Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования
Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе? По косвенным факторам предложены вопросы и несколько фиксированных вариантов ответов, которые «стоят» определенное количество баллов. Только терминалы или сетевые контроллеры, ответственные за предоставление и маршрутизацию информации, но не за… Читать ещё >
Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования (реферат, курсовая, диплом, контрольная)
Для решения задачи по анализу эффективности комплексной системы безопасности информации разработанной для страховой компании, воспользуемся известным методом CRAMM.
Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.
Для оценки угроз выбраны следующие косвенные факторы:
- · Статистика по зарегистрированным инцидентам.
- · Тенденции в статистке по подобным нарушениям.
- · Наличие в системе информации, представляющей интерес для потенциальных внутренних или внешних нарушителей.
- · Моральные качества персонала.
- · Возможность извлечь выгоду из изменения обрабатываемой в системе информации.
- · Наличие альтернативных способов доступа к информации.
- · Статистика по подобным нарушениям в других информационных системах организации.
Для оценки уязвимостей выбраны следующие косвенные факторы:
- · Количество рабочих мест (пользователей) в системе.
- · Размер рабочих групп.
- · Осведомленность руководства о действиях сотрудников (разные аспекты).
- · Характер используемого на рабочих местах оборудования и ПО.
- · Полномочия пользователей.
- · По косвенным факторам предложены вопросы и несколько фиксированных вариантов ответов, которые «стоят» определенное количество баллов.
Итоговая оценка угрозы и уязвимости определяется путем суммирования баллов.
Несомненным достоинством данного подхода является возможность учета множества косвенных факторов (не только технических). Методика проста и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить оценки.
Оценка уязвимости
Таблица 4 — Оценка уязвимостей.
1. Сколько людей имеют право пользоваться информационной системой? | |||
Варианты ответа. | Количество баллов. | ||
a. | От 1 до 10. | ||
b. | От 11 до 50. | ||
c. | От 51 до 200. | ||
d. | От 200 до 1000. | ||
e. | Свыше 1000. | ||
2. Будет ли руководство осведомлено о том, что люди, работающие под их началом, ведут себя необычным образом? | |||
a. | Да. | ||
b. | Нет. | ||
3. Какие устройства и программы доступны пользователям? | |||
a. | Только терминалы или сетевые контроллеры, ответственные за предоставление и маршрутизацию информации, но не за передачу данных. | ||
b. | Только стандартное офисные устройства и программы и управляемые с помощью меню подчиненные прикладные программы. | ||
c. | Пользователи могут получить доступ к операционной системе, но не к компиляторам. | ||
d. | Пользователи могут получить доступ к компиляторам. | ||
4. Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе? | |||
a. | Да. | ||
b. | Нет. | ||
5. Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информационной системе? | |||
a. | Менее 10 человек. | ||
b. | От 11 до 20 человек. | ||
c. | Свыше 20 человек. | ||
6. Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)? | |||
a. | Да. | ||
b. | Нет. | ||
7. Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных? | |||
a. | Официальное право предоставлено всем пользователям. | ||
b. | Официальное право предоставлено только некоторым пользователям. | ||
8 .Насколько необходимо пользователям знать всю информацию, хранящуюся в системе? | |||
a. | Всем пользователям необходимо знать всю информацию. | ||
b. | Отдельным пользователям необходимо знать лишь относящуюся к ним информацию. | ||
Таблица 5 — Степень уязвимости при количестве полученных баллов.
Степень уязвимости при количестве баллов: | ||
До 9. | Низкая. | |
От 10 до 19. | Средняя. | |
20 и более. | Высокая. | |
Таблица 6 — Полученные результаты (до разработки КСЗИ)
Варианты Ответов до разработки КСЗИ : | |||
Номер вопроса. | Вариант ответа. | Кол-во Баллов. | |
b. | |||
b. | |||
a. | |||
a. | |||
c. | |||
a. | |||
b. | |||
b. | |||
Сумма баллов. | |||
Так как сумма баллов 34, следовательно, степень уязвимости до разработки комплексной системы защиты информации является Высокой. Отсюда делаем вывод, что требуется незамедлительное улучшение и доработка СКЗИ.
Таблица 7 — Полученные результаты (после разработки КСЗИ).
Варианты Ответов до разработки КСЗИ : | |||
Номер вопроса. | Вариант ответа. | Кол-во Баллов. | |
Сумма баллов. | |||
Так как сумма баллов 29, следовательно, степень уязвимости комплексной системы защиты информации является Высокой.