1.Стартовый (начальный).
— Получение согласия высшего руководства на создание КСЗИ.
— Разработка плана работ по созданию КСЗИ.
— Формирование команды по созданию КСЗИ.
В результате проведения этого этапа должны появиться следующие документы:
— Приказ о создании КСЗИ,
— план работ по созданию КСЗИ,
— приказ о формировании команды,
— приказ о проведении обследования предприятия.
2. Этап предпроектного обследования.
На этом этапе проводится обследование (аудит) предприятия.
— Инвентаризация объектов информатизации и персонала.
— Выявление информационных потоков.
— Моделирование бизнес-процессов.
— Разработка отчёта, в который должны входить: объекты защиты с точки зрения угроз, модели злоумышленников, ответственные за объекты информатизации, расчёт рисков, ранжирование рисков.
— Разработка технического задания на проектирование КСЗИ. В него входят ключевые объекты защиты, меры и средства защиты, требования по защите.
3. Проектирование.
— Создание системного проекта.
— Создание “Политики безопасности”.
— Проведение работ по созданию КСЗИ (технический проект с опорой на ресурсы, «Технический проект на создание КСЗИ» представляет собой комплект документов, в который входит часть документов разработанных на предыдущих этапах и ряд новых документов, в которых описано, как именно будет создаваться, эксплуатироваться и, в случае необходимости, модернизироваться КСЗИ).
— Создание рабочего проекта.
4. Внедрение
На этом этапе создаётся пакет документов «Эксплуатационная документация на КСЗИ», который включает:
— Инструкции эксплуатации КСЗИ и её элементов;
— Процедуры регламентного обслуживания КСЗИ;
— Правила и положения по проведению тестирования и анализа работы КСЗИ.
На этом этапе проводится все пусконаладочные работы, обучает и инструктирует персонал предприятия правилам и режимам эксплуатации КСЗИ.
После реализации этого этапа внедренная КСЗИ готова к последующему испытанию. В процессе испытаний выполняются тестовые задания и контролируются полученные результаты, которые и являются индикатором работоспособности спроектированной КСЗИ. По результату испытания КСЗИ делается вывод относительно возможности представления КСЗИ на государственную экспертизу.
Расчет информационных рисков.
Критичность ресурса (D) – степень значимости ресурса. Отражает влияние реализации угрозы на работу информационной системы.
Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс. Задается в %.
Вероятность реализации угрозы через данную уязвимость в течении года (P(v)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях, указывается в %.
1. Объект защиты – автоматизированное рабочее место (АРМ) сотрудника.
Критерий критичности (D) равен 5000 рублей.
Таблица угроз и уязвимостей.
| Угроза | Уязвимости |
| 1.Физический доступ нарушителя к АРМ | 1. Отсутствие системы контроля доступа служащих к чужим АРМам |
| 2.Отсутствие системы видеонаблюдения на предприятии | |
| 3. Несогласованность в системе охраны периметра задания | |
| 2.Разглашение КИ, хранящейся на АРМ | 1.Отсутствие соглашения о неразглашении между Администрацией и служащими. |
| 2.Нечеткое распределение ответственности между служащими | |
| 3.Разрушение КИ при помощи специальных программ и вирусов | 1.Отсутствие или некорректная работа антивирусного ПО |
| 2.Отсутствие ограничения доступа пользователей к внешней сети |
Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V)) и критичности реализации угрозы (ER).
| Угроза/уязвимость | P(V), % | ER,% |
| 1/1 | 50 | 50 |
| 1/2 | 30 | 50 |
| 1/3 | 10 | 40 |
| 2/1 | 30 | 40 |
| 2/2 | 50 | 40 |
| 3/1 | 10 | 90 |
| 3/2 | 20 | 60 |
Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).
| Угроза/уязвимость | Th | CTh |
| 1/1 | 0,25 | 0,975 |
| 1/2 | 0,15 | |
| 1/3 | 0,04 | |
| 2/1 | 0,12 | 0,296 |
| 2/2 | 0,2 | |
| 3/1 | 0,09 | 0,199 |
| 3/2 | 0,12 |
Th=P(V)/100*ER/100
CTh=1-П(1-Th)
Рассчитаем общий уровень угроз по ресурсу:
CThR=1-П(1-CTh)=1-0,025*0,04*0,801=0,986
Рассчитаем риск по ресурсу:
R= CThR*D=0,986*7500=7395 (руб).
Объект защиты – сервер локальной сети.
Критерий критичности (D) равен 15000 рублей.
Таблица угроз и уязвимостей.
| Угроза | Уязвимости |
| 1.Физический доступ нарушителя к серверу | 1.Неорганизованность контрольно-пропускного режима на предприятии |
| 2.Отсутствие видеонаблюдения | |
| 2.Разглашение КИ, хранящейся на сервере | 1.Отсутствие соглашения о нераспространении КИ |
| 2. Нечеткое распределение ответственности между сотрудниками предприятия |
Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V) и критичности реализации угрозы (ER).
| Угроза/уязвимость | P(V), % | ER,% |
| 1/1 | 70 | 80 |
| 1/2 | 40 | 60 |
| 2/1 | 30 | 30 |
| 2/2 | 70 | 50 |
Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).
| Угроза/уязвимость | Th | CTh |
| 1/1 | 0,56 | 0,666 |
| 1/2 | 0,24 | |
| 2/1 | 0,09 | 0,408 |
| 2/2 | 0,35 |
Th=P(V)/100*ER/100
CTh=1-П(1-Th)
Рассчитаем общий уровень угроз по ресурсу:
CThR=1-П(1-CTh)=1-0,344*0,592=0,796
Рассчитаем риск по ресурсу:
R=CTh*D=0,796*15000=11940 (руб).
2. Объект защиты – Конфиденциальная документация.
Критерий критичности (D) равен 3000 рублей.
Таблица угроз и уязвимостей.
| Угроза | Уязвимости |
| 1.Физический доступ нарушителя к документам | 1.Неорганизованность контрольно-пропускного режима на предприятии |
| 2.Отсутствие видеонаблюдения | |
| 2.Разглашение КИ, используемой в документах, вынос документов за пределы КЗ | 1.Отсутствие соглашения о неразглашении КИ |
| 2. Нечеткое распределение ответственности за документы между сотрудниками предприятия | |
| 3.Несанкционированное копирование, печать и размножение КД | 1. Нечеткая организация конфиденциального документооборота |
| 2. Неконтролируемый доступ сотрудников к копировальной и множительной технике |
Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V) и критичности реализации угрозы (ER).
| Угроза/уязвимость | P(V), % | ER,% |
| 1/1 | 70 | 80 |
| 1/2 | 40 | 60 |
| 2/1 | 30 | 30 |
| 2/2 | 70 | 50 |
| 3/1 | 70 | 50 |
| 3/2 | 90 | 80 |
Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).
| Угроза/уязвимость | Th | CTh |
| 1/1 | 0,56 | 0,666 |
| 1/2 | 0,24 | |
| 2/1 | 0,09 | 0,408 |
| 2/2 | 0,35 | |
| 3/1 | 0,35 | 0,818 |
| 3/2 | 0,72 |
Th=P(V)/100*ER/100