- •Кафедра систем информационной безопасности
- •Содержание
- •Список используемых сокращений
- •Аннотация
- •Введение
- •Анализ подходов к классификации объектов защиты в корпоративных информационных системах
- •Показатели для оценки подходов к классификации объектов защиты
- •Анализ подходов к классификации объектов защиты, описанных в российских и международных стандартах и стандартах
- •Анализ подхода к классификации объектов защиты в соответствии с гост р исо/мэк 17799-2005
- •Анализ подхода к классификации объектов защиты в соответствии со стандартами nist
- •Анализ подхода к классификации объектов защиты в соответствии со стандартами сто бр иббс
- •Анализ подхода к классификации объектов защиты в соответствии с библиотекой itil v3
- •Анализ подходов к классификации объектов защиты в организациях
- •Анализ подхода к классификации объектов защиты компании «Инфосистемы Джет»
- •Анализ подхода к классификации объектов защиты компании «Microsoft»
- •Анализ подхода к классификации объектов защиты в университете штата Массачусетс, сша
- •Сравнительный анализ подходов к классификации объектов защиты
- •Разработка методики классификации объектов защиты
- •Определение целей, задач и области действия процесса классификации объектов защиты
- •Цель и задачи процесса классификации объектов защиты
- •Область действия процесса классификации объектов защиты
- •Роли, выделяемые в рамках процесса классификации объектов защиты
- •Модель взаимодействия подсистемы классификации объектов защиты с подсистемами управления информационной безопасностью
- •Структура процесса классификации объектов защиты
- •Внедрение процесса классификации объектов защиты
- •Разработка организационно-распорядительной документации по классификации объектов защиты
- •Инициирование процесса классификации объектов защиты
- •Внедрение средств автоматизации процесса классификации объектов защиты
- •Обучение работников предприятия методологии классификации объектов защиты
- •Формирование порядковой шкалы уровней критичности объектов защиты
- •Функционирование процесса классификации объектов защиты
- •Планирование деятельности по классификации объектов защиты
- •Идентификация объектов защиты
- •Определение уровня критичности объектов защиты
- •Организация учета объектов защиты
- •Анализ эффективности и модернизация процесса классификации объектов защиты
- •Выработка требований к программному обеспечению подсистемы классификации объектов защиты
- •Требования к архитектуре программного обеспечения подсистемы классификации объектов защиты
- •Требования к регистрации и учету объектов защиты
- •Требования к определению уровня критичности объектов защиты
- •Требования к актуализации результатов классификации объектов защиты
- •Требования к конструированию отчетных форм и формированию отчетов
- •Безопасность жизнедеятельности
- •Общие положения
- •Охрана окружающей среды
- •Современные методы утилизации и переработки тбо
- •Канализация и сточные воды
- •Очистка бытовых сточных вод
- •Охрана труда и производственной безопасности
- •Микроклимат рабочего помещения
- •Вентиляция, отопление
- •Освещенность рабочего места
- •Расчет искусственного освещения
- •Уровень шума
- •Защита от электромагнитных излучений
- •Электробезопасность
- •Эргономические условия организации рабочего места
- •Пожарная безопасность
- •Экономика защиты информации
- •Стоимостные характеристики проектов по обеспечению информационной безопасности
- •Расчет затрат на реализацию процесса классификации объектов защиты
- •Общее описание системы
- •Расчет единовременных затрат
- •Расчет постоянных затрат
- •Расчет совокупной стоимости владения подсистемой классификации объектов защиты
- •Оценка экономической эффективности
- •Заключение
- •Список использованной литературы
Организация учета объектов защиты
Бизнес любой компании постоянно развивается, вследствие чего должен быть организован учет объектов защиты компании.
Для регистрации событий, связанных с объектами защиты для каждой ИС и инфраструктурной службы компании создаются Журналы учета объектов защиты. Все журналы ведутся в электронном виде, а для ИС и инфраструктурных служб максимального уровня критичности Журналы учета ведутся также в печатном виде. Все Журналы учета объектов защиты ведутся администраторами ИС.
В процессе деятельности компании в Журналах учета объектов защиты регистрируются все критичные действия нал объектами защиты, в том числе:
факты создания, передачи, дублирования и уничтожения информационных активов в составе ИС (баз данных ИС);
факты приобретения, ввода в эксплуатацию и снятия с эксплуатации ПО и оборудования в составе ИС и инфраструктурных служб компании.
Сведения о событиях, связанных с объектами защиты, предоставляются руководителями подразделений компании, инициирующих соответствующие события. Действия над объектами критичности максимального уровня критичности, при этом, должны быть одобрены руководителем компании.
В случае существенного изменения перечня объектов защиты в составе ИС и инфраструктурных служб, администраторы ИС формируют и передают в Комиссию заявку на пересмотр результатов классификации объектов защиты в составе данных ИС и инфраструктурных служб.
Анализ эффективности и модернизация процесса классификации объектов защиты
В компании периодически не реже одного раза в год, а также в случае необходимости (например, по результатам классификации объектов защиты) должна проводиться оценка эффективности функционирования процесса классификации объектов защиты.
Анализ эффективности процесса классификации объектов защиты осуществляется руководителем процесса классификации объектов защиты при участии специалистов по классификации объектов защиты.
Для оценки эффективности функционирования процесса классификации объектов защиты компании рассчитываются следующие показатели:
количество проклассифицированных объектов защиты за определенный период времени;
процентное распределение объектов защиты по уровням критичности;
число информационных активов, при оценке возможного ущерба от нарушения ИБ которых разница в оценке различных экспертов составила 2 порядка;
количество подразделений компании, в которых завершены работы по идентификации объектов защиты;
доля бизнес-процессов, объекты защиты которых не были проклассифицированы, от общего числа бизнес-процессов, объекты защиты которых должны были быть проклассифицированы в соответствии с Планом классификации объектов защиты за определенный период времени;
доля подразделений компании, объекты защиты которых не были проклассифицированы, от общего числа подразделений компании, объекты защиты которых должны были быть проклассифицированы в соответствии с Планом классификации объектов защиты за определенный период времени;
количество неучтенных объектов защиты, выявленных по результатам аудита.
Конкретные значения показателей, описанных выше, при которых результаты функционирования процесса классификации объектов защиты можно считать успешными, определяются для каждой компании индивидуально. Выделим общие правила, позволяющие оценить эффективность функционирования процесса классификации объектов защиты:
А. Превышение доли объектов защиты максимального уровня критичности над долей объектов защиты среднего и минимального уровня критичности может свидетельствовать о неверно определенными пороговыми значениями ущерба, соответствующих максимальному, среднему и минимальному уровню критичности.
В качестве корректирующих мер в этом случае могут быть предложены:
изменение состава Комиссии;
корректировка пороговых значений ущерба, соответствующих различным уровням критичности.
Б. Большое (больше 20%) число информационных активов, при оценке возможного ущерба от нарушения ИБ которых разница в оценках различных экспертов составило 2 порядка может свидетельствовать:
о некомпетентности членов Комиссии;
недостаточно конкретном описании пороговых значений ущерба в Порядковой шкале уровней критичности.
В качестве корректирующих мер в этом случае могут быть предложены:
уточнение пороговых значений ущерба в Порядковой шкале уровней критичности;
изменение состава Комиссии.
В. Нарушение сроков идентификации объектов защиты в подразделениях компании может свидетельствовать:
о недостаточном уровней знаний работников бизнес-подразделений компании, и как следствие, о неэффективности проведенного обучения;
о некомпетентности Специалистов по классификации объектов защиты.
В качестве корректирующих мер в этом случае могут быть предложены:
пересмотр методически материалов, программы обучения и проведения повторного обучения сотрудников компании методологии классификации объектов защиты;
о назначении в качестве Специалистов по классификации объектов защиты более компетентных сотрудников компании.
По результатам анализа эффективности функционирования процесса классификации объектов защиты Руководителем процесса выявляются недостатки процесса классификации объектов защиты и разрабатываются предложения по его модернизации.
Руководитель компании, в случае целесообразности предложенных мероприятий по модернизации процесса классификации объектов защиты, издает приказ о проведении соответствующих мероприятий.
Выводы
Процесс классификации объектов защиты представляет собой непрерывную деятельность, целью которой является идентификация всех объектов защиты компании и их категорирование с точки зрения важности для бизнеса.
Организация деятельности по классификации объектов защиты разбивается на 4 этапа: этап внедрения, функционирования, анализа эффективности и модернизации процесса классификации объектов защиты.
Деятельность по классификации объектов защиты реализуются группой лиц, руководство которой осуществляется Руководителем процесса классификации объектов защиты. Ключевые решения для компании в рамках процесса классификации объектов защиты принимаются создаваемой Комиссией по классификации объектов защиты.
Для повышения эффективности реализации процесса классификации объектов защиты и снижения трудозатрат сотрудников компании рекомендуется разработать или приобрести лицензии на ПО подсистемы классификации объектов защиты, позволяющего автоматизировать решение основных задач в рамках процесса классификации объектов защиты.