- •Кафедра систем информационной безопасности
- •Содержание
- •Список используемых сокращений
- •Аннотация
- •Введение
- •Анализ подходов к классификации объектов защиты в корпоративных информационных системах
- •Показатели для оценки подходов к классификации объектов защиты
- •Анализ подходов к классификации объектов защиты, описанных в российских и международных стандартах и стандартах
- •Анализ подхода к классификации объектов защиты в соответствии с гост р исо/мэк 17799-2005
- •Анализ подхода к классификации объектов защиты в соответствии со стандартами nist
- •Анализ подхода к классификации объектов защиты в соответствии со стандартами сто бр иббс
- •Анализ подхода к классификации объектов защиты в соответствии с библиотекой itil v3
- •Анализ подходов к классификации объектов защиты в организациях
- •Анализ подхода к классификации объектов защиты компании «Инфосистемы Джет»
- •Анализ подхода к классификации объектов защиты компании «Microsoft»
- •Анализ подхода к классификации объектов защиты в университете штата Массачусетс, сша
- •Сравнительный анализ подходов к классификации объектов защиты
- •Разработка методики классификации объектов защиты
- •Определение целей, задач и области действия процесса классификации объектов защиты
- •Цель и задачи процесса классификации объектов защиты
- •Область действия процесса классификации объектов защиты
- •Роли, выделяемые в рамках процесса классификации объектов защиты
- •Модель взаимодействия подсистемы классификации объектов защиты с подсистемами управления информационной безопасностью
- •Структура процесса классификации объектов защиты
- •Внедрение процесса классификации объектов защиты
- •Разработка организационно-распорядительной документации по классификации объектов защиты
- •Инициирование процесса классификации объектов защиты
- •Внедрение средств автоматизации процесса классификации объектов защиты
- •Обучение работников предприятия методологии классификации объектов защиты
- •Формирование порядковой шкалы уровней критичности объектов защиты
- •Функционирование процесса классификации объектов защиты
- •Планирование деятельности по классификации объектов защиты
- •Идентификация объектов защиты
- •Определение уровня критичности объектов защиты
- •Организация учета объектов защиты
- •Анализ эффективности и модернизация процесса классификации объектов защиты
- •Выработка требований к программному обеспечению подсистемы классификации объектов защиты
- •Требования к архитектуре программного обеспечения подсистемы классификации объектов защиты
- •Требования к регистрации и учету объектов защиты
- •Требования к определению уровня критичности объектов защиты
- •Требования к актуализации результатов классификации объектов защиты
- •Требования к конструированию отчетных форм и формированию отчетов
- •Безопасность жизнедеятельности
- •Общие положения
- •Охрана окружающей среды
- •Современные методы утилизации и переработки тбо
- •Канализация и сточные воды
- •Очистка бытовых сточных вод
- •Охрана труда и производственной безопасности
- •Микроклимат рабочего помещения
- •Вентиляция, отопление
- •Освещенность рабочего места
- •Расчет искусственного освещения
- •Уровень шума
- •Защита от электромагнитных излучений
- •Электробезопасность
- •Эргономические условия организации рабочего места
- •Пожарная безопасность
- •Экономика защиты информации
- •Стоимостные характеристики проектов по обеспечению информационной безопасности
- •Расчет затрат на реализацию процесса классификации объектов защиты
- •Общее описание системы
- •Расчет единовременных затрат
- •Расчет постоянных затрат
- •Расчет совокупной стоимости владения подсистемой классификации объектов защиты
- •Оценка экономической эффективности
- •Заключение
- •Список использованной литературы
Анализ подходов к классификации объектов защиты в организациях
Часто подходы в области информационной безопасности, применяемые негосударственными учреждениям, в отличие от подходов, описанных в стандартах, имеют четкую практическую направленность, они лучше продуманы и подробнее описаны.
Рассмотрим подходы к классификации объектов защиты следующих организаций:
«Инфосистемы Джет»;
«Microsoft»;
Университет штата Массачусетс, США.
Анализ подхода к классификации объектов защиты компании «Инфосистемы Джет»
Описание методологии классификации объектов защиты. Методология классификации объектов защиты компании «Инфосистемы Джет» удовлетворяет требованиям стандарта ГОСТ Р ИСО/МЭК 17799-2005.
В соответствии с методологией классификации объектов защиты, разработанной компанией «Инфосистемы Джет», [6] присвоение категорий безопасности информации и информационными системам производится на основе оценки ущерба, который может быть нанесен нарушениями безопасности.
Размер потенциального ущерба оценивается отдельно по трем основным аспектам информационной безопасности (конфиденциальность, целостность, доступность) с последующим расчетом интегральной оценки.
Размер ущерба оценивается по трехуровневой шкале:
высокий – потеря свойств ИБ информационных активов оказывает тяжелое или катастрофическое вредоносное воздействие на деятельность организации, ее активы и персонал;
умеренный – потеря свойств ИБ информационных активов оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал;
низкий – потеря свойств ИБ информационных активов оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал.
Для каждого уровня определены виды информации, вероятно относящиеся к нему. Дана развернутая характеристика уровней критичности, облегчающая задачу категорирования объектов защиты.
Стоит отметить, что методика компании «Инфосистемы Джет» предписывает классифицировать не только так называемую «пользовательскую» информацию (т.е. информационные активы, используемые при выполнении сотрудниками своих производственных задач), но также и системную (файлы конфигураций, системные файлы). К информационным активам при этом относятся как электронные документы, так и документы, закрепленные на материальном носителе.
Категорирование информационных систем осуществляется в соответствии с критичностью обрабатываемых и/или хранимых информационных активов, при этом информационной системе присваивается максимальный из уровней критичности информационных активов.
В соответствии с уровень критичности информационной системы, к ней применяются так называемые «регуляторы безопасности», представляющие собой набор требований по обеспечению информационной безопасности.
Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты:
полнота описания процесса и составляющих его процедур: недостаточная (процедура идентификации объектов защиты не описана);
полнота используемой терминологии: недостаточная (используется общеупотребительная терминология);
однозначность используемого классификационного признака: высокая;
однозначность выделенных классов объектов защиты: высокая;
гибкость подхода: высокая;
простота реализации процесса: недостаточная (не описан в полной мере порядок классификации объектов защиты).