Информационная безопасность

Таблица 3. Модель злоумышленника

 
 
 

Глава 4.Анализ ущерба.

      Приведем  классификацию угроз:

      

Ущерб- это результат негативного изменения вследствие каких-то событий, явлений, действий состояния объектов, выражающийся в нарушении их целостности или ухудшении других свойств; фактические или возможные социальные и экономические потери (нарушение процесса нормальной хозяйственной деятельности; утрата того или иного вида собственности, других материальных, культурных, исторических или природных ценностей и т.д). 

Потери- часть последствий, которые связаны с негативными изменениями в основных сферах жизнедеятельности государства. 
 
 

     Виды  ущерба ОАО «БМСК» от реализации угроз информационной безопасности.

     Прямые  финансовые потери:

     1.ущерб, связанный с восстановлением ресурсов после реализации

     угрозы;

      2.ущерб, связанный со срывом производственного процесса.

         Потери нематериального характера:

         1.нарушение морально-психологического  состояния персонала;

         2.снижение конкурентоспособности.

         Непрямые финансовые потери:

         1.ущерб от разглашения конфиденциальной информации;

         2. ущерб от упущенной выгоды.

     Прямой  ущерб связан с воздействием угроз непосредственно на информацию и ее носители и проявляется как необходимость затрат людских и материальных ресурсов на восстановление информации и/или ее носителей.

     Косвенный ущерб связан с последствиями  нарушения безопасности информации для субъектов информационных отношений (потребителей информации), в качестве которых могут выступать:

     1. государство;

     2. организации, предприятия (в т.ч. негосударственные);

     3. граждане страны.

     В этом случае ущерб проявляется как  людские, моральные или материальные потери в различных сферах деятельности субъектов информационных отношений (в политической, экономической, военной, научно-технической, социальной сферах). По величине потерь (масштаба ущерба) ущерб может быть классифицирован как очень значительный, значительный, средний, незначительный и очень незначительный. 
 

Глава 5.Оценка информационного  риска. 

     Риск- потенциальная потеря предприятия  от реализации угроз безопасности. В данной курсовой работе для определения  риска используется метод экспертных оценок и строится нечетно-когнитивная  карта.

     Основным  в данном подходе является понятие ситуации. Ситуация характеризуется набором базовых факторов с помощью которых описываются процессы смены состояния в исследуемом процессе. Факторы могут влиять друг на друга, влияния могут быть положительными так и отрицательными. Для отображения степени влияния используются нечеткие лингвистические переменные.

     Таким образом когнитивная карта ситуации представляет собой  взвешенный ориентированный  граф, узлами которого являются указанные  базисные факторы (концепты), а дугами –связи между этими концептами.

      Определение концептов.

В качестве дестабилизирующих  факторов выбраны такие концепты:

1.Пожар;

2.Кража  документов;

3.Месть  за увольнение.

В качестве промежуточных  факторов выбраны такие концепты:

1.Персональные  данные сотрудников;

2.Трудовые книжки

3.Трудовые  договора

4. Отчетные документы

5.Распоряжения

6.Документы  о приеме на  работу и увольнении

В качестве целевых  факторов выбраны такие концепты:

1.Материальный  ущерб;

2.Морально-психологическое  состояние сотрудников;

3.Ущерб  деловой репутации отдела.

Таблица 4 Концепты угроз

 

Таблица 5. Влияние угроз на промежуточные факторы

 
 

Граф выглядит следующим образом:

Были выбраны  следующие лингвистические термы:

      Матрица достижимости: 

 
 
 
 
 
 
 

Полный эффект: 

 
 

      Общий риск: 

 
 

      До  внедрения контрмер общая сумма риска составляла 38 756 300 руб., а после внедрения – 34 675 450руб. Откуда следует, величина предотвращенного ущерба: 4 080 850 руб. Таким образом, можно сделать вывод о том, что введение такой системы защиты является эффективным и экономически целесообразным.

     Из  рисунка следует что риск уменьшился за счет внедрения следующих управляющих  факторов:

1.инструкции по поведению персонала в ЧС;

2.внедрение системы защиты от краж. 

Глава 6.Управление информационными  рисками.

     Обеспечение информационной безопасности — одна из главных задач современного предприятия. Угрозу могут представлять не только технические сбои, но и несогласованность данных в различных учетных системах, которая встречается едва ли не у каждой второй компании, а также неограниченный доступ сотрудников к информации.

     Информационные  риски — это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, информационные риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.

Информационные  риски можно разделить на две  категории:

• риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
• риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам.

 

     Работа по минимизации  информационных рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации информационных рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.      

Выявление информационных рисков: 

На практике способы выявления информационных рисков ничем не отличаются от способов определения любых других рисков: составляются карты рисков, проводится сбор экспертных мнений и т. п.

     Чтобы минимизировать информационные риски необходимо выполнение следующих правил:

  1. Доступ сотрудников к информационным системам и документам компании должен быть различен в зависимости от важности и конфиденциальности содержания документа.   

2.  Организация должна контролировать доступ к информации и обеспечивать защиту уязвимых мест информационных систем.

  3.Информационные системы, от которых напрямую зависит деятельность организации (стратегически важные каналы связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в случае кризисной ситуации.   

Обеспечение информационной безопасности — это, в первую очередь, вопрос эффективности затраченных средств, поэтому расходы на защиту не должны превышать суммы возможного ущерба.      

Поскольку любые расходы на предотвращение рисков должны быть обоснованы, необходимо обязательно рассчитывать их экономическую эффективность.      

Для обеспечения  необходимой защиты от информационных рисков и контроля безопасности можно провести следующие мероприятия.

1. Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала компании, направленные на предотвращение информационных рисков, а также обеспечить резервные мощности для работы в критической ситуации.
2. Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах организации, используемых для этой цели.
3. Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.
4. Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.
5. Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.