Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
гр. Варна
|
|
Свободен
Университет
„Черноризец Храбър”
Оценка на риска за микро бизнес
Курсова работа по „Политика за информационната сигурност и управление на риска”
Изготвил: Галина Иванова
МП Киберсигурност
Ф. Н.: 141131003
Научен ръководител:
Доц. д-р Мария Брусева
гр. Варна
2015 г.
Постановка: Микро бизнес, занимаващ се с програмиране на мобилни приложения за Android. Служителите във фирмата са десет на брой, като всички са завършили (или в процес на завършване) на ИТ специалности. Работното време е плаващо, а офисът – в апартамент в жилищна сграда. Организацията няма привлекателни за престъпниците информационни активи, като нивото ѝ на „видимост” в околната среда е средно.
Възможни заплахи за информационната сигурност:
1. Повреда в електропреносната мрежа;
2. Природно събитие (пожар, наводнение, земетресение, пр.);
3. Кражба на компютърните системи;
4. Вирус, червей, троянски кон;
5. Социален инженеринг;
6. Недоволен служител;
7. Злонамерен сътрудник.
Оценката на риска е направена чрез пряка експертна оценка, като експертът използва скала от 0 до 10, като 0 е най-ниската възможна стойност, а 10 – най-високата такава. Той, също така, взима под внимание факторния анализ, направен на системата за управление на информационния риск.
| Заплахи | Вероятност | Възможни загуби, при осъществяването на заплахата |
| Повреда в електропреносната мрежа | ||
| Природно събитие | ||
| Кражба на компютърните системи | ||
| Вирус, червей, троянски кон | ||
| Социален инженеринг | ||
| Недоволен служител | ||
| Злонамерен сътрудник |
Мерки срещу възможните заплахи:
1. Повреда в електропреносната мрежа:
1.1. Използване на UPS устройства;
1.2. Редовно запазване на свършената до момента работа.
2. Природно събитие (пожар, наводнение, земетресение, пр.):
2.1. Сключване на договор с фирма, предоставяща облачни услуги за използване на сървърите им за съхранение на данни. Важно е данните да бъдат редовно актуализирани, с цел запазване на най-новата версия на продукта;
2.2. Използване и на външен хард-диск за съхранение на данни, съхраняван в сейф в офиса. Важно е данните да бъдат редовно актуализирани, с цел запазване на най-новата версия на продукта;
2.3. Осигуряване на незапалими настилки, пожароизгасителна инсталанция, пожарогасители с въглероден двуокис и обучение по противопожарна безопасност в съотвествие с изискванията на Наредба № 8121з-647 от 1 октомври 2014 (или по-нова);
2.4. Сключване на застраховка за материални щети.
3. Кражба на компютърните системи:
3.1. Сключване на договор с охранителна фирма, която да осигури алармена система и физическа охрана на определен интервал през тъмната част на денонощието;
3.2. Сключване на застраховка за материални щети;
3.3. Сключване на договор с фирма, предоставяща облачни услуги за използване на сървърите им за съхранение на данни. Важно е данните да бъдат редовно актуализирани, с цел запазване на най-новата версия на продукта;
3.4. Използване и на външен хард-диск за съхранение на данни, съхраняван в сейф в офиса. Важно е данните да бъдат редовно актуализирани, с цел запазване на най-новата версия на продукта.
4. Вирус, червей, троянски кон:
4.1. Закупуване на най-подходящия антивирусен софтуер и поддържането му актуализиран;
4.2. Материали на разположение на служителите, съдържащи информация за най-вероятните начини да се зарази компютърната система с вирус, червей или троянски кон;
4.3. Рестрикция на интернет достъпа до определени интернет страници (или до всички, освен определени).
5. Социален инженеринг:
5.1. Сключване на договор с психолог/психолози за провеждане на вътрешно фирмено обучение за разпознаване и отблъскване на възможни атаки от типа „социален инженеринг”;
5.2. Периодични опресняващи семинари на тема „Сигурност”;
5.3. Добре разработен процес на авторизация, като всеки служител има достъп само до определена информация, с която работи;
5.4. Добре разработен процес на автентификация, като всеки служител има персонален код (карта) за достъп, което позволява да се пазят записи с достъпа на всеки един от тях.
6. Недоволен служител:
6.1. Обучение на лидера за това как да поддържа хората мотивирани и щастливи в работна среда;
6.2. Интригуващи работни предизвикателства, с много възможности за развитие на уменията и знанията;
6.3. Конкуретно заплащане;
6.4. Допълнителни социални бонуси;
6.5. Събития за сплотяване на екипа;
6.6. Добре разработен процес на авторизация, като всеки служител има достъп само до определена информация, с която работи.
7. Злонамерен сътрудник:
7.1. Внимателно проучване на евентуалните сътрудници;
7.2. Добре разработен процес на авторизация, като всеки сътрудник има достъп само до определена информация, с която работи;
7.3. Добре разработен процес на автентификация, като всеки сътрудник има персонален код (карта) за достъп, което позволява да се пазят записи с достъпа на всеки един от тях.