Анализ рисков информационной безопасности. Что такое информационные активы? Примеры
Рассмотрим кратко современные проблемы идентификации активов и внешней оценки (сертификации) систем менеджмента информационной безопасности (СМИБ) в соответствии с требованиями ГОСТ Р ИСО/МЭК 270011 и СТО Газпром серии 4.22. При реализации только требований СТО Газпром серии 4.2 возможны упущения в процессе анализа рисков информационной безопасности (ИБ), фрагментарное выявление и оценка части активов — только объектов защиты (ОЗ), а впоследствии — при выборе адекватного перечня мер (средств) обеспечения ИБ
УДК 004.94
Методика определения активов при внедрении и сертификации СМИБ в соответствии с требованиями ГОСТ Р ИСО/МЭК 27001-2006 и СТО Газпром серии 4.2
И.И. Лившиц, к.т.н., ведущий инженер ООО «Газинформсервис»
Ключевые слова
Информационная безопасность (ИБ); система менеджмента информационной безопасности (СМИБ); система обеспечения информационной безопасности (СОИБ); объект защиты (ОЗ); аудит; цикл PDCA; менеджмент рисков.
Keywords:
Information Security (IT-Security); Information Security Management System(ISMS); Information securityproviding system(ISPS); object of protection(ObP); audit;PDCA cycle;risk management.
Аннотация
В данной публикации кратко рассмотрены современные проблемы при идентификации активов и сертификации систем менеджмента информационной безопасности (СМИБ) в соответствии с требованиями стандартов ГОСТ Р ИСО/МЭК серии 27001 и отраслевых стандартов Системы обеспечения информационной безопасности СТО Газпром серии 4.2 (СОИБ). Предложен подход к формированию моделей и методов выявления, идентификации и классификацииугроз нарушения информационной безопасности (ИБ) для защищаемых активов различного вида. Основное внимание обращено на сложности при совмещении требований двух различных систем стандартизации (ГОСТ Р ИСО/МЭК и СОИБ), которые могут вызвать затруднения при идентификации и оценке активов СМИБ, а также в процессах планирования и успешного проведения сертификационного аудита.
This issue covers briefly the current problemsof asset identification andcertification ofthe information security management systems(ISMS) in accordancewith the requirements ofGOST R ISO/IEC27001seriesof standardsand industryinformation security providing systemSTO Gazpromseries4.2(ISPS). Proposed approach providingdevelopment ofmodels andmethods for detection, identification and classification ofthreats tobreachinformation security (IS) fordifferent typesassets.Focuses on thedifficulties inreconcilingthe requirementsof two different systemsfor Standardization (ISMS andISPS), which can cause difficultiesin the identificationand evaluationof assetsISMS, as well as in the planning andsuccessfulcertification audit.
Введение
Проблема внедрения результативной СМИБ в соответствии с требованиями стандартов ГОСТ Р серии 27001 является достаточно известной. Требования к проведению аудитов систем менеджмента (СМ) изложены в известном стандарте . В ряде источников (www.snti.ru/snips_sto51.htm, s3r.ru/2010/10/standarty/Gazprom, txcom.ru/gazpro) доступны стандарты СОИБ , которые в своей основе содержат и ряд требований указанных стандартов . Объективно существуют различия в требованиях СОИБ, которые могут препятствовать успешному внедрению СМИБ (например, различия в понятиях «актив » и «объект защиты ») и проведению успешной независимой оценки (сертификации) по требованиям базового «сертификационного» стандарта . В том случае, когда высший менеджмент организации принимает решение о подготовке существующей СМИБ к сертификационному аудиту, представляется необходимым проанализировать требования СОИБ и принять решение о комплексе мероприятий, которые следует предпринять для целей обеспечения соответствия требованиям . Для реализации управляемых условий данного процесса предлагается методика идентификации и оценки активов, прошедшая практическую апробацию.
Учет различий при выявлении и оценке активов (объектов защиты) СМИБ
Для ряда организаций вполне естественно принимать «как есть» отраслевые требования, а внедрение дополнительных стандартов требует отдельного решения высшего менеджмента. Это обстоятельство не является экстраординарным, т.к., во-первых, изложено в преамбуле почти всех международных стандартов (ISO) и их российских переводов ГОСТ Р, во-вторых, является функцией формирования добавочной стоимости и, в-третьих, подтверждается мировой статистикой сертификации ISO . Соответственно, в случае принятия такого решения - о внедрении конкретного национального или международного стандарта, организация вынуждена выполнять сопоставление (“mapping ”) своих процессов, реализованных изначально только лишь под требования конкретных отраслевых требований. При этом возможны упущения (неполнота) при выполнении анализа рисков нарушения ИБ и недостаточно полное изучение уязвимостей процессов переработки информации вАС.Ситуация может иметь более серьезные последствия, если конкретная отраслевая система (в частности, СОИБ), создавалась изначально на базе зарубежных стандартов (например, BS серии 7799), но по ряду причин не актуализировалась при изменении соответствующих стандартов или применимых законов (регламентов). В частности, стандарт СОИБ содержит ссылку на отмененный Федеральный закон N 1-ФЗ «Об электронной цифровой подписи» (см. http://base.garant.ru/), а стандарт СОИБ содержит ссылку на отмененный стандарт BS 7799:3-2006 (см. http://www.standards.ru/document/3858996.aspx) - на дату подготовки публикации.
В тоже время существуют методики , основанные на стандартах ISO , которые учитывают основные требования по управлению рисками ИБ, достаточно подробно описывая практическую реализацию требований как базового «сертифицирующего» стандарта , так и целевого стандарта по управлению рисками ИБ . Применение данной методики способствует получению численных оценок рисков ИБ и, в целом, возможно, успешной сертификации СМИБ на соответствие стандарту .
Для целей данной публикации будут рассмотрены два основных фундаментальных различия, которые, по мнению автора, могут иметь критичные последствия для целей создания и успешной сертификации СМИБ на соответствие требованиям стандарта . Эти несоответствия могут привести к «консервации» замысла создания СОИБ и потери важного преимущества любой успешно внедренной СМ - адекватное обеспечение выполнение целей бизнеса . Второе негативное последствие выявленных различий, имеющее измеримое значение - дополнительные издержки при приведении СМИБ к уровню, достаточному для адекватного выполнения требований стандарта . Отметим, что в практике создания СМИБ представляется важным сконцентрировать экспертные усилия на целях формирования достоверных моделей и методов обеспечения внутреннего аудита и эффективного «мониторинга» состояния объектов, находящихся под воздействием угроз ИБ.
Различие 1. Идентификация (классификация) активов
Для анализа первого различия рассмотрим требования стандарта в части управления активами и требования стандарта по классификации объектов защиты. Известно определение: «активы (asset): все, что имеет ценность для организации» (п. 3.1 ). Дополнительно рассмотрим Приложение «В» стандарта : «для установления ценности активов организация должна определить все свои активы на соответствующем уровне детализации ». При этом дается пояснение о том, что могут различаться два вида активов: «основные активы, включающие бизнес-процессы, бизнес-деятельность и информацию и вспомогательные (поддерживающие) активы, от которых зависят основные составные части области применения всех типов, включающие аппаратные средства, программное обеспечение, сеть, персонал, место функционирования организации и структуру организации ».
В фазе «План» цикла PDCA (п. 4.2.1 ) указано, что организация должна, например, «определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий». В Приложении А() даны примеры реализации конкретных мер (средств) обеспечения ИБ (“controls ”) в части касающейся управления активами, например: «Инвентаризация активов: «Опись всех важных активов организации должна быть составлена и актуализирована (A.7.1.1)».
В свою очередь, в требованиях СОИБ по классификации объектов защиты (ОЗ) приводятся иные термины и определения (Раздел 3), где ОЗ трактуется в терминах ;
- АС - автоматизированная система;
- ИА - информационный актив;
- ПО - программное обеспечение.
Согласно под термином ОЗ понимают информационные активы, технические и программные средства их обработки, передачи, хранения (п. 3.3.3 ). Этот перечень ОЗ является закрытым, объективно явно меньшим, чем дефиниция активов , представленная выше. Соответственно, одним из критичных рисков при сертификации может являться объективно явная неполнота идентифицированных и принятых к защите ОЗ в СОИБ, в частности, в никак не учтены активы по следующим категориям - персонал, место расположения (объекты) и структура организации. Необходимо обратить внимание, что предложенный подход в системе СОИБ Газпром вносит существенные сложности в текущий процесс поддержания и обеспечения ИБ, в частности, в области управления инцидентами ИБ и рисками ИБ. Например, и стандарт ГОСТ Р ИСО/МЭК 18044-2007 оперирует примерами инцидентов ИБ, связанных с персоналом, и новейший международный стандарт ISO серии 27040 по обеспечению безопасности хранящихся данных принимает во внимание важнейшую роль персонала (внутреннего, внешнего) в обеспечении требуемого уровня ИБ на объектах инфраструктуры.
В стандарте определены правила идентификации ОЗ идолжны быть определены собственник, владелец и пользователи конкретного ОЗ (п. 5.6. ), каждый из них должен быть отнесён только к одному из следующих типов (п. 5.8 ):
- информационные активы (ИА);
- программное обеспечение (ПО);
- технические средства обработки, хранения и передачи информации (ТС).
В стандарте перечислены правила определения критичности ОЗ и согласно им определяется критичность ОЗ (п. 6.7. ) и далее, на основании полученного уровня критичности, ОЗ относят к одной из групп (п. 7.1. ):
- ОЗ максимального уровня критичности;
- ОЗ среднего уровня критичности;
- ОЗ минимального уровня критичности.
В Разделе 8 стандарта приведены правила учёта ОЗ. Основными задачами учёта ОЗ являются сбор, обработка и систематизация данных об ОЗ. Отмечается, что должна выполняться обязательная регистрация фактов создания, приобретения, передачи, дублирования, снятия с эксплуатации и уничтожения ОЗ. Таким образом, можно сделать предварительный вывод по 1-му различию - для разработки и успешной сертификации СМИБ по требованиям , только выполнения требований, предъявляемыхСОИБ, объективно недостаточно, т.к. учитывается крайне ограниченное множество сущностей, объективно являющихся критичными активами для бизнеса.
Различие 2. Оценка рисков ИБ
Для анализа 2-го различия рассмотрим требования в части управления рисками ИБ и требования СОИБ по анализу и оценке рисков. Основные определения, необходимые для анализа 2-го различия, приведены в (п.п. 3.7 - 3.15). Основные требования по управления рисками ИБ удобно рассмотреть по фазам цикла PDCA, аналогично Различию 1: в фазе «План» (п. 4.2.1 ), фазе «Делай» (п. 4.2.2 ), в фазе «Проверяй» (п. 4.2.3 ), соответственно. В Приложении А () даны примеры реализации конкретных мер (средств) обеспечения ИБ (“controls ”) в части касающейся менеджмента рисков, например: «Проверка всех кандидатов на постоянную работу, подрядчиков и пользователей сторонней организации должна быть проведена в соответствии с законами, инструкциями и правилами этики, с учетом требований бизнеса, характера информации, к которой будет осуществлен их доступ, и предполагаемых рисков» (А. 8.1.2.).
В свою очередь, в требованиях СОИБ по анализу и оценке рисков выполняются следующие основные процедуры (п. 4.4):идентификация, анализ и оценивание риска.Оценка рисков осуществляется дляАС, в состав которых входит хотя бы один ОЗ с максимальным уровнем критичности, определяемым в соответствии с (п. 4.8 ). Таким образом, объективно существует критичный риск для целей успешной сертификации СМИБ, при котором деятельность по оценке рисков в терминах только СОИБ может вообще не проводиться. Соответственно, деятельность, предусмотренная СОИБ , не будет осуществляться на «законных» основаниях, что может привести к ошибкам в процессах выявления, идентификации и классификации угроз нарушения ИБдляОЗ, а также к недостоверному анализу рисков нарушения ИБ и уязвимостейв процессах переработки информации в АС вустановленной области применения (“scope”). Особенно важно, что может наблюдаться «вложенность» критичных рисков - невыполнение оценки рисков (Различие 2) может быть прямым следствием исключения персонала из активов в СОИБ (Различие 1) и такая «вложенность» может привести, объективно, к значительным несоответствиям на внешнем сертификационном аудите СМИБ.В рамках работ по идентификации рисков необходимо выполнить идентификацию элементов риска, а именно ОЗ, угроз ОЗ и уязвимостей ОЗ(п. 5.1 ).В рамках работ по анализу рисков определяют (п. 6.1. ):
- возможный ущерб, наносимый в результате нарушений свойств безопасности ОЗ;
- уровень вероятности наступления такого нарушения с учетом идентифицированных угроз и уязвимостей, а также реализованных защитных мер;
- величина риска.
Оценка возможного ущерба производится по 3-уровневой качественной шкале (6.2.2 ):
- максимальная величина;
- средняя величина;
- минимальная величина.
Обратим внимание, что, как правило,при решении конкретных прикладных задачи значения критериев измеряются в пределах определенной шкалы и выражаются в установленных единицах. Известно, что качественные шкалы используют, например, для измерения различных психофизических величин, силы землетрясения, а также степени разрушения материала или конструкции (3.3.1 ). Соответственно, применение качественной шкалыдля целей оценки возможного ущерба ИБ представляется не вполне оправданным и методически уязвимым с позиции обеспечения достижения измеримых (!) целей - создание СМИБ, обеспечение постоянного повышения результативности СМИБ и успешная сертификация СМИБ на соответствие требованиям .
В стандарте отмечается, что максимальная величина возможного ущерба характеризуется максимальным уровнем критичности ОЗ, средняя величина возможного ущерба - средним уровнем критичности ОЗ, минимальная величина возможного ущерба - минимальным уровнем критичности ОЗ. Объективно, существуют затруднения для определения уровня возможного ущерба для активов (в терминах стандартов ИСО), но не учтенных как ОЗ в системе СОИБ, например: персонал (собственный и посторонний), серверные помещения, помещения для проведения конфиденциальных переговоров и пр.
Следующим шагом оценки рисков является сравнение полученных величин риска с заранее определенной шкалой уровня риска - этап оценивания риска (п. 7.1 ). Должны быть идентифицированы уровни риска, которые являются приемлемыми (п. 7.4 ) и риски, не превышающие приемлемого уровня, должны быть приняты. Также должны приниматься риски, превышающие допустимый уровень, если для данных рисков отсутствует подходящий способ обработки. Все остальные риски должны обрабатываться (п. 7.5 ).Это положение создает существенное затруднение для подготовки СМИБ к сертификации, т.к. известное требование - выполнение анализа СМИБ со стороны руководства (стандарт , раздел 7) предусматривает явно принятие во внимание в качестве входной информации о: «уязвимостях или угрозах, которые не были адекватно рассмотрены в процессе предыдущей оценки риска » (п. 7.2. е) и в системе СОИБ Газпром не выполняется в силу применяемой парадигмы формирования ОЗ.
Методика идентификации активов
Как уже отмечалось выше, существует ряд различий между системами СМИБ и СОИБ, одним из важнейших и принципиальных является различие в терминах «актив» () и «объект защиты» ().Соответственно, необходимо предложить методический подход, который позволит мягко преобразовать существующую СОИБ к требованиям СМИБ и обеспечить результативное проведение различных аудитов, так и мониторинга состояния объектов, находящихся под воздействием угроз нарушения ИБ. Прежде всего, как было указано выше, необходимо преобразовать базовую систему ОЗ к требованиям идентификации всех групп активов СМИБ на соответствиестандарта . Например, может быть предложена следующая классификация групп активов СМИБ (см. Табл. 1).
Таблица 1. Классификация групп активов СМИБ
Пример реестра группы активов «АС» приведен в табл. 2.
Таблица 2. Реестр группы активов «АС»
Примечания:
* Владелец - определенная служба в области сертификации СМИБ, которая отвечает за указанный актив в части поддержания функциональности;
** Уровень критичности - на основании «Перечня ОЗ» в соответствии с требованиями СОИБ.
Пример оценки рисков ИБ для примера актива АС «Босс-Кадровик»приведен в табл. 3.
Таблица 3. Оценка рисков ИБ для актива АС
|
№ риска |
Наименование риска |
Критичность актива |
Уровень уязвимости |
Уровень вероятности реализации угрозы |
Величина риска |
Уровень риска |
|
Нарушение конфиденциальности информации вАС «Босс-Кадровик» | ||||||
|
Нарушение целостности информации вАС «Босс-Кадровик» |
Максимальный |
Минимальный | ||||
|
Нарушение доступности информации вАС «Босс-Кадровик» |
Минимальный |
Оценка результативности ИСМ с учетом требований СМИБ
Учет активов в соответствии с требованиями стандарта ISO позволит привнести в ИСМ элемент управляемости по единым целям, измеримым в терминах бизнеса . Для ИСМ, в составе которой есть СМИБ, могут быть применены соответствующие метрики. Широко известны примеры формирования простых метрик ИБ, которые могут обеспечить формирование количественных оценок (метрик)как доказательства «полезности» для бизнеса. Здесь представляется особенно важным сразу сделать сопоставление с механизмами внутреннего аудита, которые именно предназначены для представления «объективных доказательств» для высшего руководства с целью принятия эффективных управленческих решений . Различные виды метрик для целей обеспечения ИБ представляется целесообразным сгруппировать следующим образом:
- Для оценки основного бизнеса, например: доля на рынке, уровень лояльности клиентов;
- Для управления издержками, например: ТСО (совокупная стоимость владения), ROI (оценка возврата инвестиций);
- Для оптимизации текущей деятельности, например: оптимизация затрат (прямых и косвенных).
С целью снижения издержек (это одна из приоритетных задач любого бизнеса и наиболее «презентабельная» форма оценки результативности службы ИБ), могут быть применены метрики, показывающие степень достижения возможного максимума (плана продаж, выполнения в срок проектов и пр.) . Соответственно, могут быть предложены различные типы метрик:
- простые метрики (например, количество выявленных инцидентов ИБ);
- сложные метрики (например, отношение стоимости СЗИ к стоимости ИТ активов);
- комплексные метрики (например, число произошедших инцидентов ИБ, приведших к ущербу (вынужденному простою) вАС, определенных как критичные для бизнеса).
Выводы
1. При планировании и реализации проектов по сертификации СМИБ необходимо принять во внимание, что множество требований произвольной системы отраслевой сертификации, в общем случае, не соответствует требованиям сертификационного стандарта ISO серии 27001. Для адаптации СОИБ необходима продуктивная методика, основанная на сопоставлении (“mapping ”) стандартных требований в области ИБ и обеспечивающая достижение целей по обеспечению внутреннего аудита и эффективного «мониторинга» состояния объектов, находящихся под воздействием угроз ИБ - на основании сформированных достоверных моделей и методов.
2. Реализация требований современных стандартов к СМИБ, «наложенных» на существующую СОИБ, приводит к необходимости пересматривать фундаментальные требования (например, понятий «актив » и «менеджмент риско в»).Это обстоятельство напрямую связано с определяемой высшим руководством областью сертификации («scope ») и, соответственно, с перечнем активов, признанных жизненно важным для бизнеса организации, и по этой причине подлежащих защите в составе СМИБ.
Библиография
ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. С истемы менеджмента информационной безопасности. Требования»
ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»
ГОСТ Р ИСО 19011-2011 «Руководящие указания по проведению аудитов систем менеджмента».
СТО Газпром 4.2-1-001-2009 Система обеспечения информационной безопасности ОАО «Газпром». Основные термины и определения
СТО Газпром 4.2-2-002-2009 Система обеспечения информационной безопасности ОАО «Газпром». Требования к АСУ ТП
СТО Газпром 4.2-3-002-2009 Требования по технической защите информации при использовании информационных технологий
СТО Газпром 4.2-3-003-2009 Система обеспечения информационной безопасности ОАО «Газпром». Анализ и оценка рисков
СТО Газпром 4.2-3-004-2009 Классификация объектов защиты
СТО Газпром 4.2-3-005-2013 Управление инцидентами информационной безопасности
Лившиц И.И. Оценки соотношения количественных показателей сертификации систем менеджмента предприятий // Менеджмент качества, 2014, вып. 2;
Лившиц И. И. Совместное решение задач аудита информационной безопасности и обеспечения доступности информационных систем на основании требований международных стандартов BSI и ISO // Информатизация и Связь, 2013, вып. 6;
Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества, 2013, вып. 1;
Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов - аэропортовых комплексов // Труды СПИИРАН, 2014, вып. 6
В.Д. Ногин Принятие решений при многих критериях // Государственный Университет - Высшая школа экономики, Санкт-Петербург, 2007, 103 стр.
М.К. Янчин. Управление информационными рисками на основе методологии MEHARI, Источник публикации: http://pvti.ru/data/file/bit/bit_4_2011_29.pdf (на дату 19.01.2015)
ISO/IEC 27040:2015 Information technology — Security techniques — Storage security.
ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements.
ISO/IEC 27000:2014 Information technology — Security techniques — Information security management systems — Overview and vocabulary.
ISO/IEC 27004:2014 Information technology — Security techniques — Information security management — Measurement.
Активы (ресурсы) – это все, что имеет ценность или находит полезное применение для организации, ее деловых операций и обеспечения их непрерывности. Поэтому активы нуждаются в защите для того, чтобы обеспечить корректность деловых операций и непрерывность бизнеса. Надлежащее управление и учет активов должны являться одной из основных обязанностей руководителей всех уровней.
Важные активы внутри области действия СУИБ должны быть четко идентифицированы и должным образом оценены, а реестры, описывающие различные виды активов, должны быть взаимоувязаны и поддерживаться в актуальном состоянии. Для того чтобы быть уверенным в том, что ни один из активов не был пропущен или забыт, должна быть определена область действия СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий.
________________________________________
Идентификация активов:
формирование модели бизнес-процессов;
инвентаризация активов;
формирование реестров активов;
определение взаимосвязей между реестрами активов;
построение модели активов;
определение владельцев активов и их обязанностей;
делегирование обязанностей по обеспечению безопасности активов;
определение правил допустимого использования активов.
_________________________________________
Важно идентифицировать не только информационные активы, но другие активы, с которыми они связаны. Взаимосвязи между активами описываются моделью активов. Активы надо структурировать, категорировать и классифицировать по уровню конфиденциальности, критичности и другим признакам. Группирование похожих или связанных активов позволяет упростить процесс оценки рисков.
Нельзя обеспечить адекватный уровень информационной безопасности без установления подотчетности за активы. Для каждого из идентифицированных активов или группы активов должен быть определен владелец, на которого возлагается ответственность за осуществление контроля производства, разработки, сопровождения, использования и безопасности этих активов. Обязанности по внедрению механизмов безопасности могут быть делегированы, однако ответственность должна оставаться за назначенным владельцем актива.
Владелец актива должен нести ответственность за определение соответствующей классификации и прав доступа к этому активу, согласование и документирование этих решений, а также поддержание соответствующих механизмов контроля. В обязанности владельца актива также входит периодический пересмотр прав доступа и классификаций безопасности. Кроме того, следует определить, документировать и внедрить правила допустимого использования активов, описывающие разрешенные и запрещенные действия при повседневном использовании активов. Лица, использующие активы, должны быть осведомлены об этих правилах.
На данном этапе мы должны идентифицировать информационные активы, входящие в область оценки.
1) Определить ценность этих активов
2) Определить перечень угроз и вероятность их реализации
3) Произвести оценивание и ранжирование рисков
Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении.
Типы активов ООО «Торговый Дом ЛФЗ»:
· Информация (база данных бухгалтерии – содержит информацию обо всех сотрудниках компании, финансовых операциях которые происходят как внутри, так и вне компании, а так же информацию о проведенных транзакциях и их статусе)
· Документы (договора, контракты, служебные записки)
· Программное обеспечение, включая прикладные программы
· Аппаратные средства (персональные компьютеры – необходимые для работы сотрудников). Сервер баз данных, телефоны, медные и оптоволоконные кабели, коммутаторы, принтеры, почтовый сервер.
ООО «Торговый Дом ЛФЗ» - является коммерческой организацией основной ее целью является получение прибыли за счет предоставляемых ею услуг.
Основными рыночными функциями является реализация продукции Петербургского завода «Императорский Фарфоровый Завод» на Московском рынке.
Данные по оценке информационных активов сведена в таблицу 1.2.1.1. Результаты ранжирования активов представлены в таблице 1.2.1.3.
Таблица 1.2.1.1
Оценка информационных активов ООО «Торговый Дом ЛФЗ».
| Наименование актива | Форма представления | Владелец актива | Размерность оценки | ||
| Качественная | |||||
| Информационные активы | |||||
| База данных бухгалтерии | Электронная | Бухгалтерия | Степень важности | - | |
| База данных поставщиков | Электронная | Директор | Степень важности | - | Имеющая критическое значение |
| Электронная | Кадровый отдел | Степень важности | - | Высокая | |
| Штатное расписание и кадровый учет | Бумажный документ, электронный документ | Кадровый отдел | стоимость обновления или воссоздания | - | критически высокая |
Продолжение Таблицы 1.2.1.1
| Наименование актива | Форма представления | Владелец актива | Критерии определения стоимости | Размерность оценки | |
| Количественная оценка (ед.изм.) | Качественная | ||||
| Активы аппаратных средств | |||||
| Принтеры | Материальный объект | IT-отдел | Первоначальная стоимость | - | Малая |
| Оборудование для обеспечения связи | Материальный объект | IT-отдел | Первоначальная стоимость | - | Средняя |
| Сервер баз данных | Материальный объект | IT-отдел | Первоначальная стоимость | - | Имеющая критическое значение |
| Почтовый сервер | Материальный объект | IT-отдел | Первоначальная стоимость | - | Имеющая критическое значение |
| Персональный компьютер | Материальный объект | Консультанты, товароведы, администрация. | Первоначальная стоимость | - | Средняя |
| База данных заказав (MySQL) | Материальный объект | IT-отдел | Первоначальная стоимость | Высокая | |
Продолжение Таблицы 1.2.1.1
| Наименование актива | Форма представления | Владелец актива | Критерии определения стоимости | Размерность оценки | |
| Количественная оценка (ед.изм.) | Качественная | ||||
| Активы программного обеспечения | |||||
| Учетная Система | Электронная | Обновление и воссоздание | - | Высокое | |
| Программы целевого назначения | Электронная | Дирекция программного сопровождения и разработки | Обновление и воссоздание | - | Высокое |
| Windows 7 Ultimate | Электронная | Дирекция технического сопровождения | Первоначальная стоимость | - | Малая |
| MS Office 2010 | Электронная | Дирекция технического сопровождения | Первоначальная стоимость | - | Малая |
Результат ранжирования представляет собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале (Таблица 1.2.1.1). Самый ценный информационный актив имеет ранг 5, наименее ценный – ранг 1.
Активы, имеющие наибольшую ценность (ранг) в последующем рассматриваются в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия. В рамках поставленной задачи разработки политики безопасности по защите персональных данных выделим наиболее ценные информационные активы (имеющие максимальный ранг).
Таблица 1.2.1.3
Результаты ранжирования активов ООО «Торговый Дом ЛФЗ»
По результатам ранжирования (Таблица1.2.1.3) выделим активы, имеющие наибольшую ценность (имеющие ранг 5 и 4):
1. База данных бухгалтерии;
2. Почтовый сервер;
3. База данных поставщиков;
4. Сервер баз данных;
5. Персональные данные о сотрудниках;
6. Оборудование для обеспечения связи;
7. Учетная Система;
Перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, представлены в таблице 1.2.1.2.
Таблица 1.2.1.2
Перечень сведений конфиденциального характера ООО «Торговый Дом ЛФЗ»
| № п/п | Наименование сведений | Гриф конфиденциальности | Нормативный документ, реквизиты, №№ статей |
| 1. | Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа | – | |
| 2. | Требования по обеспечению сохранения служебной тайны сотрудниками предприятия | Информация ограниченного доступа | ст. 139, 857 ГК РФ |
| 3. | Персональные данные сотрудников | Информация ограниченного доступа; подлежат разглашению с согласия сотрудника | Федеральный закон №152-ФЗ; Глава 14 Трудового кодекса РФ |
| 4. | Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам). | подлежит разглашению только по решению предприятия | Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне |
Оценка уязвимостей активов.
Уязвимость информационных активов - тот или иной недостаток, из-за которого становится возможным нежелательное воздействие на актив со стороны злоумышленников, неквалифицированного персонала или вредоносного кода (например, вирусов или программ-шпионов).
Уязвимость – есть событие, возникающее как результат такого стечения обстоятельств, когда в силу каких-то причин используемые в защищаемых системах обработки данных средства защиты не в состоянии оказать достаточного противодействия проявлению дестабилизирующих факторам и нежелательного их воздействия на защищаемую информацию.
В компьютерной безопасности, термин уязвимость используется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.
Уязвимости информационной системы компании можно определить несколькими способами. Их может описать сотрудник компании (системный администратор или специалист службы информационной безопасности) на основании собственного опыта (возможно, в качестве подсказки для наиболее полного описания множества уязвимостей информационной системы используя классификации уязвимостей). Кроме того, могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей.
Основанием для проведения оценки уязвимости является оценка критичности информационных активов и определения адекватности предпринимаемых мер безопасности по отношению к их значимости.
Показателями уязвимости актива и его особо важных зон являются степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая).
После проведения оценки уязвимости предоставляется отчет, который должен в себя включать описание уязвимостей и уязвимых систем. Уязвимости должны быть отсортированы сначала по степени важности, а затем по серверам/сервисам. Уязвимости должны быть расположены в начале отчёта и расставлены в порядке убывания критичности, то есть сначала критические уязвимости, затем с высоким уровнем важности, потом со средним и низким.
Результаты оценки уязвимости активов представлены в таблице 3 .
| Персональные данные о сотрудниках | Кадровый учет | Персональные компьютеры | Сервера баз данных | Почтовый сервер | Учетная Система | Windows 7 | ||
| 1. Среда и инфраструктура | ||||||||
| Отсутствие физической защиты зданий, дверей и окон | Средняя | Средняя | Средняя | Средняя | ||||
| Нестабильная работа электросети | Средняя | Низкая | Низкая | Низкая | ||||
| 2. Аппаратное обеспечение | ||||||||
| Отсутствие схем периодической замены | Средняя | Средняя | Средняя | Средняя | ||||
| Подверженности воздействию влаги, пыли, загрязнения | Высокая | Высокая | Высокая | Средняя | ||||
| Отсутствие контроля за эффективным изменением конфигурации | Средняя | Низкая | Низкая | |||||
| 3. Программное обеспечение | ||||||||
| Отсутствие тестирования или недостаточное тестирование программного обеспечения | Высокая | Высокая | ||||||
| Сложный пользовательский интерфейс | Средняя | Средняя | ||||||
| Плохое управление паролями | Среднее | Среднее | Среднее | Высокая | Высокая |
| Группа уязвимостей Содержание уязвимости | Персональные данные о сотрудниках | Кадровый учет | Персональные компьютеры | Сервера баз данных | Почтовый сервер | Коммуникационное оборудование | Учетная Система | Windows 7 |
| 4. Коммуникации | ||||||||
| Средняя | Низкая | Средняя | Высокая | Высокая | ||||
| Средняя | Средняя | Средняя | Средняя | Средняя | ||||
| Отсутствие идентификации и аутентификации отправителя и получателя | Средняя | Низкая | Средняя | Высокая | Высокая | |||
| 5. Документы (документооборот) | ||||||||
| Хранение в незащищенных местах | Среднее | Среднее | ||||||
| Бесконтрольное копирование | Высокая | Среднее | ||||||
| 7. Общие уязвимые места | ||||||||
| Отказ системы вследствие отказа одного из элементов | Средняя | Средняя | Высокая | |||||
| Неадекватные результаты проведения технического обслуживания | Средняя | Низкая | Низкая | Средняя |
| Группа уязвимостей Содержание уязвимости | Персональные данные о сотрудниках | Кадровый учет | Персональные компьютеры | Сервера баз данных | Почтовый сервер | Коммуникационное оборудование | Учетная Система | Windows 7 |
| 4. Коммуникации | ||||||||
| Отсутствие идентификации и аутентификации отправителя и получателя | Средняя | Низкая | Средняя | Высокая | Высокая | |||
| Незащищенные подключения к сетям общего пользования | Средняя | Средняя | Средняя | Средняя | Средняя | |||
| Отсутствие идентификации и аутентификации отправителя и получателя | Средняя | Низкая | Средняя | Высокая | Высокая |
Оценка угроз активам.
Угроза (потенциальная возможность неблагоприятного воздействия) обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему. В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно. Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий.
В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению, как режима управления, так и его качества в условиях ложной или неполной информации. На рисунке 2 представлены основные виды угроз.
Рисунок 2. Основные виды угроз информационной безопасности.
Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.
Ниже приведены некоторые наиболее часто встречающиеся варианты угроз:
Ошибки и упущения;
- мошенничество и кража;
- случаи вредительства со стороны персонала;
- ухудшение состояния материальной части и инфраструктуры;
- программное обеспечение хакеров, например имитация действий законного пользователя;
Программное обеспечение, нарушающее нормальную работу системы;
Промышленный шпионаж.
При использовании материалов каталогов угроз или результатов ранее проводившихся оценок угроз следует иметь в виду, что угрозы постоянно меняются, особенно в случае смены организацией деловой направленности или информационных технологий. Например, компьютерные вирусы 90-х годов представляют гораздо более серьезную угрозу, чем компьютерные вирусы 80-х. Нужно также отметить, что следствием внедрения таких мер защиты, как антивирусные программы, вероятно, является постоянное появление новых вирусов, не поддающихся воздействию действующих антивирусных программ.
После идентификации источника угроз (кто и что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы.
При этом следует учитывать:
- частоту появления угрозы (как часто она может возникать согласно статистическим, опытным и другим данным), если имеются соответствующие статистические и другие материалы;
- мотивацию, возможности и ресурсы, необходимые потенциальному нарушителю и, возможно, имеющиеся в его распоряжении; степень привлекательности и уязвимости активов системы информационных технологий с точки зрения возможного нарушителя и источника умышленной угрозы;
- географические факторы - такие как наличие поблизости химических или нефтеперерабатывающих предприятий, возможность возникновения экстремальных погодных условий, а также факторов, которые могут вызвать ошибки у персонала, выход из строя оборудования и послужить причиной реализации случайной угрозы.
Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.
Результаты оценки угроз активам представлена в таблице 4.
| Группа уязвимостей Содержание уязвимости | Персональные данные о сотрудниках | Кадровый учет | Персональные компьютеры | Сервера баз данных | Почтовый сервер | Коммуникационное оборудование | Учетная Система | Windows 7 |
| 1. Угрозы, обусловленные преднамеренными действиями | ||||||||
| Похищение информации | Средняя | Средняя | Средняя | |||||
| Вредоносное программное обеспечение | Высокая | Средняя | Средняя | Средняя | ||||
| Взлом системы | Средняя | Средняя | Высокая | Средняя | ||||
| 2. Угрозы, обусловленные случайными действиями | ||||||||
| Ошибки пользователей | Средняя | Средняя | Средняя | |||||
| Программные сбои | Средняя | Средняя | Средняя | |||||
| Неисправность в системе кондиционирова ния воздуха | Низкая | Низкая | Низкая | |||||
| 3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы) | ||||||||
| Колебания напряжения | Средняя | Низкая | Низкая | |||||
| Воздействие пыли | Высокая | Средняя | Средняя | Средняя | ||||
| Пожар | Высокая | Низкая | Низкая | Средняя |
1.2.4 Оценка существующих и планируемых средств защиты.
Под защитой информации– понимают комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.
Организация защиты информации в организации – это один из важнейших моментов, который ни в коем случае нельзя упускать из вида. Последствия будут очень серьезными, если произойдет утрата баз данных, результатов аналитических исследований, исходных кодов, программных продуктов. При плохой организации защиты информации это возможно, что приведет к достаточно проблематичному дальнейшему ведению бизнеса, а в определенных случаях невозможным вообще.
Задачи по защите информации возлагаются на службу информационных технологий.
Организационная структура службы информационных технологий:
1. Структуру и штаты Службы информационных технологий, а также их изменения утверждает Генеральный директор по представлению заместителя генерального директора по информационным технологиям.
2. Служба состоит из одного подразделения, возглавляемого заместителем генерального директора по информационным технологиям.
Функции службы информационных технологий:
1. Анализ и изучение проблем обслуживания автоматизированных систем управления Компанией и ее подразделений;
2. Контроль состояния и безопасности сети и сетевого оборудования;
3. Назначение пользователям сети прав доступа;
4. Обеспечение бесперебойного функционирования системы и оборудования и принятие оперативных мер по устранению возникающих в процессе работы нарушений;
5. Установка, настройка и управление программными и аппаратными системами Организации;
6. Подготовка планов проектирования и внедрения автоматизированных систем управления Компанией и контроль за их выполнением;
7. Согласование технических заданий на разработку и внедрения нового программного обеспечения в отрасли на предмет обеспечения сетевого и системного взаимодействия;
8. Поддержка Internet-технологий в отрасли, обеспечение доступа к Internet-услугам;
9. Обеспечение правильности переноса исходных данных на машинные носители;
10. Проводит мониторинг развития и использования информационно-коммуникационных технологий и подготавливает по его результатам аналитические и отчетные материалы;
11. Сопровождение системного, сетевого и сопутствующего программного обеспечения.
Цель управления ИБ состоит в сохранении конфиденциальности, целостности и доступности информации. Вопрос только в том, какую именно информацию необходимо охранять и какие усилия прилагать для обеспечения её сохранности (рис. 5).
Рис. 5. Взаимосвязь процессов управления и защиты в организации
Любое управление основано на осознании ситуации, в которой оно происходит. В терминах анализа рисков осознание ситуации выражается в инвентаризации и оценке активов организации и их окружения, т. е. всего того, что обеспечивает ведение бизнес-деятельности. С точки зрения анализа рисков ИБ к основным активам относятся непосредственно информация, инфраструктура, персонал, имидж и репутация компании. Без инвентаризации активов на уровне бизнес-деятельности невозможно ответить на вопрос, что именно нужно защищать. Очень важно понять, какая информация обрабатывается в организации и где выполняется её обработка.
В условиях крупной современной организации количество информационных активов должна быть очень велико. Если деятельность организации автоматизирована при помощи ERP-системы, то можно говорить, что практически любому материальному объекту, использующемуся в этой деятельности, соответствует какой-либо информационный объект. Поэтому первоочередной задачей управления рисками становится определение наиболее значимых активов.
Решить эту задачу невозможно без привлечения менеджеров основного направления деятельности организации как среднего, так и высшего звена. Оптимальна ситуация, когда высший менеджмент организации лично задает наиболее критичные направления деятельности, для которых крайне важно обеспечить информационную безопасность. Мнение высшего руководства по поводу приоритетов в обеспечении ИБ очень важно и ценно в процессе анализа рисков, но в любом случае оно должно уточняться путем сбора сведений о критичности активов на среднем уровне управления компанией. При этом дальнейший анализ целесообразно проводить именно по обозначенным высшим менеджментом направлениям бизнес-деятельности. Полученная информация обрабатывается, агрегируется и передается высшему менеджменту для комплексной оценки ситуации (но об этом чуть позже).
Идентифицировать и локализовать информацию можно на основании описания бизнес-процессов, в рамках которых информация воспринимается как один из типов ресурсов. Задача несколько упрощается, в случае если в организации принят подход регламентации бизнес-деятельности (например, в целях управления качеством и оптимизации бизнес-процессов). Формализованные описания бизнес-процессов служат хорошей стартовой точкой для инвентаризации активов. Если описаний нет, можно идентифицировать активы на основании сведений, полученных от сотрудников организации. После того как активы идентифицированы, необходимо определить их ценность.
В данном разделе необходимо представить схему общей организационно-функциональной структуры предприятия, которая бы отражала содержание аппарата управления и объекта управления на предприятии, основные административные и функциональные подразделения предприятия. Схема должна носить целостный характер.
Ворганизационной структуре должна соблюдаться логичность представления должностей и подразделений. Например, на втором уровне подчиненности указываются либо должности руководителей, либо названия подразделений.
Рис.1 Организационно-функциональная структура предприятия
1.2. Анализ рисков информационной безопасности.
Положения действующей нормативной базы в области информационной безопасности (международные стандарты, ГОСТы) требует от организации идентификации и принятия систематического метода и подхода к оценке рисков, гдериск – комбинация вероятности события и его последствий. (другими словами, риск – это математической ожидание ущерба информационным активам компании).
Тем не менее, результат оценивания риска может быть представлен как в форме количественного показателя (тыс. рублей), так и виде качественного: приемлемый риск или неприемлемый риск
Важно, чтобы управление рисками информационной безопасности осуществлялось четко и последовательно во всей организации.
Однако для управления рисками могут применяться различные подходы к оценке и управлению риском, а также различные степени детализации, отвечающие потребностям организации.
Какой из подходов к оценке рисков следует выбрать, целиком определяется организацией.
Какое бы решение не приняла организация, важно, чтобы этот подход к управлению рисками был подходящим и соответствовал всем требованиям организации.
Перед непосредственным п.п.1.2.1.- 1.2.5.выполнением пунктов данного раздела следует дать обоснование необходимости анализа рисков для организации и указать:
кто принимает решение о проведении анализа рисков?
кто проводит анализ рисков, с какой периодичностью?
в какой форме представлена оценка рисков?
если данный анализ не проводится, то по каким причинам?
1.2.1. Идентификация и оценка информационных активов
Информационный актив является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации. При идентификации активов следует иметь в виду, что всякая система информационных технологий включает в себя не только информацию – сведения, данные, независимо от формы их представления, но и аппаратные средства, программное обеспечение и т.д. Могут существовать следующие типы активов:
информация/данные (например, файлы, содержащие информацию о платежах или продукте);
аппаратные средства (например, компьютеры, принтеры);
программное обеспечение, включая прикладные программы (например, программы обработки текстов, программы целевого назначения);
оборудование для обеспечения связи (например, телефоны, медные и оптоволоконные кабели);
программно-аппаратные средства (например, гибкие магнитные диски, CD-ROM, программируемые ROM);
документы (например, контракты);
фонды (например, в банковских автоматах);
продукция организации;
услуги (например, информационные, вычислительные услуги);
конфиденциальность и доверие при оказании услуг (например, услуг по совершению платежей);
Оборудование, обеспечивающее необходимые условия работы;
Персонал организации;
Престиж (имидж) организации.
В данном пункте необходимо определить состав и, по возможности, содержание информации, циркулирующей на предприятии и подлежащей обязательной защите. После чего провести ранжирование активов по степени их важности для компании. Поскольку защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то результаты анализа должны быть сформулированы в терминах доступности, целостности и конфиденциальности.
Например, если организация занимается продажами, то во главу угла ставится актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Для организации, отвечающей за поддержание критически важных баз данных, на первом плане должна стоятьцелостность данных. Режимная организация в первую очередь будет заботиться оконфиденциальности информации, то есть о ее защите от несанкционированного доступа.
Результат ранжирования информационных активов, должен соответствовать сформулированной во введении цели дипломного проектирования. Так, например, недопустимо при выборе темы, связанной с криптографической защиты данных, отдавать приоритет информации, зафиксированной в бумажной форме, либо, если тематика предусматривает защиту какого-либо конкретного актива (персональных данных), присваивать данному активу низший приоритет по сравнению с другими активами, подлежащими оценке.
Пункт должен содержать:
а) обоснование выбора активов, подлежащих оценке, т.е. необходимо аргументировать, почему обязательной защите должны подлежать именно указанные активы.
б) перечень видов деятельности организации (определенных в п.1.1.1), а такженаименование и краткое описание используемых (создаваемых) информационных активов для каждого вида,форму представления актива (бумажный документ, информация на электронном носителе, материальный объект);
в) перечень владельцев активов , определенных в п.п(б). Термин «владелец» обозначает лицо или субъект, наделенный утвержденной руководством ответственностью за осуществление контроля производства, разработки, сопровождения, использования и безопасности активов. Следовательно, формирование данного перечня должно осуществляться на основе информации, изложенной в п.1.1.2.;
г) результаты оценки активов. При проведении оценки следует руководствоваться приведенными ниже рекомендациями.
Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и юридическому лицу, ведущему деловую деятельность.
Ответственность за определение ценности активов должны нести их владельцы.
Для обеспечения полного учета активов (рассматриваемых в дипломной работе) рекомендуется сгруппировать их по типам, например, информационные активы, активы программного обеспечения, физические активы и услуги.
Необходимо определить критерии определения конкретной стоимости активов. Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться в однозначных (недвусмысленных) терминах. Возможны следующие критерии определения ценности активов:
первоначальная стоимость актива,
стоимость его обновления или воссоздания.
ценность актива может также носить нематериальный характер, например, цена доброго имени или репутации компании.
Другой подход к оценке активов предполагает учет возможных затрат, вследствие
утраты конфиденциальности;
нарушения целостности;
утраты доступности.
Необходимо определить размерность оценки , которая должна быть произведена. Некоторые активы могут быть оценены в денежных единицах, в то время как другие активы могут оцениваться по качественной шкале.
Например, для количественной шкалы используется размерность тыс. рублей . Для качественной шкалы используются термины: "пренебрежимо малая", "очень малая", "малая", "средняя", "высокая", "очень высокая", "имеющая критическое значение".
Для одного и того же выбранного актива должны быть определены значения для обоих типов оценки.
Информация в подпункте (а) может быть представлена в произвольной тестовой форме. Желательно привести результаты внутреннего аудита информационной безопасности. При необходимости возможно использование статистических данных, полученных из внешних источников.
Информация по подпунктам б-г должна быть сведена в таблицу 2
|
Вид деятельности |
Наименование актива |
Форма представления |
Владелец актива |
Критерии определения стоимости |
Размерность оценки |
|
|
Количественная оценка (ед.изм) |
Качественная |
|||||
|
Информационные активы |
||||||
|
Активы программного обеспечения |
||||||
|
Физические активы |
||||||
Таблица 2
Оценка информационных активов предприятия
В зависимости от постановки задачи некоторые разделы таблицы могут не заполняться
д) перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, сведенных в таблицу 3.
Таблица 3
Перечень
сведений конфиденциального характера ООО «Информ-Альянс»
|
№ п/п |
Наименование сведений |
Гриф конфиденциальности |
Нормативный документ, реквизиты, №№ статей |
|
Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа. | |||
|
Требования по обеспечению сохранения служебной тайны сотрудниками предприятия. |
Гражданский кодекс РФ ст.ХХ |
||
|
Персональные данные сотрудников |
Федеральный закон ХХ-ФЗ |
е) результат ранжирования активов. Результат ранжирования должен представлять собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале и внесенную в таблицу 4.
Именно активы, имеющие наибольшую ценность (ранг) должны в последующем рассматриваться в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия, но в дипломной работе целесообразно рассматривать 5-9 активов.
Таблица 4
Результаты ранжирования активов
|
Наименование актива |
Ценность актива (ранг) |
|
Информационный актив №1 | |
|
Физический актив № 3 | |
|
Информационный актив №3 | |
|
Актив программного обеспечения №2 | |
|
Физический актив №4 |
Активы, имеющие наибольшую ценность:
