- •Кафедра систем информационной безопасности
- •Содержание
- •Список используемых сокращений
- •Аннотация
- •Введение
- •Анализ подходов к классификации объектов защиты в корпоративных информационных системах
- •Показатели для оценки подходов к классификации объектов защиты
- •Анализ подходов к классификации объектов защиты, описанных в российских и международных стандартах и стандартах
- •Анализ подхода к классификации объектов защиты в соответствии с гост р исо/мэк 17799-2005
- •Анализ подхода к классификации объектов защиты в соответствии со стандартами nist
- •Анализ подхода к классификации объектов защиты в соответствии со стандартами сто бр иббс
- •Анализ подхода к классификации объектов защиты в соответствии с библиотекой itil v3
- •Анализ подходов к классификации объектов защиты в организациях
- •Анализ подхода к классификации объектов защиты компании «Инфосистемы Джет»
- •Анализ подхода к классификации объектов защиты компании «Microsoft»
- •Анализ подхода к классификации объектов защиты в университете штата Массачусетс, сша
- •Сравнительный анализ подходов к классификации объектов защиты
- •Разработка методики классификации объектов защиты
- •Определение целей, задач и области действия процесса классификации объектов защиты
- •Цель и задачи процесса классификации объектов защиты
- •Область действия процесса классификации объектов защиты
- •Роли, выделяемые в рамках процесса классификации объектов защиты
- •Модель взаимодействия подсистемы классификации объектов защиты с подсистемами управления информационной безопасностью
- •Структура процесса классификации объектов защиты
- •Внедрение процесса классификации объектов защиты
- •Разработка организационно-распорядительной документации по классификации объектов защиты
- •Инициирование процесса классификации объектов защиты
- •Внедрение средств автоматизации процесса классификации объектов защиты
- •Обучение работников предприятия методологии классификации объектов защиты
- •Формирование порядковой шкалы уровней критичности объектов защиты
- •Функционирование процесса классификации объектов защиты
- •Планирование деятельности по классификации объектов защиты
- •Идентификация объектов защиты
- •Определение уровня критичности объектов защиты
- •Организация учета объектов защиты
- •Анализ эффективности и модернизация процесса классификации объектов защиты
- •Выработка требований к программному обеспечению подсистемы классификации объектов защиты
- •Требования к архитектуре программного обеспечения подсистемы классификации объектов защиты
- •Требования к регистрации и учету объектов защиты
- •Требования к определению уровня критичности объектов защиты
- •Требования к актуализации результатов классификации объектов защиты
- •Требования к конструированию отчетных форм и формированию отчетов
- •Безопасность жизнедеятельности
- •Общие положения
- •Охрана окружающей среды
- •Современные методы утилизации и переработки тбо
- •Канализация и сточные воды
- •Очистка бытовых сточных вод
- •Охрана труда и производственной безопасности
- •Микроклимат рабочего помещения
- •Вентиляция, отопление
- •Освещенность рабочего места
- •Расчет искусственного освещения
- •Уровень шума
- •Защита от электромагнитных излучений
- •Электробезопасность
- •Эргономические условия организации рабочего места
- •Пожарная безопасность
- •Экономика защиты информации
- •Стоимостные характеристики проектов по обеспечению информационной безопасности
- •Расчет затрат на реализацию процесса классификации объектов защиты
- •Общее описание системы
- •Расчет единовременных затрат
- •Расчет постоянных затрат
- •Расчет совокупной стоимости владения подсистемой классификации объектов защиты
- •Оценка экономической эффективности
- •Заключение
- •Список использованной литературы
Анализ подхода к классификации объектов защиты компании «Microsoft»
Описание методологии классификации объектов защиты. Подход к классификации объектов защиты компании «Microsoft» описан в документе «Руководство по управлению рисками информационной безопасности» («The Security Risk Management Guide»).
В соответствии с данным подходом, процесс классификации объектов защиты включает процедуры идентификации активов и их последующего категорирования. Под активами Microsoft понимает все, что имеет ценность для компании с точки зрения бизнеса (бизнес-активы). В это понятие включаются [7]:
нематериальные активы (электронные документы, репутация компании);
материальные активы (бумажные документы, объекты физической инфраструктуры);
ИТ-сервисы, как совокупность материальных и нематериальных активов.
Идентификация активов осуществляется в привязке с решаемыми бизнес-задачами, при этом электронные активы идентифицируются в составе прикладных информационных систем.
Категорирования активов осуществляется их владельцами, сведения о которых должны быть получены на этапе их идентификации. Для категорирования активов, они объединяются в группы, состоящие из однородных элементов, в соответствии с реализуемыми бизнес-функциями (например, проведение онлайн-платежей, разработка программного обеспечения).
В соответствии с методикой компании Microsoft, классификационным признаком является ценность актива для организации (его роль для бизнеса). Ценность актива для организации определяется качественной шкалой:
высокая;
средняя;
низкая.
Для каждого из классов в методике определяется примерный перечень относящихся к нему видов информационных активов, который должен быть актуализирован в соответствии со спецификой бизнеса организации.
Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты:
полнота описания процесса и составляющих его процедур: недостаточная (процедура категорирования активов описана не в полной мере);
полнота используемой терминологии: недостаточная (используется общеупотребительная терминология);
однозначность используемого классификационного признака: низкая (не описаны методы оценки активов по выделенным классификационным признакам);
однозначность выделенных классов объектов защиты: низкая (не описаны пороговые значения, позволяющие отнести актив к одному из выделенных классов);
гибкость подхода: высокая;
простота реализации процесса: высокая.
Анализ подхода к классификации объектов защиты в университете штата Массачусетс, сша
Описание методологии классификации объектов защиты. Методика классификации объектов защиты университета штата Массачусетс разработана в соответствии с требованиями законодательства США и штата Массачусетс. Методика применяется для классификации информационных ресурсов, находящихся в собственности и/или ведении университета и служит для повышения уровня информационной безопасности.
В методике, принятой в университете штата Массачусетс, США, классификационными признаками являются [8]:
конфиденциальность информационного ресурса;
ценность информационного ресурса.
Выделяются следующие категории информационных ресурсов:
несекретные (широко доступная информация);
только для оперативного использования (данные, потеря, порча или несанкционированное разглашение которых может привести к любому коммерческому, финансовому или юридическому убытку; данные, предоставляемые с санкции владельца);
частные (данные, потеря, порча или несанкционированное разглашение которых может привести к любому коммерческому, финансовому или юридическому убытку; данные, связанные с вопросами личного доверия, репутации и другими вопросами неприкосновенности частной жизни);
ограниченного пользования (данные, потеря, порча или несанкционированное разглашение которых может привести к нанесению ущерба коммерческим или исследовательским функциям Университета);
конфиденциальные (данные, потеря, порча или несанкционированное разглашение которых может привести к нарушению федеральных законов/положений, законов/положений штата или университетских контрактов).
При этом, совокупности данных (например, базы данных) должны классифицироваться на уровне самого высокого уровня защиты, а информационные ресурсы, содержащиеся в одной системе, должны быть отнесены к самым конфиденциальным данным в системе.
Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты:
полнота описания процесса и составляющих его процедур: низкая (процедуры в рамках процесса не выделены, методология идентификации активов не описана);
полнота используемой терминологии: недостаточная (используется общеупотребительная терминология);
однозначность используемого классификационного признака: недостаточная (не все признаки имеют однозначное толкование);
однозначность выделенных классов объектов защиты: высокая;
гибкость подхода: низкая (выделенные классы применимы только для образовательных учреждений);
простота реализации процесса: недостаточная.