Составление схемы информационных активов объекта безопасности. Информационные активы. Критерии определения стоимости

Рассмотрим кратко современные проблемы идентификации активов и внешней оценки (сертификации) систем менеджмента информационной безопасности (СМИБ) в соответствии с требованиями ГОСТ Р ИСО/МЭК 270011 и СТО Газпром серии 4.22. При реализации только требований СТО Газпром серии 4.2 возможны упущения в процессе анализа рисков информационной безопасности (ИБ), фрагментарное выявление и оценка части активов — только объектов защиты (ОЗ), а впоследствии — при выборе адекватного перечня мер (средств) обеспечения ИБ

УДК 004.94

Методика определения активов при внедрении и сертификации СМИБ в соответствии с требованиями ГОСТ Р ИСО/МЭК 27001-2006 и СТО Газпром серии 4.2

И.И. Лившиц, к.т.н., ведущий инженер ООО «Газинформсервис»

Ключевые слова

Информационная безопасность (ИБ); система менеджмента информационной безопасности (СМИБ); система обеспечения информационной безопасности (СОИБ); объект защиты (ОЗ); аудит; цикл PDCA; менеджмент рисков.

Keywords:

Information Security (IT-Security); Information Security Management System(ISMS); Information securityproviding system(ISPS); object of protection(ObP); audit;PDCA cycle;risk management.

Аннотация

В данной публикации кратко рассмотрены современные проблемы при идентификации активов и сертификации систем менеджмента информационной безопасности (СМИБ) в соответствии с требованиями стандартов ГОСТ Р ИСО/МЭК серии 27001 и отраслевых стандартов Системы обеспечения информационной безопасности СТО Газпром серии 4.2 (СОИБ). Предложен подход к формированию моделей и методов выявления, идентификации и классификацииугроз нарушения информационной безопасности (ИБ) для защищаемых активов различного вида. Основное внимание обращено на сложности при совмещении требований двух различных систем стандартизации (ГОСТ Р ИСО/МЭК и СОИБ), которые могут вызвать затруднения при идентификации и оценке активов СМИБ, а также в процессах планирования и успешного проведения сертификационного аудита.

This issue covers briefly the current problemsof asset identification andcertification ofthe information security management systems(ISMS) in accordancewith the requirements ofGOST R ISO/IEC27001seriesof standardsand industryinformation security providing systemSTO Gazpromseries4.2(ISPS). Proposed approach providingdevelopment ofmodels andmethods for detection, identification and classification ofthreats tobreachinformation security (IS) fordifferent typesassets.Focuses on thedifficulties inreconcilingthe requirementsof two different systemsfor Standardization (ISMS andISPS), which can cause difficultiesin the identificationand evaluationof assetsISMS, as well as in the planning andsuccessfulcertification audit.

Введение

Проблема внедрения результативной СМИБ в соответствии с требованиями стандартов ГОСТ Р серии 27001 является достаточно известной. Требования к проведению аудитов систем менеджмента (СМ) изложены в известном стандарте . В ряде источников (www.snti.ru/snips_sto51.htm, s3r.ru/2010/10/standarty/Gazprom, txcom.ru/gazpro) доступны стандарты СОИБ , которые в своей основе содержат и ряд требований указанных стандартов . Объективно существуют различия в требованиях СОИБ, которые могут препятствовать успешному внедрению СМИБ (например, различия в понятиях «актив » и «объект защиты ») и проведению успешной независимой оценки (сертификации) по требованиям базового «сертификационного» стандарта . В том случае, когда высший менеджмент организации принимает решение о подготовке существующей СМИБ к сертификационному аудиту, представляется необходимым проанализировать требования СОИБ и принять решение о комплексе мероприятий, которые следует предпринять для целей обеспечения соответствия требованиям . Для реализации управляемых условий данного процесса предлагается методика идентификации и оценки активов, прошедшая практическую апробацию.

Учет различий при выявлении и оценке активов (объектов защиты) СМИБ

Для ряда организаций вполне естественно принимать «как есть» отраслевые требования, а внедрение дополнительных стандартов требует отдельного решения высшего менеджмента. Это обстоятельство не является экстраординарным, т.к., во-первых, изложено в преамбуле почти всех международных стандартов (ISO) и их российских переводов ГОСТ Р, во-вторых, является функцией формирования добавочной стоимости и, в-третьих, подтверждается мировой статистикой сертификации ISO . Соответственно, в случае принятия такого решения - о внедрении конкретного национального или международного стандарта, организация вынуждена выполнять сопоставление (“mapping ”) своих процессов, реализованных изначально только лишь под требования конкретных отраслевых требований. При этом возможны упущения (неполнота) при выполнении анализа рисков нарушения ИБ и недостаточно полное изучение уязвимостей процессов переработки информации вАС.Ситуация может иметь более серьезные последствия, если конкретная отраслевая система (в частности, СОИБ), создавалась изначально на базе зарубежных стандартов (например, BS серии 7799), но по ряду причин не актуализировалась при изменении соответствующих стандартов или применимых законов (регламентов). В частности, стандарт СОИБ содержит ссылку на отмененный Федеральный закон N 1-ФЗ «Об электронной цифровой подписи» (см. http://base.garant.ru/), а стандарт СОИБ содержит ссылку на отмененный стандарт BS 7799:3-2006 (см. http://www.standards.ru/document/3858996.aspx) - на дату подготовки публикации.

В тоже время существуют методики , основанные на стандартах ISO , которые учитывают основные требования по управлению рисками ИБ, достаточно подробно описывая практическую реализацию требований как базового «сертифицирующего» стандарта , так и целевого стандарта по управлению рисками ИБ . Применение данной методики способствует получению численных оценок рисков ИБ и, в целом, возможно, успешной сертификации СМИБ на соответствие стандарту .

Для целей данной публикации будут рассмотрены два основных фундаментальных различия, которые, по мнению автора, могут иметь критичные последствия для целей создания и успешной сертификации СМИБ на соответствие требованиям стандарта . Эти несоответствия могут привести к «консервации» замысла создания СОИБ и потери важного преимущества любой успешно внедренной СМ - адекватное обеспечение выполнение целей бизнеса . Второе негативное последствие выявленных различий, имеющее измеримое значение - дополнительные издержки при приведении СМИБ к уровню, достаточному для адекватного выполнения требований стандарта . Отметим, что в практике создания СМИБ представляется важным сконцентрировать экспертные усилия на целях формирования достоверных моделей и методов обеспечения внутреннего аудита и эффективного «мониторинга» состояния объектов, находящихся под воздействием угроз ИБ.

Различие 1. Идентификация (классификация) активов

Для анализа первого различия рассмотрим требования стандарта в части управления активами и требования стандарта по классификации объектов защиты. Известно определение: «активы (asset): все, что имеет ценность для организации» (п. 3.1 ). Дополнительно рассмотрим Приложение «В» стандарта : «для установления ценности активов организация должна определить все свои активы на соответствующем уровне детализации ». При этом дается пояснение о том, что могут различаться два вида активов: «основные активы, включающие бизнес-процессы, бизнес-деятельность и информацию и вспомогательные (поддерживающие) активы, от которых зависят основные составные части области применения всех типов, включающие аппаратные средства, программное обеспечение, сеть, персонал, место функционирования организации и структуру организации ».

В фазе «План» цикла PDCA (п. 4.2.1 ) указано, что организация должна, например, «определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий». В Приложении А() даны примеры реализации конкретных мер (средств) обеспечения ИБ (“controls ”) в части касающейся управления активами, например: «Инвентаризация активов: «Опись всех важных активов организации должна быть составлена и актуализирована (A.7.1.1)».

В свою очередь, в требованиях СОИБ по классификации объектов защиты (ОЗ) приводятся иные термины и определения (Раздел 3), где ОЗ трактуется в терминах ;

• АС - автоматизированная система;
• ИА - информационный актив;
• ПО - программное обеспечение.

Согласно под термином ОЗ понимают информационные активы, технические и программные средства их обработки, передачи, хранения (п. 3.3.3 ). Этот перечень ОЗ является закрытым, объективно явно меньшим, чем дефиниция активов , представленная выше. Соответственно, одним из критичных рисков при сертификации может являться объективно явная неполнота идентифицированных и принятых к защите ОЗ в СОИБ, в частности, в никак не учтены активы по следующим категориям - персонал, место расположения (объекты) и структура организации. Необходимо обратить внимание, что предложенный подход в системе СОИБ Газпром вносит существенные сложности в текущий процесс поддержания и обеспечения ИБ, в частности, в области управления инцидентами ИБ и рисками ИБ. Например, и стандарт ГОСТ Р ИСО/МЭК 18044-2007 оперирует примерами инцидентов ИБ, связанных с персоналом, и новейший международный стандарт ISO серии 27040 по обеспечению безопасности хранящихся данных принимает во внимание важнейшую роль персонала (внутреннего, внешнего) в обеспечении требуемого уровня ИБ на объектах инфраструктуры.

В стандарте определены правила идентификации ОЗ идолжны быть определены собственник, владелец и пользователи конкретного ОЗ (п. 5.6. ), каждый из них должен быть отнесён только к одному из следующих типов (п. 5.8 ):

• информационные активы (ИА);
• программное обеспечение (ПО);
• технические средства обработки, хранения и передачи информации (ТС).

В стандарте перечислены правила определения критичности ОЗ и согласно им определяется критичность ОЗ (п. 6.7. ) и далее, на основании полученного уровня критичности, ОЗ относят к одной из групп (п. 7.1. ):

• ОЗ максимального уровня критичности;
• ОЗ среднего уровня критичности;
• ОЗ минимального уровня критичности.

В Разделе 8 стандарта приведены правила учёта ОЗ. Основными задачами учёта ОЗ являются сбор, обработка и систематизация данных об ОЗ. Отмечается, что должна выполняться обязательная регистрация фактов создания, приобретения, передачи, дублирования, снятия с эксплуатации и уничтожения ОЗ. Таким образом, можно сделать предварительный вывод по 1-му различию - для разработки и успешной сертификации СМИБ по требованиям , только выполнения требований, предъявляемыхСОИБ, объективно недостаточно, т.к. учитывается крайне ограниченное множество сущностей, объективно являющихся критичными активами для бизнеса.

Различие 2. Оценка рисков ИБ

Для анализа 2-го различия рассмотрим требования в части управления рисками ИБ и требования СОИБ по анализу и оценке рисков. Основные определения, необходимые для анализа 2-го различия, приведены в (п.п. 3.7 - 3.15). Основные требования по управления рисками ИБ удобно рассмотреть по фазам цикла PDCA, аналогично Различию 1: в фазе «План» (п. 4.2.1 ), фазе «Делай» (п. 4.2.2 ), в фазе «Проверяй» (п. 4.2.3 ), соответственно. В Приложении А () даны примеры реализации конкретных мер (средств) обеспечения ИБ (“controls ”) в части касающейся менеджмента рисков, например: «Проверка всех кандидатов на постоянную работу, подрядчиков и пользователей сторонней организации должна быть проведена в соответствии с законами, инструкциями и правилами этики, с учетом требований бизнеса, характера информации, к которой будет осуществлен их доступ, и предполагаемых рисков» (А. 8.1.2.).

В свою очередь, в требованиях СОИБ по анализу и оценке рисков выполняются следующие основные процедуры (п. 4.4):идентификация, анализ и оценивание риска.Оценка рисков осуществляется дляАС, в состав которых входит хотя бы один ОЗ с максимальным уровнем критичности, определяемым в соответствии с (п. 4.8 ). Таким образом, объективно существует критичный риск для целей успешной сертификации СМИБ, при котором деятельность по оценке рисков в терминах только СОИБ может вообще не проводиться. Соответственно, деятельность, предусмотренная СОИБ , не будет осуществляться на «законных» основаниях, что может привести к ошибкам в процессах выявления, идентификации и классификации угроз нарушения ИБдляОЗ, а также к недостоверному анализу рисков нарушения ИБ и уязвимостейв процессах переработки информации в АС вустановленной области применения (“scope”). Особенно важно, что может наблюдаться «вложенность» критичных рисков - невыполнение оценки рисков (Различие 2) может быть прямым следствием исключения персонала из активов в СОИБ (Различие 1) и такая «вложенность» может привести, объективно, к значительным несоответствиям на внешнем сертификационном аудите СМИБ.В рамках работ по идентификации рисков необходимо выполнить идентификацию элементов риска, а именно ОЗ, угроз ОЗ и уязвимостей ОЗ(п. 5.1 ).В рамках работ по анализу рисков определяют (п. 6.1. ):

• возможный ущерб, наносимый в результате нарушений свойств безопасности ОЗ;
• уровень вероятности наступления такого нарушения с учетом идентифицированных угроз и уязвимостей, а также реализованных защитных мер;
• величина риска.

Оценка возможного ущерба производится по 3-уровневой качественной шкале (6.2.2 ):

• максимальная величина;
• средняя величина;
• минимальная величина.

Обратим внимание, что, как правило,при решении конкретных прикладных задачи значения критериев измеряются в пределах определенной шкалы и выражаются в установленных единицах. Известно, что качественные шкалы используют, например, для измерения различных психофизических величин, силы землетрясения, а также степени разрушения материала или конструкции (3.3.1 ). Соответственно, применение качественной шкалыдля целей оценки возможного ущерба ИБ представляется не вполне оправданным и методически уязвимым с позиции обеспечения достижения измеримых (!) целей - создание СМИБ, обеспечение постоянного повышения результативности СМИБ и успешная сертификация СМИБ на соответствие требованиям .

В стандарте отмечается, что максимальная величина возможного ущерба характеризуется максимальным уровнем критичности ОЗ, средняя величина возможного ущерба - средним уровнем критичности ОЗ, минимальная величина возможного ущерба - минимальным уровнем критичности ОЗ. Объективно, существуют затруднения для определения уровня возможного ущерба для активов (в терминах стандартов ИСО), но не учтенных как ОЗ в системе СОИБ, например: персонал (собственный и посторонний), серверные помещения, помещения для проведения конфиденциальных переговоров и пр.

Следующим шагом оценки рисков является сравнение полученных величин риска с заранее определенной шкалой уровня риска - этап оценивания риска (п. 7.1 ). Должны быть идентифицированы уровни риска, которые являются приемлемыми (п. 7.4 ) и риски, не превышающие приемлемого уровня, должны быть приняты. Также должны приниматься риски, превышающие допустимый уровень, если для данных рисков отсутствует подходящий способ обработки. Все остальные риски должны обрабатываться (п. 7.5 ).Это положение создает существенное затруднение для подготовки СМИБ к сертификации, т.к. известное требование - выполнение анализа СМИБ со стороны руководства (стандарт , раздел 7) предусматривает явно принятие во внимание в качестве входной информации о: «уязвимостях или угрозах, которые не были адекватно рассмотрены в процессе предыдущей оценки риска » (п. 7.2. е) и в системе СОИБ Газпром не выполняется в силу применяемой парадигмы формирования ОЗ.

Методика идентификации активов

Как уже отмечалось выше, существует ряд различий между системами СМИБ и СОИБ, одним из важнейших и принципиальных является различие в терминах «актив» () и «объект защиты» ().Соответственно, необходимо предложить методический подход, который позволит мягко преобразовать существующую СОИБ к требованиям СМИБ и обеспечить результативное проведение различных аудитов, так и мониторинга состояния объектов, находящихся под воздействием угроз нарушения ИБ. Прежде всего, как было указано выше, необходимо преобразовать базовую систему ОЗ к требованиям идентификации всех групп активов СМИБ на соответствиестандарта . Например, может быть предложена следующая классификация групп активов СМИБ (см. Табл. 1).

Таблица 1. Классификация групп активов СМИБ

Пример реестра группы активов «АС» приведен в табл. 2.

Таблица 2. Реестр группы активов «АС»

Примечания:

* Владелец - определенная служба в области сертификации СМИБ, которая отвечает за указанный актив в части поддержания функциональности;

** Уровень критичности - на основании «Перечня ОЗ» в соответствии с требованиями СОИБ.

Пример оценки рисков ИБ для примера актива АС «Босс-Кадровик»приведен в табл. 3.

Таблица 3. Оценка рисков ИБ для актива АС

Оценка результативности ИСМ с учетом требований СМИБ

Учет активов в соответствии с требованиями стандарта ISO позволит привнести в ИСМ элемент управляемости по единым целям, измеримым в терминах бизнеса . Для ИСМ, в составе которой есть СМИБ, могут быть применены соответствующие метрики. Широко известны примеры формирования простых метрик ИБ, которые могут обеспечить формирование количественных оценок (метрик)как доказательства «полезности» для бизнеса. Здесь представляется особенно важным сразу сделать сопоставление с механизмами внутреннего аудита, которые именно предназначены для представления «объективных доказательств» для высшего руководства с целью принятия эффективных управленческих решений . Различные виды метрик для целей обеспечения ИБ представляется целесообразным сгруппировать следующим образом:

1. Для оценки основного бизнеса, например: доля на рынке, уровень лояльности клиентов;
2. Для управления издержками, например: ТСО (совокупная стоимость владения), ROI (оценка возврата инвестиций);
3. Для оптимизации текущей деятельности, например: оптимизация затрат (прямых и косвенных).

С целью снижения издержек (это одна из приоритетных задач любого бизнеса и наиболее «презентабельная» форма оценки результативности службы ИБ), могут быть применены метрики, показывающие степень достижения возможного максимума (плана продаж, выполнения в срок проектов и пр.) . Соответственно, могут быть предложены различные типы метрик:

• простые метрики (например, количество выявленных инцидентов ИБ);
• сложные метрики (например, отношение стоимости СЗИ к стоимости ИТ активов);
• комплексные метрики (например, число произошедших инцидентов ИБ, приведших к ущербу (вынужденному простою) вАС, определенных как критичные для бизнеса).

Выводы

1. При планировании и реализации проектов по сертификации СМИБ необходимо принять во внимание, что множество требований произвольной системы отраслевой сертификации, в общем случае, не соответствует требованиям сертификационного стандарта ISO серии 27001. Для адаптации СОИБ необходима продуктивная методика, основанная на сопоставлении (“mapping ”) стандартных требований в области ИБ и обеспечивающая достижение целей по обеспечению внутреннего аудита и эффективного «мониторинга» состояния объектов, находящихся под воздействием угроз ИБ - на основании сформированных достоверных моделей и методов.

2. Реализация требований современных стандартов к СМИБ, «наложенных» на существующую СОИБ, приводит к необходимости пересматривать фундаментальные требования (например, понятий «актив » и «менеджмент риско в»).Это обстоятельство напрямую связано с определяемой высшим руководством областью сертификации («scope ») и, соответственно, с перечнем активов, признанных жизненно важным для бизнеса организации, и по этой причине подлежащих защите в составе СМИБ.

Библиография

ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. С истемы менеджмента информационной безопасности. Требования»

ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»

ГОСТ Р ИСО 19011-2011 «Руководящие указания по проведению аудитов систем менеджмента».

СТО Газпром 4.2-1-001-2009 Система обеспечения информационной безопасности ОАО «Газпром». Основные термины и определения

СТО Газпром 4.2-2-002-2009 Система обеспечения информационной безопасности ОАО «Газпром». Требования к АСУ ТП

СТО Газпром 4.2-3-002-2009 Требования по технической защите информации при использовании информационных технологий

СТО Газпром 4.2-3-003-2009 Система обеспечения информационной безопасности ОАО «Газпром». Анализ и оценка рисков

СТО Газпром 4.2-3-004-2009 Классификация объектов защиты

СТО Газпром 4.2-3-005-2013 Управление инцидентами информационной безопасности

Лившиц И.И. Оценки соотношения количественных показателей сертификации систем менеджмента предприятий // Менеджмент качества, 2014, вып. 2;

Лившиц И. И. Совместное решение задач аудита информационной безопасности и обеспечения доступности информационных систем на основании требований международных стандартов BSI и ISO // Информатизация и Связь, 2013, вып. 6;

Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества, 2013, вып. 1;

Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов - аэропортовых комплексов // Труды СПИИРАН, 2014, вып. 6

В.Д. Ногин Принятие решений при многих критериях // Государственный Университет - Высшая школа экономики, Санкт-Петербург, 2007, 103 стр.

М.К. Янчин. Управление информационными рисками на основе методологии MEHARI, Источник публикации: http://pvti.ru/data/file/bit/bit_4_2011_29.pdf (на дату 19.01.2015)

ISO/IEC 27040:2015 Information technology — Security techniques — Storage security.

ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements.

ISO/IEC 27000:2014 Information technology — Security techniques — Information security management systems — Overview and vocabulary.

ISO/IEC 27004:2014 Information technology — Security techniques — Information security management — Measurement.

Материал продолжает начатный цикл статей, в который информационную безопасность рассматривается с точки зрения ее экономической составляющей. В данной публикации остановимся на вопросах определения информации как ценного актива компании, а также рассмотрим методику оценки его стоимости. По мнению автора данная методика позволяет наиболее объективно измерить информационные активы, и является связующим звеном между информационной безопасностью, как прикладной сферой деятельности, и её финансово-экономической базой.

Введение

Наряду с классическими факторами производства, такими как труд, земля, капитал, информация становится одним из основных ресурсов, обеспечивающих деятельность компании. Более того, информация, зачастую, сама является исходным сырьем или результатом производства – товаром, предлагаемым конечному потребителю. С данной позиции информация становится активом компании, который нуждается, в каком то измерении, учете и выражении в общепринятых количественных показателях.

В отличие от других фундаментальных ресурсов, теоретическому и практическому рассмотрению которых уделено много научных работ, информационные активы это своего рода феномен современного общества. Поэтому столь долгое время отсутствовали инструменты их оценки и учета. А, тем временем, информационные активы – это тоже поддающийся измерению результат деятельности компании за определённый период времени. Применяя достижения в области информационных технологий и опыт бухгалтерского учета, автор попытается изложить новую точку зрения на следующие вопросы:

Насколько же ценен информационный актив для собственника? Какой ущерб может понести компания в случае его компрометации? Каким образом выразить ценность информации в общепринятых количественных параметрах (денежном выражении)?

Информация как самостоятельный актив

В независимости от форм собственности и вида деятельности учреждения информация является основой для принятия важнейших управленческих решений, например, определения стратегии поведения на рынке, планов дальнейшего развития, инвестирования в проект, заключений сделок. Одним из основных поставщиком такой информации для руководства компании является бухгалтерия. Главная проблема заключается в том, что, как правило, в итоговом балансе основное внимание уделяется материальным составляющим – имуществу, оборотным активам, обязательствам, дебиторской и кредиторской задолженности, и мало внимания уделяется нематериальным активам.

А, тем временем, информация может являться едва ли не самым ценным фактором, приносящим прибыль. Проиллюстрировать подобную ситуацию можно на примере брокерского обслуживания, оказывающего услуги по управлению ценными бумагами на международных биржах. Любая информация, даже неправдоподобные слухи, мгновенно могут изменить картину происходящего на рынке. Что говорить, если, к примеру, произойдет утечка информации о заключении сделки или судебном разбирательстве, просочится инсайдерская информация о новинках выпускаемой продукции -- акции мгновенно рухнут или взлетят. Или компании разработчики программного обеспечения, для которых информация это одновременно и рабочий материал и итоговый продукт. Новые технологии, инновационные идеи, производственные ноу-хау, исходный код программного продукта, – это все информация, и ее использование как ресурса значительно влияет на итоговые результаты деятельности. Следовательно, информация перестает быть просто сведениями, она становится ценным информационным активом компании. И для защиты интересов собственника такой информации существует федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне» , позволяющий законными методами защищать часть таких активов в режиме коммерческой тайны .

Поскольку вся информация обрабатывается с использованием информационных технологий, она неразрывно связана с вычислительной техникой и сотрудниками, которые ее используют. Итак, под информационными активами организации будем понимать все ценные информационные ресурсы собственника, способные приносить ему экономическую выгоду, в которых аккумулированы знания, умения и навыки персонала, и реализованные с использованием современных информационных технологий. Иначе говоря, информационные активы необходимо рассматривать как неотделимую совокупность самих сведений, средств их обработки и персонала, имеющих к ней доступ и непосредственно их использующие. И, соответственно, конечная стоимость информационных активов тоже будет формироваться суммарной стоимостью всех составляющих описанных выше.

И, раз есть информационные активы, необходимо иметь механизмы по оценке и учёту такого рода активов. Из-за специфичности эта функцию часто перекладывают на службу информационной безопасности, где процесс учета и оценки является составной частью риск-менеджмента, хотя данный вопрос уже давно выходит за рамки одной лишь службы. Правильно учтенные и оцененные активы позволяют, во-первых эффективно управлять уже имеющимися выгодами и оценить потенциал использования их в будущем, и, во-вторых, учитывать эти параметры в итоговом балансе, что может значительно сказаться на показателях и индексах общей кредитоспособности, инвестиционной привлекательности, финансовой устойчивости компании.

Проблемы оценки стоимости информационных активов

Информационные активы являются нематериальными и, поэтому, первой из проблем является их формирование как объекта. Выделение именно ценных и полезных в коммерческом плане сведений из всего массива информации вовлеченной в бизнес-процессы компании. Вопрос решается путем создания экспертной комиссии, в состав которой входят непосредственно сами участники бизнес-процесса – руководители, узкоквалифицированные специалисты, способные определить на каком этапе производства какие именно сведения используются как ценный ресурс. Качество и достоверность полученных результатов напрямую зависит от компетентности и профессионального опыта комиссии. Общий перечень возможных конфиденциальных сведений представлен в приложении N. Однако, формируя такой перечень, необходимо помнить о том, что не все сведения могут защищаться в режиме коммерческой тайны. ограничения установлены ст. 5 98-ФЗ «О коммерческой тайне».

Другой, более сложной и глобальной проблемой, является определение ценности информационного актива и объективное выражение его в общепринятом количественном показателе – денежном выражении. Задача является слабо формализуемой, поэтому все значения, полученные в результате оценки будут приближенными. Только собственник информационного актива или другое лицо, извлекающего с его помощью прибыль, может объективно выразить его денежную стоимость.

Для определения стоимости актива применяются различные методы. Самый простой – это определение стоимости путем расчета трудозатрат на единицу полученной ценной информации. К примеру, произведение среднечасовой ставки сотрудника на затраченное им время для получении этих сведений. Однако такой метод не позволяет оценивать уже имеющиеся активы или активы, полученные иным путем. Как определились считать ранее, информационный актив – это не просто ценные сведения, его нужно рассматривать как неотделимую совокупность вышеуказанных элементов. Поэтому, более прогрессивный подход предполагает комбинированную оценку стоимости путем учета многих факторов, среди которых, например, стоимость получения информации, ее обработки и хранения с использованием вычислительной техники, человеческие трудозатраты.

Еще одной проблемой является то, что, по сравнению другими объектами, например, основными средствами организации, информационные активы являются очень динамической структурой, срок полезного использования которых, в виду быстрой потери актуальности информации, крайне неопределенный и стоимость которых также может значительно меняться в очень короткие промежутки времени. Это требует их периодической переоценки. Причем оценка по резервному значению, которая берется на начало и конец года не отражает реальной картины, эффективным вариантом признан метод оценка исходя из среднего значения по всем дням в течении отчетного года.

В виду своей специфичности обладание ценными сведениями также не всегда ведет к прямому росту прибыли, к примеру, большое значение может иметь имиджевое положение компании (англ. goodwill ) . В данном случае, упрощая, можно сказать, что порой неоправданные с экономической точки зрения действия дают определенные выгоды компании. Это, к примеру, больше всего распространено среди азиатских стран, где дань уважения и сохранения традиций имеет гораздо больший смысл, чем сугубо экономические преимущества. Такой имиджевый показатель как рейтинг очень сложно измерить и выразить его стоимость в денежном эквиваленте. Однако в определенный момент именно эти критерии могут оказать существенное влияние в пользу увеличения статуса компании, совершения крупной сделки с компанией-партнером и т.д.

Методика оценки стоимости

Первоначальным этапом необходимо сформировать информационные активы как объект учета и оценки. Алгоритм оценки имеющихся корпоративных информационных активов включает в себя их описание по следующим категориям:

1. человеческие ресурсы;
2. информационные активы (открытая и конфиденциальная информация);
3. программные ресурсы (программные продукты, базы данных, корпоративные сервисы, например, 1С, Банк-клиент и др, а также зависимое аппаратное обеспечение);
4. физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование, в том силе мобильные устройства);
5. сервисные ресурсы (электронная почта, веб ресурсы, онлайн-хранилища, каналы передачи данных и т.п.);
6. помещения (в которых обрабатывается и хранится информация).

Далее экспертная комиссия, сформированная по приказу директора и состоящая из узкоквалифицированых специалистов – экспертов, проводит детальную категоризацию имеющейся корпоративной информации, т.е. выделение защищаемой информации из всего объема информационных активов, а далее из категории защищаемых информационных активов – выделение конкретно ценой конфиденциальной информации (см. приложение 1).

Категоризация заключается в определении уровня ценности информации, его критичности. Под критичностью понимается степень влияния информации на эффективность функционирования хозяйственных процессов компании. Различные варианты методик категоризации приведены в международном стандарте ISO/IEC TR 13335 отечественным аналогом которого является ГОСТ Р ИСО/МЭК ТО 13335-х .

Например, определение ценности информации по вышеназванным параметрам может быть отражено в таблице 1, где сумма баллов, расположенных на пересечении столбцов и строк таблицы, указывает на ценность информации в целом для организации, включающей в себя вид информации с точки зрения ограниченности доступа к ней и критичность информации для компании.

Таблица 1. Определение ценности информации

Можно использовать отраслевой дифференцированный подход: присвоить параметру ценности информации определенное весовое значение для определения уровня значимости ресурса с точки зрения его участия в деятельности компании. Например, можно определить коэффициент ценности различных категорий информации, отраженных в таблице 2.

Таблица 2. Коэффициент ценности информации

Также имеется еще один подход к определению ценности информации (в результате возможности восполнения потерь в случае реализации угроз) в соотношении с вероятностью проявления угроз (таблица 3).

Таблица 3. Определение потерь и вероятности реализации угроз

В итоге оценивается суммарная значимость информации и применяемых информационных технологий в деятельности хозяйствующего субъекта. Показатель может иметь приблизительную качественную оценку – «весьма значимо», «существенно значимо», «мало значимо», «не значимо». А также приблизительную количественную оценку – процентную (на сколько % деятельность организации зависит от используемой информации) или в рублевом эквиваленте (какую часть общей капитализации организации составляет информация в рублях).

Экспертными методами с применением математического методов также высчитывается «субъективная» и «объективная» вероятность той или иной угрозы, общее результирующее значение которой учитывается при составлении таблицы (таблица 3.1).

Таблица 3.1. Преобразование вероятности реализации угрозы к ежегодной частоте (Ву)

Для денежного выражения стоимости представляется целесообразным рассматривать ценность информационных ресурсов как с точки зрения ассоциированных с ними возможных финансовых потерь (выражаемое в рублевом эквиваленте), так и с точки зрения ущерба репутации организации (непрямых финансовых потерь), дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и.т.д. Таким образом, ценность актива определяется экспертами путем оценки степени возможного нанесения ущерба организации при неправомерном использовании рассматриваемой информации (т.е. в случае нарушения его конфиден­циальности, целостности или доступности).

Чтобы избежать избыточного суммирования по ущербу (иначе говоря затрат на ликвидацию последствий), необходимо анализировать возможность реализации угроз безопасности по видам информационных активов организации. Для экспертной оценки возможного ущерба от реализации угроз используются следующие категории: стоимость восстановления и ремонта вычислительной техники, сетей и иного оборудования; упущенная (потенциальная) прибыль; судебные издержки; потеря производительности труда, потери, связанные с простоем и выходом из строя оборудования.

В управлении рисками информационной безопасности для оценки стоимости информации применяется метод ожидаемых потерь (ALE – Annualised Loss Expectency), показывающий возможные потери организации в результате несоответствующих мер защиты информации. Производится вычисление уровня риска, т.е. показателя возможных потерь (ущерба) – далее Ущ , учитывая такие аспекты, как вероятность и частота проявления той или иной угрозы в течение года, возможный ущерб от ее реализации, степень уязвимости информации.

Консолидируя все вышеописанное получаем, что суммарная величина экономического ущерба разделена на несколько категорий:

1) упущенная прибыль (не выпущенная проекция, срыв сделки и т.д.) – на эту категории приходится большая доля экономического ущерба. В малых компаниях упущенная прибыль составляет приблизительно 50% от общего размера экономического ущерба, а в больших компаниях – приблизительно 80%;

2) стоимость замены, восстановления и ремонта вычислительной техники, сетей и иного оборудования составляет приблизительно 20% от экономического ущерба в небольших компаниях и 8% – в крупных компаниях;

3) потеря производительности (простой) – ущерб по данной категории составляет приблизительно 30% в небольших компаниях и 12% – в крупных компаниях.

По итогам исследования составляется заключение, характеризующее общий уровень защищенности информационных активов организации на текущий момент (в качественных показателях), определяется уровень зрелости организации к вопросам ИБ и совокупная психологическая готовность организации к внедрению режима защиты (мера эффективности и скорости отдачи от мероприятий направленных на защиту).

Последние исследования показывают, что большинство предприятий тратит на защиту информационных активов 2-5% от бюджета на информационные технологии, другие организации в ситуациях, когда чрезвычайно важны работоспособность информационных систем, целостность данных и конфиденциальность информации, затрачивают на это 10-20% от совокупного бюджета на ИТ, у некоторых организаций на поддержание инфраструктуры (в т.ч. на ИБ) уходит приблизительно 40% (J et Info № 10(125)/2003, Информационная безопасность: экономические аспекты).

Стоимость защитных мероприятий может значительно отличаться для разных организаций, это зависит от многих обстоятельств, в том числе от величины и характера деятельности, нормативно-правовой базы, текущей оперативной обстановки, уровня зависимости от информационно-телекоммуникационных технологий, вовлеченности в электронный бизнес, профессиональных и личностных качеств персонала и др. В таблице 3.14 показано распределение бюджета на информационные технологии с отражением в этих категориях расходов на информационную безопасность (А. Леваков. Анатомия информационной безопасности США, 07 октября 2002).

Таблица 3.3. Распределение бюджета на информационные технологии и информационную безопасность (

Ключевым элементом риска является актив, подверженный этому риску. Риски информационной безопасности обусловлены наличием у организации информационных активов. К информационным активам относится любая информация, представляющая ценность для организации. Они включают в себя информацию, напечатанную или записанную на бумаге, пересылаемую по почте или демонстрируемую в видеозаписях, передаваемую устно, информацию, хранимую в электронном виде на серверах, веб-сайтах, мобильных устройствах, магнитных и оптических носителях и т.п., информацию, обрабатываемую в корпоративных информационных системах и передаваемую по каналам связи, а также программное обеспечение: операционные системы, приложения, утилиты, программную документацию и т.п.

Помимо информации организация располагает и другими видами материальных и нематериальных активов, которые она использует для достижения своих бизнес-целей. Это имущество организации, имущественные и неимущественные права, интеллектуальная собственность, кадровые ресурсы, а также имидж и репутация организации. Современные международные стандарты также определяют еще одну категорию активов – это процессы, а также информационные и неинформационные сервисы. Это агрегированные типы активов, которые оперируют другими активами для достижения бизнес-целей.

_____________________________________

Виды активов организации

материальные;

финансовые;

имущественные и неимущественные права;

интеллектуальная собственность;

кадровые;

информационные;

процессы и сервисы;

имидж и репутация.

_______________________________________

Все активы определенным образом взаимосвязаны. Реализация угроз в отношении одних активов, например помещений или оборудования, может приводить к нарушению безопасности других активов, например информации, хранимой в этих помещениях или обрабатываемой на данном оборудовании, и т.д. В свою очередь нарушение безопасности информации, например ее конфиденциальности или достоверности, может обуславливать финансовые или политические риски. Сбой сервера влияет на доступность хранящихся на нем информации и приложений, а его ремонт отвлекает людские ресурсы, создавая их дефицит на определенном участке работ и вызывая дезорганизацию бизнес-процессов, при этом временная недоступность клиентских сервисов может негативно повлиять на имидж компании.

Таким образом, во многих видах бизнес-рисков есть информационная составляющая, обусловленная тем, что все активы организации и соответствующие риски в отношении этих активов связаны между собой.

Рассмотрим, например, физические угрозы, такие как пожар или землетрясение. С этими угрозами связаны, прежде всего, риски для жизни и здоровья людей, также с ними связаны риски потери оборудования и помещений, нарушения бизнес-операций, а также риски потери информационных активов, которые размещаются на этом оборудовании и в этих помещениях. Мы видим, что с одной и той же угрозой связано множество активов и уязвимостей, т.е. множество различных рисков, которые находятся в сфере компетенции различных людей: работников службы безопасности, пожарников, кадровиков, IT -специалистов, специалистов по управлению непрерывностью бизнеса.

Поэтому руководству организации, вообще говоря, было бы проще рассматривать все эти взаимосвязанные бизнес-риски в совокупности, в рамках единого процесса и общей методологии, охватывающей все виды информационных, физических и операционных рисков.

Все виды активов важны для организации. Однако у каждой организации есть основные активы и есть вспомогательные. Определить, какой актив является основным и жизненно важным, очень просто, т.к. бизнес организации построен вокруг основного актива. Так, бизнес может быть построен на владении и использовании материальных активов (земля, недвижимость, оборудование, полезные ископаемые), бизнес может быть построен на управлении финансовыми активами (кредитные организации, страхование, инвестирование), бизнес может быть основан на компетенции и авторитете конкретных специалистов (консалтинг, аудит, обучение, высокотехнологичные и наукоемкие отрасли) или все может вращаться вокруг информационных активов (разработка ПО, информационных продуктов, электронная коммерция, бизнес в Интернет).

Риски основных активов чреваты потерей бизнеса и невосполнимыми потерями, поэтому на этих рисках в первую очередь сосредоточено внимание владельцев бизнеса и ими руководство организации занимается лично и в первую очередь. Риски вспомогательных активов приводят к восполнимому ущербу и не являются основным приоритетом в системе управления организации. Обычно управлением такими рисками занимаются специально назначаемые люди, либо эти риски передаются, скажем, аутсорсинговой организации. Управление такими неосновными рисками – это вопрос эффективности управления, а не выживания для организации.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

1. Аналитическая часть

1.1.1 Общая характеристика предметной области

1.1.2 Организационно-функциональная структура предприятия

1.2 Анализ рисков информационной безопасности

1.2.2 Оценка уязвимостей активов

1.2.3 Оценка угроз активам

2. Проектная часть

2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия

2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

Введение

С информационной безопасностью связан целый пласт вопросов, которые на наших глазах уже несколько лет плавно переходят из области, специфичной для ИТ-рынка, в общечеловеческую и даже цивилизационную. Упрощенно можно сказать, что у ИБ есть три основные задачи: обеспечить целостность данных (не модифицируемость), их конфиденциальность (нераскрываемость) и доступность. Будут ли решены все проблемы ИБ, если выполнить эти три задачи? Увы, нет. Есть извечная проблема нахождения компромисса между удобством использования и безопасностью. Есть вопросы законодательства, связанные с необходимостью и легитимностью использования тех или иных средств защиты. Есть вопросы управляемости ИБ на средних и крупных предприятиях, где «простое» использование современных средств защиты не приносит качественных изменений, пока не будет продумана политика ИБ и построена комплексная система управления ею. Есть, в конце концов, первопричина всех проблем -- люди, их осведомленность о необходимости соблюдать определенные правила информационного взаимодействия.

Цель данной преддипломной практики заключается в изучении аспектов защиты информации на предприятии ООО «FACILICOM».

Поставленная цель предопределила постановку и решение ряда взаимосвязанных задач:

· изучение предметной области и выявление недостатков в существующей системе обеспечения информационной безопасности и защите информации на примере организации ООО «FACILICOM»

· разработку постановки задачи на автоматизирование защиты персональных данных и коммерческой информации, а так же анализ рисков на предприятии ООО «FACILICOM»

· обоснование выбора основных проектных решений;

· разработку автоматизации обеспечивающих подсистем для защиты и шифрования данных;

· обоснование экономической эффективности проекта.

Данная дипломная работа состоит из трех частей.

В первой части отражена аналитическая часть проекта, в которой представлены технико-экономическая характеристика ООО «FACILICOM» и существующего на предприятии процесс анализа рисков и защиты персональных данных и коммерческой информации; характеристика комплекса задач, требующих решения, и обоснование необходимости автоматизации описанного процесса в ООО «FACILICOM»; анализ существующих разработок, обоснование проектных решений и выбор стратегии анализа рисков ООО «FACILICOM» и защите информации.

Вторая часть работы содержит непосредственно проектную часть, которая состоит из разработки проекта автоматизации защиты информации и анализ рисков ООО «Фасиликом», информационного и программного обеспечения автоматизации описанного процесса, а также описания контрольного примера реализации проекта.

И, наконец, третья часть дипломной работы представляет собой обоснование экономической эффективности проекта, где описываются выбор методик расчёта, а также представляется математический расчёт показателей экономической эффективности защиты информации и анализ рисков ООО «FACILICOM».

1. Аналитическая часть

1.1 Технико-экономическая характеристика предметной области и предприятия(Установление границ рассмотрения)

1.1.1 Общая характеристика предметной области

Группа Компаний FACILICOM - работает на российском рынке с 1994 года. За 20 лет деятельности заняли лидирующие позиции в сфере предоставления профессиональных услуг по управлению и обслуживанию различных объектов недвижимости. Под управлением находится более 30 млн. м2. Обслуживаемые объекты располагаются более чем в 300 населенных пунктах в различных регионах России, а также крупных городах Белоруссии и Украины. Широкая география охвата вместе с большим опытом, современной техническо-ресурсной базой и большим количеством собственных наработок позволяют FACILICOM принимать на управление объекты с любым расположением и масштабом.

Основой нашей работы является сервисный подход: выстраивание долгосрочных партнерских взаимоотношений с клиентом, сопровождение и решение всех задач, возникающих на протяжении всего жизненного цикла сотрудничества. Это подход, которого клиенты сегодня ожидают от лидеров рынка, и у нас есть все возможности для соответствия этим ожиданиям.

"Ценность, которую мы предоставляем нашим клиентам - возможность сфокусироваться на основной бизнес-задаче, не тратя ресурсы на вспомогательные процессы"

Широкий спектр услуг компании позволяет нам предоставлять необходимые сервисы компаниям любого масштаба: от стартапов, среднего и малого бизнеса до структур федерального масштаба. Клиентами "FACILICOM" являются компании из различных отраслей и сфер экономики, в числе которых:

· Государственный сектор

· Телекоммуникационные компании

· Финансовый сектор

· Производство

· Транспорт и логистика

Так же «Альфа-Банк», доверивший Компании недвижимость своей федеральной сети, расположенную в более чем 75 регионах.

В компании работают более 350 инженеров, 300 консультантов, 200 аналитиков. Высокую квалификацию специалистов подтверждают более 1400 сертификатов, в том числе - уникальных для России. Мы выполняем проекты любого масштаба в области недвижимости.

Компания FACILICOM предлагает различные схемы обслуживания объектов, что позволяющая каждому Клиенту подбирать оптимальный вариант сотрудничества, максимально соответствующий его текущим потребностям и возможностям. Все работы выполняются преимущественно силами подразделений нашей Компании, что обеспечивает высокое качество услуг и соблюдение единых стандартов на всех объектах, независимо от их локализации.

Система автоматизированного контроля и постоянное внедрение инновационных решений позволяют компании FACILICOM добиваться лучшего результата, соответствующего международным стандартам. Созданное собственными силами программное обеспечение FACILICOM-24 гарантирует прозрачность и удобство взаимодействия Клиента со службами компании.

Также заказчику предоставляются прекрасные возможности для контроля затрат и оптимизации расходов при сохранении высокого качества обслуживания, большого выбора услуг и индивидуального подхода при решении различных вопросов.

1.1.2 Организационно-функциональная структура предприятия

Организационная структура управления ООО «FACILICOM» представлена на рис. 1.

Под организационной структурой предприятия понимаются состав, соподчиненность, взаимодействие и распределение работ по подразделениям и органам управления, между которыми устанавливаются определенные отношения по поводу реализации властных полномочий, потоков команд и информации.

Различают несколько типов организационных структур: линейные, функциональные, линейно-функциональные, дивизиональные, адаптивные.

Организационная структура фирмы соответствует линейному типу.

Линейная структура характеризуется тем, что во главе каждого подразделения стоит руководитель, сосредоточивший в своих руках все функции управления и осуществляющий единоличное руководство подчиненными ему работниками. Его решения, передаваемые по цепочке "сверху вниз", обязательны для выполнения нижестоящими звеньями. Он, в свою очередь, подчинен вышестоящему руководителю.

Размещено на http://www.allbest.ru/

Рис. 1 Организационная структура управления ООО «FACILICOM»

Организационная структура, построенная в соответствии с этими принципами, получила название иерархической или бюрократической структуры.

Отдел бухгалтерии: расчёт зарплат, различных выплат, свод баланса, контроль соответствия деятельности утверждённым нормам, нормативам и сметам.

Коммерческий отдел: поиск и взаимодействие с клиентами, участие в тендерах, составление и подписание договоров, технических заданий, встречи с поставщиками, закупка оборудования;

Отдел информационных технологий: поддержка IT инфраструктуры компании, сопровождение программного обеспечения, мелкий ремонт ПК и периферии, закупка техники для офиса и удаленных объектов.

Функции отдела информационных технологий и ПО:

· Конфигурация операционных систем на серверах, а также поддерживание рабочего состояния программного обеспечения серверов.

· Контроль установки программного обеспечения на серверы и рабочие станции.

· Обеспечение интегрирования программного обеспечения на файл-серверах, серверах систем управления базами данных и на рабочих станциях.

· Осуществление планирования информационных ресурсов и контроль использования сетевых ресурсов.

· Контроль обмена информацией локальной сети с внешними организациями по телекоммуникационным каналам. Обеспичение доступа пользователей системы к локальной (INTRANET) и глобальной (INTERNET) сетям.

· Обеспечение бесперебойного функционирования системы и принятие оперативных мер по устранению возникающих в процессе работы нарушений. Устранение нарушения работы сервисов.

· Регистрация пользователей, назначение идентификаторов и паролей.

· Установление ограничений для пользователей по:

o а) использованию рабочей станции или сервера;

o б) времени;

o в) степени использования ресурсов.

· Выявление ошибок пользователей и сетевого программного обеспечения и восстановление работоспособность системы.

· Обучение пользователей работе в информационной системе предприятия.

· Обеспечение безопасность работы в системе:

· Принимать меры для сетевой безопасности (защита от несанкционированного доступа к информации, просмотра или изменения системных файлов и данных), а также безопасности межсетевого взаимодействия.

· Производить своевременное копирование и резервирование данных.

· Выполнять регулярную проверку на наличие компьютерных вирусов в системе.

· Участвовать в решении задач технического обслуживания при выявлении неисправностей сетевого оборудования, а также в восстановлении работоспособности системы при сбоях и выходе из строя сетевого оборудования.

· Осуществлять контроль монтажа сетевого оборудования специалистами сторонних организаций.

· Осуществлять мониторинг компьютерной сети, разрабатывает предложения по развитию инфраструктуры сети.

· Осуществлять контроль соблюдения порядка работы в информационной сети и стандартов в области информационных технологий.

· Организовывать и устанавливать новые или оптимизировать рабочие места пользователей.

Таким образом, в настоящее время обеспечение информационной безопасности предприятия является функцией IT-отдела.

1.2 Анализ рисков информационной безопасности

Процесс анализа рисков включает в себя определение того, что следует защищать, от чего защищать и как это делать. Необходимо рассмотреть все возможные риски и ранжировать их в зависимости от потенциального размера ущерба. Этот процесс состоит из множества экономических решений. Давно замечено, что затраты на защиту не должны превышать стоимости защищаемого объекта.

Анализ рисков в области ИБ может быть качественным и количественным. Количественный анализ точнее, он позволяет получить конкретные значения рисков, но он отнимает заметно больше времени, что не всегда оправданно. Чаще всего бывает достаточно быстрого качественного анализа, задача которого -- распределение факторов риска по группам. Шкала качественного анализа может различаться в разных методах оценки, но всё сводится к тому, чтобы выявить самые серьезные угрозы.

В задачи сотрудников подразделений ИБ входит оповещение руководства предприятий о существующих и потенциальных угрозах. Отчеты должны сопровождаться фактами, цифрами, аналитическими выкладками. Это наиболее эффективный способ довести информацию до глав организаций.

Качественный анализ

Существует несколько моделей качественного анализа. Все они достаточно просты. Варианты различаются лишь количеством градаций риска. Одна из самых распространенных моделей -- трехступенчатая. Каждый фактор оценивается по шкале “низкий -- средний -- высокий”.

Противники данного способа считают, что трех ступеней для точного разделения рисков недостаточно, и предлагают пятиуровневую модель. Однако это не принципиально, ведь в целом любая модель анализа сводится к простейшему разделению угроз на критические и второстепенные. Трех-, пятиуровневые и прочие модели используются для наглядности.

При работе с моделями с большим числом градаций, например с пятью, у аналитиков могут возникнуть затруднения -- отнести риск к пятой или к четвертой группе. Качественный анализ допускает подобные “ошибки”, поскольку является саморегулирующимся. Не критично, если первоначально риск необоснованно отнесли к четвертой категорию вместо пятой. Качественный метод позволяет проводить анализ за считанные минуты. Предполагается, что такая оценка рисков будет осуществляться регулярно. И уже на следующем шаге категории будут переназначены, фактор перейдет в пятую группу. Поэтому качественный анализ также называется итерационным методом.

Количественный анализ

Количественный метод требует значительно больше времени, так как каждому фактору риска присваивается конкретное значение. Результаты количественного анализа могут быть более полезны для бизнес-планирования. Однако в большинстве случаев дополнительная точность не требуется или просто не стоит лишних усилий. Например, если для оценки фактора риска надо потратить четыре месяца, а решение проблемы займет только два, ресурсы используются неэффективно.

Также следует учитывать, что многие организации постоянно развиваются, изменяются. И за то время, что выполняется анализ, фактические значения рисков окажутся другими.

Перечисленные факторы говорят в пользу качественного анализа. Кроме того, эксперты считают, что, несмотря на всю свою простоту, качественный метод является весьма эффективным инструментом анализа.

Главной целью деятельности в области информационной безопасности является обеспечение доступности, целостности и конфиденциальности каждого информационного актива. При анализе угроз следует принимать во внимание их воздействие на активы по трем названным направлениям. Необходимым и существенным этапом в анализе рисков является оценка уязвимостей активов, которая и была проведена в данной дипломной работе. Решение о проведении оценки уязвимостей принимает ответственный за информационную безопасность ООО «Facilicom» начальник отдела информационных технологий и ПО.

Оценка уязвимостей активов в компании, как правило, проводится совместно с анализом рисков ИБ, т.е. с периодичностью 2 раза в год. Отдельная оценка уязвимостей не проводится. Её проводят назначенные сотрудники по распоряжению начальника отдела информационных технологий и ПО. информационный безопасность актив фонд

Оценка уязвимостей активов представляется в форме электронного документа. Документ называется «Оценка уязвимостей информационных активов ООО «Facilicom» на момент 2005 года» с указанием времени проведения анализа.

1.2.1 Идентификация и оценка информационных активов

Один из этапов анализа рисков состоит в идентификации всех объектов, нуждающихся в защите. Некоторые активы (например, коммуникационное оборудование) идентифицируются очевидным образом. Про другие (например, про людей, использующих информационные системы) нередко забывают. Необходимо принять во внимание все, что может пострадать от нарушений режима безопасности.

Может быть использована следующая классификация активов:

· Аппаратура: процессоры, модули, клавиатуры, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы, мосты, маршрутизаторы;

· Программное обеспечение: исходные тексты, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные программы;

· Данные: обрабатываемые, непосредственно доступные, архивированные, сохраненные в виде резервной копии, регистрационные журналы, базы данных, данные, передаваемые по коммуникационным линиям;

· Люди: пользователи, обслуживающий персонал.

Результаты оценки информационных активов сведены в таблицу 2.

Таблица Оценка информационных активов предприятия ООО «Facilicom»

В таблице 3 представлены результаты ранжирования информационных активов ООО «Facilicom»

Таблица Результаты ранжирования активов ООО «Facilicom»

Таким образом, активы, имеющие наибольшую ценность и подлежащие защите, следующие:

1. Сервер БД с информацией о клиентах и писем;

2. База данных ДО;

3. Приказы, распоряжения Генерального директора;

4. База данных бухгалтерии.

В дальнейшем именно для этих активов проводилась оценка уязвимостей, угроз и рисков информационной безопасности.

1.2.2 Оценка уязвимостей активов

Оценка уязвимости может быть выполнена по отношению ко многим объектам, не только компьютерным системам/сетям. Например, физические здания могут быть подвергнуты оценке, по результатам которой будет понятно, какие части здания имеют изъяны. Если взломщик может обойти охранника у парадной двери и проникнуть внутрь здания через заднюю дверь - это, определённо, уязвимость. Если он на самом деле сделает это - это эксплойт. Физическая безопасность - один из наиболее важных аспектов, которым нужно придавать значение. Поскольку если сервер украден, атакующему не нужно обходить IDS (система обнаружения вторжений), не нужно обходить IPS (система предотвращения вторжений), не нужно думать над способом, с помощью которого можно передать 10 ТБ данных, - они уже здесь, на сервере. Полное шифрование диска может помочь, но обычно его не используют на серверах.

В качестве объектов защиты выступают следующие виды информационных ресурсов предприятия:

· информация (данные, телефонные переговоры и факсы) передаваемая по каналам связи;

· информация, хранимая в базах данных, на файловых серверах и рабочих станциях, на серверах каталогов, в почтовых ящиках пользователей корпоративной сети и т.п.;

· конфигурационная информация и протоколы работы сетевых устройств, программных систем и комплексов.

Размещено на http://www.allbest.ru/

В таблице 4 представлено сопоставление физических угроз и уязвимости активов.

Таблица Сопоставление физических угроз и уязвимостей автоматизированной системы ООО «Facilicom»

В таблице 5 представлены результаты оценки уязвимости активов.

Таблица Результаты оценки уязвимости информационных активов ООО «Facilicom»

1.2.3 Оценка угроз активам

Рассмотрим перечень возможных угроз для информации и активов:

2. Проектная часть

2.1 Комплекс организационных мер обеспечения информационной безопасности

2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

Для каждого типа угроз, возникающих при функционировании системы информационной безопасности, может быть одна или несколько мер противодействия. В связи с неоднозначностью выбора мер противодействия необходим поиск некоторых критериев, в качестве которых могут быть использованы надежность обеспечения сохранности информации и стоимость реализации защиты. Принимаемая мера противодействия с экономической точки зрения будет приемлема, если эффективность защиты с ее помощью, выраженная через снижение вероятного экономического ущерба, превышает затраты на ее реализацию. В этой ситуации можно определить максимально допустимые уровни риска в обеспечении сохранности информации и выбрать на этой основе одну или несколько экономически обоснованных мер противодействия, позволяющих снизить общий риск до такой степени, чтобы его величина была ниже максимально допустимого уровня. Из этого следует, что потенциальный нарушитель, стремящийся рационально использовать предоставленные ему возможности, не будет тратить на выполнение угрозы больше, чем он ожидает выиграть. Следовательно, необходимо поддерживать цену нарушения сохранности информации на уровне, превышающем ожидаемый выигрыш потенциального нарушителя. Рассмотрим эти подходы.

Утверждается, что большинство разработчиков средств вычислительной техники рассматривает любой механизм аппаратной защиты как некоторые дополнительные затраты с желанием за их счет снизить общие расходы. При решении на уровне руководителя проекта вопроса о разработке аппаратных средств защиты необходимо учитывать соотношение затрат на реализацию процедуры и достигаемого уровня обеспечения сохранности информации. Поэтому разработчику нужна некоторая формула, связывающая уровень защиты и затраты на ее реализацию, которая позволяла бы определить затраты на разработку потребных аппаратных средств, необходимых для создания заранее определенного уровня защиты. В общем виде такую зависимость можно задать исходя из следующих соображений. Если определять накладные расходы, связанные с защитой, как отношение количества использования некоторого ресурса механизмом управления доступом к общему количеству использования этого ресурса, то применение экономических рычагов управления доступом даст накладные расходы, приближающиеся к нулю.

Размещено на Allbest.ru

Подобные документы

Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.

курсовая работа , добавлен 03.02.2011


Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.

курсовая работа , добавлен 03.02.2011


Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.

курсовая работа , добавлен 30.12.2011


Сущность информации и ее классификация. Анализ сведений, относимых к коммерческой тайне. Исследование возможных угроз и каналов утечки информации. Анализ мер защиты. Анализ обеспечения достоверности и защиты информации в ООО "Тисм-Югнефтепродукт".

дипломная работа , добавлен 23.10.2013


Определение психологических типов личности и характера человека. Мотивационные профили сотрудников. Анализ основных бизнес-процессов, необходимых для функционирования предприятия. Угрозы информационной безопасности. Оценка и обработка человеческих рисков.

реферат , добавлен 11.03.2015


Характеристика предприятия ООО "Айсберг", анализ структуры документооборота и материально-технического обеспечения предприятия. Разработка и описание новой автоматизированной информационной технологии по планированию, управлению и контролю деятельности.

курсовая работа , добавлен 04.03.2010


Назначение информационной политики, основы ее формирования и внедрения, виды обеспечения. Анализ информационной политики Банка "Центр-инвест". Своевременное и достоверное раскрытие информации как один из основных принципов корпоративного управления.

курсовая работа , добавлен 10.04.2011


Проблемы идентификации предпринимательских рисков. Идентификация рисков: риск как "возможность", как "опасность" и как "неопределенность". Оценки рисков на основе информационной и аналитической работы экспертов. Моделирование ситуаций, финансовый анализ.

контрольная работа , добавлен 16.06.2010


Определение стратегии и планирование работ по развитию информационной структуры предприятия "Урал-системы безопасности". Разработка рекомендаций по совершенствованию работы в области применения информационных технологий, их документальное сопровождение.

отчет по практике , добавлен 14.04.2014


Характеристика сущности, задач и форм деятельности служб безопасности предприятия. Особенности построения организационной структуры службы безопасности. Анализ направлений деятельности: юридическая, физическая, информационно-коммерческая безопасность.

Цель.

Анализ информационных ресурсов, используемых компанией, и выработка концептуальных основ деятельности по обеспечению корпоративной информационной безопасности.

Задачи.

1. Установить номенклатуру информационных ресурсов и оценить их значимость для компании в целом и ее структурных подразделений.

2. Выявить виды и разновидности тайн, которые используются в деятельности компании.

3. Оценить риски информационной безопасности.

Порядок оформления.

1. Шрифт Arial 10. Интервал 1. Поля стандартные. Страницы работы должны быть пронумерованы сверху. Формат документа - MS Office

2. Работы в электронном виде отправляются на электронную почту преподавателя:
[email protected].
Тема письма «Практикум ИБ/ФИО студента - группа». В теле письма необходимо продублировать ФИО и группу.

3. Крайний срок сдачи лабораторного практикума: 2 ноября . Практикумы, сданные после этого срока, не засчитываются. При выявлении работ, текст которых совпадает, не засчитывается ни одна из них

Задание 1.

Описание компании и ее структурных подразделений

1. Укажите наименование компании и адрес ее корпоративного сайта.

2. Дайте описание деятельности компании, её направлений и бизнес-целей.

3. Опишите основные показатели деятельности компании, характеризующие её масштабы (5-6 показателей), и приведите их числовые значения за какой-то период или дату;

4. В MS Visio или другом графическом редакторе составьте функциональную блок-схему компании в выбранном варианте. Детализацию производить до уровня отделов.

5. Постройте схему, характеризующую архитектуру ИТ-сети компании, ее программные и аппаратные компоненты.

Если Вы испытываете трудности с выбором компании для анализа, воспользуйтесь перечнем компании з Приложения 1 в конце файла.

Описание компании не должно занимать более 1 страницы.

Задание 2.

Определение номенклатуры информационных активов

a. Определите базовые уязвимости и угрозы в сфере информационной безопасности для деятельности компании.

b. Для каждого структурного подразделения определите информационные активы. Заполните Таблицу 1 .

Таблица 1

Для выполнения данного пункта необходимо внимательно ознакомиться с пунктом 5 стандарта ГОСТ Р ИСО/МЭК 17799-2005 (Приложение 2). Не менее трех активов.

Задание 3.

Определение номенклатуры видов и разновидностей тайн

a. Определите перечень сведений, которые используются в деятельности компании и образуют тайны различных видов и разновидностей.

b. Для каждого вида (разновидности) тайны заполните Таблицу 2 . В первой строке таблицы приведен условный пример.

Таблица 2

Должны быть указаны минимум ТРИ тайны. Для каждой тайны следует указать КОНКРЕТНЫЕ ДФ и носители

Задание 4.

Для информационных активов определите:

· условия разведывательного контакта (укажите конкретные условия);

· методы доступа к добываемой информации (определите конкретные методы);

· способы дистанционного добывания информации (перечислите конкретные способы);

· зону, в которой должен находиться актив (укажите конкретную зону).

Заполните Таблицу 3 .

Таблица 3

Задание 5

Определите наиболее опасные каналы утечки информации, способы и средства противодействия утечке. Заполните Таблицу 4 . Укажите конкретные каналы, способы и средства. Абстрактные рекомендации (быть внимательными, осторожными, осмотрительными и т.п.) не засчитываются.

Таблица 4

Начисление баллов:

· за правильно и полно заполненную Таблицу 1 - 7 баллов;

· за правильно и полно заполненную Таблицу 2 - 8 баллов;

· за правильно и полно заполненную Таблицу 3 - 12 баллов;

· за правильно и полно заполненную Таблицу 4 - 11 баллов;

· за выполненное Задание 1 - 2 балла (начисляются, если заполнены минимум две таблицы).

Приложение 1

Варианты компаний:

1. Московский финансово-промышленный университет «Синергия».

2. Компания занимается розничной торговлей мультимедийной продукцией

3. Компания занимается оказанием логистических услуг

4. Компания занимается учебной деятельностью

5. Компания занимается производством мебели

6. Компания является туроператором

7. Компания занимается оказанием услуг в сфере здравоохранения деятельностью

8. Компания разрабатывает средства защиты информации

9. Компания занимается изготовлением полиграфической продукции

10. Компания оказывает услуги по инкассации торговых объектов

11. Компания занимается разработкой и сопровождением отраслевого программного обеспечения

12. Компания занимается кинопрокатом фильмов

13. Компания занимается книгоизданием

14. Компания занимается выпуском журналов (Издательский дом)

15. Компания осуществляет подключение к сети Интернет и IP телефонии

16. Компания занимается разработкой и администрованием веб-сайтов

17. Компания занимается изготовлением POS-терминалов

18. Компания занимается бронированием гостиниц по России

19. Компания занимается бронированием и доставкой железнодорожных и авиабилетов.

20. Компания занимается локализацией программных продуктов

21. Компания занимается тиражированием оптических дисков

Приложение 2

Классификация активов, связанных с информационными системами

Описание активов дает уверенность в том, что обеспечивается эффективная защита активов, и оно может также потребоваться для целей обеспечения безопасности труда, страхования или решения финансовых вопросов (управление активами). Процесс составления описи активов - важный аспект управления риском. Организация должна быть в состоянии идентифицировать свои активы с учетом их относительной ценности и важности. Основываясь на этой информации, организация может обеспечивать заданные уровни защиты, соответствующие ценности и важности активов. Описи следует составлять и поддерживать для важных активов, связанных с каждой информационной системой. Каждый актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности, его владельцы должны быть авторизованы, а данные о них документированы. Кроме того, должно быть указано фактическое местоположение актива (это важно в случае восстановления активов при потере или повреждении). Примерами активов, связанных с информационными системами, являются:

Информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы по обеспечению непрерывности функционирования информационного обеспечения, процедуры действий при сбоях, архивированная информация;

Активы программного обеспечения: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты;

Физические активы: компьютерное оборудование (процессоры, мониторы, переносные компьютеры, модемы), оборудование связи (маршрутизаторы, частные автоматические телефонные станции с выходом в сеть общего пользования, факсы, автоответчики), магнитные носители (ленты и диски), другое техническое оборудование (электропитание, кондиционеры), мебель, помещения;

Услуги: вычислительные услуги и услуги связи, основные коммунальные услуги, например, отопление, освещение, электроэнергия, кондиционирование.