Аналіз ризиків на підприємстві з кластерною системою
Автор: Кучереносова О.В.
Источник: Львівский національний технічний університет. Тринадцята українська (восьма міжнародна) студентська наукова конференція з прикладної математики та інформатикм – Львів, 2010.
Робота являє собою трьохфакторний якісний аналіз ризиків підприємства, яке займається розробкою анімованих сцен. На підприємстві використовується кластерна система з топологією „зірка”.
Аналіз ризиків проведено у декілька етапів.
Спочатку проранжовано уразливості, загрози, вартості ресурсів та самі ризики.
На наступному етапі виділено потенційно можливих порушників, до яких можна віднести категорії:
- легальний користувач, що не бажає завдати шкоди;
- зовнішній хакер;
- форс-мажорні обставини.
На третьому етапі ідентифіковано наступні ресурси, які потребують захисту від порушників:
- сервер організації;
- робочі станції співробітників;
- мережеве програмне забезпечення.
Виділено такі уразливості, як:
- відсутність міжмережевого екрану;
- відсутність можливості надійного резервного копіювання даних;
- не досить надійна система паролів;
- відсутність протоколювання і аудиту в області інформаційної безпеки;
- програмні помилки у системі управління ресурсами кластера;
- та інші.
Проведено ідентифікацію загроз, які розділяються настуаним чином:
- загроза порушення цілісності;
- загроза порушення конфіденційності інформації, що міститься в ресурсі;
- загроза порушення доступності ресурсу.
На наступному етапі суб'єктивним методом отримано такі оцінки, як вартість ресурсу, міра уразливості ресурсу та оцінка вірогідності реалізації загрози.
Розраховано початкові ризики відносно інформаційної безпеки підприємства, враховуючи ціну ресурсу, рівень уразливості та вірогідність реалізації загрози. Початкові ризики досягли середнього та високого рівнів.
Після проведення аналізу сформовано наступні рекомендації із захисту інформаційної безпеки підприємства:
- постійне відстежування можливих уразливостей і їх нейтралізація;
- встановити міжмережевий екран на сервері та на всіх комп'ютерах з врахуванням топології;
- розробити політику використання надійних паролів і безпечного їх зберігання;
- встановити на всіх комп'ютерах ліцензійне антивірусне програмне забезпечення та включити функцію автоматичного оновлення бази даних вірусів;
- нейтралізувати програмні помилки у системі управління ресурсами кластера;
- проводити постійний аудит і періодично передивлятися облікові записи користувачів і прав доступу на системному рівні;
- по можливості використовувати шифрування даних для передачі.
Література
- Jet Info №44(155)/2006. «Категоріровання інформації та інформаційних систем. Забезпечення базового рівня інформаційної безпеки»
- Біячуєв Т.А. Безпека корпоративних мереж. – СПб: СПб ГУ ИТМО, 2004.– 161 с.
- Петренко С. А. Управління інформаційними ризиками. Економічно виправдана безпека. – М.: Компанія АйТи ; ДМК Пресс, 2004. – 384 с.
© Магистр ДонНТУ, Кучереносова Ольга Володимирівна, 2010