АНАЛИЗ И СОВЕРШЕНСТВОВАНИЕ МЕТОДИК ОЦЕНКИ РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЙ МАЛОГО И СРЕДНЕГО БИЗНЕСА
МЕНЬЩИКОВА С. П.,
гр. ИБ-м-о-141
Научный руководитель:
кандидат технических наук, доцент
Петренко В. И.
1
Общие положения
2
Задачи
3
Методы исследования
Методы исследования определяются сущностью теоретических и практических проблем. Используются: структурный системный анализ, методы оптимизации, теория нечетких множеств и методы разработки программного обеспечения.
4
Положения, выносимые на защиту
5
Классификация методик оценки риска ИБ
6
Сравнительный анализ методик оценки риска ИБ предприятий МСБ
Критерии сравнения | CORAS | Матричный подход | Расчетная методика |
Методика рассчитана на организации МСБ | 1 | 1 | 1 |
Методика рассчитана на организации различных областей деятельности | 1 | 1 | 1 |
Простота использования | 1 | 1 | 1 |
Бесплатное использование | 1 | 1 | 1 |
Количественная оценка | 0 | 1 | 1 |
Качественная оценка | 1 | 1 | 1 |
Повышение информированности сотрудников | 1 | 1 | 1 |
Пригодность к регулярному использованию | 0 | 1 | 1 |
Использование независимой оценки | 1 | 0 | 0 |
ИТОГО: | 7 | 8 | 8 |
7
Сравнительный анализ методик оценки риска предприятий МСБ
Критерии сравнения | CORAS | Матричный подход | Расчетная методика |
Ресурсы | 1 | 1 | 1 |
Ценность ресурсов | 1 | 1 | 1 |
Угрозы | 1 | 1 | 1 |
Уязвимости | 1 | 1 | 1 |
Выбор контрмер | 1 | 1 | 0 |
Базовые требования в области безопасности | 0 | 0 | 0 |
Потери | 0 | 0 | 0 |
Меры защиты информации | 0 | 0 | 1 |
Частота возникновения угроз | 0 | 0 | 0 |
Сетевое оборудование | 0 | 0 | 0 |
Виды информации | 0 | 0 | 0 |
Группы пользователей | 0 | 0 | 0 |
СЗИ | 0 | 1 | 1 |
ИТОГО: | 5 | 6 | 6 |
8
Рекомендуемая методика для оценки риска предприятий малого и среднего бизнеса
Этап 1. Идентификация активов.
Этап 2. Определение риска несоответствия требований законодательства.
Этап 3. Разработка модели угроз.
Этап 4. Процедура количественного определения рисков.
Этап 5. Определение допустимого риска
9
Осложняющие факторы для применения методики
10
Операции нечеткого вывода при оценке рисков информационной безопасности предприятий малого и среднего бизнеса
11
Рекомендуемые подходы для построения системы нечеткого вывода
1) входные лингвистические переменные: значения вероятности и ущерба; выходная лингвистическая переменная – оцениваемое значение риска.
2) входные лингвистические переменные: уровни программно-аппаратной защиты, организационно-правовой защиты и инженерно-технической защиты; выходные лингвистические переменные: риск нарушения конфиденциальности информации; риск нарушения целостности информации; риск нарушения доступности информации.
12
Представление системы нечеткого вывода
13
Перечень организационных мер защиты информации реализованных в ООО «РусРобот Групп»
14
Организационные меры защиты информации | Соответствия |
Ограничение доступа в помещения, где обрабатывается конфиденциальная информация | 1 |
Установление режима коммерческой тайны | 1 |
Распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п. | 1 |
Разработка и утверждение функциональных обязанностей должностных лиц службы информационной безопасности | 0,5 |
Создание службы информационной безопасности организации | 1 |
Выявление и классификацию угроз безопасности информации | 1 |
Определение уязвимых мест в информационной системе с точки зрения информационной безопасности; | 1 |
Классификацию информационных ресурсов, информационных систем и их пользователей по требованиям информационной безопасности; | 1 |
Наличие инструкции по организации конфиденциального делопроизводства | 1 |
Наличие соглашений о неразглашении конфиденциальной информации | 1 |
Наличие политики информационной безопасности на предприятии | 1 |
Организация охраны помещений | 1 |
Организации контрольно-пропускных систем на территории предприятия | 1 |
Наличие постоянно действующей экспертной комиссии на предприятии | 1 |
Наличие специально оборудованного помещения для работы с конфиденциальными документами | 1 |
Наличие специально оборудованного помещения для проведения конфиденциальных совещаний и переговоров | 0,5 |
Итого | 15 |
Перечень технических мер защиты информации реализованных в ООО «РусРоботГрупп»
Технические меры защиты информации | Соответствия |
Наличие охранных и пожарных из вещателей | 1 |
Наличие средств внутреннего видеонаблюдения | 1 |
Установка кодовых замков | 1 |
Установка средств тревожной сигнализации, пожаротушения, средства резервного электропитания | 1 |
Использование акустических экранов, кабин, глушителей, звукопоглощающих материалов | 1 |
Наличие средств отключения радиоэлектронных устройств, фильтров опасных сигналов, буферов, экранов, конденсаторов для симметрирования кабелей, генераторов линейного и пространственного зашумления; | 1 |
Наличие экранов, средств передачи информации широкополосными сигналами и сигналами с псевдослучайным изменением частоты | 1 |
Наличие шредеров, устройств магнитного стирания, механических прессов, средств очистки демаскирующих веществ | 1 |
Организация независимого питания оборудования, содержащего и обрабатывающего ценную информацию | 1 |
Использование жидкокристаллических или плазменных дисплеев, струйных принтеров и термопринтеров, избегая высокочастотного электромагнитного излучения | 1 |
Минимальная защита снятия информации акустическим способом с помощью мягких прокладок, установленных под оборудованием | 1 |
ИТОГО | 11 |
15
Внедрение результатов
Диссертация внедрена в производственную деятельность ООО «РусРобот Групп», г. Москва
(акт о внедрении от 01 ноября 2016 г.).
16
Научная новизна результатов
.
17
Практическая значимость
Практическая значимость диссертационной работы заключается в том, что использование методики, обеспечивающих решение задачи оценки риска информационной безопасности предприятия малого и среднего бизнеса с применением механизма нечеткого вывода, позволит эффективнее использовать информацию, используемую при проведении количественных оценок ИБ.
18
Публикации
19