- •Кафедра систем информационной безопасности
- •Содержание
- •Список используемых сокращений
- •Аннотация
- •Введение
- •Анализ подходов к классификации объектов защиты в корпоративных информационных системах
- •Показатели для оценки подходов к классификации объектов защиты
- •Анализ подходов к классификации объектов защиты, описанных в российских и международных стандартах и стандартах
- •Анализ подхода к классификации объектов защиты в соответствии с гост р исо/мэк 17799-2005
- •Анализ подхода к классификации объектов защиты в соответствии со стандартами nist
- •Анализ подхода к классификации объектов защиты в соответствии со стандартами сто бр иббс
- •Анализ подхода к классификации объектов защиты в соответствии с библиотекой itil v3
- •Анализ подходов к классификации объектов защиты в организациях
- •Анализ подхода к классификации объектов защиты компании «Инфосистемы Джет»
- •Анализ подхода к классификации объектов защиты компании «Microsoft»
- •Анализ подхода к классификации объектов защиты в университете штата Массачусетс, сша
- •Сравнительный анализ подходов к классификации объектов защиты
- •Разработка методики классификации объектов защиты
- •Определение целей, задач и области действия процесса классификации объектов защиты
- •Цель и задачи процесса классификации объектов защиты
- •Область действия процесса классификации объектов защиты
- •Роли, выделяемые в рамках процесса классификации объектов защиты
- •Модель взаимодействия подсистемы классификации объектов защиты с подсистемами управления информационной безопасностью
- •Структура процесса классификации объектов защиты
- •Внедрение процесса классификации объектов защиты
- •Разработка организационно-распорядительной документации по классификации объектов защиты
- •Инициирование процесса классификации объектов защиты
- •Внедрение средств автоматизации процесса классификации объектов защиты
- •Обучение работников предприятия методологии классификации объектов защиты
- •Формирование порядковой шкалы уровней критичности объектов защиты
- •Функционирование процесса классификации объектов защиты
- •Планирование деятельности по классификации объектов защиты
- •Идентификация объектов защиты
- •Определение уровня критичности объектов защиты
- •Организация учета объектов защиты
- •Анализ эффективности и модернизация процесса классификации объектов защиты
- •Выработка требований к программному обеспечению подсистемы классификации объектов защиты
- •Требования к архитектуре программного обеспечения подсистемы классификации объектов защиты
- •Требования к регистрации и учету объектов защиты
- •Требования к определению уровня критичности объектов защиты
- •Требования к актуализации результатов классификации объектов защиты
- •Требования к конструированию отчетных форм и формированию отчетов
- •Безопасность жизнедеятельности
- •Общие положения
- •Охрана окружающей среды
- •Современные методы утилизации и переработки тбо
- •Канализация и сточные воды
- •Очистка бытовых сточных вод
- •Охрана труда и производственной безопасности
- •Микроклимат рабочего помещения
- •Вентиляция, отопление
- •Освещенность рабочего места
- •Расчет искусственного освещения
- •Уровень шума
- •Защита от электромагнитных излучений
- •Электробезопасность
- •Эргономические условия организации рабочего места
- •Пожарная безопасность
- •Экономика защиты информации
- •Стоимостные характеристики проектов по обеспечению информационной безопасности
- •Расчет затрат на реализацию процесса классификации объектов защиты
- •Общее описание системы
- •Расчет единовременных затрат
- •Расчет постоянных затрат
- •Расчет совокупной стоимости владения подсистемой классификации объектов защиты
- •Оценка экономической эффективности
- •Заключение
- •Список использованной литературы
Анализ подхода к классификации объектов защиты в соответствии со стандартами сто бр иббс
Стандарты СТО БР ИББС описывают подходы и предъявляют требования к проектированию систем обеспечения информационной безопасности, включающие:
системы информационной безопасности;
системы менеджмента информационной безопасности.
Требования, предъявляемые в стандартах СТО БР ИББС, обязательны для исполнения в организациях банковской сферы Российской Федерации.
Терминология. В стандартах СТО БР ИББС используется развернутая терминология. К классификации объектов защиты имеют отношение следующие термины [4]:
информация (сведения независимо от формы их представления);
документ (зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать);
информационный актив (документ, имеющий ценность для организации, находящийся в ее распоряжении, представленный на любом материальном носителе в пригодной для обработки, хранения и передачи форме);
объект среды информационного актива (материальный объект среды использования и/или эксплуатации информационного актива);
актив (все, что имеет ценность для организации, включая персонал, финансовые средства, оборудование, информацию, банковские процессы, а также банковские продукты и услуги).
Требования к организации процесса. В соответствии со стандартами СТО БР ИББС, системы менеджмента информационной безопасности представляют собой совокупность процессов, реализуемых в виде циклической модели Деминга: «планирование – реализация – проверка – совершенствование». Указанная модель предполагает непрерывную модернизацию процессов управления информационной безопасности, направленную на повышение их эффективности.
Областью действия систем обеспечения информационной безопасности (систем информационной безопасности и систем менеджмента информационной безопасности) являются защищаемые информационные активы, а также соответствующие им объекты среды, то есть оборудование, ПО и автоматизированные банковские системы.
Стандартом СТО БР ИББС 1.0 определяется необходимость составления описи структурированных по классам защищаемых информационных активов. При составлении описи устанавливаются связи между объектами защиты, в частности, связь между активами банковскими процессами (технологическими, платежными) и автоматизированными банковскими системами, используемыми для их автоматизации.
Все защищаемые информационные активы должны быть проклассифицированы по типам в соответствии со степенью тяжести последствии от потери их значимых свойств информационной безопасности (конфиденциальности, целостности и доступности). При этом в организации должен быть определен и поддерживаться в актуальном состоянии перечень типов информационных активов.
Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты:
полнота описания процесса и составляющих его процедур: низкая (процесс классификации не выделен, процедуры в рамках процесса не выделены);
полнота используемой терминологии: высокая;
однозначность используемого классификационного признака: недостаточная (не описаны пороговые значения, позволяющие отнести объект защиты к одному из выделенных классов);
однозначность выделенных классов объектов защиты: низкая;
гибкость подхода: высокая;
простота реализации процесса: высокая.