Оценка рисков информационной безопасности на предприятиях малого и среднего бизнеса

Размещено на http://www.allbest.ru/

Министерство образования и науки РФ

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

«Новосибирский государственный технический университет»

Кафедра Защиты информации

Расчетно-графическое задание

По курсу Основы информационной безопасности

«Оценка рисков информационной безопасности на предприятиях малого и среднего бизнеса»

Студент:

Федотов И.А.

Преподаватель:

Рева И.Л.

г. Новосибирск, 2019 г

Введение

Большинство предприятий регулярно терпят убытки из-за утечки данных. Защита информации предприятия должна занимать приоритетное место в ходе становления бизнеса и его ведения. Обеспечение информационной безопасности -- залог успеха, прибыли и достижения целей предприятия.

Цель:

· Оценить потери от угроз ИБ при частично-защищённой и защищённой системе данной компании.

Задачи:

· Сформировать состав компании

· Вычислить возможные угрозы ИБ

· Рассчитать затраты

· Построить политику ИБ

1. Описание организации

Фабрика межкомнатных дверей «Фрегат» активно развивается в качестве производственного предприятия с 2002 года. В настоящее время производственные помещения занимают около 5000 квадратных метров, количество сотрудников превышает 500 человек, а мощность предприятия позволяет выпускать более 35 000 высококачественных дверных комплектов в месяц. Так же на фабрике есть три собственных линии по производству погонажных изделий.

Описание офисной техники:

· 12 персональных компьютеров

· 5 стационарных телефонов

· 2 кассовых аппарата

· 1 факс

2. Анализ и систематизация. Методы защиты

Методика, которая используется в данной работе, предназначена для проведения анализа рисков информационной безопасности в целях построения или совершенствования системы информационной безопасности на предприятиях.

Вышеупомянутая методика заключается в определении суммарной стоимости денежных потерь вследствие отсутствия, недостатка или преодоления средств защиты информации, при использовании данных об ожидаемой частоте появления угроз и значениях возможного ущерба. Она позволяет провести оценку рисков без привлечения высококвалифицированных специалистов.

Приблизительный алгоритм анализа и оценки рисков, связанных с информационной безопасностью состоит из данных этапов:

1. Идентификация активов

2. Разработка модели угроз

3. Оценка рисков

4. Подбор способов защиты

5. Выводы

2.1 Идентификация активов

Активы это компоненты и системы организации, играющие важную роль в работе данной организации. Соответственно, они требуют рациональной защиты. Активами компании «Фрегат» являются:

· Файлы, содержащие информацию о платежах.

· Компьютеры, принтеры.

· Программы для обработки текстов, проектирования, бухгалтерского учета.

· Различные базы данных.

· Телефоны, факсы, оптоволоконные кабели.

· Прочая офисная техника.

· Электронные носители информации.

· Контракты.

· Проекты дверей и прочей продукции.

· Штат компании.

2.2 Разработка модели угроз

2.3 Оценка рисков

В данном методе оценка рисков (а соответственно и ущерба) производится при помощи формулы , где это стоимость потерь (в нашем случае в рублях). это коэффициент, характеризующий возможную частоту возникновения существующей угрозы. это коэффициент, характеризующий значение возможного ущерба при возникновении угрозы.

Коэффициенты и определяются при помощи таблиц 1 и 2 соответственно: риск информационный безопасность актив

Таблица 1

Таблица 2

Суммарная стоимость потерь определяется формулой:

,

На основании данных, приведенных выше, произведем расчеты, учитывая то, что наша исходная информационная система является частично защищенной.

· Потери от компьютерных вирусов

В данной системе используется антивирусное ПО. Частота заражения компьютеров составляет 1 раз в месяц, при этом наносится ущерб в 1000 рублей.

· Потери от взлома паролей

В системе используются пароли состоящие из 8 символов. Вероятность подбора пароля - один раз в 10 лет. Ущерб - 1000 рублей.

,

· Потери, вызванные обходом криптозащиты

Вероятность взлома криптозащиты - один раз в 100 лет, а ущерб может составлять 100 000 рублей.

,

· Потери от DDoS-аттак

Вероятность атаки - один раз в год. Возможный ущерб - 1000 рублей.

· Потери от троянских программ

Вероятность заражения трояном составляет один раз в год, в свою очередь, ущерб может быть равен 10 000 рублей.

· Потери от перехвата информации (подключения к сети)

Частота перехвата информации составляет 1 раз в год, и ущерб - 1000 рублей.

· Потери, вызванные действиями вирусов-шифровальщиков

В данном случае шифровальщики вынесены в отдельный вид угроз, так как они приносят гораздо более значительный ущерб, чем другие различные вирусы. Частота заражения составляет 1 раз в год, а ущерб находится в районе 100 000 рублей.

· Потери, вызванные системными ошибками и сбоями серверов

Частота - 1 раз в год, возможный ущерб - 10 000 рублей.

· Потери, вызванные халатностью персонала

Частота - 1 раз в месяц, ущерб - 10 000 рублей.

,

Исходя из данных расчетов, можно вычислить суммарную стоимость потерь :

,

2.4 Подбор способов защиты

Стоит начать с антивирусного ПО. Так как оно уже имеется в нашей системе, то покупать его еще раз нет смысла. Так как большинство заражений вредоносным ПО, вызвано действиями персонала стоит произвести инструктажи, а так же настроить фильтр сайтов. Установка и настройка фильтра сайтов обойдется в 5 000 рублей и позволит уменьшить ущерб от вредоносного ПО до 1000 рублей. Сюда же входит и проведение инструктажей, но об их стоимости будет сказано далее.

Далее идут потери от взлома паролей, но так как они невелики, что-то изменять здесь не нужно. Сюда же стоит отнести и потери от взлома криптозащиты, DDoS-аттак и перехвата информации: ущерб - в пределах нормы.

Следующий пункт трояны. Бороться с троянами нужно при помощи антивирусного ПО, но так как оно уже есть, стоит упомянуть инструктажи с персоналом. Благодаря этому, ущерб от троянов можно свести к 1 000 рублей.

Самый важный пункт в данной системе: потери, вызванные действиями вирусов-шифровальщиков. Опять же, это работа для антивируса, но как можно видеть он не справляется. Для блокировки этих вирусов стоит воспользоваться отдельными утилитами. Лицензия на нужную утилиту для всех компьютеров организации будет стоить около 40 000 рублей. Также нужно упомянуть про инструктаж персонала. Благодаря этим мерам, потери от действий шифровальщиков можно минимизировать до 10 000 рублей.

Потери, вызванные системными ошибками и сбоями серверов. Ущерб от них можно уменьшить, прибегнув к помощи специалистов, которые настроят и оптимизируют ПО. Их услуги будут стоить примерно 15 000 рублей. Ущерб составит около 1 000 рублей.

Ущерб от потерь, вызванных халатностью персонала можно сделать меньше при помощи профилактических бесед. Для их проведения, а так же для подбора кадров, можно нанять специалиста, который сможет рационально подбирать персонал, налаживать отношения в коллективе и следить за добросовестностью сотрудников. Его услуги обойдутся в 40 000 рублей. В свою очередь ущерб будет равен 1 000 рублей.

Выводы

Исходя из перечисленного в пункте 2.4, можно высчитать, что ущерб после применения способов защиты составит 17 100 рублей.

,

Соответственно:

рублей

А затраты на обеспечение дополнительной защиты составляют ровно 100 000 рублей.

Из нужно вычесть затраты на обеспечение дополнительной защиты и мы узнаем сумму, которая осталась после всех операций описанных в данной работе. Эта сумма равна 26 000 рублей.

Данные, которые были получены в ходе анализа рисков, были систематизированы и использованы для того, чтобы уменьшить ущерб предприятия, который причинялся компании «Фрегат» из-за уязвимостей в информационной системе. Разница в первоначальном и итоговом ущербах составила 126 000, что говорит само за себя. Исходя из этого, проделанную работу можно считать успешно завершенной.

Размещено на Allbest.ru