Материал: ЛБ-01_2
Продовження таблиці 7
Витік по віброакустичному каналу/ Лазерні віброакустичні пристрої націлені на вікна |
|
|
Акустоелектричні технічні канали/ Підключення до ліній електроживлення |
0,25 |
|
Ресурс 3. Інформація по клієнтам (ПЕОМ бухгалтера) |
||
Витік візуально-оптичним каналом/ Використання камер з телеоб’єктивом |
0,67 |
0,91 |
Витік візуально-оптичним каналом/ Використання відеоспостереження |
||
Зйомні носії/ Підкидні заражені флеш карти |
0,22 |
|
Зняття ПЕМІН/ Внутрішній інсайдер |
0,6 |
|
Зняття ПЕМІН/ Зовнішній зловмисник |
||
Ресурс 4. Інформація щодо фінансової діяльності організації (ПЕОМ бухгалтера) |
||
Витік візуально-оптичним каналом/ Використання камер з телеоб’єктивом |
0,67 |
0,84 |
Витік візуально-оптичним каналом/ Використання відеоспостереження |
||
Зйомні носії інформації/ Підкидні заражені флеш карти |
0,22 |
|
Наведення на лінії охоронної та пожежної сигналізації/ Підключення до лінії пожежної сигналізації |
0,32 |
|
Наведення на лінії охоронної та пожежної сигналізації/ Підключення до лінії охоронної сигналізації |
||
Продовження таблиці 7
Ресурс 5. Інформація щодо фінансової діяльності організації (озвучується у кабінеті головного бухгалтера) |
||
Витік акустичним каналом/ Використання направлених мікрофонів за межами КЗ |
0,42 |
0,87 |
Витік по віброакустичному каналу/ Підслуховування через вібрацію архітектурно технічних систем |
0,72 |
|
Акустоелектричні технічні канали/ Підключення до ліній електроживлення |
0,25 |
|
Ресурс 6. Інформація щодо фінансової діяльності організації (озвучування в кабінеті директора) |
||
Витік акустичним каналом/ закладні пристрої |
0,52 |
0,91 |
Витік акустичним каналом/ Використання направлених мікрофонів за межами КЗ |
||
Витік по віброакустичному каналу/ Підслуховування через вібрацію архітектурно технічних систем |
0,75 |
|
Витік по віброакустичному каналу/ Лазерні віброакустичні пристрої націлені на вікна |
||
Акустоелектричні технічні канали/ Підключення до ліній електроживлення |
0,25 |
|
Тепер ми можемо розрахувати ризик по кожному ресурсу, але спочатку треба виділити тільки потрібні ресурси зі всіх, таким чином можна виділити такі ресурси: електронна база по клієнтам, озвучування в кабінеті директора клієнтських даних та інформація щодо фінансової діяльності організації. Для цього потрібно знайти середнє значення CThR для спільних ресурсів, а потім знайти ризик по кожному ресурсу в гривнях. Даний розрахунок виконується за наступною формулою:
(4)
У формулі (4), критичність ресурсу D , наведено в таблиці 8
Таблиця 8 – Критичність ресурсів
Ресурс |
Значення (Грн) |
Ресурс 1. Інформація по клієнтам (Електронна база)
|
950 000 |
Ресурс 2. Інформація по клієнтам (озвучування в кабінеті директора) |
700 000 |
Ресурс 3. Інформація щодо фінансової діяльності організації |
150 000 |
Результати розрахунків ризиків ресурсу R наведені у таблиці 9.
Таблиця 9 – Ризики для об’єднаних ресурсів
Ресурс |
Загальний рівень загроз по заданому ресурсу (%), СThR
|
Ризик ресурсу, в у.о. (Грн)
|
Ресурс 1. Інформація по клієнтам (Електронна база) |
0,995 |
955 250 |
Ресурс 2. Інформація по клієнтам (озвучування в кабінеті директора) |
0,91 |
637 000 |
Ресурс 3. Інформація щодо фінансової діяльності організації |
0,998 |
149 700 |
Розрахунок ризику по інформаційній системі CR за формулою:
(5)
Результат розрахунків ризику по інформаційній системі CR є сума ризиків для об’єднаних ресурсів, що дорівнює 1 741 950 (грн.).
ВИСНОВКИ
Завдання з лабораторної роботи виконано у повному обсязі.
Під час проведення лабораторної роботи були застосовані методики аналізу загроз і вразливостей компанії Digital Security для оцінки ризиків інформаційної безпеки організації. У цій роботі були розглянуті два приміщення в яких зберігатися, обробляється і обговорюються інформація по клієнтам, а також інформація щодо фінансової діяльності організації. На підставі оцінки ризиків по загрозам витоку інформації: мережевим, візуально-оптичним, акустичним, віброакустичним та з допомогою зняття ПЕМІН. Були розраховані Загальний рівень загроза, ризики по ресурсу, ризики по інформаційній системі.
Виходячи з критичності ресурсів можна визначити, що головним завданням є безпека інформації про клієнтів. А пріоритетною кімнатою для захисту, кабінет директора. Таким чином я раджу поставити багатошарові вікна, а також нанести на них соціальне непрозоре покриття, яке усуне загрозу по оптичному, акустичному каналу витоку інформації, а також унеможливить використовувати лазер для зняття вібро-акустичної інформації, поза КЗ. Також для захисту від акустичних та оптичних закладних пристроїв, слід проводити перевірки з використанням нелінійного локатора, перед початком засідань. Також щоб уникнути зняття інформації шляхом наведення на пожежні або охоронні системи, а також лінії електроживлення, слід размесить пульти управління і розподіл-щитки всередині КЗ. Щоб уникнути відкриття фішингових сайтів співробітниками, слід обмежити доступ до внутрішньої мережі, а також налаштувати заборони в брандмауері. Дані рекомендації, не можуть захистити від усіх, загроз безпеки, однак це зменшить кількість потенційних загроз без застосування внутрішнього втручання.