(1) |
Реализовать расчет информационных рисков по информационным ресурсам.
Алгоритм расчета.
Критичность ресурса ( , руб.) определяет степень значимости ресурса и отражает влияние реализации угрозы на работу автоматизированной информационной системы.
Критичность реализации угрозы ( , %) выражает степень влияния реализации угрозы на ресурс.
Вероятность реализации угрозы через данную уязвимость в течение года ( , %) определяет степень возможности реализации угрозы через данную уязвимость определенных условиях.
Критерий критичности ( , руб.) включает стоимость ПЭВМ и конфиденциальной информации в зависимости от ресурса.
Вероятности реализации угроз через уязвимость в течении года ( , %) и критичности реализации угрозы ( , %) определяется пользователем, исходя из актуальности угроз безопасности информации.
Значение уровня угрозы по определённой уязвимости ( ) определяется:
(1)
где — вероятность реализации угрозы через уязвимость, %;
— критичность реализации угрозы, %;
— номер уязвимости.
Уровни угрозы по соответствующим уязвимостям ( ) в совокупности вычисляются по формуле:
(2) |
где — уровень угрозы по определённой уязвимости;
— номер угрозы;
— номер уязвимости.
Общий уровень угрозы по ресурсу ( ) определяется:
(3) |
где — уровень угрозы по всем уязвимостям;
— номер угрозы.
Риск по ресурсу ( , руб.) определяется по формуле:
(4) |
где – общий уровень угрозы по ресурсу;
D – критичность ресурса, руб.
Общий риск по всем ресурсам ( , руб.) при возникновении угроз составляет:
(5) |
где — риск по ресурсу , руб.;
— номер ресурса.
Создать базу данных, для хранения угроз безопасности данных. Концептуальная модель данных на приведена на рисунке 1. Описание таблиц приведено в таблице 1.
Физическая модель данных должна хранить данные из нормативно-методических документов:
Рисунок 1 – Модель данных
Таблица 1- Описание таблиц
Имя таблицы | Определение |
Вид деструктивного воздействия | Для отображения видов деструктивного воздействия |
Вид нарушения | Для отображения видов деструктивного воздействия |
Вид объекта воздействия | Для отображения видов нарушений |
Вид фактора возникновения | Для отображения видов факторов возникновения угроз |
Способ реализации | Для отображения способов реализации угроз |
Угрозы безопасности данных | Для отображения угроз безопасности информации |
ГОСТ Р 51275—99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».
РД «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
Лингвистическое обеспечение
Специальных требований не предусмотрено.
Программное обеспечение
Разработать систему для функционирования в операционной системе Microsoft Windows версии не ранее 2003 года.
Для разработки системы необходимо использовать следующее программное обеспечение: система управления базами данных для создания физической модели и интерфейса системы СУБД Microsoft Office Access 2003.
Требования к качеству программных средств: все программное обеспечение должно иметь необходимые сертификаты, лицензии и пакет сопроводительных документов.
Техническое обеспечение
Для функционирования АИС «Справочник угроз безопасности информации» необходим персональный компьютер со следующими минимальными системными требованиями:
¾ процессор Intel Pentium частотой 600 МГц;
¾ размер оперативной памяти 128 Мб;
¾ размер дисплея 14 дюймов;
¾ устройство для чтения съемных носителей информации;
¾ свободное пространство на жестком диске 10 Мб;
¾ устройства для вывода информации на бумажный носитель.