Исследование методики оценки рисков информационной безопасности компании Digital Security.Методика анализа угроз и уязвимостей, страница 2

Возможный ущерб от нарушения конфиденциальности информации по клиентам руководство организации оценивает в 700 000 грн.

Возможный ущерб от нарушения целостности информации по финансовым документам руководство организации оценивает в 150 000 грн.

Возможный ущерб от нарушения целостности информации по электронной базе клиентов руководство организации оценивает в 250 000 грн.

Информация по клиентам:

1.  В электронном виде находится  в ПЭВМ директора и ПЭВМ главного бухгалтера.

2.  Озвучивается – в кабинете директора (например, во время заполнения базы данных).

Информация по финансовой деятельности организации:

1.   В электронном виде находится  в ПЭВМ главного бухгалтера.

2.  Озвучивается – в кабинете главного бухгалтера и директора.

Электронная база данных по клиентам:

1.  В электронном виде находится  в ПЭВМ директора.

Для защиты информационных ресурсов организации используется антивирусное ПО лаборатории Касперского, последняя дата обновления баз январь 2009 года. Другие средства защиты (программные, организационные, технические) не используются.

По мнению руководства организации нарушителями ИБ могут являться:

1.  Отдельные преступные элементы с целью получения конфиденциальной информации  о клиентах компании для дальнейшего их шантажа или других противоправных действий.

2.  Конкурирующие организации с целью убрать данную организацию с рынка услуг.

2.2. Порядок проведения расчетов.

Построение модели нарушителя (модели угроз) и модели уязвимостей.

Для того, чтобы оценить риск информации, анализируются все угрозы, действующие на информационную систему, и уязвимости, через которые возможна реализация угроз.

Исходя из озвученных владельцем информационной системы данных, строится модель угроз  (нарушителя) и уязвимостей, актуальных для информационной системы компании.

В результате построения модели угроз (нарушителя) определяются:

1. Виды непреднамеренных угроз,  Типы нарушителей ИБ, вероятность наличия каждого из типов нарушителей.

2. Мотивация.

3. Наличие ресурсов.

3. Время проведения атаки.

4. Способ реализации атаки.

В результате построения модели нарушителя и модели уязвимости заполняются следующие таблицы:

Таблица 1. Перечень угроз, воздействующих на существующие уязвимости ресурсов организации

Ресурс

Угрозы

Уязвимости

Информация по клиентам

(ПЭВМ директора)

Компьютерные атаки

Прямой взлом ПЭВМ

Компьютерные вирусы

Инсайдеры

Внедрение аппаратных закладок служащими

По компьютерному каналу

Разглашение информации, модификация, уничтожение сотрудниками

Устная передача информации

Халатность

Метод грубой силы

С помощью грубой силы

Технические каналы

По сетям электропитания

Утечка информации по каналам ПЭМИН

Системы коммуникаций

Информация по клиентам (озвучивание в кабинете директора)

Технические каналы

Акустический

Фото-, видеосъёмка

Инсайдеры

С помощью технического канала утечки информации

Устная передача информации

Халатность