Цель работы: рассчитать риск информационной безопасности корпоративной информационной системы на основе модели информационных потоков
Составить карту ИС (см. рис 1) на которой отобразить все указанные характеристики. Иными словами, необходимо
1. Нарисовать структурно-функциональную схему ИС, на которой отобразить:
- все ресурсы (сервер закрытого контура, сервер открытого контура, МЭ открытого контура, СКЗИ закрытого контура, однонаправленный шлюз, оборудование ЛВС закрытого контура, оборудование ЛВС открытого контура)
- отделы, к которым относятся ресурсы;
- сетевые группы (локальные сети), физические связи ресурсов между собой и их подключения к Интернет;
- виды ценной информации, хранящейся на ресурсах;
- пользователей (группы пользователей), имеющих доступ к ценной (конфиденциальной) информации.
2. Описать в виде таблиц средства защиты каждого аппаратного ресурса, средства защиты каждого вида информации, хранящемся на нем с указанием веса каждого средства, например:
3.Описать в виде таблицы вид доступа (локальный, удаленный) и права доступа (чтение, запись, удаление) для каждого пользователя (групп пользователей), а так же наличие соединения через VPN, количество человек в группе для каж- дого информационного потока:
4.Указать наличие у пользователей выхода в Интернет
Ущерб определяется с участием владельца ИС, либо им самим непосредственно.
На этом описание архитектуры ИС завершается.
Далее производится расчет рисков для каждого вида ценной информации хранящейся в ИС по угрозе «нарушение конфиденциальности», «нарушение целостности» и «нарушение доступновсти» по методике, изложенной выше.