Объекты обеспечения ИБ
«27000»:
•объектом защиты является активы
организации;
•активы могут рассматриваться только в
контексте целей деятельности организации, но не как иначе;
•основной целью деятельности службы ИБ
организации является содействие бизнесу целям деятельности организации.
Примеры активов, относящихся к основным бизнес процессам:
•Информационная система организации– информационные активы,
программно-аппаратное обеспечение (среда обработки информации), технологический процесс, реализуемый ИС;
Примеры уязвимостей активов, относящихся к основным бизнес
процессам:
•Информационная система организации - свойства программно-
аппаратного обеспечения, особенности функционирования ИС, особенности технологического процесса, реализуемого ИС.
Примеры свойств активов, подлежащих защите:
•Информационная система организации - целостность, доступность
и конфиденциальность (информационные активы), целостность, доступность (программно-аппаратное обеспечение ИС), непрерывность технологического процесса, реализуемого ИС. 11
Объекты обеспечения ИБ
«27000»:
•объектом защиты является активы
организации;
•активы могут рассматриваться только в
контексте целей деятельности организации, но не как иначе;
•основной целью деятельности службы ИБ
организации является содействие бизнесу целям деятельности организации.
Примеры активов, относящихся к основным бизнес процессам:
•Локальная сеть (ЛС)– информационные активы, программно-
аппаратное обеспечение ЛС (среда обработки информации), технологический процесс, реализуемый ЛС;
Примеры уязвимостей активов, относящихся к основным бизнес
процессам:
•Локальная сеть - свойства программно-аппаратного обеспечения
ЛС, особенности функционирования ЛС, особенности технологического процесса, реализуемого ЛС.
Примеры свойств активов, подлежащих защите:
•Локальная сеть - целостность, доступность и конфиденциальность
(информационные активы в ЛС), целостность, доступность (программно-аппаратное обеспечение ЛС), непрерывность функционирования технологического процесса, реализуемого ЛС.
12
Объекты обеспечения ИБ
«27000»:
•объектом защиты является активы
организации;
•активы могут рассматриваться только в
контексте целей деятельности организации, но не как иначе;
•основной целью деятельности службы ИБ
организации является содействие бизнесу целям деятельности организации.
Примеры активов, относящихся к основным бизнес процессам:
•Одиночный компьютер (ПЭВМ)– информационные активы, программно-
аппаратное обеспечение ПЭВМ (среда обработки информации), технологический процесс, реализуемый ПЭВМ;
Примеры уязвимостей активов, относящихся к основным бизнес
процессам:
•Одиночный компьютер - свойства программно-аппаратного обеспечения
ПЭВМ, особенности функционирования ПЭВМ, особенности технологического процесса, реализуемого ПЭВМ.
Примеры свойств активов, подлежащих защите:
•Одиночный компьютер - целостность, доступность и
конфиденциальность (информационные активы в ПЭВМ), целостность, |
|
доступность (программно-аппаратное обеспечение ПЭВМ), |
|
непрерывность функционирования технологического процесса, |
|
реализуемого ПЭВМ. |
13 |
Объекты обеспечения ИБ
«27000»:
•объектом защиты является активы
организации;
•активы могут рассматриваться только в
контексте целей деятельности организации, но не как иначе;
•основной целью деятельности службы ИБ
организации является содействие бизнесу
целям деятельности организации.
Примеры информационных активов (ИА)
Свойства ИА, подлежащих защите:
Основные: Конфиденциальность (К), Целостность (Ц), Доступность (Д) Дополнительные: – аутентичность/подлинность; функциональность/адекватность; учетность; неотказуемость. Классификация информации (приоритеты свойств ИА, подлежащих защите):
•Открытая информация (Ц, Д);
•Информация ограниченного доступа (Ц, Д, К);
•Информация отнесенная к коммерческой тайне (К, Ц, Д);
•Информация отнесенная к служебной тайне (К, Ц, Д);
•Персональные данные (К, Ц, Д);
•Информация отнесенная к государственной тайне (К, Ц, Д)
•Информация отнесенная к ……………………… тайне (К, Ц, Д);
14
Объекты обеспечения ИБ
«27000»:
•объектом защиты является активы
организации;
•активы могут рассматриваться только в
контексте целей деятельности организации, но не как иначе;
•основной целью деятельности службы ИБ
организации является содействие бизнесу целям деятельности организации.
Еще одна классификация активов:
1. человеческие ресурсы;
2. информационные активы (открытая и конфиденциальная информация); 3. программные ресурсы (программные продукты, базы данных,
корпоративные сервисы, например, 1С, Банк-клиент и др, а также зависимое аппаратное обеспечение); 4. физические ресурсы (сервера, рабочие станции, сетевое и
телекоммуникационное оборудование, в том силе мобильные устройства); 5. сервисные ресурсы (электронная почта, веб ресурсы, онлайн-
хранилища, каналы передачи данных и т.п.); 6. помещения (в которых обрабатывается и хранится информация).
15
Объекты обеспечения ИБ
«27000»:
•объектом защиты является активы
организации;
•активы могут рассматриваться только в
контексте целей деятельности организации, но не как иначе;
•основной целью деятельности службы ИБ
организации является содействие бизнесу целям деятельности организации.
Еще одна классификация активов (для банков):
– платежная информация;
– финансово - аналитическая информация;
– служебная информация;
– управляющая информация общего и специального назначения;
– справочная информация;
– информация операционной и телекоммуникационной среды.
16
Объекты обеспечения ИБ
«27000»:
•объектом защиты является активы
организации;
•активы могут рассматриваться только в
контексте целей деятельности организации, но не как иначе;
•основной целью деятельности службы ИБ
организации является содействие бизнесу целям деятельности организации.
Проблемы:
1.Определение ценности активов (вербально, в финансовом выражении).
2.Определение степени тяжести последствий атак на активы при реализации угроз (вербально, в финансовом выражении).
17
Объекты обеспечения ИБ
Проблемы:
2.Определение степени тяжести последствий (СТП)атак на активы при реализации угроз (вербально, в финансовом выражении).
СТП нарушения ИБ рекомендуется оценивать на основании экспертных заключений по следующим направлениям:
–степень влияния на непрерывность деятельности организации;
–объем финансовых и материальных затрат, необходимых для
восстановления свойств ИБ для информационного актива и ликвидации последствий нарушения ИБ;
– объем дополнительных людских ресурсов, необходимых для восстановления свойств ИБ для информационного актива и ликвидации последствий нарушения ИБ;
–объем дополнительных временных затрат, необходимых для восстановления свойств ИБ для информационного актива и ликвидации последствий нарушения ИБ;
–степень нарушения законодательных требований и(или) договорных обяза-тельств организации;
–степень нарушения требований регулирующих и контролирующих
(надзорных) органов в области ИБ.
СТП нарушения ИБ должна определяться на основе экспертного оценивания
18
Объекты обеспечения ИБ
«ФСТЭК»:
• объектом защиты является объект информатизации
«Объект информатизации» - Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения переговоров
Объект информатизации = актив
19
Объекты обеспечения ИБ
В качестве основных видов ОИ рассматриваются:
а) автоматизированные рабочие места и информационные системы (ИС)
- автоматизированные рабочие места без подключения к внешним информационным системам, в том числе к сетям общего пользования;
- автоматизированные рабочие места с подключением к внешним информационным системам, в том числе к сетям общего пользования;
- локальные ИС без подключения к внешним ИС, в том числе к сетям общего пользования;
- локальные ИС с подключением к внешним ИС, в том числе к сетям общего пользования;
- распределенные ИС без подключения к внешним информационным системам и сетям общего пользования; - распределенные ИС с подключением к внешним информационным системам и сетям общего пользования;
б) средства изготовления и размножения документов, использующие методы обработки информации, не предусматривающие использование ЭВМ;
в) средства обработки речевой и видовой информации, эксплуатация которых не предусматривает использование ЭВМ;
г) выделенные (защищаемые) помещения.
20
Объект информатизации = актив