В качестве нормативно-правовых документов выступают: договор между руководством организации и сотрудником о сохранении конфиденциальной информации, инструкция по обеспечению безопасности, документы, регламентирующие порядок допуска к сведениям, составляющим конфиденциальную информацию, обязанности сотрудников по обеспечению сохранности конфиденциальной информации.
Введение в делопроизводство данных документов, а также регулярное проведение специализированных мероприятий, направленных на сохранность информации позволит значительно снизить или даже предотвратить возможные угрозы.
4.4 Оценка рисков разработанной системы безопасности
После внедрения мер организующих комплексную защиту, конфиденциальной информации и всей информационной системы в целом, необходимо провести повторную оценку рисков. Известно, что перечень угроз останется тем же, а вот вероятность свершения некоторых из них снизится за счет применения тех или иных методов. Стоит отметить, что ущерб по аналогии с вероятностью может также снизиться. Таблица 2 содержит вышеописанные сведения для информационной среды предприятия после принятия мер по ее защите.
Таблица 2 Повторная оценка рисков
№ | Наименование угрозы | Вероятность наступления | Ущерб от реализации | Риск |
1 | Стихийные бедствия, аварии, пожары и пр. | 1 | 2 | 2 |
2 | Непреднамеренные ошибки пользователей | 1 | 3 | 3 |
3 | Перебои электропитания | 1 | 2 | 2 |
4 | НСД бывших и нынешних сотрудников | 1 | 2 | 2 |
5 | Кража оборудования | 1 | 2 | 2 |
6 | Отказ программ и аппаратного обеспечения | 1 | 2 | 2 |
7 | Вредоносное программное обеспечение | 2 | 2 | 4 |
8 | НСД сторонних лиц: хакеры, злоумышленники. | 1 | 2 | 2 |
9 | Фальсификация данных | 1 | 3 | 3 |
10 | Хищение информации и ее использование | 1 | 3 | 3 |
11 | Халатность пользователей | 1 | 2 | 2 |
12 | Нарушение авторского права | 1 | 1 | 1 |
Сумма рисков: | 28 |
Известно, что принятие мер в ряде случаев все равно не даст стопроцентной гарантии защищенности, поэтому вероятность некоторых событий сведена к минимуму, а не исключена полностью. Уменьшение ущерба от реализации угрозы в рассматриваемом случае в большей части зависит от принятых мер по резервированию информации. Однако данный факт не имеет свое отражение в таблице, это связано с тем, что по данной методологии оценки рисков принята слишком узкая трехбалльная система, по которой на отдельный показатель существенным образом может повлиять только совокупность мер минимизации ущерба. На рисунке 6 представлена диаграмма количества рисков после принятия разработанной политики безопасности.
Рисунок 6 Количество рисков по категориям с разработанной политикой безопасности
Как видно из рисунка, риски с высокой вероятностью наступления в большей части переведены в категорию угроз с низкой вероятностью, что является приемлемым результатом. Минимизация ущерба от угроз с любой вероятностью риска может быть достигнута при использовании резервного сервера, на данном этапе деятельности предприятия это пока ненужно.
В результате анализа ранее существовавшей на предприятии информационной системы, с включенным в нее Web-сервером, были выявлены значительные недостатки ее защищенности. На основании этих данных было принято решение о разработке комплексной системы безопасности, направленной на снижение вероятности наиболее значимых и распространенных угроз.
В итоге была предложена качественно новая система безопасности, позволяющая защитить Web-ресурсы предприятия, локальную сеть, весь электронный документооборот, циркулирующий как во внешней, так и во внутренней сети. Стоит отметить, что произведенная работа позволила сократить риски на 45% от ранее существовавших. На рисунке 7 приведена диаграмма, показывающая уменьшение рисков.
н% от ранее существовавших.работа позволила сократить риски на й документооборот, циркулирующий как во внешней, так и собственнРисунок 7 Сокращение рисков информационной системы
1. А.И. Куприянов, А.В. Сахаров, В.А.Шевцов Основы защиты информации.- М. : Издательский центр «Академия»,2007.-256с.
2. Ю.Н Сычев. Защита информации - М. Московский международный институт эконометрики, информатики, финансов и права. 2002. – 221 с.
3. В. И. Завгородний Комплексная защита информации в компьютерных системах: Учебное пособие – М.: Логос; ПБОЮЛ Н. А. Егоров, 2001.- 264с.
4. В.П. Мельников, С.А. Клейменов, А.М. Петраков Информационная безопасность.- М.: Издательский центр «Академия», 2007.- 336с.
5. О.Ю. Гаценко. Защита информации. СПб.: Издательский дом «Сентябрь», 2001.-228с.