Внутрішнє антропогенне джерело

Загроза інформаційному активу - інформації про проекти
Директор лабораторії
Загроза	Механізм реалізації загрози	Р.Дж.	Р. В.	Актуал.
Конфіденційності	Викрадення інформації про проекти з жорсткого диску комп’ютера в кімнаті №5 через відсутність паролю на комп’ютері
Викрадення інформації про проекти в електронному вигляді на дискетах з шафи для документів з кімнат №4 та №5 через відсутність кодового замка в шафах
Викрадення інформації про проекти в паперовому вигляді з шафи для документів з кімнат №4 та №5 через відсутність кодового замка в шафах
Викрадення комп’ютера з інформацією про проекти з кімнати №5 через надане йому право доступу до цієї кімнати
Викрадення паперових носіїв інформації про проекти з шафи для документів з кімнат №4 та №5 через відсутність кодового замка в шафах та надане йому право доступу до цих кімнат.
Доступності	Знищення інформації про проекти з жорсткого диску комп’ютера в кімнаті №5 через відсутність паролю на комп’ютері
Знищення інформації про проекти в електронному вигляді на дискетах з шафи для документів з кімнат №4 та №5 через відсутність кодового замка в шафах
Знищення інформації про проекти в паперовому вигляді з шафи для документів з кімнат №4 та №5 через відсутність замка в шафах
Знищення (пошкодження) комп’ютера з інформацією про проекти з кімнати №5 через надане йому право доступу до цієї кімнати
Знищення (пошкодження) паперових носіїв інформації про проекти з шафи для документів з кімнат №4 та №5 через відсутність замка в шафах та надане йому право доступу до цих кімнат.
Цілісності	Модифікація інформації про проекти на жорсткому диску комп’ютера в кімнаті №5 через відсутність паролю на комп’ютері
Модифікація інформації про проекти в паперовому вигляді, яка знаходиться в шафі для документів в кімнатах №4 та №5 через відсутність замка в шафах
керівник служби безпеки
Конфіденційності	Викрадення інформації про проекти з жорсткого диску комп’ютера в кімнатах №5 та №6 через відсутність паролю на комп’ютері
Викрадення інформації про проекти в електронному вигляді на дискетах з шафи для документів з кімнат №4, №5 та №6 через відсутність кодового замка в шафах
Викрадення інформації про проекти в паперовому вигляді з шафи для документів з кімнат №4, №5 та №6 через відсутність замка в шафах
Викрадення комп’ютера з інформацією про проекти з кімнати №5 та №6 через надане йому право доступу до цієї кімнати
Викрадення паперових носіїв інформації про проекти з шафи для документів з кімнат №4, №5 та №6 через відсутність замка в шафах та надане йому право доступу до цих кімнат.
Доступності	Знищення інформації про проекти з жорсткого диску комп’ютера в кімнаті №5 через відсутність паролю на комп’ютері
Знищення інформації про проекти в електронному вигляді на дискетах з шафи для документів з кімнат №4, №5 та №6 через відсутність кодового замка в шафах
Знищення інформації про проекти в паперовому вигляді з шафи для документів з кімнат №4 та №5 через відсутність замка в шафах
Знищення (пошкодження) комп’ютера з інформацією про проекти з кімнати №5 через надане йому право доступу до цієї кімнати
Знищення (пошкодження) паперових носіїв інформації про проекти з шафи для документів з кімнат №4 та №5 через відсутність замка в шафах та надане йому право доступу до цих кімнат.
Цілісності	Модифікація інформації про проекти на жорсткому диску комп’ютера в кімнаті №5 через відсутність паролю на комп’ютері
Модифікація інформації про проекти в паперовому вигляді, яка знаходиться в шафі для документів в кімнатах №4 та №5 через відсутність замка в шафах
бухгалтер-секретар
Конфіденційності
Доступності
Цілісності
лаборант
Конфіденційності
Доступності
Цілісності
інженер-лаборант
Конфіденційності
Доступності
Цілісності
охоронець
Конфіденційності
Доступності
Цілісності
електрик
Конфіденційності
Доступності
Цілісності
сантехнік
Конфіденційності
Доступності
Цілісності
прибиральниця
Конфіденційності
Доступності
Цілісності
Загроза інформаційному активу - інформації про технологію виготовлення та тестування приладів для високоточних вимірювань
директор лабораторії
Конфіденційності
Доступності
Цілісності
керівник служби безпеки
Конфіденційності
Доступності
Цілісності
Бухгалтер-секрктар
Конфіденційності
Доступності
Цілісності
лаборант
Конфіденційності
Доступності
Цілісності
Інженер-лаборант
Конфіденційності
Доступності
Цілісності
охоронець
Конфіденційності
Доступності
Цілісності
електрик
Конфіденційності
Доступності
Цілісності
сантехнік
Конфіденційності
Доступності
Цілісності
прибиральниця
Конфіденційності
Доступності
Цілісності

Обгрунтування рівня допустимого ризику

Розділ 3

Обгрунтування вибору політики безпеки

Політика інформаційної безпеки – це сукупність програмних, апаратних, організаційних, адміністративних, юридичних, фізичних заходів, методів, засобів, правил і інструкцій, які чітко регламентують усі аспекти діяльності підприємства, включаючи інформаційну систему, та забезпечують їх безпеку.

Метою політики безпеки є впровадження та ефективне управління системою забезпечення інформаційної безпеки, спрямованої на захист інформаційних активів(інформація та дані у будь-якому вигляді, що отримуються, зберігаються, обробляються, передаються, оголошуються, у т.ч. знання співробітників, бази даних та файли, документація.

Політика безпеки розповсюджується на всі аспекти життєдіяльності лабораторії приладів для високоточних вимірювань та застосовується до всіх активів, які можуть справляти матеріальний ефект на кінцевий продукт своєю відсутністю чи псуванням.

На об’єкті захисту я буду використовувати дискреційну політику безпеки (зовнішню) та рольову політику безпеки (внутрішню).

Дискреційна політика безпеки

Основою дискреційної політики безпекиє дискреційне управління доступом, яке визначається двома властивостями:

- усі суб'єкти й об'єкти мають бути однозначно ідентифіковані;

- права доступу суб'єкта до об'єкта системи визначаються на основі певних зовнішніх відносно системи правил.

Кожний суб'єкт при входженні на територію лабораторії повинен мати певний набір атрибутів доступу, який включає iдентифікатор та іншу інформацію, що визначає його права доступу.

Такий вибір політики безпеки буде унеможливлювати проникнення на територію контрольованої зони посторонніх осіб, в тому числі і зловмисників.

Внутрішня

Рольова політика безпеки

Керування доступом у ній здійснюється як на основі матриці прав доступу для ролей, так і за допомогою правил, які регламентують призначення ролей користувачам та їх активацію під час сеансів.

Область дії – в межах інформаційної системи та при виконанні певних службових обов’язків персоналу.

Розробляються і затверджуються на рівні керівництва організації правила політики безпеки.

Політика регламентує управління доступами та паролями, чітке розподілення ролей та обов’язків, визначення вимог безпеки для кожного активу, впровадження політики в інформаційні системи, підтримку рівня безпеки на належному рівні, проведення контролю безпеки інформаційних систем, управління інцидентами, класифікацію та забезпечення конфіденційності інформації, антивірусний захист, ліцензійну чистоту, вхідний/вихідний контроль комп’ютерної техніки, забезпечення фізичної безпеки, контроль виконання вимог політики безпеки та інших аспектів інформаційної безпеки.

Вибір політики безпеки зроблено з метою протидії множині за­гроз інформаційній безпеці організації із урахуванням цінності інформацій­ної сфери, що підлягає захисту та вартості системи забезпечення інформа­ційної безпеки.

При виборі політики безпеки було вибрано дві політики безпеки:зовнішня – дискреційна політика безпеки, внутрішня – рольова політика безпеки, за допомогою яких керівництво організації одер­жує цілісну картину одного з найбільш складних об'єктів — інформаційної системи, що позитивно впливає на якість керування бізнесом у цілому, і, як наслідок, покращує його прибутковість і ефективність.