Информационная безопасность

        Отвечает за безотказную работу системы и обеспечения ее всем необходимым (хранение и закупка запасных частей, программного обеспечения и т.д)

Полная  структура организации представлена на схеме №3

 

2. Анализ рисков информационной безопасности.

1. Идентификация и оценка информационных активов.

 

На данном этапе мы должны идентифицировать информационные активы, входящие в область оценки.

 

1. Определить ценность этих активов
2. Определить перечень угроз и вероятность их реализации
3. Произвести оценивание и ранжирование рисков

Информационный  актив – это любая информация, независимо от вида её представления, имеющая ценность для организации  и находящаяся в её распоряжении. 

Типы  активов АО "Алатау Жарык Компаниясы":

 

• Информация (база данных бухгалтерии – содержит информацию обо всех сотрудниках компании, финансовых операциях которые происходят как внутри, так и вне компании, а так же информацию о проведенных транзакциях и их статусе)
• Документы (договора, контракты, служебные записки)
• Программное обеспечение, включая прикладные программы
• Аппаратные средства (персональные компьютеры – необходимые для работы сотрудников). Сервер баз данных, телефоны, медные и оптоволоконные кабели, коммутаторы, принтеры, почтовый сервер.

АО "Алатау Жарык Компаниясы" - является коммерческой организацией основной ее целью является получение прибыли за счет предоставляемых ею услуг.

Данные  по оценке информационных активов сведена в таблицу 1.2.1.1. Результаты ранжирования активов представлены в таблице 1.2.1.3.

 

 

 

Таблица 1.2.1.1

Оценка  информационных активов АО "Алатау Жарык Компаниясы"

Наименование актива	Форма представления	Владелец актива	Критерии определения стоимости	Размерность оценки
				Количественная оценка (ед.изм.)	Качественная
Информационные активы
База данных бухгалтерии	Электронная	Бухгалтерия	Степень важности	-	Имеющая критическое значение
База данных  поставщиков	Электронная	Директор	Степень важности	-	Имеющая критическое значение
Персональные данные о сотрудниках	Электронная	Кадровый отдел	Степень важности	-	Высокая
Штатное расписание и кадровый учет	Бумажный документ, электронный документ	Кадровый отдел	стоимость  обновления или воссоздания	-	критически высокая

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Продолжение Таблицы 1.2.1.1

 

Наименование актива	Форма представления	Владелец актива	Критерии определения  стоимости	Размерность оценки
				Количественная оценка (ед.изм.)	Качественная
Активы аппаратных средств
Принтеры	Материальный объект	IT-отдел	Первоначальная стоимость	-	Малая
Оборудование для обеспечения связи	Материальный объект	IT-отдел	Первоначальная стоимость	-	Средняя
Сервер баз данных	Материальный объект	IT-отдел	Первоначальная стоимость	-	Имеющая критическое значение
Почтовый сервер	Материальный объект	IT-отдел	Первоначальная стоимость	-	Имеющая критическое значение
Персональный компьютер	Материальный объект	Консультанты, товароведы, администрация.	Первоначальная стоимость	-	Средняя
База данных заказав (MySQL)	Материальный объект	IT-отдел	Первоначальная стоимость		Высокая

 

 

Продолжение Таблицы 1.2.1.1

Наименование актива	Форма представления	Владелец актива	Критерии определения стоимости	Размерность оценки
				Количественная оценка (ед.изм.)	Качественная
Активы программного обеспечения
Учетная Система	Электронная	Дирекция технического сопровождения	Обновление и воссоздание	-	Высокое
Программы целевого назначения	Электронная	Дирекция программного сопровождения  и разработки	Обновление и воссоздание	-	Высокое
Windows 7 Ultimate	Электронная	Дирекция технического сопровождения	Первоначальная стоимость	-	Малая
MS Office 2010	Электронная	Дирекция технического сопровождения	Первоначальная стоимость	-	Малая

 

 

Результат ранжирования представляет собой интегрированную оценку степени  важности актива для предприятия, взятую по пятибалльной шкале (Таблица 1.2.1.1). Самый ценный информационный актив имеет ранг 5, наименее ценный – ранг 1.

Активы, имеющие наибольшую ценность (ранг) в последующем рассматриваются  в качестве объекта защиты. Количество таких активов, как правило, зависит  от направления деятельности предприятия. В рамках поставленной задачи разработки политики безопасности по защите персональных данных выделим наиболее ценные информационные активы (имеющие максимальный ранг).

 

Таблица 1.2.1.3

Результаты  ранжирования активов АО "Алатау Жарык Компаниясы"

Наименование актива	Ценность актива (ранг)
База данных бухгалтерии	5
Почтовый сервер	5
База данных поставщиков	5
Персональные данные о сотрудниках	5
Кадровый учет	5
Учетная Система	4
База данных заказов (MySQL)	4
Программы целевого назначения	4
Windows 7 Ultimate	4
MS Office 2010	2
Принтеры	2
Оборудование для обеспечения связи	4

 

 

По результатам ранжирования (Таблица1.2.1.3) выделим активы, имеющие наибольшую ценность (имеющие ранг 5 и 4):

 

1. База данных бухгалтерии;

2. Почтовый сервер;

3. База данных поставщиков;

4. Сервер баз данных;

5. Персональные данные о сотрудниках;

6. Оборудование для обеспечения связи;

7. Учетная Система;

8. Windows 7.

Перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим  законодательством РФ, представлены в таблице 1.2.1.2.

Таблица 1.2.1.2

Перечень  сведений конфиденциального характера  АО "Алатау Жарык Компаниясы"

№ п/п	Наименование сведений	Гриф конфиденциальности	Нормативный документ, реквизиты, №№ статей
1.	Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия  от несанкционированного доступа	Информация ограниченного доступа	–
2.	Требования по обеспечению сохранения служебной тайны сотрудниками предприятия	Информация ограниченного доступа	ст. 139, 857 ГК РФ
3.	Персональные данные сотрудников	Информация ограниченного доступа; подлежат разглашению  с согласия сотрудника	Закон №152-ФЗ; Глава 14 Трудового кодекса  РФ
4.	Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая  имеет действительную или потенциальную  коммерческую ценность в силу неизвестности  ее третьим лицам).	подлежит разглашению только по решению  предприятия	Закон РФ от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне

 

 

 

2. Оценка уязвимостей активов.

 

Уязвимость  информационных активов — тот или иной недостаток, из-за которого становится возможным нежелательное воздействие на актив со стороны злоумышленников, неквалифицированного персонала или вредоносного кода (например, вирусов или программ-шпионов).

Уязвимость  – есть событие, возникающее как  результат такого стечения обстоятельств, когда в силу каких-то причин используемые в защищаемых системах обработки данных средства защиты не в состоянии оказать достаточного противодействия проявлению дестабилизирующих факторам и нежелательного их воздействия на защищаемую информацию.

В компьютерной безопасности, термин уязвимость используется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.

Уязвимости  информационной системы компании можно  определить несколькими способами. Их может описать сотрудник компании (системный администратор или специалист службы информационной безопасности) на основании собственного опыта (возможно, в качестве подсказки для наиболее полного описания множества уязвимостей информационной системы используя классификации уязвимостей). Кроме того, могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей.

Основанием  для проведения оценки уязвимости является оценка критичности информационных активов и определения адекватности предпринимаемых мер безопасности по отношению к их значимости.

 

Показателями  уязвимости актива и его особо  важных зон являются степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая).

После проведения оценки уязвимости предоставляется отчет, который должен в себя включать описание уязвимостей и уязвимых систем. Уязвимости должны быть отсортированы сначала по степени важности, а затем по серверам/сервисам. Уязвимости должны быть расположены в начале отчёта и расставлены в порядке убывания критичности, то есть сначала критические уязвимости, затем с высоким уровнем важности, потом со средним и низким.                            

Результаты  оценки уязвимости активов представлены в таблице 3.

 

Группа уязвимостей           Содержание  уязвимости	Персональные данные о сотрудниках	Кадровый учет	Персональные компьютеры	Сервера баз данных	Почтовый сервер	Коммуникационное оборудование	Учетная Система	Windows 7
1. Среда и инфраструктура
Отсутствие физической защиты зданий, дверей и окон	Средняя	Средняя		Средняя	Средняя
Нестабильная работа электросети			Средняя	Низкая	Низкая	Низкая
2. Аппаратное обеспечение
Отсутствие схем периодической замены			Средняя	Средняя	Средняя	Средняя
Подверженности воздействию  влаги, пыли, загрязнения			Высокая	Высокая	Высокая	Средняя
Отсутствие контроля за эффективным изменением конфигурации			Средняя	Низкая	Низкая
3. Программное обеспечение
Отсутствие тестирования или недостаточное тестирование программного обеспечения							Высокая	Высокая
Сложный пользовательский интерфейс							Средняя	Средняя
Плохое управление паролями			Среднее	Среднее	Среднее		Высокая	Высокая