Казанский национальный исследовательский технический университет им. А.Н. Туполева

Кафедра систем информационной безопасности

Колесник Д.С.

Пояснительная записка

к дипломному проекту

по специальности 090106 – «Информационная безопасность телекоммуникационных систем»

на тему: «Разработка методики классификации объектов защиты в корпоративных информационных системах»

Научный руководитель:

к.т.н., доцент, зав. каф. СИБ

__________________ Аникин И.В.

Консультанты:

по безопасности жизнедеятельности

__________________ Зубкова А.Д

по экономике защиты информации

__________________ Аникин И.В.

Казань – 2012

Содержание

Введение 5

1. Анализ подходов к классификации объектов защиты в корпоративных информационных системах 7

2. Разработка методики классификации объектов защиты 26

4. Выработка требований к программному обеспечению подсистемы классификации объектов защиты 86

5. Безопасность жизнедеятельности 98

6. Экономика защиты информации 131

ЗАКЛЮЧЕНИЕ 150

Список использованной литературы 151

Список используемых сокращений

ИБ	–	Информационная безопасность
ИС	–	Информационная система
ИТ	–	Информационные технологии
КИС	–	Корпоративная информационная система
ОРД	–	Организационно-распорядительная документация
ПО	–	Программное обеспечение
СТО БР ИББС	–	Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации
ITIL	–	Information Technology Infrastructure Library
NIST	–	The National Institute of Standards and Technology

Аннотация

Проект состоит из: 145 страниц, 20 рисунков, 27 таблиц, 16 источников.

Ключевые слова: объекты защиты, информационные активы, классификация объектов защиты, идентификация объектов защиты, категорирование информации, подсистема классификации объектов защиты.

Данный проект посвящен разработке методики классификации объектов защиты, определяющей порядок организации деятельности по классификации объектов защиты, в том числе порядок внедрения процесса классификации объектов защиты, проведения классификации объектов защиты, а также порядок анализа эффективности и модернизации процесса классификации объектов защиты. В данном проекте проведен анализ подходов к классификации объектов защиты, описанных в национальных и зарубежных стандартах, а также подходов, применяемых негосударственными учреждениями для категорирования объектов защиты. Сформулированы общие требования к программному обеспечению подсистемы классификации объектов защиты.

Введение

Согласно известной аксиоме, достичь абсолютного уровня защищенности достичь невозможно, вне зависимости от того, сколько средств будет затрачено на обеспечение ИБ. В то же время, в современном, быстро развивающемся мире, все компании стремятся сократить свои издержки и получить максимальную отдачу от своих вложений. Именно поэтому риск-ориентированный подход к обеспечению ИБ является на сегодняшней день единственной альтернативой в развитии систем защиты информации и систем управления ИБ.

Классификация объектов защиты является фундаментальным процессом в рамках системы управления ИБ, необходимым для анализа рисков ИБ, управления инцидентами ИБ и других подсистем управления ИБ. Процесс классификации объектов защиты позволяет:

• провести инвентаризацию активов компании;

• выявить активы предприятия и выделить наиболее важные из них с точки зрения требований бизнеса, обеспечения его непрерывности и безопасности;

• определить роль ИС в реализации бизнес-процессов компании;

• выявить информационные потоки внутри КИС компании и во внешние организации;

• организовать учет объектов защиты компании;

• получить актуальную картину прав доступа пользователей к компонентам КИС.

Сведения о степени важности активов компании, получаемые по результатам их классификации, являются основой для определения приоритетов в построении систем защиты информации. Организация деятельности по классификации объектов защиты позволяет построить максимально эффективные системы защиты информации, направленные на обеспечение непрерывности реализации бизнес-процессов компании.

Организация деятельности по классификации объектов защиты позволяет решить такие проблемы, как:

• чрезмерные затраты на обеспечение информационной безопасности объектов защиты, не играющих существенной роли в рамках реализации ключевых бизнес-процессов компании;

• сложность экономического обоснования необходимости внедрения средств защиты информации;

• снижение экономической эффективности затрат на обеспечение ИБ КИС;

• недостаточная защищенность ключевых активов компании.

Целью дипломного проекта является повышение эффективности системы управления ИБ в КИС за счет внедрения методики классификации объектов защиты.

Для достижения поставленной цели необходимо решить следующие задачи:

• провести анализ существующих подходов к классификации объектов защиты;

• разработать структуру процесса классификации объектов защиты и составляющих его процедур;

• разработать методику классификации объектов защиты в КИС, определить порядок проведения классификации объектов защиты;

• сформировать требования к ПО подсистемы классификации объектов защиты.