- •Кафедра систем информационной безопасности
- •Содержание
- •Список используемых сокращений
- •Аннотация
- •Введение
- •Анализ подходов к классификации объектов защиты в корпоративных информационных системах
- •Показатели для оценки подходов к классификации объектов защиты
- •Анализ подходов к классификации объектов защиты, описанных в российских и международных стандартах и стандартах
- •Анализ подхода к классификации объектов защиты в соответствии с гост р исо/мэк 17799-2005
- •Анализ подхода к классификации объектов защиты в соответствии со стандартами nist
- •Анализ подхода к классификации объектов защиты в соответствии со стандартами сто бр иббс
- •Анализ подхода к классификации объектов защиты в соответствии с библиотекой itil v3
- •Анализ подходов к классификации объектов защиты в организациях
- •Анализ подхода к классификации объектов защиты компании «Инфосистемы Джет»
- •Анализ подхода к классификации объектов защиты компании «Microsoft»
- •Анализ подхода к классификации объектов защиты в университете штата Массачусетс, сша
- •Сравнительный анализ подходов к классификации объектов защиты
- •Разработка методики классификации объектов защиты
- •Определение целей, задач и области действия процесса классификации объектов защиты
- •Цель и задачи процесса классификации объектов защиты
- •Область действия процесса классификации объектов защиты
- •Роли, выделяемые в рамках процесса классификации объектов защиты
- •Модель взаимодействия подсистемы классификации объектов защиты с подсистемами управления информационной безопасностью
- •Структура процесса классификации объектов защиты
- •Внедрение процесса классификации объектов защиты
- •Разработка организационно-распорядительной документации по классификации объектов защиты
- •Инициирование процесса классификации объектов защиты
- •Внедрение средств автоматизации процесса классификации объектов защиты
- •Обучение работников предприятия методологии классификации объектов защиты
- •Формирование порядковой шкалы уровней критичности объектов защиты
- •Функционирование процесса классификации объектов защиты
- •Планирование деятельности по классификации объектов защиты
- •Идентификация объектов защиты
- •Определение уровня критичности объектов защиты
- •Организация учета объектов защиты
- •Анализ эффективности и модернизация процесса классификации объектов защиты
- •Выработка требований к программному обеспечению подсистемы классификации объектов защиты
- •Требования к архитектуре программного обеспечения подсистемы классификации объектов защиты
- •Требования к регистрации и учету объектов защиты
- •Требования к определению уровня критичности объектов защиты
- •Требования к актуализации результатов классификации объектов защиты
- •Требования к конструированию отчетных форм и формированию отчетов
- •Безопасность жизнедеятельности
- •Общие положения
- •Охрана окружающей среды
- •Современные методы утилизации и переработки тбо
- •Канализация и сточные воды
- •Очистка бытовых сточных вод
- •Охрана труда и производственной безопасности
- •Микроклимат рабочего помещения
- •Вентиляция, отопление
- •Освещенность рабочего места
- •Расчет искусственного освещения
- •Уровень шума
- •Защита от электромагнитных излучений
- •Электробезопасность
- •Эргономические условия организации рабочего места
- •Пожарная безопасность
- •Экономика защиты информации
- •Стоимостные характеристики проектов по обеспечению информационной безопасности
- •Расчет затрат на реализацию процесса классификации объектов защиты
- •Общее описание системы
- •Расчет единовременных затрат
- •Расчет постоянных затрат
- •Расчет совокупной стоимости владения подсистемой классификации объектов защиты
- •Оценка экономической эффективности
- •Заключение
- •Список использованной литературы
Разработка методики классификации объектов защиты
В данном разделе определяются цели и задачи процесса классификации объектов защиты, приводится описание методики классификации объектов защиты, включающей порядок организации деятельности по классификации объектов защиты:
порядок внедрения процесса классификации объектов защиты;
порядок функционирования процесса классификации объектов защиты;
порядок анализа эффективности и модернизации процесса классификации объектов защиты.
Определение целей, задач и области действия процесса классификации объектов защиты
Цель и задачи процесса классификации объектов защиты
Целью классификации объектов зашиты является обеспечение дифференцированного подхода к организации их защиты в КИС с учетом уровня критичности, определяемого тяжестью возможных последствий нарушения ИБ.
Классификация объектов защиты необходима для:
выявления всех объектов защиты предприятия, участвующих в реализации его бизнес-процессов;
определения важности объектов защиты для реализации бизнес-процессов предприятия;
установления, применения и исполнения требований ИБ, предъявляемых к объектам защиты в составе ИС предприятия.
Основными задачами процесса классификации объектов защиты являются:
идентификация и учет объектов защиты;
выявление взаимосвязей между объектами защиты в КИС;
определение уровня критичности объектов защиты и ИС, в состав которых они входят.
Успешная реализация процесса классификации объектов защиты позволит:
обеспечить лучшую защиту объектов защиты, наиболее критичных с точки зрения реализации бизнес-процессов предприятия;
достичь набольшей эффективности затрат на обеспечение ИБ ИС;
создать основу для последующего внедрения подсистем управления информационной безопасности, в том числе подсистем управления инцидентами ИБ, анализа и оценки рисков ИБ, управления конфигурациями и изменениями и других.
Область действия процесса классификации объектов защиты
Деятельность любого коммерческого предприятия представляет собой совокупность бизнес-процессов. При этом любой бизнес-процесс обладает следующими свойствами:
имеет свои границы (состоит из определенного неизменяющегося или редко изменяющегося числа бизнес-функций);
выполняется с определенной периодичностью или непрерывно;
имеет конечного потребителя (другой бизнес-процесс, структурные подразделения предприятия или контрагенты предприятия);
имеет своих исполнителей – подразделения предприятия;
имеет своего владельца – подразделение, ответственное за результат реализации бизнес-процесса.
Любой бизнес-процесс состоит из бизнес-функций, при этом любая бизнес-функция обладает следующими свойствами:
имеет определенные входы и выходы, то есть перечень информации поступающей на вход бизнес-функции и перечень информации, формируемой на выходе;
имеет определенного исполнителя – одного или нескольких работников бизнес-подразделений компании.
Таким образом, и бизнес-процессы, и составляющие их бизнес-функции можно рассматривать в упрощенной модели как последовательность действий по преобразованию информации, а точнее – информационных активов, поскольку именно информационные активы на материальном носителе (бумажные документы) или в электронном виде поступают на вход и формируются на выходе бизнес-функций и бизнес-процессов.
Таким образом, все информационные активы можно подразделить на 2 группы:
электронные информационные активы;
материальные информационные активы.
К электронным информационным активам будем относить:
сведения, содержащиеся в базах данных, представляемые посредством рабочих форм прикладного ПО ИС (далее – рабочие формы ИС);
базы данных ИС;
файлы, размещенные на съемных носителях информации, а также устройствах хранения данных рабочих станций и серверов.
К материальным информационным активам будем относить только бумажные документы. Носители информации не относятся к материальным информационным активам, поскольку сами по себе они не представляют ценность для организации и не участвуют в реализации ее бизнес-процессов.
Учитывая возможное большое число информационных активов (как печатных, так и электронных), а также тот факт, что в процессе деятельности предприятия число информационных активов постоянно изменяется, для эффективной реализации процесса классификации объектов защиты целесообразно группировать однородные информационные активы, обрабатываемые в пределах одной бизнес-функции. Можно выделить следующие группы информационных активов:
файловые каталоги (директория файлов, содержащая однородные файлы, например: «Квартальные отчеты»);
шаблоны рабочих форм (например: «Форма заказа товара» в ИС «SAPR3»);
группы одноименных печатных документов.
В настоящее время большинство бизнес-процессов реализуется с использованием средств автоматизации, объединенных по функциональному назначению в ИС. В состав ИС входят:
информационные активы;
прикладное ПО, используемое для непосредственной обработки информационных активов;
средства вычислительной техники (серверы, рабочие места и периферийное оборудование, на которых выполняется такая обработка).
Взаимодействие ИС, в том числе передача данных между ними, осуществляется посредством инфраструктурных служб. Под инфраструктурной службой в данном случае понимается ИТ-сервис общего назначения, реализующий определенную информационную технологию. К инфраструктурным службам относятся, в частности, сервис локальной вычислительной сети, сервис антивирусной защиты, сервис сетевой печати, сервис электронной почты и другие ИТ-сервисы, в том числе реализующие функции защиты информации. При этом, одна инфраструктурная служба поддерживает функционирование сразу нескольких ИС, и, наоборот, работу ИС обеспечивает сразу несколько инфраструктурных служб.
ПО, входящее в состав инфраструктурных служб, можно подразделить на следующие виды:
системное ПО (ПО, обеспечивающее функционирование прикладного ПО в составе ИС или установленное на рабочих местах пользователей КИС, а также управление оборудованием КИС, например: операционные системы, системные утилиты и др.);
инструментальное ПО (ПО, используемое в ходе разработки, корректировки или сопровождении других программ, например: редакторы, компиляторы, отладчики и др.).
К оборудованию, входящему в состав инфраструктурных служб, относится:
средства вычислительной техники (серверы);
сетевое оборудование (маршрутизаторы, коммутаторы и др.);
коммутационное оборудование (сетевые кабели, патч-панели и др.).
Обобщая изложенные выше рассуждения, сформируем общий перечень объектов защиты (Таблица 2.1).
Таблица 2.1. Перечень объектов защиты
№ |
Наименование |
Описание |
1. |
Информационные активы |
Информация в электронном или печатном виде, участвующая в реализации бизнес-процессов и бизнес-функций организации. |
1.1. |
Базы данных ИС |
Логически структурированные наборы данных, используемые в ИС для хранения и обработки информации. |
1.2. |
Рабочие формы ИС (шаблоны рабочих форм) |
Сведения, содержащиеся в базах данных, представляемые посредством рабочих форм прикладного ПО ИС. |
1.3. |
Файлы (файловые каталоги) |
Файлы или файловые каталоги, размещенные на съемных носителях информации и устройствах хранения данных рабочих станций и серверов. |
1.4. |
Печатные документы (группы одноименных печатных документов) |
Документы или группы документов на бумажном носителе. |
2. |
ПО |
ПО в составе ИС или установленное на рабочих станциях пользователей КИС, используемое для обработки, хранения и передачи информационных активов. |
2.1. |
Прикладное ПО |
ПО, используемое для непосредственной обработки информационных активов в составе ИС или на рабочих станциях пользователей КИС. |
2.2. |
Системное ПО |
ПО, обеспечивающее функционирование прикладного ПО в составе ИС или установленного на рабочих местах пользователей КИС, а также управление оборудованием КИС. |
2.3 |
Инструментальное ПО |
ПО, используемое в ходе разработки, корректировки или сопровождении других программ. |
3. |
Оборудование КИС |
Технические средства, используемые для обработки, хранения и передачи информационных активов |
3.1. |
Средства вычислительной техники |
Рабочие станции, серверы и периферийное оборудование. |
3.2. |
Сетевое оборудование |
Маршрутизаторы, коммутаторы и другие активное и пассивное сетевое оборудование. |
3.3. |
Коммутационное оборудование |
Средства телефонной связи, телеметрии, кабели и т.д. |
4. |
ИС |
Комплекс средств автоматизации, реализующий набор прикладных задач, используемых при реализации бизнес-функций. |
5. |
Инфраструктурные службы |
ИТ-сервисы, поддерживающие функционирование и обеспечивающие взаимосвязь ИС и КИС в целом |