Náš život sa neustále komplikuje vo všetkých oblastiach. Existujú nové a bezprecedentné prístupy, technológie, aktíva. Pre moderné veľké podniky zohrávajú informačné aktíva dôležitú úlohu. Čo sú zač?
Skôr než prejdeme k hlavnej téme, dotknime sa nevyhnutného teoretického minima. Totiž, bavme sa o informáciách. Je to jeden z najdôležitejších výrobných aktív, od ktorého vo veľkej miere závisí efektívnosť podniku a jeho životaschopnosť. Môže to byť tajomstvo vytvorenia určitého produktu a interné finančné údaje. Každá viac či menej veľká organizácia má svoje vlastné informačné aktíva, v súvislosti s ktorými je veľmi nežiaduce, aby sa dostali do rúk tretích strán. Preto sú problémy so skladovaním a bezpečnosťou akútne.
Ak chcete úspešne zvládnuť všetky prezentované údaje, musíte vedieť niekoľko vecí:
Ako iste chápete, dôležité sú nielen jednotlivé čísla a ich vysvetlenia, ale aj schopnosť ich rýchleho používania, ochrana pred neoprávneným prístupom a množstvo ďalších bodov. Pri identifikácii a tvorbe informačných aktív podniku je akútna otázka ich správnej klasifikácie s následnou bezpečnosťou. prečo presne? Faktom je, že pomocou klasifikácie je možné zostaviť kľúčové metriky pre použité informácie - ich hodnotu, silu vplyvu na podnik, požiadavky na poskytovanie / údržbu / ochranu a podobne. Do veľkej miery to závisí od toho, ako budú údaje spracované a chránené. Okrem toho existuje množstvo regulačných noriem, ktoré stanovujú povinný súpis informačných aktív organizácie. Aj keď na to neexistuje jednotný postup.
Prístup k údajom závisí od podmienok, v ktorých a s čím máme do činenia. Zvážte informačné aktíva na príklade súkromného podniku. Klasifikácia sa vykonáva s cieľom poskytnúť diferencovaný prístup k údajom, berúc do úvahy úroveň ich kritickosti, ktorá ovplyvňuje činnosť, reputáciu, obchodných partnerov, zamestnancov a zákazníkov. To vám umožňuje určiť ekonomickú realizovateľnosť a prioritu rôznych opatrení na vytvorenie informačnej bezpečnosti podniku. V súlade s právnymi predpismi Ruskej federácie existujú:
Ako hodnotiť ich dôležitosť? Na tento účel sa používajú špeciálne modely. Poďme sa na ne pozrieť bližšie.
Dva najbežnejšie sú:
Aby bolo hodnotenie informačných aktív čo najefektívnejšie a posunulo sa od kvantity ku kvalite, môžete zaviesť triedy, ktoré budú odrážať hodnotu údajov a úroveň požiadaviek na ne. V takýchto prípadoch zvyčajne rozlišujú:
Takéto informácie možno podmienečne rozdeliť do niekoľkých kategórií. Prvé dva sa používajú v obchodných štruktúrach, zvyšok spravidla výlučne štát:
Pozrime sa na jeden z možných algoritmov:
Toto je spôsob, akým tento cenný majetok prechádza pred jeho klasifikáciou. Informačná bezpečnosť, verte mi, zohráva významnú úlohu a nemali by ste ju zanedbávať. Zároveň treba venovať značnú pozornosť životnému cyklu. Čo to je? Životný cyklus- ide o súbor určitých období, po ktorých význam objektu spravidla klesá. Obvykle je možné rozlíšiť nasledujúce fázy:
To je snáď všetko. Aké údaje sú uložené - informačná základňa majetku alebo niečo iné - nezáleží na tom. Hlavná vec je zabezpečiť dôvernosť, dostupnosť, integritu. Potom sa nemusíte obávať o svoju povesť a zvažovať straty.
V tomto článku sme sa pokúsili popísať problém ochrany informačných aktív pred útokom zvnútra siete a poskytnúť odporúčania, ako zabrániť krádeži duševného vlastníctva podniku. Nami testovaná utilita umožnila uviesť do praxe teoretické tvrdenia o bezpečnosti informácií v rámci spoločnosti.
Úvod
Jedným z najdôležitejších dôvodov pre vytvorenie politiky počítačovej bezpečnosti je presvedčenie, že peniaze vynaložené na bezpečnosť pomôžu spoločnosti chrániť cennejšie informácie.
V dnešnej dobe biznis firiem priamo súvisí s informačnými technológiami, pre mnohých sú práve informácie hlavným prostriedkom na získavanie peňazí. Netreba dodávať, že ako každý hmotný majetok, aj informačné aktíva musia byť zabezpečené. Vysoká profesionalita útočníka a jeho nedostatok medzi používateľmi nehovorí v prospech úrovne ochrany informácií a robí vašu spoločnosť, ako aj celé vaše podnikanie, zraniteľnou. Ale, žiaľ, je to len časť problému, ktorý musí vyriešiť bezpečnostné oddelenie a správca systému. Podľa štúdie spoločnosti Ernst & Young z roku 2003 bol pre spoločnosti najväčším hitom malvér a nevhodné správanie zamestnancov. Nikdy si nemôžete byť stopercentne istí, že zamestnanec pracujúci s cennými informáciami ich neukradne alebo nezničí. Podľa RFC 2196 sú informačné aktíva vystavené nasledujúcim hrozbám:
K údajom je veľmi často oveľa jednoduchší prístup zvnútra ako zvonka siete. Mnohí správcovia chránia svoju sieť pred útokmi neznámych útočníkov pomocou rôznych systémov detekcie narušenia, firewallov, pričom zabúdajú, že používatelia ich siete môžu spôsobiť oveľa väčšie škody na informačnom majetku.
2. Neúmyselné a/alebo neoprávnené zverejnenie informácií
Hovoríme tu o používateľoch, ktorí môžu náhodne alebo úmyselne odhaliť dôležité informácie o bezpečnostnej politike útočníkovi alebo dokonca preniesť dôverné údaje do rúk crackerov.
3. Odmietnutie služby
Uvedenie majetku do nefunkčného stavu v dôsledku neúmyselných alebo špeciálnych akcií používateľov (vymazanie, poškodenie súboru alebo viacerých súborov spoločnej databázy)
Pozrime sa na možnosti ochrany pred týmito hrozbami podrobnejšie.
V tomto článku sa budeme zaoberať druhou hrozbou, pretože práve pred touto hrozbou je najťažšie chrániť informačné aktíva.
Pre bezpečnosť informačných aktív sa používajú komplexné ochranné opatrenia:
Hardvér(sniffery, smerovače, prepínače)
Program(sniffery, filtre obsahu, systémy detekcie narušenia)
Hardvér(video monitorovacie systémy, počúvanie atď.)
Program(keyloggery, monitorovacie systémy atď.)
Hardvér
Program
Pochopenie incidentu
Pre správcu systému a bezpečnostného pracovníka je pochopenie incidentu a ochrana pred ním najdôležitejším prostriedkom v boji o podnikové informačné zdroje.
Používatelia, ktorí pracujú s dôležitá informácia, sú objektmi pozorovania pre bezpečnostnú službu. Kontrolu nad používateľskými poštovými správami, používaním internetu, pokusmi o prístup k zdrojom je možné vykonávať pomocou rôznych snifferov, systémov detekcie narušenia, všetkých druhov protokolových súborov atď. Ako však identifikovať narušiteľa, ktorý sa pokúša ukradnúť informačné aktíva ich zápisom na vymeniteľné médium? Auditovanie súborov a priečinkov nezistí jednoduchú operáciu skopírovania obsahu tajného súboru do nového.
Ochrana pred krádežou informácií. DeviceLock.
Tento článok pojednáva o riešení na ochranu informačných aktív pomocou pomôcky DeviceLock.
Nástroj SmartLine DeviceLock umožňuje ovládať prístup k rôznym zariadeniam v systéme: diskové jednotky, magnetické optické disky, CD-ROM, ZIP, USB, FireWire, sériové a paralelné porty, adaptéry WiFi a Bluetooth atď.
Vlastnosti softvéru:
Verzia: 5.52
Platformy: Windows NT 4.0/2000/XP/2003
Diaľkové ovládanie: Áno
Vzdialená inštalácia: Áno
Interakcia s Active Directory: Áno
Zvyčajne sa počítače kupujú so štandardným hardvérom, ktorý zahŕňa porty USB, jednotku CD-ROM alebo CD-RW, sériové a paralelné porty atď., čo umožňuje používateľovi jednoducho použiť jedno z týchto zariadení na kopírovanie informácií. Môžete si s tým poradiť hardvérom aj softvérom, uprednostňuje sa to druhé, pretože často je potrebné vytvoriť politiku prístupu k takýmto zdrojom pre každého jednotlivého používateľa.
1. Inštalácia
Pomôcka podporuje tri typy inštalácie: konvenčnú inštaláciu s grafickým rozhraním, inštaláciu pomocou Microsoft Systems Management Server (SMS), inštaláciu z príkazového riadku.
Na inštaláciu pomocou servera Microsoft Systems Management Server by ste mali použiť súbory, ktoré sú v archíve sms.zip distribúcie.
Inštalácia pomocou príkazového riadku:
Pre tento typ inštalácie je dôležité, aby sa konfiguračný súbor devicelock.ini nachádzal v rovnakom adresári ako súbor setup.exe
Syntax súboru Devicelock.ini:
kľúč | Parameter | Popis |
Disketa | 1 alebo 0 | Zakazuje prístup ku všetkým jednotkám. |
Odnímateľné | 1 alebo 0 | Zakazuje prístup ku všetkým vymeniteľným médiám. |
CDROM | 1 alebo 0 | Zakazuje prístup ku všetkým zariadeniam CD-ROM |
sériový | 1 alebo 0 | Zakazuje prístup ku všetkým sériovým portom |
paralelný | 1 alebo 0 | Zakazuje prístup ku všetkým paralelným portom |
páska | 1 alebo 0 | Zakazuje prístup ku všetkým magnetofónom |
USB | 1 alebo 0 | Zakazuje prístup ku všetkým zariadeniam USB |
IRDA | 1 alebo 0 | Zakazuje prístup ku všetkým zariadeniam IRDA. |
firewire | 1 alebo 0 | Zakazuje prístup ku všetkým portom IEEE 1394 |
Bluetooth | 1 alebo 0 | Zakazuje prístup ku všetkým adaptérom Bluetooth |
WiFi | 1 alebo 0 | Zakazuje prístup ku všetkým adaptérom WiFi |
Vytvoriť skupiny | 1 alebo 0 | Vytvára lokálne skupiny pre každý typ zariadenia |
Prístup k... | (Názov používateľa alebo skupiny s plnými prístupovými právami k zariadeniu) | Umožňuje individuálny prístup používateľa pre každý typ zariadenia |
CtrlUSBHID | 1 alebo 0 | Ovláda USB porty pre klávesnicu, myš... |
CtrlUSBPrint | 1 alebo 0 | Ovláda USB porty pre tlačiarne, skenery |
CtrlUSBBth | 1 alebo 0 | Ovláda USB Bluetooth adaptéry |
CtrlFWNet | 1 alebo 0 | Ovláda USB a FireWire sieťové adaptéry |
servis | 1 alebo 0 | Nainštaluje službu DeviceLock |
manažér | 1 alebo 0 | Nainštaluje správcu pre DeviceLock |
Dokumenty | 1 alebo 0 | Nainštaluje dokumentáciu k programu |
InstallDir | (cesta k adresáru) | Určuje cestu k inštalačnému adresáru |
RegFileDir | (cesta k súboru) | Určuje cestu k licenčnému kľúču |
Bežať | (cesta k súboru) | Ak je inštalácia úspešná, spustí aplikáciu |
Príklad konfiguračného súboru devicelock.ini:
;Konfigurácia pre inštaláciu DeviceLock na počítačoch používateľov:
AccessToFloppy= Doména\privilegované
AccessToRemovable= Doména\privilegované
AccessToCDROM= Doména\privilegované
AccessToUSB=Doména\privilegované
InstallDir=C:\Program files\devicelock\
RegFileDir=C:\RegistrationKey\xxxxxx
Ak chcete program nainštalovať v tomto režime, spustite súbor setup.exe pomocou klávesu /s (tichý).
D:\Distributives\DeviceLock\setup.exe /s
Bohužiaľ, počas procesu inštalácie vám pomôcka umožňuje vytvárať iba lokálne skupiny používateľov. Ak máte doménovú sieť, je oveľa pohodlnejšie vytvárať skupiny pre celú doménu. Na tento účel použite modul Active Directory Users and Computers: dsa.msc alebo pomôcku net group.
2. Použitie. Možnosti programu.
Aby program správne fungoval, musia byť na počítačoch vo vašej sieti otvorené nasledujúce porty:
Pomocou správcu DeviceLock sa pomôcka nainštaluje na požadované počítače v sieti dvojitým kliknutím na objekt. Správa sa vykonáva centrálne zo stroja, na ktorom je nainštalovaný manažér
Politiky prístupu pre konkrétne zariadenie sa definujú pomocou dialógového okna Povolenia, ktoré sa vyvolá dvojitým kliknutím ľavého tlačidla myši na zariadení alebo cez ponuku Súbor->Nastaviť povolenia.
Pomôcka vám umožňuje spravovať prístup pre skupiny aj jednotlivých používateľov. Možné typy prístup k zariadeniu:
Postupom času je tiež možné spravovať prístup používateľov k zariadeniam.
Povolenia Allow Eject sú platné iba pre programové vysunutie média zo zariadenia, preto podľa nášho názoru nie je takéto pravidlo špeciálne potrebné, pretože používateľ môže kedykoľvek stlačiť tlačidlo jednotky a vybrať alebo vložiť médium.
Všimnite si, že politika prístupu je priradená celej skupine zariadení, nie jednému zariadeniu. Tie. ak sú na stroji 2 zariadenia CD-ROM, nie je možné, aby jeden používateľ vytvoril rôzne povolenia pre každé zariadenie.
Program umožňuje súčasne vytvárať politiky pre konkrétny typ zariadenia na všetkých počítačoch v sieti. Ak to chcete urobiť, použite dialógové okno Povolenia dávky (Súbor->Povolenia dávky).
Výhody programu:
1. Umožňuje vytvárať pravidlá prístupu k zariadeniu, vďaka čomu je nevyhnutné v prostredí, kde sa vyžaduje prísna kontrola nad informačnými aktívami
2. Jednoduchá manipulácia
3. Nevyžaduje veľké zdroje na prácu
nedostatky:
1. Mierne nepohodlné rozhranie
2. Bolo by pekné nastaviť povolenia pre každé zariadenie a nie pre skupinu zariadení. Napríklad virtuálny CD-ROM a fyzický disk sú rozpoznané ako rovnaká skupina zariadení, čo zabraňuje tomu, aby niektorým používateľom bol odopretý prístup na čítanie fyzického zariadenia.
Záver
V tomto článku sme sa pokúsili popísať problém ochrany informačných aktív pred útokom zvnútra siete a poskytnúť odporúčania, ako zabrániť krádeži duševného vlastníctva podniku. Nami testovaná utilita umožnila uviesť do praxe teoretické tvrdenia o bezpečnosti informácií v rámci spoločnosti.
Cieľ.
Analýza informačných zdrojov používaných spoločnosťou a vypracovanie koncepčného rámca pre činnosti na zabezpečenie informačnej bezpečnosti spoločnosti.
Úlohy.
1. Stanoviť okruh informačných zdrojov a zhodnotiť ich význam pre podnik ako celok a jeho štrukturálne divízie.
2. Identifikujte druhy a odrody tajomstiev, ktoré sa používajú pri činnosti spoločnosti.
3. Posúdiť riziká informačnej bezpečnosti.
Poradie registrácie.
1. Písmo Arial 10. Medzery 1. Okraje sú štandardné. Strany práce by mali byť očíslované v hornej časti. Formát dokumentu - MS Office
2. Práce v elektronickej podobe sa zasielajú na email učiteľ:
[chránený e-mailom]
Predmetom listu je „Laboratórna informačná bezpečnosť / celé meno študenta – skupina“. V tele listu musíte duplikovať celé meno a skupinu.
3. Termín odovzdania laboratórneho workshopu: 2. novembra. Workshopy odoslané po tomto termíne nebudú započítané. V prípade identifikácie diel, ktorých text sa zhoduje, sa žiadne z nich nepočíta.
Cvičenie 1.
Popis spoločnosti a jej štruktúrnych divízií
1. Zadajte názov spoločnosti a adresu jej podnikovej webovej stránky.
2. Popíšte činnosť spoločnosti, jej smerovanie a obchodné ciele.
3. Popíšte hlavné ukazovatele výkonnosti podniku, charakterizujte jeho rozsah (5-6 ukazovateľov) a uveďte ich číselné hodnoty na určité obdobie alebo dátum;
4. V MS Visio alebo inom grafickom editore zostavte funkčnú blokovú schému firmy vo vybranej možnosti. Detailing na úroveň oddelení.
5. Zostavte schému, ktorá charakterizuje architektúru podnikovej IT siete, jej softvérových a hardvérových komponentov.
Ak máte problémy s výberom spoločnosti na analýzu, použite zoznam spoločností v prílohe 1 na konci súboru.
Popis spoločnosti by nemal zaberať viac ako 1 stranu.
Úloha 2.
Definícia nomenklatúry informačných aktív
a. Určiť základné zraniteľnosti a hrozby v oblasti informačnej bezpečnosti pre činnosť spoločnosti.
b. Pre každú štrukturálnu jednotku definujte informačné aktíva. Vyplniť stôl 1.
stôl 1
Na vyplnenie tohto odseku si musíte pozorne prečítať odsek 5 normy GOST R ISO / IEC 17799-2005 (dodatok 2). Aspoň tri aktíva.
Úloha 3.
Určenie nomenklatúry typov a odrôd tajomstiev
a. Určte zoznam informácií, ktoré sa používajú pri činnosti spoločnosti, a vytvorte tajomstvá rôznych typov a odrôd.
b. Pre každý typ (odrodu) tajomstiev vyplňte Tabuľka 2. Prvý riadok tabuľky zobrazuje podmienený príklad.
tabuľka 2
Druh (odroda) tajomstva | Obsah informácií tvoriacich tajomstvo | Ktoré informačné aktívum obsahuje zodpovedajúce údaje | Počet užívateľov (P), pracovísk (WP), pobočiek (F) zapojených do spracovania CI | Najvýznamnejšie DF pre každú položku (v zostupnom poradí dôležitosti) | Na akom médiu sú distribuované príslušné údaje |
Osobné údaje | Informácie o zamestnancovi | Databáza 1C | Oddelenie ľudských zdrojov - 2P, 2RM Účtovníctvo - 2P, 1RM | ||
Musia byť uvedené minimálne TRI tajomstvá. Pre každý tajný údaj by sa mali uviesť ŠPECIFICKÉ DF a médiá
Úloha 4.
Pre informačné aktíva definujte:
podmienky prieskumného kontaktu (uveďte konkrétne podmienky);
· metódy prístupu k vyťaženým informáciám (definovať konkrétne metódy);
metódy získavania informácií na diaľku (uveďte konkrétne metódy);
zóna, v ktorej sa má majetok nachádzať (uveďte konkrétnu zónu).
Vyplniť Tabuľka 3.
Tabuľka 3
Úloha 5
Určiť najnebezpečnejšie kanály úniku informácií, metódy a prostriedky na zabránenie úniku informácií. Vyplniť Tabuľka 4. Špecifikujte konkrétne kanály, spôsoby a prostriedky. Abstraktné odporúčania (byť pozorný, opatrný, rozvážny atď.) sa nepočítajú.
Tabuľka 4
Bodovanie:
· za správne a úplne vyplnenú tabuľku 1 - 7 bodov;
· za správne a úplne vyplnenú tabuľku 2 - 8 bodov;
· za správne a úplne vyplnenú tabuľku 3 - 12 bodov;
· za správne a úplne vyplnenú tabuľku 4 - 11 bodov;
· za splnenú úlohu 1 - 2 body (udeľujú sa pri vyplnení aspoň dvoch tabuliek).
Príloha 1
Možnosti spoločnosti:
1. Moskovská finančná a priemyselná univerzita "Synergia".
2. Spoločnosť sa zaoberá maloobchodným predajom multimediálnych produktov
3. Spoločnosť sa zaoberá poskytovaním logistických služieb
4. Spoločnosť sa venuje vzdelávacej činnosti
5. Firma sa zaoberá výrobou nábytku
6. Spoločnosť je cestovná kancelária
7. Spoločnosť sa zaoberá poskytovaním služieb v oblasti zdravotníckych činností
8. Spoločnosť vyvíja nástroje informačnej bezpečnosti
9. Firma sa zaoberá výrobou polygrafických produktov
10. Spoločnosť poskytuje služby pre zber maloobchodných zariadení
11. Spoločnosť vyvíja a udržiava priemyselný softvér
12. Spoločnosť sa zaoberá filmovou distribúciou filmov
13. Spoločnosť sa zaoberá vydávaním kníh
14. Spoločnosť sa zaoberá vydávaním časopisov (Vydavateľstvo)
15. Spoločnosť sa pripája na internet a IP telefóniu
16. Spoločnosť vyvíja a spravuje webové stránky
17. Spoločnosť sa zaoberá výrobou POS terminálov
18. Spoločnosť sa zaoberá rezerváciou hotelov v Rusku
19. Spoločnosť sa zaoberá rezerváciou a doručovaním železničných a leteniek.
20. Firma sa zaoberá lokalizáciou softvérové produkty
21. Spoločnosť sa zaoberá replikáciou optických diskov
Dodatok 2
Klasifikácia aktív súvisiacich s informačné systémy
Opis majetku poskytuje záruku, že majetok je účinne chránený a môže byť potrebný aj na účely bezpečnosti práce, poistenia alebo financií (správa majetku). Proces inventarizácie aktív je dôležitým aspektom riadenia rizík. Organizácia by mala byť schopná identifikovať svoje aktíva na základe ich relatívnej hodnoty a dôležitosti. Na základe týchto informácií môže organizácia poskytnúť požadovanú úroveň ochrany zodpovedajúcu hodnote a dôležitosti aktív. Mali by sa vytvárať a udržiavať zásoby dôležitých aktív spojených s každým informačným systémom. Každý majetok musí byť jasne identifikovaný a klasifikovaný z hľadiska bezpečnosti, jeho vlastníci musia byť autorizovaní a ich údaje musia byť zdokumentované. Okrem toho musí byť uvedené skutočné miesto, kde sa majetok nachádza (je to dôležité v prípade vymáhania majetku v prípade straty alebo poškodenia). Príklady aktív súvisiacich s informačnými systémami sú:
Informačné aktíva: databázy a dátové súbory, systémová dokumentácia, používateľské príručky, vzdelávacie materiály, postupy prevádzky alebo podpory (údržby), plány na zabezpečenie kontinuity fungovania informačnej podpory, postupy riešenia porúch, archivované informácie;
Softvérové aktíva: aplikačný softvér, systémový softvér, vývojové nástroje a pomôcky;
Fyzický majetok: počítačové vybavenie (procesory, monitory, prenosné počítače, modemy), komunikačné zariadenia (smerovače, súkromné automatické telefónne ústredne s prístupom do verejnej siete, faxy, záznamníky), magnetické médiá (pásky a disky), iné technické zariadenia (napájanie, klimatizácie), nábytok, priestory;
Služby: výpočtové a komunikačné služby, zákl verejné služby napríklad kúrenie, osvetlenie, elektrina, klimatizácia.
Pozrime sa stručne na moderné problémy identifikácie aktív a externého hodnotenia (certifikácie) systémov riadenia informačnej bezpečnosti (ISMS) v súlade s požiadavkami GOST R ISO / IEC 270011 a STO Gazprom série 4.22. Pri implementácii iba požiadaviek STO Gazprom série 4.2 môže dôjsť k opomenutiam v procese analýzy rizík informačnej bezpečnosti (IS), fragmentárnej identifikácie a hodnotenia časti aktív - iba predmetov ochrany (OP), a následne - pri výbere primeraný zoznam opatrení (prostriedkov) na zabezpečenie informačnej bezpečnosti
MDT 004.94
Metodika stanovenia aktív pri implementácii a certifikácii ISMS v súlade s požiadavkami GOST R ISO / IEC 27001-2006 a STO Gazprom série 4.2
I.I. Livshits, Ph.D., vedúci inžinier, Gazinformservis LLC
Kľúčové slová
informačná bezpečnosť (IS); systém riadenia informačnej bezpečnosti (ISMS); informačný bezpečnostný systém (ISIS); predmet ochrany (OZ); audit; PDCA cyklus; Riadenie rizík.
Kľúčové slová:
Informačná bezpečnosť (IT-Security); Systém riadenia informačnej bezpečnosti (ISMS); Systém poskytovania informačnej bezpečnosti (ISPS); ochrana objektu (ObP); audit;cyklus PDCA;manažment rizík.
anotácia
Táto publikácia stručne pojednáva o aktuálnych problémoch identifikácie aktív a certifikácie systémov manažérstva informačnej bezpečnosti (ISMS) v súlade s požiadavkami GOST R ISO / IEC 27001 série a priemyselnými štandardmi STO Gazprom Information Security System 4.2 série (ISMS). Navrhuje sa prístup k tvorbe modelov a metód na identifikáciu, identifikáciu a klasifikáciu hrozieb informačnej bezpečnosti (IS) pre chránené aktíva rôzneho typu. Hlavná pozornosť je venovaná ťažkostiam pri kombinovaní požiadaviek dvoch rôznych štandardizačných systémov (GOST R ISO / IEC a IS Maintenance System), čo môže spôsobiť ťažkosti pri identifikácii a hodnotení aktív ISMS, ako aj pri plánovaní a úspešnom vykonaní certifikácie. audit.
Toto vydanie stručne pokrýva aktuálne problémy identifikácie majetku a certifikácie systémov manažérstva informačnej bezpečnosti (ISMS) v súlade s požiadavkami noriem GOST R ISO/IEC27001 série noriem a systémom poskytovania priemyselnej bezpečnosti informácií STO Gazpromseries4.2 (ISPS). Navrhovaný prístup poskytujúci vývoj modelov a metód detekcie, identifikácie a klasifikácie hrozieb narušenia informačnej bezpečnosti (IS) pre rôzne typy aktív. Zameriava sa na ťažkosti pri zosúlaďovaní požiadaviek dvoch rôznych systémov na normalizáciu (ISMS a ISPS), ktoré môžu spôsobiť ťažkosti pri identifikácii a hodnotení aktív ISMS, ako aj pri úspešnom plánovaní a certifikácii audit.
Úvod
Problém implementácie efektívneho ISMS v súlade s požiadavkami série GOST R 27001 je pomerne známy. Požiadavky na vykonávanie auditov systémov manažérstva (MS) sú stanovené v známej norme. V mnohých zdrojoch (www.snti.ru/snips_sto51.htm, s3r.ru/2010/10/standardy/Gazprom, txcom.ru/gazpro) sú dostupné štandardy systému údržby IS, ktoré v podstate obsahujú množstvo požiadaviek týchto štandardy. Objektívne existujú rozdiely v požiadavkách ISMS, ktoré môžu brániť úspešnej implementácii ISMS (napríklad rozdiely v koncepciách „ aktíva" a " predmetom ochrany“) a vykonaním úspešného nezávislého hodnotenia (certifikácie) podľa požiadaviek základného „certifikačného“ štandardu. V prípade, že sa vrcholový manažment organizácie rozhodne pripraviť existujúci ISMS na certifikačný audit, javí sa ako potrebné analyzovať požiadavky ISMS a rozhodnúť o súbore opatrení, ktoré je potrebné prijať na zabezpečenie súladu s požiadavkami. Na implementáciu riadených podmienok tohto procesu sa navrhuje metóda identifikácie a hodnotenia majetku, ktorá prešla praktickou kolaudáciou.
Zváženie rozdielov v identifikácii a hodnotení aktív (predmetov ochrany) ISMS
Pre množstvo organizácií je celkom prirodzené akceptovať požiadavky odvetvia „tak, ako sú“ a zavedenie ďalších štandardov si vyžaduje samostatné rozhodnutie vrcholového manažmentu. Táto okolnosť nie je mimoriadna, pretože po prvé je uvedená v preambule takmer všetkých medzinárodných noriem (ISO) a ich ruských prekladoch GOST R, po druhé je funkciou tvorby pridanej hodnoty a po tretie je potvrdené svetovými štatistikami certifikácia ISO. V súlade s tým, ak dôjde k takémuto rozhodnutiu - implementovať konkrétnu národnú alebo medzinárodnú normu, organizácia je nútená vykonať porovnanie (“ mapovanie”) ich procesov, ktoré boli pôvodne implementované len na splnenie požiadaviek špecifických priemyselných požiadaviek. Zároveň sú možné opomenutia (nekompletnosti) pri vykonávaní analýzy rizík narušenia IS a nedostatočne kompletnej štúdii o zraniteľnosti procesov spracovania informácií v AS. Závažnejšie dôsledky môže mať situácia, ak špecifický odvetvový systém ( najmä IS Maintenance System) bol pôvodne vytvorený na základe zahraničných noriem (napríklad BS séria 7799), ale z viacerých dôvodov nebol pri zmene príslušných noriem alebo platných zákonov (predpisov) aktualizovaný. Najmä štandard systému údržby IS obsahuje odkaz na zrušený federálny zákon N 1-FZ „O elektronickom digitálnom podpise“ (pozri http://base.garant.ru/) a štandard systému údržby IS obsahuje odkaz na zrušená norma BS 7799:3-2006 (pozri http://www.standards.ru/document/3858996.aspx) - ku dňu prípravy publikácie.
Zároveň existujú metódy založené na normách ISO, ktoré zohľadňujú základné požiadavky na riadenie rizík informačnej bezpečnosti a dostatočne podrobne popisujú praktickú realizáciu požiadavky základného „certifikačného“ štandardu aj cieľového štandardu pre riadenie rizík informačnej bezpečnosti. Využitie tejto metodiky prispieva k získaniu numerických hodnotení rizík IS a vo všeobecnosti prípadnej úspešnej certifikácii ISMS na zhodu s normou.
Pre účely tejto publikácie budú zvažované dva hlavné zásadné rozdiely, ktoré podľa názoru autora môžu mať kritické dôsledky pre účely vytvorenia a úspešnej certifikácie ISMS pre zhodu s požiadavkami normy. Tieto nezrovnalosti môžu viesť k „zakonzervovaniu“ myšlienky vytvorenia Systému údržby IS a strate dôležitej výhody každého úspešne implementovaného MS – adekvátnej podpory pre plnenie obchodných cieľov. Druhým negatívnym dôsledkom zistených rozdielov, ktorý má merateľný význam, sú dodatočné náklady pri uvedení ISMS na úroveň postačujúcu na adekvátne splnenie požiadaviek normy. Je potrebné poznamenať, že v praxi tvorby ISMS sa javí ako dôležité sústrediť odborné úsilie na tvorbu spoľahlivých modelov a metód na zabezpečenie interného auditu a efektívneho „monitorovania“ stavu objektov pod vplyvom hrozieb IS.
Rozdiel 1. Identifikácia (klasifikácia) majetku
Pri analýze prvého rozdielu zvážte požiadavky normy z hľadiska správy majetku a požiadavky normy na klasifikáciu chránených objektov. Definícia je známa: „aktíva (aktíva): všetko, čo má hodnotu pre organizáciu“ (odsek 3.1). Okrem toho zvážte prílohu "B" normy: " na stanovenie hodnoty aktív musí organizácia definovať všetky svoje aktíva na primeranej úrovni podrobností". Zároveň sa vysvetľuje, že možno rozlíšiť dva typy aktív: „ hlavné aktíva, ktoré zahŕňajú obchodné procesy, obchodné aktivity a informácie a vedľajšie (podporné) aktíva, od ktorých závisia hlavné zložky rozsahu všetkých typov, vrátane hardvéru, softvéru, siete, personálu, umiestnenia organizácie a štruktúry organizácie».
Fáza plánovania cyklu PDCA (odsek 4.2.1) uvádza, že organizácia musí napr. určiť rozsah a hranice ISMS, berúc do úvahy charakteristiky podniku, organizácie, jej umiestnenie, aktíva a technológie. V prílohe A() sú uvedené príklady implementácie konkrétnych opatrení (prostriedkov) na zaistenie informačnej bezpečnosti (“ ovládacie prvky“) z hľadiska správy majetku, napríklad: „ Inventár majetku: „Mal by sa vytvoriť a aktualizovať súpis všetkých dôležitých aktív organizácie (A.7.1.1)“.
Požiadavky systému údržby IS na klasifikáciu predmetov ochrany (OP) zasa poskytujú iné pojmy a definície (oddiel 3), kde sa OP vykladá v zmysle ;
Pod pojmom OH rozumieme informačné aktíva, technické a programové prostriedky na ich spracovanie, prenos, uchovávanie (bod 3.3.3). Tento zoznam HO je uzavretý, objektívne jasne nižší ako definícia aktív uvedená vyššie. V súlade s tým môže byť jedným z kritických rizík pri certifikácii objektívne zjavná neúplnosť identifikovaných a na ochranu prijatých EP v systéme údržby IS, konkrétne sa nijakým spôsobom nezohľadňujú aktíva v nasledujúcich kategóriách - personál, umiestnenie ( objekty) a organizačnú štruktúru. Je potrebné poznamenať, že navrhovaný prístup v systéme údržby IS Gazprom prináša značné ťažkosti do súčasného procesu údržby a zabezpečenia IS, najmä v oblasti riadenia incidentov IS a rizík IS. Napríklad norma GOST R ISO/IEC 18044-2007 pracuje s príkladmi incidentov informačnej bezpečnosti týkajúcich sa personálu a najnovšia medzinárodná norma ISO 27040 na zabezpečenie uložených údajov zohľadňuje kritickú úlohu personálu (interného, externého) v zabezpečenie požadovanej úrovne informačnej bezpečnosti na zariadeniach infraštruktúry.
Norma definuje pravidlá identifikácie HO a mal by byť definovaný vlastník, vlastník a užívatelia konkrétnej HO (odsek 5.6.), každý z nich by mal byť priradený iba jednému z nasledujúcich typov (odsek 5.8):
Norma uvádza pravidlá určovania kritickosti OH a podľa nich sa určuje kritickosť OH (bod 6.7.) a ďalej na základe získanej úrovne kritickosti sa HO priraďuje do jednej zo skupín (bod 7.1. .):
V § 8 normy sú uvedené pravidlá účtovania pre OZ. Hlavnými úlohami účtovníctva pre OS je zber, spracovanie a systematizácia údajov o OS. Je potrebné poznamenať, že by sa mala vykonávať povinná evidencia skutočností o vytvorení, nadobudnutí, prevode, duplikácii, vyradení z prevádzky a zničení HO. Môžeme teda vyvodiť predbežný záver o 1. rozdiele - na vývoj a úspešnú certifikáciu ISMS podľa požiadaviek objektívne nestačí len splnenie požiadaviek ISMS, pretože berie sa do úvahy extrémne obmedzený okruh subjektov, ktoré sú objektívne kritickými aktívami pre podnikanie.
Rozdiel 2. Hodnotenie rizika informačnej bezpečnosti
Pri analýze 2. rozdielu zvážte požiadavky na riadenie rizík IS a požiadavky na systém údržby IS na analýzu a hodnotenie rizík. Hlavné definície potrebné na analýzu 2. rozdielu sú uvedené v (s. 3.7 - 3.15). Je vhodné zvážiť hlavné požiadavky na riadenie rizík informačnej bezpečnosti podľa fáz cyklu PDCA, podobne ako Rozdiel 1: vo fáze „Plánovať“ (odsek 4.2.1), vo fáze „Urobiť“ (odsek 4.2.2), vo fáze „Kontrola“ (odsek 1). 4.2.3), resp. V prílohe A () sú uvedené príklady implementácie konkrétnych opatrení (prostriedkov) na zaistenie informačnej bezpečnosti (“ ovládacie prvky“) z hľadiska riadenia rizík, napríklad: „ Kontrola všetkých kandidátov trvalé zamestnanie zmluvné strany a používatelia tretích strán sa musia správať v súlade so zákonmi, nariadeniami a etickými pravidlami, berúc do úvahy požiadavky podniku, povahu informácií, ku ktorým budú mať prístup, a predpokladané riziká“ (A. 8.1.2 .).
V požiadavkách Systému údržby IS na analýzu a hodnotenie rizík (odsek 4.4) sa zasa vykonávajú tieto základné postupy: identifikácia, analýza a hodnotenie rizík c (odsek 4.8). Objektívne teda existuje kritické riziko pre účely úspešnej certifikácie ISMS, pri ktorom sa aktivity hodnotenia rizík iba v zmysle ISMS nemusia vôbec vykonávať. Činnosti zabezpečované systémom údržby IS sa preto nebudú vykonávať z „právnych“ dôvodov, čo môže viesť k chybám v procesoch identifikácie, identifikácie a klasifikácie ohrozenia narušenia IS pre BOZP, ako aj k nespoľahlivej analýze. o rizikách narušenia IS a zraniteľnosti v procesoch spracovania informácií v AS v stanovenom rozsahu („rozsah“). Je obzvlášť dôležité, aby bolo možné pozorovať „vnorenie“ kritických rizík – nevyhodnotenie rizík (rozdiel 2) môže byť priamym dôsledkom vylúčenia personálu z aktív v systéme údržby IS (rozdiel 1) a takéto „vnorenie“ môže objektívne vedú k výrazným nezrovnalostiam v externom certifikačnom audite ISMS V rámci práce na identifikácii rizík je potrebné identifikovať prvky rizika a to OH, ohrozenia HO a zraniteľnosti HO (bod 5.1). pracovať na analýze rizík, určiť (odsek 6.1.):
Možné poškodenie sa hodnotí na 3-stupňovej kvalitatívnej škále (6.2.2):
Všimnime si, že spravidla pri riešení konkrétnych aplikovaných problémov sa hodnoty kritérií merajú v určitej škále a sú vyjadrené v stanovených jednotkách. Je známe, že kvalitatívne škály sa používajú napríklad na meranie rôznych psychofyzikálnych veličín, sily zemetrasenia, ale aj stupňa zničenia materiálu alebo konštrukcie (3.3.1). Preto sa použitie kvalitatívnej škály na účely hodnotenia možnej škody na informačnej bezpečnosti nejaví ako úplne opodstatnené a metodicky zraniteľné z hľadiska zabezpečenia dosiahnutia merateľné (!) ciele - vytvorenie ISMS, zabezpečenie neustáleho zlepšovania efektívnosti ISMS a úspešná certifikácia ISMS pre zhodu s požiadavkami.
Norma uvádza, že maximálna hodnota možného poškodenia je charakterizovaná maximálnou úrovňou kritickosti HZ, priemerná hodnota možného poškodenia - priemernou úrovňou kritickosti HM, minimálna hodnota možného poškodenia - minimálnou úrovňou kritickosti HM. Objektívne sú ťažkosti pri určovaní úrovne možných škôd na majetku (v zmysle noriem ISO), ktoré sa však nezohľadňujú ako OH v systéme údržby IS, napr.: personál (vlastný a vonkajší), serverovne, miestnosti pre dôverné rokovania atď.
Ďalším krokom v hodnotení rizika je porovnanie získaných hodnôt rizika s vopred stanovenou stupnicou úrovne rizika - fázou hodnotenia rizika (bod 7.1). Úrovne rizika, ktoré sú prijateľné, musia byť identifikované (odsek 7.4) a musia byť prijaté riziká, ktoré neprekračujú prijateľnú úroveň. Mali by sa akceptovať aj riziká, ktoré presahujú prijateľnú úroveň, ak neexistuje vhodná liečba týchto rizík. Všetky ostatné riziká sa musia riešiť (odsek 7.5). Toto ustanovenie vytvára značné ťažkosti pri príprave ISMS na certifikáciu, pretože dobre známa požiadavka - implementácia kontroly ISMS manažmentom (norma, časť 7) predpokladá explicitné zváženie ako vstupné informácie O: " zraniteľnosti alebo hrozby, ktoré neboli adekvátne riešené v predchádzajúcom procese hodnotenia rizík“ (bod 7.2. f) av systéme údržby IS Gazprom nie je splnená z dôvodu uplatnenej paradigmy tvorby OP.
Metodika identifikácie majetku
Ako bolo uvedené vyššie, medzi systémami ISMS a systémom údržby IS existuje množstvo rozdielov, jedným z najdôležitejších a najzásadnejších je rozdiel v pojmoch „majetok“ () a „predmet ochrany“ (). potrebné navrhnúť metodický postup, ktorý šetrne pretransformuje existujúci Systém údržby IS na požiadavky ISMS a zabezpečí efektívne vykonávanie rôznych auditov a monitorovania stavu objektov, ktoré sú pod vplyvom hrozieb narušenia IS. V prvom rade, ako už bolo spomenuté vyššie, je potrebné transformovať základný systém OZ k požiadavkám na identifikáciu všetkých skupín majetku ISMS pre súlad s normou. Napríklad možno navrhnúť nasledujúcu klasifikáciu skupín majetku ISMS (pozri tabuľku 1).
Tabuľka 1. Klasifikácia skupín majetku ISMS
Príklad registra skupiny majetku „AS“ je uvedený v tabuľke. 2.
Tabuľka 2. Register skupiny majetku AS
Poznámky:
* Vlastník - určitá služba v oblasti certifikácie ISMS, ktorá zodpovedá za špecifikovaný majetok z hľadiska zachovania funkčnosti;
** Kriticita - na základe "Zoznamu OH" v súlade s požiadavkami Systému údržby IS.
Príklad hodnotenia rizika IS pre príklad aktíva AS "Boss-Kadrovik" je uvedený v tabuľke. 3.
Tabuľka 3. Hodnotenie rizika IS pre aktívum AS
Riziko č. |
Názov rizika |
Kritickosť aktív |
Úroveň zraniteľnosti |
Úroveň pravdepodobnosti ohrozenia |
Veľkosť rizika |
Úroveň rizika |
Porušenie dôvernosti informácií v AS "Boss-Kadrovik" | ||||||
Porušenie integrity informácií Boss-Kadrovik AS |
Maximálne |
Minimum | ||||
Porušenie dostupnosti informácií Boss-Kadrovik AS |
Minimum |
Hodnotenie efektívnosti IMS s prihliadnutím na požiadavky ISMS
Účtovanie majetku v súlade s požiadavkami normy ISO umožní zaviesť do IMS prvok manažovateľnosti podľa spoločných cieľov, obchodne merateľných. Pre IMS, ktorý zahŕňa ISMS, možno použiť vhodné metriky. Príklady tvorby jednoduchých metrík informačnej bezpečnosti sú všeobecne známe, čo môže poskytnúť tvorbu kvantitatívnych hodnotení (metrík) ako dôkaz „užitočnosti“ pre podnikanie. Tu sa javí ako obzvlášť dôležité okamžite vykonať porovnanie s mechanizmami interného auditu, ktoré sú špeciálne navrhnuté tak, aby poskytovali „objektívne dôkazy“ vrcholovému manažmentu, aby mohli prijímať efektívne manažérske rozhodnutia. Zdá sa byť vhodné zoskupiť rôzne typy metrík na účely zaistenia informačnej bezpečnosti takto:
Na zníženie nákladov (toto je jedna z prioritných úloh každého podnikania a „najprezentovateľnejšia“ forma hodnotenia efektívnosti služby informačnej bezpečnosti) možno použiť metriky ukazujúce mieru maximálneho možného dosiahnutia (plán predaja). , dokončenie projektu načas atď.). Podľa toho možno navrhnúť rôzne typy metrík:
závery
1. Pri plánovaní a implementácii certifikačných projektov ISMS je potrebné vziať do úvahy, že mnohé požiadavky ľubovoľného systému priemyselnej certifikácie vo všeobecnosti nespĺňajú požiadavky certifikačnej normy radu ISO 27001. Na prispôsobenie ISMS je potrebné je potrebná produktívna metodológia založená na porovnávaní („ mapovanie”) štandardné požiadavky v oblasti informačnej bezpečnosti a zabezpečenia dosiahnutia cieľov zabezpečenia vnútorného auditu a efektívneho „monitorovania“ stavu objektov pod vplyvom ohrozenia informačnej bezpečnosti – na základe vygenerovaných spoľahlivých modelov a metód.
2. Implementácia požiadaviek moderných noriem pre ISMS, „uložených“ na existujúci ISMS, vedie k potrebe revízie základných požiadaviek (napríklad koncepcie „ aktíva" a " Riadenie rizík c). Táto okolnosť priamo súvisí s oblasťou certifikácie, ktorú určuje vrcholový manažment („ rozsah“) a podľa toho aj so zoznamom aktív uznaných za životne dôležité pre podnikanie organizácie a z tohto dôvodu podliehajúce ochrane v rámci ISMS.
Bibliografia
GOST R ISO/IEC 27001-2006 „Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Zo systému riadenia informačnej bezpečnosti. požiadavky"
GOST R ISO/IEC 27005-2010 „Informačné technológie. Metódy a prostriedky zaistenia bezpečnosti. Riadenie rizika informačnej bezpečnosti»
GOST R ISO 19011-2011 "Smernice pre audit systémov manažérstva."
STO Gazprom 4.2-1-001-2009 Systém informačnej bezpečnosti OAO Gazprom. Základné pojmy a definície
STO Gazprom 4.2-2-002-2009 Systém informačnej bezpečnosti OAO Gazprom. Požiadavky na APCS
STO Gazprom 4.2-3-002-2009 Požiadavky na technická ochrana informácie pri používaní informačných technológií
STO Gazprom 4.2-3-003-2009 Systém informačnej bezpečnosti OAO Gazprom. Analýza a hodnotenie rizík
STO Gazprom 4.2-3-004-2009 Klasifikácia predmetov ochrany
STO Gazprom 4.2-3-005-2013 Riadenie incidentov informačnej bezpečnosti
Livshits I.I. Odhady pomeru kvantitatívnych ukazovateľov certifikácie systémov manažérstva podniku // Manažérstvo kvality, 2014, č. 2;
Livshits I. I. Spoločné riešenie problémov auditu informačnej bezpečnosti a zabezpečenia dostupnosti informačných systémov na základe požiadaviek medzinárodných noriem BSI a ISO // Informatization and Communication, 2013, č. 6;
Livshits I.I. Prakticky použiteľné metódy hodnotenia systémov manažérstva informačnej bezpečnosti // Quality Management, 2013, č. jeden;
Livshits I.I. Prístupy k aplikácii modelu integrovaného manažérskeho systému pre komplexný audit priemyselné zariadenia- letiskové komplexy // Zborník SPIIRAS, 2014, č. 6
V.D. Nogin Rozhodovanie podľa mnohých kritérií // Štátna univerzita- Vyššia ekonomická škola, Petrohrad, 2007, 103 strán.
M.K. Yanchin. Riadenie informačných rizík na základe metodiky MEHARI, Zdroj publikácie: http://pvti.ru/data/file/bit/bit_4_2011_29.pdf (k 19. januáru 2015)
ISO/IEC 27040:2015 Informačné technológie – Bezpečnostné techniky – Bezpečnosť úložiska.
ISO/IEC 27001:2013 Informačné technológie - Bezpečnostné techniky - Systémy manažérstva informačnej bezpečnosti - Požiadavky.
ISO/IEC 27000:2014 Informačné technológie — Bezpečnostné techniky — Systémy riadenia informačnej bezpečnosti — Prehľad a slovná zásoba.
ISO/IEC 27004:2014 Informačné technológie — Bezpečnostné techniky — Manažment informačnej bezpečnosti — Meranie.
Identifikácia a hodnotenie informačných aktív
Identifikujeme informačné aktíva organizácie. Aby sme to dosiahli, najprv zavedieme koncept informačného aktíva.
Informačné aktívum je akákoľvek informácia, bez ohľadu na to, ako je prezentovaná, ktorá má pre organizáciu hodnotu a je jej k dispozícii. Každá organizácia má svoj vlastný súbor aktív jedného alebo druhého typu.
Zvážte informačné aktíva organizácie. Pre pohodlnejšie posúdenie aktív ich zoskupíme podľa ich typov.
1. Informácie/údaje.
Vývojové dáta;
Údaje o produkte.
2. Hardvér.
8 serverov;
374 počítače;
36 tlačiarní;
22 skenerov.
3. Softvér.
1C: Podnik;
MS Windows XP/7
4. Dokumenty.
zmluvy s predajcami;
zmluvy s klientmi;
Finančné výkazy;
Pozrime sa podrobnejšie na vybrané aktíva, t.j. uvedieme formu prezentácie, vlastníka majetku, kritériá na určenie hodnoty a vykonáme ocenenie majetku.
Tabuľka 1.1. poskytuje informácie o pridelenom majetku organizácie.
Tabuľka 1.1.
Hodnotenie informačných aktív podniku
Druh činnosti | Názov diela | Prezentačný formulár | Vlastník aktíva | Kritériá na určenie nákladov | Odhadovaný rozmer | |
Kvantifikácia | kvalitu | |||||
Informačné aktíva | ||||||
Personálne obsadenie | Elektronické | špecialista na ľudské zdroje | Náklady na rekreáciu | 170 tisíc rubľov | Stredná | |
Predaj produktov | Údaje o produkte | Elektronické | účtovník | Náklady na rekreáciu | 500 tisíc rubľov | kritický |
Hardvérový majetok | ||||||
Spracovanie dát | servery | Materiál | Systémový administrátor | Počiatočné náklady | 300 tisíc rubľov | kritický |
Spracovanie dát | Počítače | Materiál | Systémový administrátor | Počiatočné náklady | 100 tisíc rubľov | Stredná |
Spracovanie dát | Tlačiarne | Materiál | Systémový administrátor | Počiatočné náklady | 25 tisíc rubľov | Malajsko |
Spracovanie dát | skener | Materiál | Systémový administrátor | Počiatočné náklady | 15 tisíc rubľov | Malajsko |
Softvérové aktíva | ||||||
Spracovanie dát | Microsoft Windows | Elektronické | Systémový administrátor | Náklady na rekreáciu | 15 tisíc rubľov | Malajsko |
Spracovanie dát | Microsoft Office | Elektronické | Systémový administrátor | Náklady na rekreáciu | 17 tisíc rubľov | Malajsko |
Spracovanie dát | 1C: Enterprise | Elektronické | Systémový administrátor | Náklady na rekreáciu | 120 tisíc rubľov | Stredná |
Spracovanie dát | SAP WMS | Elektronické | Systémový administrátor | Náklady na rekreáciu | 400 tisíc rubľov | kritický |
fyzické aktíva | ||||||
Predaj produktov | Vývojová dokumentácia | Papier | Náklady na rekreáciu | 55 tisíc rubľov | Malajsko | |
Predaj produktov | Zmluvy s klientmi | Papier | Account Manager | Náklady na rekreáciu | 82 tisíc rubľov | Malajsko |
účtovníctvo | Finančné výkazy | Papier | účtovník | Náklady na rekreáciu | 75 tisíc rubľov | Malajsko |
Zvážte zoznam informačných aktív, povinné obmedzenie prístupu, ku ktorým sa riadia právne predpisy Ruskej federácie. Tento zoznam je uvedený v tabuľke 1.2.
Tabuľka 1.2.
Zoznam dôverných informácií
Zhrňme si poradie vybraných aktív. Výsledky hodnotenia sú uvedené v tabuľke 1.3.
Tabuľka 1.3.
Výsledky hodnotenia aktív.
Názov diela | Hodnota aktív (hodnotenie) |
Údaje o protistrane | |
Údaje o predaji | |
8 serverov | |
Osobné údaje zamestnancov | |
Údaje o produkte | |
1C: Enterprise | |
Počítače | |
Microsoft Windows | |
SAP WMS | |
Microsoft Office | |
Tlačiarne | |
Skenery | |
Zmluvy s klientmi | |
Finančné výkazy |
Ak to teda zhrnieme, môžeme povedať, že aktíva s najvyššou hodnotou:
údaje o protistrane;
Údaje o predaji;
Servery;
Počítače;
Osobné údaje zamestnancov;
Údaje o produkte;
1C: Podnik;
zmluvy s klientmi;
Finančné výkazy
Zvyšok aktív má minimálnu hodnotu v porovnaní s tými alokovanými.
Aktíva Tlačiarne a skenery zoskupíme do skupiny Tlačiarne a skenery, do skupiny Softvér Microsoftu zoskupíme aj aktíva Microsoft Windows a Microsoft Office, ako aj všetky fyzické aktíva organizácie do skupiny Dokumentácia, keďže hodnosti hodnoty týchto aktív sú rovnaké a takéto zoskupenie značne zjednoduší ďalšiu analýzu.
Hodnotenie zraniteľnosti aktív
Posúdime zraniteľnosť vybraných aktív podniku. Výsledky tohto hodnotenia sú uvedené v tabuľke 1.4.
Tabuľka 1.4.
Výsledky hodnotenia zraniteľnosti aktív
Skupina zraniteľností | Údaje o protistrane | Údaje o predaji | servery | Osobné údaje zamestnancov | SAP WMS | 1C: Enterprise | Počítače | Tlačiarne a skenery | softvér od spoločnosti Microsoft | Dokumentácia |
1. Životné prostredie a infraštruktúra | ||||||||||
Slabá bezpečnosť budovy | Nízka | Nízka | Nízka | Nízka | ||||||
Problémy s napájaním | Stredná | Stredná | Nízka | Nízka | Nízka | Nízka | Nízka | Nízka | Nízka | |
2. Hardvér | ||||||||||
Preneste alebo znovu použite médiá na ukladanie informácií bez riadneho čistenia | Stredná | Stredná | Nízka | Stredná | ||||||
3. Softvér | ||||||||||
Nedostatočne obsluhované pamäťové médium | Stredná | Stredná | Nízka | Stredná | Nízka | |||||
Nedostatok aktualizácií softvéru používaného na ochranu pred škodlivým kódom | vysoká | vysoká | vysoká | vysoká | vysoká | vysoká | vysoká | Nízka | ||
4. Komunikácia | ||||||||||
Nezabezpečené pripojenie k verejným sieťam | vysoká | vysoká | vysoká | vysoká | vysoká | vysoká | vysoká | |||
5. Fyzický prístup | ||||||||||
Nechránené úložisko | Nízka | Nízka | Nízka | Nízka | ||||||
6. Personál | ||||||||||
Nevedomosť o bezpečnosti | Stredná | Stredná | Stredná | Stredná | Stredná | Stredná | Nízka | |||
7. Bežné slabé miesta | ||||||||||
Implementácia hardvérových a softvérových záložiek | vysoká | vysoká | vysoká | vysoká |
Posudzovanie hrozieb pre aktíva
Hrozba (potenciál nepriaznivého dopadu) má schopnosť poškodiť systém informačných technológií a jeho aktíva. Ak je táto hrozba implementovaná, môže interagovať so systémom a spôsobiť nechcené incidenty, ktoré majú nepriaznivý vplyv na systém. Hrozby môžu byť založené na prírodných aj ľudských faktoroch; môžu byť realizované náhodne alebo zámerne. Je potrebné identifikovať zdroje náhodných aj úmyselných hrozieb a posúdiť pravdepodobnosť ich implementácie. Je dôležité nestratiť zo zreteľa žiadnu možnú hrozbu, pretože výsledkom môže byť porucha alebo objavenie sa zraniteľností v bezpečnostnom systéme informačných technológií.
Bezpečnostné hrozby posudzujú odborníci v závislosti od aktuálnej úrovne informačnej bezpečnosti a pravdepodobnosti realizácie hrozieb.
Upozorníme na ohrozenia majetku organizácie, ako aj zhodnotíme. Výsledky týchto opatrení sú uvedené v tabuľke 1.5.
Tabuľka 1.5.
Výsledky hodnotenia hrozieb aktív
Skupina zraniteľností | Údaje o protistrane | Údaje o predaji | servery | Osobné údaje zamestnancov | SAP WMS | 1C: Enterprise | Počítače | Tlačiarne a skenery | softvér od spoločnosti Microsoft | Dokumentácia |
1. Hrozby v dôsledku úmyselného konania | ||||||||||
Krádeže dokumentov a iných médií | Nízka | Nízka | Nízka | Nízka | ||||||
Nahrádzanie dokumentov a iných médií | Nízka | Nízka | Nízka | Nízka | ||||||
vysoká | vysoká | vysoká | Nízka | |||||||
Neoprávnené kopírovanie dokumentov a médií | Nízka | Nízka | Nízka | Nízka | Nízka | Nízka | ||||
Neoprávnený prístup k údajom. | vysoká | vysoká | vysoká | Nízka | Nízka | vysoká | ||||
Sprístupnenie údajov ich stiahnutím z dátového nosiča neoprávnenou osobou | Nízka | Nízka | Nízka | Nízka | Nízka | |||||
2. Hrozby spôsobené náhodnými akciami | ||||||||||
Únik informácií zo siete cez komunikačné kanály | Nízka | Nízka | Nízka | Nízka | Nízka | |||||
Neúmyselné zverejnenie informácií zamestnancami spoločnosti | Nízka | Nízka | Nízka | Nízka | Nízka | Nízka | ||||
vysoká | vysoká | vysoká | vysoká | vysoká | vysoká | vysoká | vysoká | vysoká | ||
3. Hrozby spôsobené prírodnými príčinami (prírodné, človekom spôsobené faktory) | ||||||||||
Katastrofy spôsobené človekom (výbuch, terorizmus, vandalizmus, iné spôsoby úmyselného poškodenia) | Nízka | Nízka | Nízka | Nízka | Nízka | Nízka | Nízka | Nízka | Nízka | Nízka |
1.2.4. Hodnotenie existujúcich a plánovaných nápravných opatrení
Urobme analýzu prostriedkov ochrany informácií, ktoré sa už v podniku používajú. Na to je potrebné analyzovať technickú a softvérovú architektúru podniku.
Pod architektúrou počítačového systému rozumieme koncepciu organizácie informačného systému, jeho prvkov, ako aj charakter interakcie týchto prvkov.
Je vhodné samostatne zvážiť technickú a softvérovú architektúru existujúceho informačného systému.
Spoločnosť vo veľkej miere využíva počítače. Technická architektúra zahŕňa:
servery. Servery slúžia na zabezpečenie vytvorenia a prevádzky jednej lokálnej siete.
Pracovné stanice. Približne 380 pracovných staníc, rôznych značiek, výrobcov a s úplne rôznymi Technické špecifikácie, pretože sa používajú v oddeleniach s rôznymi smermi.
Notebooky. Používa sa asi 20 notebookov, tiež rôzneho výkonu.
Prepínače. Nainštalovaných 10 prepínačov potrebných na vytvorenie jednej lokálnej siete.
Modemový smerovač. Používa sa na poskytovanie prístupu na internet všetkým počítačom.
Schéma technickej architektúry informačného systému je na obrázku 1.2.
Ryža. 1.2. Podniková technická podpora
Obrázok 1.3 je schéma podnikového softvéru.
Ryža. 1.3. Softvérový diagram
Spoločnosť používa operačné systémy Windows 7 a XP od spoločnosti Microsoft. Integrovaný kancelársky balík Microsoft 2003/2007. internetový prehliadač Google Chrome. Antivírusovú ochranu zabezpečuje antivírus Avast! podnikateľský profesionál. Využívaný je aj informačný systém „1C: Accounting“, ktorý je nainštalovaný na počítačoch účtovného oddelenia.
Zvážte ochranu pred fyzickým prienikom. Obrázok 1.4 zobrazuje hlavnú kancelársku budovu a umiestnenie snímačov pohybu.
Ryža. 1.4. Umiestnenie snímačov pohybu
Na základe prezentovaných schém môžeme konštatovať, že existuje pomerne slabá ochrana z hľadiska fyzického prieniku, ako aj z hľadiska vírusových a hackerských útokov.
Zhrňme si všetky kroky organizácie na zabezpečenie informačnej bezpečnosti. Súhrnná tabuľka analýzy implementácie hlavných úloh na zabezpečenie informačnej bezpečnosti je uvedená v tabuľke 1.6.
Tabuľka 1.6.
Analýza implementácie hlavných úloh na zabezpečenie informačnej bezpečnosti
Hlavné úlohy zabezpečenia informačnej bezpečnosti | Miera dokončenia |
Zabezpečovanie bezpečnosti výrobných a obchodných činností, ochrana informácií, ktoré sú obchodným tajomstvom; | Čiastočne |
Organizácia prác na právnej, organizačnej a inžinierskej ochrane obchodného tajomstva; | Čiastočne |
Organizácia špeciálnej kancelárskej práce s výnimkou neoprávneného prijímania informácií, ktoré sú obchodným tajomstvom; | Čiastočne |
Zabránenie bezdôvodnému prístupu a otvorený prístup k informáciám a dielam, ktoré predstavujú obchodné tajomstvo; | Čiastočne |
Identifikácia a lokalizácia možných kanálov úniku dôverných informácií v priebehu každodenných výrobných činností a v extrémnych situáciách; | Čiastočne |
Zabezpečovanie bezpečnostného režimu pri realizácii takých činností, akými sú rôzne stretnutia, rokovania, stretnutia, porady a iné podujatia súvisiace s obchodnou spoluprácou na národnej a medzinárodnej úrovni; | Nesplnené |
Zabezpečenie ochrany územia, budov, priestorov, s chránenými informáciami. | Čiastočne |
Posúdenie rizík
Vykonajte hodnotenie alokovaných rizík. Výsledky ocenenia majetku sú uvedené v tabuľke 1.7.
Tabuľka 1.7.
Výsledky hodnotenia rizík informačných aktív organizácie
Riziko | Aktíva | Poradie rizika |
Zničenie dokumentov a iných médií | Údaje o protistrane | Vysoká |
Údaje o predaji | Vysoká | |
Osobné údaje zamestnancov | Vysoká | |
Údaje o produkte | Vysoká | |
Neoprávnený prístup k údajom | Údaje o protistrane | Vysoká |
Údaje o predaji | Vysoká | |
Osobné údaje zamestnancov | Vysoká | |
Údaje o produkte | Vysoká | |
Nedostatočná údržba počítačového vybavenia | Údaje o protistrane | Vysoká |
Údaje o predaji | Vysoká | |
Osobné údaje zamestnancov | Vysoká | |
Údaje o produkte | Vysoká | |
softvér | Vysoká | |
servery | Vysoká | |
1C: Enterprise | Vysoká | |
SAP WMS | Vysoká | |
Počítače | Vysoká |
Na základe výsledkov analýzy rizík hrozieb teda môžeme konštatovať, že v prvom rade je potrebné zvýšiť ochranu informácií pred útokmi vírusov a hackerov, t.j. aktualizovať existujúcu antivírusovú ochranu v podniku. Do budúcnosti sa odporúča, aby organizácia zvýšila aj fyzickú bezpečnosť majetku organizácie.