Пример: разработка модели политики информационной безопасности для предприятия

Download 2,63 Mb.

bet	9/10
Sana	01.05.2023
Hajmi	2,63 Mb.
	#934018

1 2 3 4 5 6 7 8 9 10

Bog'liq
Namuna tashkilot uchun axborot xavfsizligi siyosati modelini is

Rezervlash va butunlikni tekshirish vositalari
Shaxsiy tarmoq himoyasi vositalari

Lokal himoya vositalari

Diskovod va USB portlarning yo’qligi		10
Korporativ tarmoq himoyasi vositalari
Tarmoqlararo ekran		10
Aldab o’tish tizimi		2
Serverda antivirus himoyasi tizimi		10

1.1.Birlamchi axborot himoyasi (buxgalteriya hisoboti):

_{Lokal himoya vositalari}
Kriptografik himoya vositalari (ShKdagi ma’lumotlar kriptohimoyasi)	20
Rezervlash va butunlikni tekshirish vositalari
Rezerv nusxalash	10
Dasturiy butunlikni tekshirish tizimi	10

1.2.Ikkilamchi axborot himoyasi vositalari (Kompaniya mijozlari bazalari):
Axborot himoyasi vositalari yo’q.

₂_._{Ishchi stansiya himoya vositalari}_:

Himoya vositasi	Вес
Fizik himoya vositalari
Resurs joylashgan joyda ruxsatlarni nazoratlash (qulfli eshik, videokuzatuv)	10
Lokal himoya vositalari
Antivirus himoyasi vositalari (antivirus monitori)	10
Diskovod va USB portlarning yo’qligi	10
Shaxsiy tarmoq himoyasi vositalari
Shaxsiy tarmoqlararo ekran	3
Elektron pochta kriptohimoya tizimi	10

2.1. Axborotni himoya qilish vositalari (Kompaniya tovarlari nomlari va ta’riflari keltirilgan ma’lumotlar bazasi):

3. Mijoz foydalanuvchilar guruhi joyi himoyasi vositalari:
₃_.₁_{.Top-menejerning mijoz joyi himoyasi vositalari}₍_{oddiy foydalanuvchilar guruhi}₎_:

Himoya vositasi	Вес
Fizik himoya vositalari
Resurs joylashgan joyda ruxsatlarni nazoratlash (qulfli eshik, videokuzatuv)	10
_{Lokal himoya vositalari}
Antivirus himoyasi vositalari (antivirus monitori)	10
Diskovod va USB portlarning yo’qligi	10
Shaxsiy tarmoq himoyasi vositalari
Shaxsiy tarmoqlararo ekran	3
Elektron pochta kriptohimoya tizimi	10

3.2. Bosh buxgalterning mijoz joyi himoyasi vositalari (oddiy foydalanuvchilar guruhi)

Himoya vositasi	Вес
Fizik himoya vositalari
Resurs joylashgan joyda ruxsatlarni nazoratlash (qulfli eshik, videokuzatuv)	10
_{Lokal himoya vositalari}
Antivirus himoyasi vositalari (antivirus monitori)	10
Diskovod va USB portlarning yo’qligi	10
Shaxsiy tarmoq himoyasi vositalari
Shaxsiy tarmoqlararo ekran	3
Elektron pochta kriptohimoya tizimi	10

3.3. Moliya direktorining mijoz joyi himoyasi vositalari (avtorizatsiyalangan Interner-foydalanuvchilar guruhi):
Avtorizatsiyalangan Interner-foydalanuvchilar guruhi himoya vositalarini baholab bo’lmaydi, chunki bu guruh qayerdan tizimga kirishni amalga oshirishlari noma’lum.

	Вид доступа	Права доступа	Наличие VPN- соединения	Количество человек в группе
Bosh buxgalter/buxgalteriya hisoboti	lokal	o’qish, yozish, o’chirish	yo’q	1
Top-menejer/mijozlar bazasi	masofaviy	o’qish	bor	1
Ijro etuvchi direktor/mijozlar bazasi	masofaviy	o’qish, yozish	bor	1
Top-menejer/Shartnomalar bazasi	lokal	o’qish, yozish, o’chirish	yo’q	1

_{Foydalanuvchilar guruhining internetga chiqishi mavjudligi}_:

Главный бухгалтер	bor
Топ-менеджер	yo'q

_{Оценка ущ}_е_р_ба_к_о_м_п_а_ни_и_о_т_р_еа_л_и_з_а_ц_и_и_у_г_р_о_з_и_н_ф_о_р_м_а_ци_о_нн_о_й_б_е_зо_п_а_с_н_о_с_т_и_:

	Конфиденциальность (у.е. в год)	Целостность (у.е. в год)	Доступность (у.е. в час)
Главный бухгалтер/ бухгалтерский отчет	100 у.е.	100 у.е.	1 у.е.
Топ-менеджер/база клиентов	100 у.е.	100 у.е.	1 у.е.
Исполнительный директор/база клиентов	100 у.е.	100 у.е.	1 у.е.
Топ-менеджер/ база договоров	100 у.е.	100 у.е.	1 у.е.

Наследование:
Т.к. сервер и рабочая станция Компании находятся в одной сетевой группе, т.е. физически соединены между собой, необходимо распространить наименьший коэффициент защиты и наибольшую базовую вероятность группы Интернет-пользователей на все информации на всех ресурсах, входящих в сетевую группу.

Пример расчета рисков по угрозе конфиденциальность
1. Коэффициенты защищенности:
При локальном доступе к информации на ресурсе необходимо найти коэффициент локальной защищенности информации на ресурсе, который состоит из суммы весов средств физической и локальной защиты.
При удаленном доступе рассчитываем коэффициенты локальной защищенности рабочего места группы пользователей, имеющей доступ к информации, (сумма весов средств физической, локальной и персональной сетевой защиты) и удаленной защищенности информации на ресурсе (сумма весов средств корпоративной сетевой защиты). В дальнейших расчетах участвует наименьший коэффициент.
При локальном и удаленном доступе находим все три коэффициента, из которых также выбираем наименьший.
Расчет рисков по угрозе конфиденциальность:

Коэффициенты защищенности:

	Коэффициент локальной защищенности информации	Коэффициент удалённой защищенности информации	Коэффициент локальной защищенности рабочего места	Наименьший коэффициент
Главный бухгалтер/ бухгалтерский отчет	55	-	-	55
Топ-менеджер/база клиентов	-	22	43	22
Исполнительный директор/база клиентов	-	22	-	22
Топ-менеджер/ база договоров	30	-	-	30

2. Учет наличия доступа при помощи VPN:
При локальном доступе наличие VPN не анализируется. При удаленном доступе, при использовании VPN, к наименьшему коэффициенту защищенности прибавляется вес VPN шлюза (20). Если при удаленном доступе VPN-соединение не используется для групп Интернет-пользователе итоговый коэффициент защищенности умножается на 4, для групп обычных пользователей (не Интернет-пользователей) – остается неизменным.

	Наименьший коэффициент	Вес VPN-соединения	Результирующий коэффициент
Главный бухгалтер/бухгалтерский отчет	55	-	55
Топ-менеджер/ база клиентов	22	20	42
Исполнительный директор/база клиентов Компании	22	20	42
Топ-менеджер/ база договоров	30	-	30

3. Учет количества человек в группе и наличия у группы пользователей доступа в _И_н_т_е_р_н_е_т_:

	Результирующий коэффициент	Количество человек в группе пользователей	Наличие у группы пользователей доступа в Интернет	Итоговый коэффициент
Главный бухгалтер/бухгалтерский отчет	55	1	2	0,036
Топ-менеджер / база клиентов	42	1	1	0,024
Исполнительный директор/база клиентов	42	1	-	0,024
Топ-менеджер/база договоров	30	1	1	0,033

Если к информации имеет доступ группа пользователей, превышающая 50 человек, то это соответственно увеличивает итоговый коэффициент. Если группа пользователей имеет доступ в Интернет, то это увеличивает итоговый коэффициент в 2 раза.
Пример расчета итогового коэффициента (для главного бухгалтера):

4. Итоговая вероятность

Чтобы получить итоговую вероятность, необходимо определить базовую вероятность и умножить ее на итоговый коэффициент.

	Базовая вероятность	Итоговая базовая вероятность	Итоговый коэффициент	Промежуточная вероятность	Итоговая вероятность
Главный бухгалтер/ бухгалтерский отчет	0,35	0,7	0,036	0,0252	0,0252
Топ-менеджер/ база клиентов	0,7	0,7	0,024	0,0168	0,0331
Исполнительный директор/ база клиентов	0,35	0,7	0,024	0,0168	0,0331
Топ-менеджер/ база договоров	0,35	0,7	0,033	0,0231	0,0231

Т.к. к информации на ресурсе, находящейся в сетевой группе, имеют доступ группа Интернет-пользователей, их базовая вероятность распространяется на все информации. Итоговая вероятность для второй информации, к которой имеют доступ несколько групп пользователей, рассчитываем по формуле:

₅_._Р_и_с_к_п_о_у_г_р_о_з_е_к_о_н_ф_и_д_е_н_ц_и_а_л_ь_н_о_с_ть

	Итоговая вероятность	Ущерб от реализации угрозы	Риск
Бухгалтерский отчет	0,0252	100	2,52
База клиентов	0,0331	100	3,31
База договоров	0,0231	100	2,31

Пример расчета рисков по угрозе целостность

Первый пункт вычисляется аналогично расчету по угрозе конфиденциальность.
_{Учет средств резервирования и контроля целостнос}ти

	Наименьший коэффициент	Вес VPN- соединения	Веса средств резервирования и контроля целостности	Результирующий коэффициент
Главный бухгалтер / бухгалтерский отчет	55	-	40	95
Топ-менеджер / база клиентов	22	20	20	62
Исполнительный директор / база клиентов	22	20	20	62
Топ-менеджер / база договоров	30	-	20	50

Учет наличия резервного копирования, количества человек в группе пользователей и наличия у группы пользователей доступа в Интернет:

	Результирующий коэффициент	Наличие резервного копирования	Количество человек в группе пользователей	Наличие у группы пользователей доступа в Интернет	Итоговый коэффициент
Главный бухгалтер / бухгалтерский отчет	95	1	1	2	0,021
Топ-менеджер/ база клиентов	62	1	1	1	0,016
Исполнительный директор/ база клиентов	62	4	1	-	0,065
Топ-менеджер / база договоров	50	1	1	1	0,02

Наличие резервного копирования учитывается следующим образом: если у информации на ресурсе осуществляется резервное копирование, то вес резервного копирования (10) прибавляется к коэффициенту защищенности. Если у информации на ресурсе резервное копирование не осуществляется, и группе пользователей, имеющей доступ к информации, разрешены запись или удаление, то итоговый коэффициент увеличивается в 4 раза.

_А_н_а_л_о_ги_ч_н_о_р_а_с_ч_е_т_у_п_о_у_г_р_о_з_е_к_о_н_ф_и_д_е_н_ци_а_л_ь_н_о_с_т_ь_п_ол_у_ч_и_м_и_то_г_о_в_у_ю_в_е_р_о_я_т_н_о_с_т_ь:

	Базовая вероятность	Итоговая базовая вероятность	Итоговый коэффициент	Промежуточная вероятность	Итоговая вероятность
Главный бухгалтер/ бухгалтерский отчет	0,25	0,7	0,021	0,0147	0,0147
Топ-менеджер/база клиентов Компании	0,1	0,7	0,016	0,0112	0,05619
Исполнительный директор/ база клиентов	0,7	0,7	0,065	0,0455	0,05619
Топ-менеджер /база договоров	0,25	0,7	0,02	0,014	0,014

_Р_и_с_к_п_о_у_г_р_о_з_е_ц_е_л_о_с_т_н_о_с_ть

	Итоговая вероятность	Ущерб от реализации угрозы	Риск
Бухгалтерский отчет	0,0147	₁₀₀	1,47
База клиентов	0,05619	₁₀₀	_5,62
База договоров	0,014	₁₀₀	_1,4

Пример расчета рисков по угрозе отказ в обслуживании
Расчет рисков по угрозе доступность
1. Расчет коэффициента защищенности по угрозе доступность
При расчете рисков по угрозе доступность анализируются средства резервирования: кластер, резервное копирование и резервный канал. Влияние резервного канала учитывается в том случает, если группа обычных пользователей (не Интернет-пользователей) имеет только удаленный доступ к информации на ресурсе.

	Коэффициент защищенности	Наличие у группы пользователей доступа в Интернет	Итоговый коэффициент
Главный бухгалтер / бухгалтерский отчет	0,25	2	0,5
Топ-менеджер / база клиентов	2	1	2
Исполнительный директор / база клиентов	4	-	4
Топ-менеджер / база договоров	0,25	1	0,25

	Итоговая вероятность	Ущерб от реализации угрозы	Риск
Бухгалтерский отчет	0,0147	100	1,47
База клиентов Компании	0,05619	100	5,61
База договоров	0,014	100	1,4

2. Расчет итогового времени простоя

	Базовое t_п	Итоговое базовое t_п	t_п сетевого оборудования	Итоговый коэффициент	Промежуточное t_п	Итоговое t_п
Главный бухгалтер/ бухгалтерский отчет	40	70	-	0,5	35	35
Топ-менеджер/база клиентов	70	70	-	2	140	280
Исполнительный директор/база клиентов	40	70	10	4	280	280
Топ-менеджер/база договоров	40	40	-	0,25	10	10

При расчете рисков по угрозе доступность базовые времена простоя наследуются только в пределах ресурса. Время простоя сетевого оборудования добавляется к итоговому времени простоя. Если итоговое время простоя превышает максимально критичное (280 часов в год по базовым настройкам), оно приравнивается к максимально критичному времени простоя. _Д_л_я_в_тор_о_й_ин_ф_о_р_ма_ц_и_и_н_а_се_р_в_е_р_е_,_к_к_о_то_ро_й_и_ме_ю_т_д_о_с_т_у_п_н_е_с_к_о_ль_к_о_г_р_у_п_п_п_о_ль_зо_в_а_т_е_л_е_й,итоговое время простоя рассчитывается по следующей формуле:

3. Расчёт рисков

	Итоговое время простоя	Ущерб от реализации угрозы	Риск
Бухгалтерский отчет	35	1	35
База клиентов	280	1	280
База договоров	10	1	10

Download 2,63 Mb.

Do'stlaringiz bilan baham:

1 2 3 4 5 6 7 8 9 10