ПРАКТИЧЕСКАЯ РАБОТА 2. Оценка риска информационной безопасности корпоративной информационной системы на основе модели информационных потоков (БИТИС, Безопасность информационных технологий и систем)

Цель работы: рассчитать риск информационной безопасности корпоративной информационной системы на основе модели информационных потоков

Составить карту ИС (см. рис 1) на которой отобразить все указанные характеристики. Иными словами, необходимо

1. Нарисовать структурно-функциональную схему ИС, на которой отобразить:

- все ресурсы (сервер закрытого контура, сервер открытого контура, МЭ открытого контура, СКЗИ закрытого контура, однонаправленный шлюз, оборудование ЛВС закрытого контура, оборудование ЛВС открытого контура)

- отделы, к которым относятся ресурсы;

- сетевые группы (локальные сети), физические связи ресурсов между собой и их подключения к Интернет;

- виды ценной информации, хранящейся на ресурсах;

- пользователей (группы пользователей), имеющих доступ к ценной (конфиденциальной) информации.

2. Описать в виде таблиц средства защиты каждого аппаратного ресурса, средства защиты каждого вида информации, хранящемся на нем с указанием веса каждого средства, например:

3.Описать в виде таблицы вид доступа (локальный, удаленный) и права доступа (чтение, запись, удаление) для каждого пользователя (групп пользователей), а так же наличие соединения через VPN, количество человек в группе для каж- дого информационного потока:

4.Указать наличие у пользователей выхода в Интернет

Ущерб определяется с участием владельца ИС, либо им самим непосредственно.

На этом описание архитектуры ИС завершается.

Далее производится расчет рисков для каждого вида ценной информации хранящейся в ИС по угрозе «нарушение конфиденциальности», «нарушение целостности» и «нарушение доступновсти» по методике, изложенной выше.