«Методы оценки рисков информационной безопасности»
Download 135.94 Kb.
|
Методы оценки рисков информационной безопасности
- Bu sahifa navigatsiya:
- Практическая работа №1 по дисциплине УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Тема: «Методы оценки рисков информационной безопасности»
- Выполнил: Зокиров Бехруз Группа: 075-19 Принял(а): Файзиева Д.С. Содержание
- Обоснование выбора информационных активов организации
|
МИНИСТЕРСТВО ПО РАЗВИТИЮ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И КОММУНИКАЦИЙ РЕСПУБЛИКИ УЗБЕКИСТАН ТАШКЕНТСКИЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ИМЕНИ МУХАМАДА АЛ-ХОРАЗМИЙ Практическая работа №1 по дисциплине УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Тема: «Методы оценки рисков информационной безопасности» Выполнил: Зокиров Бехруз Группа: 075-19 Принял(а): Файзиева Д.С. Содержание Оглавление Задание 3 Обоснования выбора информационных активов 4 Оценка ценности информационных активов/Уязвимости системы защиты информации 6 Угрозы ИБ 7 Оценка рисков 8 Вывод 10 Задание 1. Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий». 2. Ознакомьтесь с Приложениями C, D и Е ГОСТа. 3. Выберите три различных информационных актива организации (см. вариант). 4. Из Приложения D ГОСТа подберите три конкретных уязвимости системы защиты указанных информационных активов. 5. Пользуясь Приложением С ГОСТа напишите три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости. 6. Пользуясь одним из методов (см. вариант) предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности. 7. Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы. Обоснование выбора информационных активов организации Информационный актив банка – это информация: с реквизитами, позволяющими её идентифицировать; имеющая ценность для самого банка; находящаяся в распоряжении и представленная на любом материальном носителе в форме, пригодной для её обработки, хранения или передачи. Описание и детализация информационных активов может быть различной. В банках к типам информационных активов относится информация, содержащая банковскую тайну (далее – БТ), коммерческую тайну (далее – КТ), персональные данные и открытую информацию. Банковская и коммерческая тайна могут одновременно являться инсайдерской информацией (далее – ИИ). В отделение коммерческого банка можно выделить ряд информационных активов. В данном случае мы возьмем: Документация бухгалтерского учета – совокупность материальных носителей информации, составляемая экономическим субъектом по установленным требованиям в ходе ведения им бухгалтерского учета и включающая в себя: первичные учетные документы; сводные учетные документы; регистры бухгалтерского учета; данные внутренней бухгалтерской отчетности. Клиентская база - это особый вид базы данных, в которой содержатся сведения о каждом клиенте компании, хоть раз совершавшим с ней сделку. В некоторых клиентских базах помимо этой информации также содержатся данные о вероятных заказчиках и клиентах. Сетевой диск (сетевой драйвер)- назначенный логический диск (папка), который служит для хранения, передачи значительными объемами информации между сотрудниками. Я выбрал данные информационные активы организации, поскольку они являются необходимыми и основными для функционирования, реализации сети. Когда выделены и сформированы информационные активы предприятия, встает вопрос их правильной классификации с последующим обеспечением безопасности. Дело в том, что с помощью классификации можно оформить ключевые метрики для используемой информации – ее ценность, сила влияния на предприятие защите и тому подобное. Во многом от этого зависит, как данные будут обрабатываться и защищаться. Классификационные модели: Однофакторная классификация. Базируется на степени ущерба. Рассмотрим небольшой пример. Активы информационной системы распределяются на четыре блока в зависимости от степени вероятного нанесения ущерба при утечке данных. Как пример – минимальный, затем — средний, высокий и напоследок – критический. Многофакторная модель классификации. Базируется на трех классических параметрах. В данном случае вся информация представляет интерес с точки зрения конфиденциальности, доступности и целостности. По каждой позиции требования проставляются отдельно – высокие, средние, низкие. По совокупности они оцениваются, к примеру, как критической или базовой важности.
Download 135.94 Kb. Do'stlaringiz bilan baham: 
| ||||||||||||||||||||||||