Организационно-функциональная структура предприятия.
В данном разделе необходимо представить схему общей организационно-функциональной структуры предприятия, которая бы отражала содержание аппарата управления и объекта управления на предприятии, основные административные и функциональные подразделения предприятия. Схема должна носить целостный характер.
 |
В организационной структуре должна соблюдаться логичность представления должностей и подразделений. Например, на втором уровне подчиненности указываются либо должности руководителей, либо названия подразделений.
Рис.1 Организационно-функциональная структура предприятия
1.2. Анализ рисков информационной безопасности.
Положения действующей нормативной базы в области информационной безопасности (международные стандарты, ГОСТы) требует от организации идентификации и принятия систематического метода и подхода к оценке рисков, гдериск – комбинация вероятности события и его последствий. (другими словами, риск – это математической ожидание ущерба информационным активам компании).
Тем не менее, результат оценивания риска может быть представлен как в форме количественного показателя (тыс. рублей), так и виде качественного: приемлемыйриск или неприемлемый риск
Важно, чтобы управление рисками информационной безопасности осуществлялось четко и последовательно во всей организации.
Однако для управления рисками могут применяться различные подходы к оценке и управлению риском, а также различные степени детализации, отвечающие потребностям организации.
Какой из подходов к оценке рисков следует выбрать, целиком определяется организацией.
Какое бы решение не приняла организация, важно, чтобы этот подход к управлению рисками был подходящим и соответствовал всем требованиям организации.
Перед непосредственным п.п.1.2.1.- 1.2.5.выполнением пунктов данного раздела следует дать обоснование необходимости анализа рисков для организации и указать:
· кто принимает решение о проведении анализа рисков?
· кто проводит анализ рисков, с какой периодичностью?
· в какой форме представлена оценка рисков?
· если данный анализ не проводится, то по каким причинам?
1.2.1. Идентификация и оценка информационных активов
Информационный актив является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации. При идентификации активов следует иметь в виду, что всякая система информационных технологий включает в себя не только информацию – сведения, данные, независимо от формы их представления, но и аппаратные средства, программное обеспечение и т.д. Могут существовать следующие типы активов:
· информация/данные (например, файлы, содержащие информацию о платежах или продукте);
· аппаратные средства (например, компьютеры, принтеры);
· программное обеспечение, включая прикладные программы (например, программы обработки текстов, программы целевого назначения);
· оборудование для обеспечения связи (например, телефоны, медные и оптоволоконные кабели);
· программно-аппаратные средства (например, гибкие магнитные диски, CD-ROM, программируемые ROM);
· документы (например, контракты);
· фонды (например, в банковских автоматах);
· продукция организации;
· услуги (например, информационные, вычислительные услуги);
· конфиденциальность и доверие при оказании услуг (например, услуг по совершению платежей);
· - оборудование, обеспечивающее необходимые условия работы;
· - персонал организации;
· - престиж (имидж) организации.
В данном пункте необходимо определить состав и, по возможности, содержание информации, циркулирующей на предприятии и подлежащей обязательной защите. После чего провести ранжирование активов по степени их важности для компании. Поскольку защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то результаты анализа должны быть сформулированы в терминах доступности, целостности и конфиденциальности.
Например, если организация занимается продажами, то во главу угла ставится актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Для организации, отвечающей за поддержание критически важных баз данных, на первом плане должна стоять целостность данных. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, то есть о ее защите от несанкционированного доступа.
Результат ранжирования информационных активов, должен соответствовать сформулированной во введении цели дипломного проектирования. Так, например, недопустимо при выборе темы, связанной с криптографической защиты данных, отдавать приоритет информации, зафиксированной в бумажной форме, либо, если тематика предусматривает защиту какого-либо конкретного актива (персональных данных), присваивать данному активу низший приоритет по сравнению с другими активами, подлежащими оценке.
Пункт должен содержать:
а) обоснование выбора активов, подлежащих оценке, т.е. необходимо аргументировать, почему обязательной защите должны подлежать именно указанные активы.
б) перечень видов деятельности организации (определенных в п.1.1.1), а также наименование и краткое описание используемых (создаваемых) информационных активов для каждого вида, форму представления актива (бумажный документ, информация на электронном носителе, материальный объект);
в) перечень владельцев активов, определенных в п.п (б). Термин «владелец» обозначает лицо или субъект, наделенный утвержденной руководством ответственностью за осуществление контроля производства, разработки, сопровождения, использования и безопасности активов. Следовательно, формирование данного перечня должно осуществляться на основе информации, изложенной в п.1.1.2.;
г) результаты оценки активов. При проведении оценки следует руководствоваться приведенными ниже рекомендациями.
· Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и юридическому лицу, ведущему деловую деятельность.
· Ответственность за определение ценности активов должны нести их владельцы.
· Для обеспечения полного учета активов (рассматриваемых в дипломной работе) рекомендуется сгруппировать их по типам, например, информационные активы, активы программного обеспечения, физические активы и услуги.
· Необходимо определить критерииопределения конкретной стоимости активов. Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться в однозначных (недвусмысленных) терминах. Возможны следующие критерии определения ценности активов:
- первоначальная стоимость актива,
- стоимость его обновления или воссоздания.
- ценность актива может также носить нематериальный характер, например, цена доброго имени или репутации компании.
Другой подход к оценке активов предполагает учет возможных затрат, вследствие
- утраты конфиденциальности;
- нарушения целостности;
- утраты доступности.
· Необходимо определить размерность оценки, которая должна быть произведена. Некоторые активы могут быть оценены в денежных единицах, в то время как другие активы могут оцениваться по качественной шкале.
Например, для количественной шкалы используется размерность тыс. рублей. Для качественной шкалы используются термины: "пренебрежимо малая", "очень малая", "малая", "средняя", "высокая", "очень высокая", "имеющая критическое значение".
Для одного и того же выбранного актива должны быть определены значения для обоих типов оценки.
Информация в подпункте (а) может быть представлена в произвольной тестовой форме. Желательно привести результаты внутреннего аудита информационной безопасности. При необходимости возможно использование статистических данных, полученных из внешних источников.
Информация по подпунктам б-г должна быть сведена в таблицу 2
| Вид деятельности | Наименование актива | Форма представления | Владелец актива | Критерии определения стоимости | Размерность оценки | |
| Количественная оценка (ед.изм) | Качественная | |||||
| Информационные активы | ||||||
| Активы программного обеспечения | ||||||
| Физические активы | ||||||
| Услуги | ||||||
Таблица 2
Оценка информационных активов предприятия
В зависимости от постановки задачи некоторые разделы таблицы могут не заполняться
д) перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, сведенных в таблицу 3.
Таблица 3
Перечень
сведений конфиденциального характера ООО «Информ-Альянс»
| № п/п | Наименование сведений | Гриф конфиденциальности | Нормативный документ, реквизиты, №№ статей |
| 1. | Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа. | ||
| 2. | Требования по обеспечению сохранения служебной тайны сотрудниками предприятия. | Гражданский кодекс РФ ст.ХХ | |
| 3. | Персональные данные сотрудников | Федеральный закон ХХ-ФЗ |
е) результат ранжирования активов. Результат ранжирования должен представлять собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале и внесенную в таблицу 4.
Именно активы, имеющие наибольшую ценность (ранг) должны в последующем рассматриваться в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия, но в дипломной работе целесообразно рассматривать 5-9 активов.
Таблица 4
Результаты ранжирования активов
| Наименование актива | Ценность актива (ранг) |
| Информационный актив №1 | |
| Физический актив № 3 | |
| … | … |
| Информационный актив №3 | |
| Актив программного обеспечения №2 | |
| Физический актив №4 |
Активы, имеющие наибольшую ценность:
1.
2.
1.2.2. Оценка уязвимостей активов;
В данном пункте необходимо провести идентификацию уязвимостей окружающей среды, организации, процедур, персонала, менеджмента, администрации, аппаратных средств, программного обеспечения или аппаратуры связи, которые могли бы быть использованы источником угроз для нанесения ущерба активам и деловой деятельности организации, осуществляемой с их использованием.
Оценка должна проводиться для активов, определенных в п.п. (е) п.1.2.1.
При проведении оценки рекомендуется руководствоваться требованиями стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 (Приложение D).
Пункт должен содержать:
а) Описание процедуры оценки уязвимости активов, при этом должно быть отражено, что является основанием для проведения такой оценки, как часто проводится оценка, кто проводит оценку, какие при этом используются методики, в какой форме представляются результаты оценки.
б) Перечень уязвимостей с указанием оценки степени вероятности возможной реализации отмеченных уязвимостей, например "высокая", "средняя" или "низкая", сведенный в таблицу 5
Следует обратить внимание на то что, в указанной таблице уязвимости сгруппированы по областям существования/возникновения. Один и тот же информационный актив может присутствовать в нескольких разделах таблицы. Иными словами, один и тот же информационный актив может иметь несколько уязвимостей.
Таблица 5
Результаты оценки уязвимости активов
| Группа уязвимостей Содержание уязвимости | Актив №1 | Актив №2 | Актив №3 | Актив №4 | Актив №5 | Актив №6 | Актив №7 |
| 1. Среда и инфраструктура | |||||||
| Уязвимость 1.1. | низкая | ||||||
| … | высокая | ||||||
| Уязвимость 1.n | |||||||
| 2. Аппаратное обеспечение | |||||||
| Уязвимость 2.1. | |||||||
| … | |||||||
| Уязвимость 2.n | средняя | ||||||
| 3. Программное обеспечение | |||||||
| Уязвимость 3.1. | |||||||
| … | |||||||
| Уязвимость 3.n | |||||||
| 4. Коммуникации | |||||||
| Уязвимость 4.1. | |||||||
| … | |||||||
| Уязвимость 4.n | |||||||
| 5. Документы (документооборот) | |||||||
| Уязвимость 5.1. | |||||||
| … | |||||||
| Уязвимость 5.n | |||||||
| 6.Персонал | |||||||
| Уязвимость 6.1. | |||||||
| … | |||||||
| Уязвимость 6.n | |||||||
| 7. Общие уязвимые места | |||||||
| Уязвимость 7.1. | |||||||
| … | |||||||
| Уязвимость 7.n |
1.2.3. Оценка угроз активам;
Перед началом выполнения данного пункта необходимо уяснить, что угроза – этопотенциальная причина инцидента, который может нанести ущерб системе или организации, а инцидент, (инцидент информационной безопасности) – это любое непредвиденное или нежелательное событие, которое может нарушить деятельность организации или информационную безопасность.
В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно.
В ходе выполнения пункта источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена.
Следует учесть, что, с одной стороны, важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий, а с другой не акцентировать внимание на заведомо маловероятных угрозах.
Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации.
При формировании перечня угроз рекомендуется руководствоваться требованиями стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 (Приложение С).
Также полезно использование каталогов угроз (наиболее соответствующих нуждам конкретной организации или виду ее деловой деятельности).
После идентификации источника угроз (кто и что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы. При этом следует учитывать:
- частоту появления угрозы (как часто она может возникать согласно статистическим, опытным и другим данным), если имеются соответствующие статистические и другие материалы;
- мотивацию, возможности и ресурсы, необходимые потенциальному нарушителю и, возможно, имеющиеся в его распоряжении; степень привлекательности и уязвимости активов системы информационных технологий с точки зрения возможного нарушителя и источника умышленной угрозы;
- географические факторы - такие как наличие поблизости химических или нефтеперерабатывающих предприятий, возможность возникновения экстремальных погодных условий, а также факторов, которые могут вызвать ошибки у персонала, выход из строя оборудования и послужить причиной реализации случайной угрозы.
После завершения оценки угроз составляют перечень идентифицированных угроз, активов или групп активов, подверженных этим угрозам, а также определяют степень вероятности реализации угроз с разбивкой на группы высокой, средней и низкой вероятности.
Пункт должен содержать:
а) описание процедуры оценки угроз активам, при этом должно быть отражено, что является основанием для проведения такой оценки, как часто проводится оценка, кто проводит оценку, какие при этом используются методики, в какой форме представляются результаты оценки.
Таблица 6
Результаты оценки угроз активам
| Группа угроз Содержание угроз | Актив №1 | Актив №2 | Актив №3 | Актив №4 | Актив №5 | Актив №6 | Актив №7 |
| 1. Угрозы, обусловленные преднамеренными действиями | |||||||
| Угроза 1.1. | средняя | ||||||
| … | высокая | ||||||
| Угроза 1.n | |||||||
| 2. Угрозы, обусловленные случайными действиями | |||||||
| Угроза 2.1. | |||||||
| … | |||||||
| Угроза 2.n | высокая | ||||||
| 3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы) | |||||||
| Угроза 3.1. | |||||||
| … | |||||||
| Угроза 3.n |
1.2.4. Оценка существующих и планируемых средств защиты
Для защиты информации, составляющей коммерческую тайну, её владелец создает собственную систему защиты информации. Законодательно структура такой системы не закреплена.
Задачи по защите информации, в зависимости от возможностей и масштабов организации, может выполнять как профильное структурное подразделение, входящее в штатную структуру предприятия (для крупных компаний), так и сотрудники, уполномоченные руководством для проведения мероприятий по защите информации параллельно с выполнением основных функциональных обязанностей.
Защита информации может осуществляться также в рамках абонентского обслуживания.
Вне зависимости от того, на кого возложены организация и выполнение мероприятий по защите информационных активов, данный пункт должен содержать:
а) данные о подразделении (должностных лицах), на которых возложены задачи по защите информации: организационную структуру подразделения и функционал. Информация должна детализировать данные по п.1.1.1. с точки зрения обеспечения информационной безопасности..
б) техническую архитектуру – состав и взаимодействие аппаратных средств, используемых (даже частично) для обработки информационных активов, подлежащих защите. Схему (Рис.2) и таблицу описания технических характеристик;
в) программную архитектуру – программное обеспечение, используемое (даже частично) для обработки информационных ресурсов, подлежащих защите Схему (Рис.3) и таблицу описания технических характеристик;
г) описание как минимум одной из подсистем инженерно-технических средств защиты информации: системы видеонаблюдения, системы контроля и управления доступом, системы периметровой охраны, внедрение и/или модернизация которой предусмотрено темой дипломного проекта. Схемы (Рис.4-7) и таблицу описания технических характеристик.
Рис.2. Пример технической архитектуры предприятия
 |
Рис.3. Пример программной архитектуры предприятия
Рис.4. Расположение камер охранного видеонаблюдения.
 |
Рис.5. Расположение датчиков движения
 |
Рис. 6. Расположение систем контроля периметра (вариант 1)
Рис. 7 Расположение систем контроля периметра (вариант 2)
г) результаты оценки действующей системы безопасности информации, отражающие, насколько полно выполняются однотипные объективные функции при решении задач обеспечения защиты информации. Если некоторые задачи решаются не в полном объеме, следует указать, как предусмотренные мероприятия выполняются в действительности. Результаты обследования внести в Таблицу 7.
Таблица 7
Анализ выполнения основных задач
по обеспечению информационной безопасности
| Основные задачи по обеспечению информационной безопасности | Степень выполнения |
| обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной; | |
| организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны; | |
| организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной; | |
| предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну; | |
| выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях; | |
| обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне; | |
| обеспечение охраны территории, зданий помещений, с защищаемой информацией. |
1.2.5. Оценка рисков
На заключительном этапе анализа риска должна быть проведена суммарная оценка риска. Активы, имеющие ценность и характеризующиеся определенной степенью уязвимости, всякий раз подвергаются риску в присутствии угроз.
Оценка риска представляет собой оценку соотношения потенциальных негативных воздействий на деловую деятельность в случае нежелательных инцидентов и уровня оцененных угроз и уязвимых мест. Риск фактически является мерой незащищенности системы и связанной с ней организации. Величина риска зависит от:
· ценности активов;
· угроз и связанной с ними вероятности возникновения опасного для активов события;
· легкости реализации угроз в уязвимых местах с оказанием нежелательного воздействия;
· существующих или планируемых средств защиты, снижающих степень уязвимости, угроз и нежелательных воздействий.
Задача анализа риска состоит в определении и оценке рисков, которым подвергается система информационных технологий и ее активы, с целью определения и выбора целесообразных и обоснованных средств обеспечения безопасности. При оценке рисков рассматривают несколько различных его аспектов, включая воздействие опасного события и его вероятность.
Многие методы предлагают использование таблиц и различных комбинаций субъективных и эмпирических мер. В настоящее время нельзя говорить о правильном или неправильном методе анализа риска. Важно, чтобы организация пользовалась наиболее удобным и внушающим доверие методом, приносящим воспроизводимые результаты. Ниже приведены несколько примеров методов, основанных на применении таблиц: