| (1) |
Реализовать расчет информационных рисков по информационным ресурсам.
Алгоритм расчета.
Критичность ресурса (
, руб.) определяет степень значимости ресурса и отражает влияние реализации угрозы на работу автоматизированной информационной системы.
Критичность реализации угрозы (
, %) выражает степень влияния реализации угрозы на ресурс.
Вероятность реализации угрозы через данную уязвимость в течение года (
, %) определяет степень возможности реализации угрозы через данную уязвимость определенных условиях.
Критерий критичности (, руб.) включает стоимость ПЭВМ и конфиденциальной информации в зависимости от ресурса.
Вероятности реализации угроз через уязвимость в течении года (, %) и критичности реализации угрозы (, %) определяется пользователем, исходя из актуальности угроз безопасности информации.
Значение уровня угрозы по определённой уязвимости (
) определяется:
(1)
где - вероятность реализации угрозы через уязвимость, %;
- критичность реализации угрозы, %;
- номер уязвимости.
Уровни угрозы по соответствующим уязвимостям (
) в совокупности вычисляются по формуле:
| (2) |
где - уровень угрозы по определённой уязвимости;
- номер угрозы;
- номер уязвимости.
Общий уровень угрозы по ресурсу (
) определяется:
| (3) |
где - уровень угрозы по всем уязвимостям;
- номер угрозы.
Риск по ресурсу (
, руб.) определяется по формуле:
| (4) |
где – общий уровень угрозы по ресурсу;
D – критичность ресурса, руб.
Общий риск по всем ресурсам (
, руб.) при возникновении угроз составляет:
| (5) |
где - риск по ресурсу , руб.;
- номер ресурса.
Информационное обеспечение
Создать базу данных, для хранения угроз безопасности данных. Концептуальная модель данных на приведена на рисунке 1. Описание таблиц приведено в таблице 1.
Физическая модель данных должна хранить данные из нормативно-методических документов:
Рисунок 1 – Модель данных
Таблица 1- Описание таблиц
| Имя таблицы | Определение |
| Вид деструктивного воздействия | Для отображения видов деструктивного воздействия |
| Вид нарушения | Для отображения видов деструктивного воздействия |
| Вид объекта воздействия | Для отображения видов нарушений |
| Вид фактора возникновения | Для отображения видов факторов возникновения угроз |
| Способ реализации | Для отображения способов реализации угроз |
| Угрозы безопасности данных | Для отображения угроз безопасности информации |
ГОСТ Р 51275—99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».
РД «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
Лингвистическое обеспечение
Специальных требований не предусмотрено.
Программное обеспечение
Разработать систему для функционирования в операционной системе Microsoft Windows версии не ранее 2003 года.
Для разработки системы необходимо использовать следующее программное обеспечение: система управления базами данных для создания физической модели и интерфейса системы СУБД Microsoft Office Access 2003.
Требования к качеству программных средств: все программное обеспечение должно иметь необходимые сертификаты, лицензии и пакет сопроводительных документов.
Техническое обеспечение
Для функционирования АИС «Справочник угроз безопасности информации» необходим персональный компьютер со следующими минимальными системными требованиями:
¾ процессор Intel Pentium частотой 600 МГц;
¾ размер оперативной памяти 128 Мб;
¾ размер дисплея 14 дюймов;
¾ устройство для чтения съемных носителей информации;
¾ свободное пространство на жестком диске 10 Мб;
¾ устройства для вывода информации на бумажный носитель.