Файловый архив студентов. Файловый архив студентов.
1312 вуза, 5269 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Казанский национальный исследовательский технический университет им. А. Н. Туполева
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Diplom_v1-5.docx
Скачиваний:
0
Добавлен:
01.05.2025
Размер:
1.42 Mб
Скачать
►Содержание►

    1. Функционирование процесса классификации объектов защиты

  1. Реализация процесса классификации объектов защиты предполагает выполнение мероприятий, направленных на идентификацию всех объектов защиты компании и определение их критичности.

  2. В рамках реализации процесса классификации объектов защиты выделяются следующие процедуры:

  • планирование деятельности по классификации объектов защиты;

  • идентификация объектов защиты;

  • определение уровня критичности объектов защиты;

  • организация учета объектов защиты.

      1. Планирование деятельности по классификации объектов защиты

  1. Целью классификации объектов защиты идентификация объектов защиты и определение уровня их критичности для последующего определение требований ИБ, предъявляемых к ИС компании, оценки рисков ИБ и выполнения других мероприятий, направленных на реструктуризацию системы информационной безопасности компании в соответствии с уровнем критичности ее объектов защиты.

  2. Очевидно, что с течением времени уровень критичности объектов защиты изменяется. Это может быть связано с:

  • устареванием информационных активов и снижением их ценности для организации;

  • изменением приоритетов бизнеса компании;

  • внесением изменений в порядок реализации бизнес-процессов компании;

  • другими подобными изменениями, связанными с неминуемым развитием бизнес-модели любой компании.

  1. Таким образом, принципиально важно заключить деятельность по классификации объектов защиты в определенные временные рамки, даже несмотря на то, что данная деятельность априори является непрерывной. В связи с этим, на этапе реализации процесса классификации объектов защиты, предшествующем анализу его эффективности, должны быть идентифицированы и проклассифицированы все объекты защиты компании. Добиться этого возможно лишь за счет эффективного планирования деятельности по классификации объектов защиты.

  2. Целью процедуры планирования классификации объектов защиты является определение порядка и сроков выполнения работ по классификации объектов защиты в компании, а также определение перечня лиц, ответственных за выполнение указанных работ и формирование отчетных документов.

  3. В рамках процедуры планирования классификации объектов защиты формируется План классификации объектов защиты, который включает:

  • область классификации объектов защиты;

  • этапы и сроки классификации объектов защиты;

  • сроки идентификации объектов защиты в подразделениях Общества;

  • перечень отчетных документов, формируемых по результатам классификации объектов защиты, и сроки их предоставления.

  1. Понятие «область классификации объектов защиты» является собирательным, и включает в себя:

  • бизнес-процессы компании как структурированную согласованную деятельность ее подразделений;

  • бизнес-подразделения компании, реализующие ее бизнес-процессы (например, отдел закупок);

  • подразделения компании, выполняющие вспомогательные функции по поддержке их функционирования (например, бухгалтерия, юридический отдел, отдел информационных технологий);

  • ИС компании, автоматизирующие деятельность бизнес-подразделений компании и подразделений, выполняющих вспомогательные функции по поддержке их функционирования.

  1. В случае, если вся деятельность организации формализована в виде бизнес-процессов, определены подразделения, участвующие в реализации бизнес-процессов, а также ИС, участвующие в их реализации, область классификации объектов защиты задается как совокупность таких бизнес-процессов, а также подразделений и ИС, участвующих и поддерживающих их реализацию.

  2. В случае, если в компании бизнес-процессы в полной мере не формализованы, но существует актуальный перечень ИС с формализованными описаниями решаемых ими задач, область классификации объектов защиты задается как совокупность таких ИС, а также подразделений компании, непосредственно пользующихся данными ИС.

  3. В других случаях, область классификации объектов защиты задается как перечень ее подразделений, а также ключевых объектов информатизации, реализующих бизнес-деятельность компании.

  4. После определения области классификации объектов защиты, необходимо определить и документально зафиксировать перечень составляющих ее подразделений. Перечень подразделений, составляющих область классификации объектов защиты, определяется на основании:

  • формализованных описаний бизнес-процессов компании;

  • формализованных описаний ИС компании.

  1. Сформированный перечень подразделений, составляющих область классификации объектов защиты, является основой для определения сроков идентификации информационных активов в подразделениях компании. Идентификация информационных активов и выявление связей между ними является первым этапом деятельности по классификации объектов защиты. Сроки идентификации объектов защиты определяются исходя из:

  • количества сотрудников подразделения (для опроса большего числа людей требуется большее время);

  • специфики деятельности подразделений (например, целесообразно не проводить работы по идентификации информационных активов в бухгалтерии в конце отчетного периода);

  1. Сроки идентификации объектов защиты в подразделениях компании согласуются с их руководителями, а те, в свою очередь, доводят сведения о запланированных работах в рамках деятельности по классификации объектов защиты до сотрудников своих подразделений. Руководители подразделений определяют порядок опроса работников своих подразделений специалистами по классификации объектов защиты.

  2. Вторым этапом деятельности по классификации объектов защиты является идентификация объектов защиты в составе ИС компании и выявлением связей между ними. На этапе планирования определяются сроки идентификации объектов защиты, а также перечень лиц, ответственных за реализацию данного этапа и формирование отчетных документов.

  3. По результатам идентификации всех объектов защиты и связей между ними, осуществляется оценка уровней критичности информационных активов в рамках третьего этапа деятельности по классификации объектов защиты. На этапе планирования определяются сроки, отведенные на осуществление оценки.

  4. Четвертым и заключительным этапом классификации объектов защиты является расчет уровня критичности объектов защиты и организация их учета. В рамках планирования деятельности по классификации объектов защиты определяется перечень лиц, ответственных за реализацию данной деятельности, и сроки ее реализации.

  5. Таким образом, процедура планирования деятельности по классификации объектов защиты состоит из следующих шагов:

  1. на основании Приказа о классификации объектов защиты используя имеющиеся в компании формализованные описания бизнес-процессов и ИС, руководитель процесса классификации объектов зашиты определяет область классификации объектов защиты, а также порядок и сроки выполнения работ по классификации объектов защиты;

  2. в соответствии с областью классификации объектов защиты, руководитель процесса классификации объектов защиты определяет перечень подразделений, входящих в область классификации объектов защиты;

  3. руководитель процесса классификации объектов защиты определяет сроки проведения работ по классификации объектов защиты и согласует их с Председателем Комиссии;

  4. руководитель процесса классификации объектов защиты определяет сроки идентификации объектов защиты в подразделениях компании, согласует их с руководителями подразделений, а в случае, если это невозможно или затруднительно, устанавливает сроки идентификации информационных активов лично;

  5. руководитель процесса классификации объектов защиты определяет перечень формируемых в рамках деятельности по классификации объектов защиты отчетных документов;

  6. руководитель процесса классификации объектов защиты определяет перечень лиц, ответственных за выполнение работ по идентификации и классификации объектов защиты (специалистов по классификации объектов защиты);

  7. руководитель процесса классификации объектов защиты формирует проект документа «План классификации объектов защиты»;

  8. руководитель компании утверждает проект документа «План классификации объектов защиты».

  1. Блок-схема порядка планирования деятельности по классификации объектов защиты (Рисунок 2.13).

  1. Рис. 2.13. Блок-схема порядка планирования деятельности по классификации объектов защиты

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности