відніс: пожежі, землетруси, повені, урагани, магнітні бурі, радіоактивні випромінювання, інші форс мажорні обставини. Критерії порівняння показників: можливість виникнення джерела ,що визначає міру доступності до можливості використати фактор (уразливість) (для антропогенних джерел), віддаленість від фактора (уразливості) (для техногенних джерел) або особливості обстановки (для випадкових джерел); готовність джерела , що визначає міру кваліфікації та привабливість здійснення діяння з боку джерела загрози (для антропогенних джерел) або наявність необхідних умов (для техногенних та стихійних джерел); фатальність , що визначає міру непереборності наслідків реалізації загрози. Кожний показник оцінюється експертно-аналітичним методом за п'ятибальною системою. Коефіцієнт для окремого джерела можна визначити як відношення добутку наведених вище показників до максимального значення 125: Міра доступності до об'єкта, що підлягає захисту, може бути класифікована за наступною шкалою: Показник Опис 5 висока ступінь доступності — антропогенне джерело загроз має повний доступ до технічних і програмних засобів обробки інформації, що підлягає захисту (характерно для внутрішніх антропогенних джерел, що наділені максимальним правом доступу, наприклад, представники служб безпеки інформації, адміністратори); 4 перша середня ступінь доступності — антропогенне джерело загроз має можливість опосередкованого, не визначеного функціональними обов'язками (за рахунок побічних каналів витоку інформації, використання можливості доступу до привілейованих робочим місць), доступу до технічних і програмних засобів обробки інформації, що підлягає захисту (характерно); 3 друга середня ступінь доступності — антропогенне джерело загроз має обмежену можливість доступу до програмних засобів у силу введених обмежень при використанні технічних засобів, функціональних обов'язків або за видом своєї діяльності (характерно для внутрішніх антропогенних джерел із звичайними правами доступу (наприклад, користувачі) або зовнішніх антропогенних джерел, що мають право доступу до засобів обробки та передачі інформації, що підлягає захисту (наприклад хакери, персонал постачальників телематичних послуг); 2 низька ступінь доступності — антропогенне джерело загроз має дуже обмежену можливість доступу до технічних засобів і програм, які обробляють інформацію, що підлягає захисту (характерно для зовнішніх антропогенних джерел); 1 відсутність доступності — антропогенне джерело загроз не має доступу до технічних засобів і програм, які обробляють інформацію, що підлягає захисту. Міру віддаленості від об'єкта захисту можна характеризувати наступними параметрами: Показник Опис 5 співпадаючі об'єкти — об'єкти захисту самі містять джерела техногенних загроз і їхній територіальний поділ неможливий; 4 близько розташовані об'єкти — об'єкти захисту розташовані в безпосередній близькості від джерел техногенних загроз, і будь-який прояв таких загроз може вчинити суттєвий вплив на об'єкт; 3 віддалено розташовані об'єкти — об'єкт захисту розташовується на віддаленні від джерела техногенних загроз, що виключає його прямий вплив; 2 середньовіддалені об'єкти — об'єкти захисту розташовуються на віддалені від джерел техногенних загроз, на якому прояв впливу цих загроз може вчинити несуттєвий вплив на об'єкт захисту; 1 вельми віддалені об'єкти — об'єкт захисту розташовується на значному віддаленні від джерела техногенних загроз, що повністю виключає будь-які впливи на об'єкт захисту, в тому числі і за вторинними проявами. Класифікація антропогенних джерел відіграє важливу роль у визначенні їхніх можливостей щодо здійснення протиправних дій. Прийнята наступна класифікація по можливості (мірі) взаємодії з мережею, що підлягає захисту: Показник Опис 1 нульовий рівень — визначається відсутністю можливості будь-якого використання програм; 2 перший рівень — обмежується можливістю запуску задач/програм із фіксованого набору, призначеного для обробки інформації, яка підлягає захисту (рівень некваліфікованого користувача); 3 другий рівень — враховує можливість створення й запуску користувачем власних програм із новими функціями з обробки інформації (рівень кваліфікованого користувача, програміста); 4 третій рівень — визначається можливістю керування функціонуванням мережі, тобто впливом на базове програмне забезпечення, його склад і конфігурацію (рівень системного адміністратора); 5 четвертий рівень — визначається повним обсягом можливостей суб'єктів, що здійснюють проектування й ремонт технічних засобів, аж до включення до складу мережі власних технічних засобів із новими функціями з обробки інформації (рівень розробника та адміністратора). Нульовий рівень є найнижчим рівнем можливостей з ведення діалогу джерела загроз із мережею, що підлягає захисту. При оцінці можливостей антропогенних джерел передбачається, що суб'єкт, який здійснює протиправні дії, або має, або може скористатися правами відповідного рівня. Характеристики умови готовності джерела Показник Опис 5 загроза реалізована - умови сприятливі або можуть бути сприятливими для реалізації загрози. 4 загроза помірно реалізована - умови сприятливі для реалізації загрози, проте довгострокові спостереження не припускають можливості її активізації у період існування й активної діяльності об’єкта захисту. 3 загроза слабо реалізована - існують об’єктивні причини на самому об’єкті або в його оточенні, що перешкоджають реалізації загрози. 2 загроза майже не реалізована - майже відсутні передумови для реалізації передбачуваної подій. 1 загроза не реалізована - відсутні передумови для реалізації передбачуваної події. Привабливість здійснення діяння з боку джерела загроз установлюється наступним чином: Показник Опис 5 особливо привабливий рівень — інформаційні ресурси, які підлягають захисту, містять інформацію, яка може нанести непоправні збитки та привести до краху організації, що здійснює захист; 4 привабливий рівень — інформаційні ресурси, що підлягають захисту, містять інформацію, яка може бути використана для одержання вигоди на користь джерела загрози або третіх осіб 3 помірно привабливий рівень — інформаційні ресурси, що підлягають захисту, містять інформацію, розголошення якої може нанести збитки окремим особистостям; 2 слабо привабливий рівень — інформаційні ресурси, що підлягають захисту, містять інформацію, яка при її накопиченні та узагальненні протягом певного періоду може спричинити збитки організації, що здійснює захист; 1 непривабливий рівень — інформація не представляє інтересу для джерела загрози. Міра непереборності наслідків загрози (фатальність) визначається за наступною шкалою: Показник Опис 5 непереборні наслідки — результати прояву загрози можуть призвести до повного руйнування (знищення, втрати) об'єкта захисту і, як наслідок, до непоправних втрат і виключення можливості доступу до інформаційних ресурсів, що підлягають захисту 4 практично непереборні наслідки — результати прояву загрози можуть призвести до руйнування (знищення, втрати) об'єкта та до значних витрат (матеріальних, часу і т. ін.) на відновлення, які порівнянні з витратами на створення нового об'єкта, та суттєвого обмеження часу доступу до інформаційних ресурсів, що підлягають захисту; 3 частково переборні наслідки — результати прояву загрози можуть призвести до часткового руйнування і, як наслідок, до значних витрат на відновлення, обмеження часу доступу до інформаційних ресурсів, що підлягають захисту; 2 переборні наслідки — результати прояву загрози можуть призвести до часткового руйнування (знищення, втрати) об'єкта захисту, що не потребує великих витрат на його відновлення і, практично не впливає на обмеження часу доступу до інформаційних ресурсів, які підлягають захисту; 1 відсутність наслідків — результати прояву загрози не можуть вплинути на діяльність об'єкта захисту. Для якісної оцінки загрози використовується наступна шкала: Якісна величина загрози Кількісна величина загрози 1 0 – 0,1 2 0,1 – 0,2 3 0,2 – 0,5 4 0,5 – 0,8 5 0,8 – 1 При виборі допустимого рівня джерела загроз передбачається, що джерела загроз, які мають коефіцієнт менше 0,1...0,2, можуть у подальшому не враховуватися як малоймовірні. 2.2. Опис методики оцінювання збитку ІБ Цінність інформаційних активів визначається значенням безпосереднього або опосередкованого збитку, який нанесений бізнесу у результаті інцидентів інформаційної безпеки, що пов’язані з розкриттям, несанкціонованою модифікацією, тимчасовою недоступністю, руйнуванням активів тощо. Наслідки таких інцидентів можуть виражатися у втраченій вигоді, втрати конкурентних переваг, погіршення іміджу організації, нанесення шкоди інтересам третьої сторони, штрафах, безпосередніх фінансових збитках або дезорганізації діяльності Для кожного активу необхідно розглядати найгірший сценарій розвитку подій. Для оцінювання можливого збитку у результаті реалізації загроз щодо активів можуть бути використані такі критерії:  З1 – збиток комерційним інтересам партнерів та третіх осіб;  З2 – санкції зі сторони правоохоронних та регулюючих органів (штрафи, адміністративна та кримінальна відповідальність);  З3 – збиток комерційним інтересам організації;  З4 – фінансові втрати;  З5 – збиток репутації організації;  З6 – дезорганізація діяльності, погіршення морального клімату у колективі, зниження ефективності роботи. Для оцінювання значення можливого збитку підприємства будемо використовувати кількісний метод оцінювання. Він відносяться до методів експертного оцінювання. Оцінювання збитку Величина збитку Збиток комерційним інтересам організації. Фінансові втрати 1 Невеликі проблеми, які не представляють інтерес для конкурентів. До 50 тис. грн. 2 Проблеми, які не нанесуть великого збитку, але привернуть негативну увагу інвесторів та клієнтів. Від 50 тис. до 100тис. грн. 3 Представляє інтерес для конкурентів і приносить їм комерційну вигоду. Від 100 тис. до 500 тис. грн. 4 Значні проблеми. Негативна реакція клієнтів, партнерів, інвесторів до організації та тимчасове призупинення роботи організації. Від 500 тис. до 2 млн. грн. 5 Комерційні інтереси або фінансове становище організації можуть бути істотно підірвані, втрата основної частки ринку. Від 2 мільйонів грн., банкротство П’ятибальна шкала оцінювання ймовірності виникнення загрози Ймовірність виникнення Опис Оцінка Дуже низька Малоймовірно 1 Низька 1 раз на 3 роки 2 Середня 1 раз на рік 3 Висока Декілька разів на рік 4 Дуже висока Раз на місяць і частіше 5 Після оцінювання збитку і ймовірності реалізації загрози визначається критерій прийнятності загрози і для критичних загроз застосовують заходи щодо їх уникнення. Шкала сумарних оцінок ризику уразливостей Числова сумарна оцінка ризику уразливостей Словесна оцінка Опис для клієнта >100 Критична Несе найбільшу кількість загроз даного активу; найбільший збиток у разі використання зловмисниками 51-100 Важлива Несе серйозні загрози і, ймовірно, буде використана зловмисниками 25-50 Середня Представляє небезпеку, проте її використання зловмисниками малоймовірно 25-10 Низька Низький рівень небезпеки, малий збиток <10 Малоймовірна Малоймовірні загрози, або мінімальний збиток РОЗДІЛ 3. ОПИС ОБ'ЄКТА ЗАХИСТУ ТА ОЦІНЮВАННЯ ІМОВІРНОСТЕЙ РЕАЛІЗАЦІЇ ЗАГРОЗ 3.1 Опис діяльності підприємства Компанія «Рогатка» займається роздрібною торгівлею непродовольчих товарів через мережу Інтернет. Основними товарами якими торгує компанія є меблі та їх комплектуючі. Компанія пропонує як готовий товар зі сталими параметрами так і можливість зробити оригінальний заказ із вказаням своїх параметрів. Сюди входять меблі для різних потреб, починаючи від меблів для дому закінчуючи дворовими меблями для заміських ділянок. Сам офіс фірми розташований на 3му поверсі офісного 5и етажного будинку. І має 6 кімнат. План офісу показано нижче: Кімната 1- містить вхід в офіс який веде в коридор Кімната 2 – тут розташовані мобільні комп'ютери генерального та фінансового директорів. Кімната 3 - знаходяться мобільні комп'ютери та секретаря і головного бухгалтера Кімната 4 - в кімнаті знаходяться робочі станції бухгалтера, відділу маркетингу та відділу продажів. Кімната 5 - в п'ятій кімнаті знаходяться робочі станції відділу закупівлі, облікового відділу, IT-менеджер Кімната 6 - знаходиться сервер, кімната є серверної. 3.2 Персонал і їхні посадові інструкції дирекція банку (директор,фін. директора) – розпоряджається значними матеріальними і людськими ресурсами, мають найширші повноваження у банку і доступ до будь – якої інформації; секретар – це особа, яка є особистим помічником директора і фін.директора, і яка займається організацією, оформленням документації для керівництва. бухгалтери – керівники операційних робітників, контролери законності і правильності здійснення операцій у банку. менеджери з продажу проводять переговори з клієнтами і заключать угоди з ними відділ маркетингу відповідальний за просування підприємства, проводять маркетингову політику. відділ закупівлі забезпечує підримання наявності товарів на складах, здійснюють їх закупівлю обліковий відділ здійснює операції по прийняттю, обліку первинної документації. Перевіряє отримані первинні документи за формою та змістом.Систематизує отримані первинні документи, переносить інформацію, відображену в цих документах в базу підприємства. IT-менеджер визначає завдання впровадження інформаційної системи, напрями розробки і застосування інформаційної системи. Здійснює вибір оптимального поєднання потреб користувачів і можливостей інформаційної системи. Розробляє методологічну основу інформаційної системи. Також є дві категорії людей, які не відносяться до персоналу, але мають вільний доступ на територію і в будівлю до приймального приміщення, а також, за певних обставин, до інших приміщень: відвідувачі; клієнти банку (фізичні і юридичні особи). 3.3 Інформаційні активи До інформаційних активів відноситься будь-яка інформація, що має цінність для організації. Це – інформація, що надрукована або написана на папері, що пересилається поштою або демонструється у відеозаписах, що передається усно, що зберігається в електронному вигляді на серверах, веб-сайтах, мобільних пристроях та оптичних носіях тощо, обробляється та передається в корпоративних інформаційних системах та мережах, а також програмне забезпечення: операційні системи, додатки, програмна документація тощо. До інформаційних активів інтернет магазину можна віднести: персональні данні клієнтів та персоналу; операції та угоди з клієнтами та партнерами; фінансова звітність; електроні кошти; коди і паролі які використовують співробітники; інформація про фінансовий стан організації; мережа по якій передається інформація; комп’ютери ; телефонні лінії зв’язку; сервер. Окрім інформації організація має й інші види матеріальних та нематеріальних активів, які вона використовує для досягнення власної бізнес-мети. Це майно організації, майнові та немайнові права, інтелектуальна власність, кадрові ресурси, а також імідж та репутація організації. Сучасні міжнародні стандарти також визначають ще одну категорію активів – процеси, а також інформаційні та неінформаційні послуги. Це агреговані типи активів, які оперують іншими активами для досягнення бізнес-мети. Розглянемо інформаційні активи більш детально: Персональні дані клієнтів і працівників - це відомості чи сукупність відомостей, які ідентифікують фізичну особу. За режимом доступу така інформація є інформацією з обмеженим доступом. Тобто, переглядати чи ознайомлюватись з такою інформацією має право обмежене коло осіб. Операції та угоди з клієнтами та партнерами – це інформація про проведені операції з клієнтами (юридичні та фізичні особи) та компаніями з якими співпрацює дана компанія. Така інформація може зберігатись як в електронному так і в паперовому виді. В основному це документи про проведені угоди та звітність. Фінансова звітність - бухгалтерська звітність, що містить інформацію про фінансове становище, результати діяльності та рух грошових коштів підприємства за звітний період. Такі звіти роблять бухгалтери, на основі чого відображається прибуток чи збиток підприємства Електроні кошти - означення грошей чи фінансових зобов'язань, обмін та взаєморозрахунки з яких проводяться за допомогою інформаційних технологій. Коди і паролі які використовують співробітники – комбінації символів, з літер і цифр, які використовують співробітники для автентифікації в робочій мережі. Це дає змогу персоналу захистити своє робоче місце і інформацію з якою працює від внутрішніх антропогенних джерел загроз. Мережа по якій передається інформація - являє собою об'єднання всіх комп'ютерів у локальну мережу. Адміністратором даної мережі є комп’ютерний спеціаліст (адміністратор мережі), завдання якого підтримувати справну роботу мережі. Комп’ютери - електронно-цифрові програмовані пристрої для проведення обчислень та приймання, оброблення, зберігання і видачі інформаційного активу заздалегідь визначеним алгоритмом. Використовуються всіма працівниками для оброблення інформації що поступає. Телефонні лінії зв’язку - основа телефонного зв’язку, кабелі телефонної лінія зв’язку до якої підключені телефони. Телефони розміщені у всіх приміщеннях окрім коридорів. Через телефони передається усна мовну інформацію. Сервер – надає користувачам локальної мережі свої обчислювальні та дискові ресурси. А також доступ до встановлених сервісів. На сервері зберігається основна інформація про сайт інтернет магазину . 3.2 Оцінювання ймовірності реалізації загроз Загрози електронних коштів. Загроза конфіденційності електронних коштів Джерело загрози Спосіб реалізації атаки Ранжування Оцінка ризику загрози для даного активу Числова сумарна оцінка ризику уразливості

Самостійна робота Захист інформації

Gvinblayd

14.04.2015 19:04-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись