Оценка уязвимостей активов - Анализ информационной безопасности предприятия
Оценка уязвимости может быть выполнена по отношению ко многим объектам, не только компьютерным системам/сетям. Например, физические здания могут быть подвергнуты оценке, по результатам которой будет понятно, какие части здания имеют изъяны. Если взломщик может обойти охранника у парадной двери и проникнуть внутрь здания через заднюю дверь - это, определенно, уязвимость. Если он на самом деле сделает это - это эксплойт. Физическая безопасность - один из наиболее важных аспектов, которым нужно придавать значение. Поскольку если сервер украден, атакующему не нужно обходить IDS (система обнаружения вторжений), не нужно обходить IPS (система предотвращения вторжений), не нужно думать над способом, с помощью которого можно передать 10 ТБ данных, - они уже здесь, на сервере. Полное шифрование диска может помочь, но обычно его не используют на серверах.
В качестве объектов защиты выступают следующие виды информационных ресурсов предприятия:
- - информация (данные, телефонные переговоры и факсы) передаваемая по каналам связи; - информация, хранимая в базах данных, на файловых серверах и рабочих станциях, на серверах каталогов, в почтовых ящиках пользователей корпоративной сети и т. п.; - конфигурационная информация и протоколы работы сетевых устройств, программных систем и комплексов.
В таблице 4 представлено сопоставление физических угроз и уязвимости активов.
Таблица Сопоставление физических угроз и уязвимостей автоматизированной системы ООО "Facilicom"
УГРОЗЫ АРМ |
УЯЗВИМОСТИ АРМ |
1). Физический доступ нарушителя к АРМ |
1). Отсутствие системы контроля доступа сотрудников к чужим АРМ |
2). Отсутствие системы видеонаблюдения в организации | |
3). Несогласованность в системе охраны периметра | |
2). Разглашение конфиденциальной информации, хранящейся на рабочем месте сотрудника организации |
1). Отсутствия соглашения о неразглашении между работником и работодателем |
2). Нечеткая регламентация ответственности сотрудников организации | |
2. УГРОЗЫ СЕРВЕРОВ |
2. УЯЗВИМОСТИ СЕРВЕРОВ |
1). Физический неавторизованный доступ нарушителя в серверную комнату |
1). Неорганизованный контрольно-пропускной режим в организации |
2). Отсутствие видеонаблюдения в серверной комнате | |
3). Отсутствие охранной сигнализации | |
2). Разглашение конфиденциальной информации |
1). Отсутствие соглашения о нераспространении конфиденциальной информации |
2). Нечеткая регламентация ответственности сотрудников организации | |
3. УГРОЗЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ |
3. УЯЗВИМОСТИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ |
1). Физический доступ нарушителя к носителям с конфиденциальной информации |
1). Неорганизованность контрольно-пропускного пункта |
2). Отсутствие системы видеонаблюдения в организации | |
3). Отсутствие системы охранной сигнализации | |
2). Разглашение конфиденциальной информации, в документах, вынос носителей за пределы контролируемой зоны |
1). Отсутствие соглашения о неразглашении конфиденциальной информации |
2). Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками организации | |
3).Несанкционированное копирование, печать и размножение носителей конфиденциальной информации |
1).Нечеткая организация конфиденциального документооборота в организации |
2). Неконтролируемый доступ сотрудников к копировальной и множительной технике | |
4. Угрозы сетевых устройств и коммутационного оборудования |
4. Уязвимости сетевых устройств и коммутационного оборудования |
1). Физический доступ к сетевому устройству |
1). Неорганизованный контрольно-пропускной режим в организации |
2). Отсутствие системы видеонаблюдения в организации | |
3). Несогласованность в системе охраны периметра | |
4). Нечеткая регламентация ответственности сотрудников предприятия | |
2). Разрушение (повреждение, утрата) сетевых устройств и коммутационного оборудования |
1). Отсутствие ограничения доступа к сетевым устройствам и коммутационному оборудованию, внутренней сети предприятия |
2). Нечеткая регламентация ответственности сотрудников предприятия |
В таблице 5 представлены результаты оценки уязвимости активов.
Таблица Результаты оценки уязвимости информационных активов ООО "Facilicom"
Группа уязвимостей Содержание уязвимости |
Отчеты о деятельность подразделений |
Сервер с базой электронных писем |
База данных бухгалтерии |
Сервер БД с информацией о клиентах |
1. Среда и инфраструктура | ||||
Отсутствие системы контроля доступа сотрудников к чужим АРМ. |
Низкая |
Средняя |
Низкая |
Средняя |
Отсутствие системы видеонаблюдения в организации. |
Средняя |
Высокая |
Средняя |
Высокая |
Несогласованность в системе охраны периметра. |
Средняя |
Средняя |
Средняя |
Средняя |
Отсутствия соглашения о неразглашении между работником и работодателем. Нечеткая регламентация ответственности сотрудников организации. |
Высокая |
Высокая |
Высокая |
Высокая |
Средняя |
Средняя |
Высокая |
Высокая | |
2. Аппаратное обеспечение | ||||
Неорганизованный контрольно-пропускной режим в организации. |
Среднее |
Высокая |
Средняя |
Высокая |
Отсутствие видеонаблюдения в серверной комнате. |
Низкая |
Средняя |
Низкая |
Средняя |
Отсутствие охранной сигнализации. |
Низкая |
Средняя |
Низкая |
Средняя |
Отсутствие соглашения о нераспространении конфиденциальной информации. |
Высокая |
Среднее |
Высокая |
Среднее |
Нечеткая регламентация ответственности сотрудников организации. |
Средняя |
Средняя |
Средняя |
Средняя |
3. Программное обеспечение | ||||
Неорганизованность контрольно-пропускного пункта. Отсутствие системы видеонаблюдения в организации. |
Низкая |
Низкая |
Низкая |
Низкая |
Средняя |
Низкая |
Средняя |
Низкая | |
Отсутствие системы охранной сигнализации. |
Низкая |
Низкая |
Низкая |
Низкая |
Отсутствие соглашения о неразглашении конфиденциальной информации. |
Низкая |
Низкая |
Низкая |
Низкая |
Нечеткое распределение ответственности за Документы (носители конфиденциальной информации) между сотрудниками организации. |
Средняя |
Низкая |
Средняя |
Низкая |
Нечеткая организация конфиденциального документооборота в организации. |
Средняя |
Низкая |
Средняя |
Низкая |
Неконтролируемый доступ сотрудников к копировальной и множительной технике |
Средняя |
Низкая |
Средняя |
Низкая |
4. Коммуникации | ||||
Неорганизованный контрольно-пропускной режим в организации. Отсутствие системы видеонаблюдения в организации. |
Высокая |
Средняя |
Высокая |
Средняя |
Средняя |
Высокая |
Средняя |
Высокая | |
Несогласованность в системе охраны периметра. |
Высокая |
Средняя |
Высокая |
Средняя |
Нечеткая регламентация ответственности сотрудников предприятия. |
Средняя |
Высокая |
Средняя |
Высокая |
Отсутствие ограничения доступа к сетевым устройствам и коммутационному оборудованию, внутренней сети предприятия. |
Средняя |
Средняя |
Средняя |
Средняя |
Похожие статьи
-
Оценка угроз активам - Анализ информационной безопасности предприятия
Рассмотрим перечень возможных угроз для информации и активов: Группа угроз Содержание угроз Отчеты о деятельности подразделений Сервер с базой...
-
Основные ценности: превосходное обслуживание клиентов, честность, позитивность, ответственность. Миссия: " Обеспечение клиентов высококачественной...
-
Развитие электронного документооборота и автоматизация делопроизводства предъявляют определенные требования к техническим средствам, которыми оборудуются...
-
Управление организациями основано на следующих процессах: ? получение информации и ее обработка; ? анализ, подготовка и принятие решений; ?...
-
"Информационное обеспечение управления" - многогранное понятие. Под термином "информационное обеспечение" понимается, во-первых, органически...
-
Общая характеристика предметной области Группа Компаний FACILICOM - работает на российском рынке с 1994 года. За 20 лет деятельности заняли лидирующие...
-
Понятие "система качества" в концепции стандартов ИСО может рассматриваться в двух аспектах. Согласно первому - это система менеджмента качества,...
-
Эффективная система качества должна быть спроектирована и функционировать так, чтобы удовлетворять запросы и ожидания как внешних покупателей (в...
-
Введение - Анализ и оценка системы менеджмента качества предприятия ЗАО "Тандер"
Проблема качества является важным фактором повышения уровня жизни, экономической, социальной и экологической безопасности. Качество - комплексное...
-
Диагностика банкротства представляет собой содержание первых трех направлений политики антикризисного финансового управления, в процессе которой...
-
Понятие и классификация информационных технологий Термин "информационная технология" базируется на понятии "технология", которое является достаточно...
-
Организационно-экономическая характеристика деятельности организации АНО "Исследователь" В пятидесятые годы ХХ века в Краснодарском крае работала Краевая...
-
Итак, подводя итоги результатов дипломного проекта нужно отметить, что информационная технология это совокупность методов и средств целенаправленного...
-
Огромное увеличение объемов информации и большие изменения спроса информации стали предъявлять новые требования к организации...
-
Для того чтобы дать рекомендации по функционированию и оценке эффективности функционирования инновационной системы ООО "Пивоваренная компания "Балтика",...
-
Заключение - Анализ современных технологий оценки персонала на примере ООО "Росгосстрах"
Итак, в работе достигнута цель и решены поставленные задачи. На основании результатов исследования можно сделать следующие выводы и предложения: В...
-
Проблема поиска путей устойчивого развития в последнее время приобретает все более актуальный характер как в глобальном общемировом аспекте, так и на...
-
Характеристика предприятия ООО "Торговый дом семена и технологии" Открытое акционерное общество ООО "Торговый дом семена и технологии" возникла в 2000...
-
Любая фирма функционирует, имея связи с рынком: поставляя на него изделия, услуги и обеспечивая покупателей соответствующей информации. С рынка фирма...
-
Формирование современного механизма ведения бизнеса и управления самостоятельными хозяйствующими субъектами рынка предъявляют соответствующие требования...
-
Характеристика инновационного потенциала ООО "Пивоваренная компания "Балтика" ООО "Пивоваренная компания "Балтика" была основана в 1990 г. На протяжении...
-
Литература - Анализ и оценка системы менеджмента качества предприятия ЗАО "Тандер"
1) Ахмин, А. М. Основы управления качеством продукции / Д. П. Гасюк - СПб.: Издательство "Союз", 2010. - 192с. 2) Аронов И. З. Системы менеджмента и...
-
Заключение - Анализ и оценка системы менеджмента качества предприятия ЗАО "Тандер"
В представленной работе проведен анализ и оценка эффективности систем качества на предприятии "ЗАО Тандер". Анализ систем качества включает в себя...
-
Краткая характеристика предприятия В 2015 году компании ЗАО "Тандер" исполнилось 21 лет, а первому магазину "МАГНИТ" - 16 лет. За этот период компания...
-
Организация внутреннего аудита системы качества Аудит качества - систематическая независимая проверка, позволяющая определить соответствие...
-
Под влиянием развития материально-технической базы производства и совершенствования производственных отношений изменяются свойства и качества работников,...
-
Важнейшей функцией бухгалтерии ООО "Торговый дом семена и технологии" является учет товароматериальных и денежных средств. От налаженной, четкой работы...
-
На первом этапе рассмотрим динамику численности работников, состав работников по категориям, долю промышленно-производственного персонала в общем...
-
Организация коммерческих связей с поставщиками товаров занимает особое место среди инструментов коммерческой деятельности торгового предприятия, так как...
-
В данной выпускной квалификационной работе мы будем рассматривать эффективность инновационной системы через призму эффективности инновационных проектов,...
-
Широкое использование таких понятий, как управление персоналом, кадровый менеджмент, управление человеческими ресурсами, показывает, что проблемы...
-
Заключение - Анализ системы адаптации персонала на предприятии
В заключение сделаем краткие выводы по дипломной работе. Адаптация персонала - это социальный процесс освоения личностью новой трудовой ситуации, в...
-
Антикризисная стратегия направлена в первую очередь на выявление и устранение причин возникновения кризисных ситуаций. Главное место здесь занимает...
-
Роль оценки персонала организации в процессе найма и отбора персонала Оценка персонала является неотъемлемой частью всей системы управления в...
-
Приняв решение о найме персонала, перед кадровыми службами встает следующая важная задача: произвести отбор персонала согласно требуемых квалификационных...
-
Выявим важнейшие факторы макросреды Быховского УКП "Жилкомхоз" оказывающие на его деятельность и ее перспективы решающее значение в антикризисном...
-
Специалисты по управлению персоналом, консультанты и директора компаний много внимания уделяют оценке эффективности программ обучения, результатов...
-
Введение - Анализ мотивов безопасности и их использование в менеджменте
Мотивация - это одна из основных функций современного менеджмента, направленная на повышение эффективности труда персонала организации. Рассматриваемая...
-
Анализ процедуры оценки системы управления персоналом в ТОО СКГП "ИНТЕРФУД" будем осуществлять в соответствии со следующими этапами: I) процедура оценки...
-
Насколько бы динамична ни была система управления персоналом компании в обычных условиях, в условиях кризиса гибкость и динамичность - главные требования...
Оценка уязвимостей активов - Анализ информационной безопасности предприятия