• Высокий: значительная денежная потеря, потеря производительности или затруднения, являющиеся результатом угрозы, вследствие соответствующей уязвимости.
• Средний: номинальная денежная потеря, потеря производительности или случающиеся затруднения.
• Низкий: либо минимальная возможность денежной потери, потери производительности, либо затруднения, либо вообще ничего.

 
 
 

Таблица 5 - Матрица оценки рисков

 

       Для демонстрации объединенного уровня риска представлена таблица оценки рисков, приведенная в таблице 6. Таблица оценки рисков заполнена с помощью придания объединенного уровня риска. Объединенный уровень риска получен из всех угроз, предварительно идентифицированных, исходя из матрицы оценки рисков.

Таблица 6 – Таблица оценки риска

     Анализируя  результаты заполнения матрицы и  таблицы оценки рисков, можно сделать  вывод, что рассмотренные пять угроз  являются актуальными для ИС ЧОП. Риск является недопустимым и необходимы защитные меры для снижения уровня риска до допустимого.

2 РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ

1. Формулирование  правил безопасности

       На  этой стадии курсовой работы решается задача разработки политики безопасности ЧОП. Эта стадия состоит из следующих  этапов:

• формулирование  правил безопасности для противодействия угрозам ИС ЧОП;
• собственно разработка политики безопасности на основе сформулированных правил безопасности

       Целью разработки политики безопасности ИС ЧОП является определение способов использования программных, информационных и технических ресурсов, а также определение процедур и мер, предупреждающих нарушение безопасности, для обеспечения нормального функционирования ЧОП, под которым понимается, прежде всего, выполнение ЧОП своих бизнес-функций.

       Причина разработки политики безопасности ИС ЧОП заключается в существовании сил, явлений, структур, представляющих опасность для ЧОП и его нормального функционирования.

       Правила ИБ определяют содержание и цели деятельности ЧОП в рамках процессов управления ИБ в части противостояния актуальным угрозам. В правилах ИБ описывается, что должно быть защищено и какие ограничения накладываются на управление. Правила, составляющие политику безопасности, описывают безопасность в общих терминах и не описывают, каким образом ее осуществлять.

       Для противодействия угрозе 1. «Использование чужого идентификатора сотрудниками организации» и угрозе 2. «Использование чужого идентификатора посторонними» необходимо соблюдение следующих правил.

       Правило 1.

       В организации должны обеспечиваться:

• система парольной защиты рабочих станций. Должна быть организована служба централизованной парольной защиты для генерации смены, удаления паролей, разработки необходимых инструкций, контроля за действиями персонала по работе с паролями;
• формирование уникальных идентификаторов сообщений и идентификаторов пользователей.

       Требования: пароли должны выбираться пользователями с учетом следующих параметров:

• длина пароля должна быть не менее 8 символов;
• в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы;
• пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, и т.д.), а также общепринятые сокращения;
• при смене пароля новое значение должно отличаться от предыдущего не менее, чем в 4 позициях;
• полная плановая смена паролей должна проводиться регулярно не реже одного раза в месяц.

       Правило 2.

       Организация должна проводить меры по недопущению  к работе неквалифицированного, необученного и незаинтересованного в соблюдении требований безопасности персонала.

       Требования:

• прием  на работу новых сотрудников должен осуществляться на основе анкетирования и личных бесед;
• должна осуществляться периодическая проверка знаний персонала в рамках исполняемых ими обязанностей;
• должно осуществляться обучение персонала мерам безопасности.

       Для противодействия угрозе 3. «Внедрение вредоносного ПО» необходимо соблюдение следующих правил.

       Правило 3.

       В организации должно использоваться надежное и проверенное ПО, которое должно устанавливаться и эксплуатироваться в соответствии с требованиями ИБ организации и учетом уязвимостей системы.

       Требования:

• должны быть определены полномочия пользователей на установку и использование ПО;
• должны быть созданы  списки программ разрешенных к выполнению различными группами пользователей, а так же списки, однозначно запрещенных программных продуктов, таких как игры, отладчики, сканеры сети  и портов и т.п., если их использование не требуется для выполнения непосредственных производственных задач.

       Правило 4.

       Должна  осуществляться периодическая проверка на наличие вредоносного ПО.

       Требования:

• установка и периодическое обновление антивирусных программных средств;
• проверка электронной почты и скачиваемой информации на наличие вредоносного ПО;
• регулярный пересмотр содержимого ПО;
• внешние накопители на рабочих станциях должны быть отключены, для того, чтобы исключить возможность занесения пользователями вирусов в систему.

       Для противодействия угрозе 4. «Неисправность сетевого сервера» и угрозе 5. «Неисправность сетевых распределяющих компонентов» необходимо соблюдение следующих правил.

       Правило 5.

       Должны  быть предприняты меры по ограничению  доступа посторонних лиц на объекты  организации, на которых размещены элементы ИС.

       Требования:

• все перемещения посетителей организации должны контролироваться с регистрацией причины или места посещения, времени и даты входа и выхода;
• сотрудники организации должны носить хорошо видимые карточки-идентификаторы, которые позволяют акцентировать внимание на посетителях и своевременно выполнять требования по безопасности при общении с ними и допуске посетителей в помещения;
• расположение критических элементов ИС должно исключать случайный доступ к ним посторонних лиц.

       Правило 6.

       Должны  быть предусмотрены меры предотвращения сбоев в работе аппаратных компонентов.

       Требования:

• наличие источников бесперебойного питания на всех критических компонентах системы;
• наличие дизельного генератора мощности для обеспечения непрерывного режима работы в условиях отказа основного источника мощности.

       Правило 7.

       Должна  быть обеспечена физическая безопасность оборудования.

       Требования:

• аппаратные и сетевые аппаратные средства должны  иметь надежную физическую защиту от внешних механических воздействий со стороны  персонала и других лиц.
• оборудование должно подвергаться регулярным осмотрам и дистанционному контролю с целью обнаружения признаков, которые могут повлечь за собой отказ системы.

       Правило 8.

       В организации должна быть должность администратора ИБ.

2. Разработка  политики информационной безопасности

       На  данном этапе второй стадии выполнения курсовой работы правила ИБ  взаимоувязаны  в непрерывный по задачам, подсистемам  и уровням комплекс - политику ИБ ЧОП.

       Политика  ИБ организации представляет собой совокупность правил и руководящих принципов в области ИБ, которыми руководствуется организация в своей деятельности. Она является планом высокого уровня, в котором следует описывать цели и задачи мероприятий по обеспечению ИБ.

       Политика ИБ должна пересматриваться в ответ на любые изменения, влияющие на основу первоначальной оценки рисков, и прежде всего в ответ на изменение бизнес-целей и соответственно бизнес-функций организации.

       В сферу действия данной политики ИБ попадают все аппаратные, программные и информационные ресурсы, входящие в ИС ЧОП. Политика ориентирована также на людей, работающих в ИС ЧОП.

         Политика безопасности была зафиксирована в таблице 7, включающей все правила ИБ, ответственных за выполнение правил, возможные виды защитных мер.

Таблица 7 – Политика ИБ ЧОП.