Файловый архив студентов. Файловый архив студентов.
1299 вузов, 5060 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Казанский национальный исследовательский технический университет им. А. Н. Туполева
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Diplom_v1-5.docx
Скачиваний:
0
Добавлен:
20.01.2020
Размер:
1.42 Mб
Скачать
►Содержание►

      1. Определение уровня критичности объектов защиты

  1. Целью процедуры определения уровня критичности объектов защиты компании является оценка важности обеспечения их ИБ для бизнеса.

  2. В рамках процедуры определения уровня критичности объектов защиты компании решаются следующие задачи:

  • оценка ущерба от нарушения требований конфиденциальности, целостности и доступности информационных активов компании;

  • расчет и определение уровня критичности объектов защиты компании с учетом взаимосвязей между ними.

  1. Выделим основные этапы в рамках процедуры определения уровня критичности объектов защиты.

  2. Этап 1: оценка ущерба от нарушения ИБ информационных активов. На данном этапе Комиссия по классификации объектов защиты проводит оценку возможного ущерба от нарушения основных свойств ИБ информационных активов: конфиденциальности, целостности и доступности. При этом в компании могут быть выделены дополнительные свойства ИБ (например, свойство неотказуемости), нарушение которых существенно для компании. По каждому из свойств ИБ оценка ущерба осуществляется отдельно.

  3. Дать объективную оценку возможного ущерба от нарушения ИБ информационных активов в целом сложно, поэтому оценка возможного ущерба от нарушения свойств ИБ информационных активов осуществляется по каждому из видов ущерба отдельно.

  4. Оценка возможного ущерба от нарушения ИБ информационных активов осуществляется методом экспертных оценок. Всем членам комиссии предоставляется комплект опросных листов и копия перечня объектов защиты, при этом опросном листе перечислены все объекты защиты компании в том же порядке, в котором они расположены в Перечне объектов защиты. Каждый член комиссии осуществляет оценку возможного ущерба от нарушения ИБ объектов защиты по каждому из видов ущерба руководствуясь сведениями, содержащимися в Перечне объектов защиты. Оценка возможного ущерба дается в виде цифры, означающий ту или иную степени критичности, в соответствии с Порядковой шкалой уровней критичности (1–максимальная степень критичности, 2 – средняя, 3 – минимальная). В случае, если участник Комиссии затрудняется дать оценку возможного ущерба от нарушения ИБ объектов защиты, в соответствующем поле он ставит прочерк.

  5. Фрагмент заполненного опросного листа, формируемого каждым членом Комиссии, показан в таблице 2.4.

  6. Таблица 2.4. Фрагмент заполненного опросного листа для оценки возможного ущерба от нарушения ИБ информационных активов

    1. Информационный актив

    1. Свойство ИБ

    1. Оценка степени критичности по видам ущерба

    1. Нарушение требований законодательства

    1. Прямой финансовый ущерб

    1. БД «1С: Бухгалтерия»

    1. Конфиденциальность

    1. 3

    1. 2

    1. Целостность

    1. 3

    1. 3

    1. Доступность

    1. 3

    1. 3

    1. Ключевая информация для доступа в банк-клиент

    1. Конфиденциальность

    1. 3

    1. 1

    1. Целостность

    1. 3

    1. 3

    1. Доступность

    1. 3

  8. По результатам оценки возможного ущерба от нарушения уровня критичности объектов защиты, специалисты по классификации объектов защиты формируют проект документа «Результаты оценки ущерба от нарушения ИБ информационных активов», в котором отражаются итоговые оценки возможного ущерба. При этом в случае расхождения оценок на один порядок, итоговая степень ущерба берется максимальной. Если же разница в оценках составляет 2 порядка, итоговую оценку степени возможного ущерба от нарушения данного свойства ИБ осуществляется Председатель Комиссии.

  9. Этап 2: определение уровня критичности объектов защиты. На данном этапе на основании проведенной оценки возможного ущерба от нарушения ИБ информационных активов осуществляется расчет следующих величин.

  10. Уровень критичности информационных активов (промежуточный) рассчитывается как максимальный из степеней критичности данного информационного актива по всем видам ущерба. В таблице 2.5показан фрагмент перечня информационных активов с результатами оценки возможного ущерба от нарушения их ИБ. В последнем столбце таблицы указан уровень критичности информационного актива.

  11. Таблица 2.5. Определение уровня критичности информационных активов

    1. Информационный актив

    1. Свойство ИБ

    1. Оценка степени критичности по видам ущерба

    1. Уровень критичности

    1. Нарушение требований законодательства

    1. Прямой финансовый ущерб

    1. БД «1С: Бухгалтерия»

    1. Конф.

    1. 3

    1. 2

    1. 2

    1. Цел.

    1. 3

    1. 3

    1. Дост.

    1. 3

    1. 3

    1. Ключевая информация для доступа в банк-клиент

    1. Конф.

    1. 3

    1. 1

    1. 1

    1. Цел.

    1. 3

    1. 3

    1. Дост.

    1. 3

    1. 2

  13. Отметим, что на данном шаге определяется промежуточный уровень критичности информационных активов, который будет пересмотрен в дальнейшем с учетом уровня критичности бизнес-функций.

  14. Уровень критичности бизнес-функций устанавливается как максимальный из уровней критичности информационных активов, формируемых на выходе бизнес-функции. В таблице 2.6 показан пример расчета уровня критичности бизнес функций:

  15. Таблица 2.6. Определение уровня критичности бизнес-функций

    1. Наименование бизнес-функции

    1. Информационные активы, формируемые на выходе

    1. Уровень критичности бизнес-функции

    1. Наименование

    1. Уровень критичности

    1. Формирование отчета о прибылях и убытках

    1. Документ «Отчет о прибылях и убытках»

    1. 3

    1. 3

    1. Рабочая форма «Отчет о прибылях и убытках»

    1. 3

    1. Начисление заработной платы

    1. Зарплатная ведомость

    1. 2

    1. 2

    1. Платежные поручения на перечисление заработной платы

    1. 3

  17. Уровень критичности информационных активов (итоговый) получается из промежуточного уровня критичности с учетом взаимосвязей между информационными активами. В данном случае, взаимосвязь между информационными активами определяется их использованием при выполнении бизнес-функций: если при выполнении определенной бизнес-функции на ее вход поступают информационные активы, уровень критичности которых ниже уровня критичности бизнес-функции, то уровень критичности информационных активов, поступающих на вход бизнес-функции должен быть повышен до уровня критичности самой бизнес-функции.

  18. Действительно, если, например, выходом бизнес-функции является отчет максимального уровня критичности, а для его формирования требуются сведения из базы данных среднего уровня критичности, то уровень критичности базы данных должен быть увеличен до максимального, иначе в случае нарушения доступности бизнес-функция не сможет быть выполнена.

  19. Уровень критичности коммуникационного и периферийного оборудования определяется как максимальный из уровней критичности бизнес-функций, при выполнении которых используется данное оборудование. Пример расчета уровня критичности коммуникационного и периферийного оборудования приведен в таблице 2.7.

  20. Таблица 2.7. Определение уровня критичности коммуникационного и периферийного оборудования.

    1. Наименование оборудования

    1. Бизнес-функции, при выполнении которых используется оборудование

    1. Уровень критичности оборудования

    1. Наименование

    1. Уровень критичности

    1. Принтер Canon LBP-810 (COMP\405)

    1. Формирование отчета о прибылях и убытках

    1. 3

    1. 2

    1. Начисление заработной платы

    1. 2

    1. Факс Panasonic KX-FP207RU

    1. Примем и регистрация входящей корреспонденции

    1. 3

    1. 3

    1. Предоставление клиентам прайс-листа

    1. 3

  22. Уровень критичности ИС определяется как максимальный из уровней критичности бизнес-функций, выполняемых с применением данных ИС компании. Пример расчета уровня критичности ИС приведен в таблице 2.8.

  23. Таблица 2.8. Определение уровня критичности ИС.

    1. Наименование ИС

    1. Бизнес-функции, при выполнении которых используется ИС

    1. Уровень критичности оборудования

    1. Наименование

    1. Уровень критичности

    1. «1С: Бухгалтерия»

    1. Формирование отчета о прибылях и убытках

    1. 3

    1. 1

    1. Регистрация бухгалтерских операций

    1. 1

    1. Начисление заработной платы

    1. 2

    1. TeamLab

    1. Управление задачами сотрудников ИТ-отдела

    1. 3

    1. 3

  25. Уровень критичности инфраструктурных служб определяется как максимальный из уровней критичности ИС, функционирование которых поддерживается данными инфраструктурными службами. Пример расчета уровня критичности инфраструктурных служб приведен в таблице 2.9.

  26. Таблица 2.9. Определение уровня критичности инфраструктурных служб.

    1. Наименование инфраструктурной службы

    1. ИС, функционирование которых поддерживается инфраструктурными службами

    1. Уровень критичности инфраструктурной службы

    1. Наименование

    1. Уровень критичности

    1. Сервис локальной вычислительной сети

    1. «1С: Бухгалтерия»

    1. 2

    1. 1

    1. SAP R/3

    1. 1

    1. Сервис сетевой печати

    1. «1С: Бухгалтерия»

    1. 2

    1. 1

    1. TeamLab

    1. 3

    1. SAP R/3

    1. 1

  28. Уровень критичности ПО и оборудования определяется аналогично как максимальный из уровней критичности ИС и инфраструктурных служб, в состав которых они входят.

  29. Отметим, что при расчете уровня критичности всех объектов защиты учитываются все взаимосвязи между ними; полученный уровень критичности объектов защиты адекватно отражает степень его значимости для бизнеса компании и должен быть использован в качестве основного показателя при предъявлении требований к обеспечению ИБ объектов защиты.

  30. Таким образом, процедура определения уровня критичности объектов защиты состоит из следующих шагов:

  1. специалистами по классификации объектов защиты на основании Перечня объектов защиты и Порядковой шкалы уровней критичности подготавливаются опросные листы для членов Комиссии для оценки возможного ущерба от нарушения ИБ информационных активов;

  2. члены Комиссии осуществляют оценку возможного ущерба от нарушения ИБ информационных активов;

  3. специалисты по классификации объектов защиты анализируют полученные оценки, рассчитывают итоговые оценки и предоставляют их Председателю Комиссии на согласование;

  4. Председатель Комиссии определяет итоговые оценки по тем информационным активам, где оценки экспертов различались на 2 порядка и утверждает Результаты оценки ущерба от нарушения ИБ информационных активов;

  5. специалисты по классификации объектов защиты рассчитывают уровень критичности:

  • информационных активов;

  • бизнес-функций;

  • коммуникационного и периферийного оборудования;

  • ИС и инфраструктурных служб;

  • ПО и оборудования в составе ИС и инфраструктурных служб.

  1. специалисты по классификации объектов защиты формируют итоговый перечень объектов защиты компании с группировкой объектов защиты по ИС или инфраструктурным службам, при этом одни и те же информационные активы, ПО и оборудование могут входить в состав нескольких ИС и инфраструктурных служб;

  2. специалисты по классификации объектов защиты формируют проект Акта классификации объектов защиты;

  3. руководитель компании утверждает Акт классификации объектов защиты; Специалисты по классификации объектов защиты вносят сведения об уровне критичности объектов защиты в электронную базу данных объектов защиты.

  1. Блок-схема порядка идентификации объектов защиты (Рисунок 2.15).

  1. Рис. 2.15. Блок-схема порядка определения уровня критичности объектов защиты

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности