- •Кафедра систем информационной безопасности
- •Содержание
- •Список используемых сокращений
- •Аннотация
- •Введение
- •Анализ подходов к классификации объектов защиты в корпоративных информационных системах
- •Показатели для оценки подходов к классификации объектов защиты
- •Анализ подходов к классификации объектов защиты, описанных в российских и международных стандартах и стандартах
- •Анализ подхода к классификации объектов защиты в соответствии с гост р исо/мэк 17799-2005
- •Анализ подхода к классификации объектов защиты в соответствии со стандартами nist
- •Анализ подхода к классификации объектов защиты в соответствии со стандартами сто бр иббс
- •Анализ подхода к классификации объектов защиты в соответствии с библиотекой itil v3
- •Анализ подходов к классификации объектов защиты в организациях
- •Анализ подхода к классификации объектов защиты компании «Инфосистемы Джет»
- •Анализ подхода к классификации объектов защиты компании «Microsoft»
- •Анализ подхода к классификации объектов защиты в университете штата Массачусетс, сша
- •Сравнительный анализ подходов к классификации объектов защиты
- •Разработка методики классификации объектов защиты
- •Определение целей, задач и области действия процесса классификации объектов защиты
- •Цель и задачи процесса классификации объектов защиты
- •Область действия процесса классификации объектов защиты
- •Роли, выделяемые в рамках процесса классификации объектов защиты
- •Модель взаимодействия подсистемы классификации объектов защиты с подсистемами управления информационной безопасностью
- •Структура процесса классификации объектов защиты
- •Внедрение процесса классификации объектов защиты
- •Разработка организационно-распорядительной документации по классификации объектов защиты
- •Инициирование процесса классификации объектов защиты
- •Внедрение средств автоматизации процесса классификации объектов защиты
- •Обучение работников предприятия методологии классификации объектов защиты
- •Формирование порядковой шкалы уровней критичности объектов защиты
- •Функционирование процесса классификации объектов защиты
- •Планирование деятельности по классификации объектов защиты
- •Идентификация объектов защиты
- •Определение уровня критичности объектов защиты
- •Организация учета объектов защиты
- •Анализ эффективности и модернизация процесса классификации объектов защиты
- •Выработка требований к программному обеспечению подсистемы классификации объектов защиты
- •Требования к архитектуре программного обеспечения подсистемы классификации объектов защиты
- •Требования к регистрации и учету объектов защиты
- •Требования к определению уровня критичности объектов защиты
- •Требования к актуализации результатов классификации объектов защиты
- •Требования к конструированию отчетных форм и формированию отчетов
- •Безопасность жизнедеятельности
- •Общие положения
- •Охрана окружающей среды
- •Современные методы утилизации и переработки тбо
- •Канализация и сточные воды
- •Очистка бытовых сточных вод
- •Охрана труда и производственной безопасности
- •Микроклимат рабочего помещения
- •Вентиляция, отопление
- •Освещенность рабочего места
- •Расчет искусственного освещения
- •Уровень шума
- •Защита от электромагнитных излучений
- •Электробезопасность
- •Эргономические условия организации рабочего места
- •Пожарная безопасность
- •Экономика защиты информации
- •Стоимостные характеристики проектов по обеспечению информационной безопасности
- •Расчет затрат на реализацию процесса классификации объектов защиты
- •Общее описание системы
- •Расчет единовременных затрат
- •Расчет постоянных затрат
- •Расчет совокупной стоимости владения подсистемой классификации объектов защиты
- •Оценка экономической эффективности
- •Заключение
- •Список использованной литературы
Анализ подходов к классификации объектов защиты в корпоративных информационных системах
В данном разделе приводится описание подходов к классификации объектов защиты, описанных в международных и национальных стандартах в области информационной безопасности, а также подходов к классификации объектов защиты, применяемых коммерческими организациями. Проводится сравнительный анализ рассматриваемых подходов по выбранным критериям.
Показатели для оценки подходов к классификации объектов защиты
Классификация объектов защиты КИС коммерческих организаций – это процесс, направленный на:
выявление активов, представляющих ценность для организации, и их последующая защита;
сокращение расходов на обеспечение информационной безопасности и их перераспределение в пользу более ценных;
оценку возможного ущерба от нарушения ИБ объектов защиты для последующей оценки рисков ИБ;
определение приоритетности защиты объектов защиты для последующего обеспечения непрерывности бизнеса за счет резервирования объектов защиты, критичных с точки зрения реализации бизнес-процессов.
Исходя из описанных выше целей, для оценки рассматриваемых подходов к классификации объектов защиты, будем использовать следующие качественные показатели:
полнота описания процесса и составляющих его процедур – деятельность по классификации объектов защиты должна рассматриваться в качестве единого процесса с выделенными процедурами, должны быть предъявлены требования к реализации процесса и составляющих его процедур;
полнота используемой терминологии – используемая терминология должна быть конкретизирована и иметь однозначное толкование;
однозначность используемого классификационного признака (критериев классификации объектов защиты) – в подходе должны быть явно определены классификационные признаки, используемые при категорировании объектов защиты;
однозначность выделенных классов объектов защиты – в подходе должен быть однозначно определен перечень классов объектов защиты или описан порядок и принципы его формирования в соответствии с используемым классификационным признаком, должны быть определены виды информации, наиболее вероятно принадлежащие тому или иному классу;
гибкость подхода – должна допускаться адаптация методологии с учетом специфики бизнеса конкретной организации;
простота реализации процесса – подход к классификации объектов защиты должен быть легко реализуем на практике процедуры, реализуемые в рамках процесса, не должны быть чрезмерно сложными и содержать большое количество действий.
Для качественной субъективной оценки подходов к классификации объектов защиты по описанным выше показателям, введем уровни:
высокий;
средний;
низкий.
Проведем анализ основных подходов к классификации объектов защиты.
Анализ подходов к классификации объектов защиты, описанных в российских и международных стандартах и стандартах
Национальные и зарубежные стандарты по информационной безопасности являются основой для организации защиты информации в коммерческих организациях, так как данные стандарты реализуют требования законодательства и вбирают лучшие мировые и национальные практики в области информационной безопасности.
Рассмотрим подходы к классификации объектов защиты, описанные в следующих стандартах:
ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»;
NIST SP 800-30 «Guide for Conducting Risk Assessments»;
NIST SP 800-60 «Guide to Mapping Types of Information Systems to Security»;
СТО БР ИББС 1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»;
ITIL v3.