«Методы оценки рисков информационной безопасности»


Download 135.94 Kb.
bet1/3
Sana19.06.2023
Hajmi135.94 Kb.
#1603229
TuriПрактическая работа
  1   2   3
Bog'liq
Методы оценки рисков информационной безопасности



МИНИСТЕРСТВО ПО РАЗВИТИЮ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И КОММУНИКАЦИЙ РЕСПУБЛИКИ УЗБЕКИСТАН
ТАШКЕНТСКИЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ИМЕНИ МУХАМАДА АЛ-ХОРАЗМИЙ



Практическая работа №1 по дисциплине
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Тема: «Методы оценки рисков информационной безопасности»


Выполнил: Зокиров Бехруз
Группа: 075-19
Принял(а): Файзиева Д.С.


Содержание

Оглавление


Задание 3
Обоснования выбора информационных активов 4
Оценка ценности информационных активов/Уязвимости системы защиты информации 6
Угрозы ИБ 7
Оценка рисков 8
Вывод 10

Задание
1. Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий».
2. Ознакомьтесь с Приложениями C, D и Е ГОСТа.
3. Выберите три различных информационных актива организации (см.
вариант).
4. Из Приложения D ГОСТа подберите три конкретных уязвимости системы
защиты указанных информационных активов.
5. Пользуясь Приложением С ГОСТа напишите три угрозы, реализация
которых возможна пока в системе не устранены названные в пункте 4 уязвимости.
6. Пользуясь одним из методов (см. вариант) предложенных в Приложении Е
ГОСТа произведите оценку рисков информационной безопасности.
7. Оценку ценности информационного актива производить на основании
возможных потерь для организации в случае реализации угрозы.

Обоснование выбора информационных активов организации
Информационный актив банка – это информация:

  • с реквизитами, позволяющими её идентифицировать;

  • имеющая ценность для самого банка;

  • находящаяся в распоряжении и представленная на любом материальном носителе в форме, пригодной для её обработки, хранения или передачи.

Описание и детализация информационных активов может быть различной. В банках к типам информационных активов относится информация, содержащая банковскую тайну (далее – БТ), коммерческую тайну (далее – КТ), персональные данные и открытую информацию. Банковская и коммерческая тайна могут одновременно являться инсайдерской информацией (далее – ИИ).
В отделение коммерческого банка можно выделить ряд информационных активов. В данном случае мы возьмем:

  1. Документация бухгалтерского учета – совокупность материальных носителей информации, составляемая экономическим субъектом по установленным требованиям в ходе ведения им бухгалтерского учета и включающая в себя:

    1. первичные учетные документы;

    2. сводные учетные документы;

    3. регистры бухгалтерского учета;

    4. данные внутренней бухгалтерской отчетности.

  2. Клиентская база - это особый вид базы данных, в которой содержатся сведения о каждом клиенте компании, хоть раз совершавшим с ней сделку. В некоторых клиентских базах помимо этой информации также содержатся данные о вероятных заказчиках и клиентах.

  3. Сетевой диск (сетевой драйвер)- назначенный логический диск (папка), который служит для хранения, передачи значительными объемами информации между сотрудниками.

Я выбрал данные информационные активы организации, поскольку они являются необходимыми и основными для функционирования, реализации сети.

Когда выделены и сформированы информационные активы предприятия, встает вопрос их правильной классификации с последующим обеспечением безопасности.
Дело в том, что с помощью классификации можно оформить ключевые метрики для используемой информации – ее ценность, сила влияния на предприятие защите и тому подобное. Во многом от этого зависит, как данные будут обрабатываться и защищаться.
Классификационные модели:

  1. Однофакторная классификация. Базируется на степени ущерба. Рассмотрим небольшой пример. Активы информационной системы распределяются на четыре блока в зависимости от степени вероятного нанесения ущерба при утечке данных. Как пример – минимальный, затем — средний, высокий и напоследок – критический.

  2. Многофакторная модель классификации. Базируется на трех классических параметрах. В данном случае вся информация представляет интерес с точки зрения конфиденциальности, доступности и целостности. По каждой позиции требования проставляются отдельно – высокие, средние, низкие. По совокупности они оцениваются, к примеру, как критической или базовой важности.



Параметр/значение

Критичность информации

Ценность вида информации

Критичная (3 балла)

Существенная (2 балла)

Незначи-тельная (1 балл)

Строго конфиденциальная (4 балла)

7

6

5

Конфиденциальная (3 балла)

6

5

4

Для внутреннего пользования (2 балла)

5

4

3

Открытая (1 балл)

4

3

2


Download 135.94 Kb.

Do'stlaringiz bilan baham:
  1   2   3




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling