Анализ рисков информационной безопасности.

Программная и техническая архитектура ИС предприятия

Организационная структура управления предприятием.

В данном разделе необходимо представить схему общей организационно-функциональной структуры предприятия, которая бы отражала содержание аппарата управления и объекта управления на предприятии, основные административные и функциональные подразделения предприятия. Схема должна носить целостный характер.

Рис.1 Организационно-функциональная структура предприятия

Под архитектурой понимается концепция организации информационной системы, определяющая её соответствующие элементы, а также характер взаимодействия этих элементов.

В данном разделе необходимо отдельно рассмотреть программную и техническую архитектуру существующей информационной системы на предприятии. Должны быть представлены схемы архитектур, а также дано их описание.

Программную архитектуру целесообразно формировать исходя из существующих программных систем (программных продуктов), которые функционируют в рамках или параллельно с прочими обеспечивающими системами. В качестве основы работы программных продуктов целесообразно использовать операционную систему, в рамках которой они функционируют.

Техническая архитектура представляет собой множество технических средств: сервера, клиентские устройства доступа, каналы связи. В случае наличия связи, элементы должны быть объединены между собой.

При описании технической архитектуры необходимо провести детальное рассмотрение элементов и технологий обеспечения их взаимодействия, раскрывая:

· версии и производителей элементов;

· технические характеристики элементов;

· технологии управления элементами;

· протоколы взаимодействия;

· требования к техническим характеристикам аппаратного обеспечения, необходимым для функционирования программного элемента;

· а также другие характеристики.

Необходимо описать цели применения основных элементов и решаемые ими задачи.

Общий пример представления технической архитектуры

Общий пример представления программной архитектуры

Положения действующей нормативной базы в области информационной безопасности (международные стандарты, ГОСТы) требует от организации идентификации и принятия систематического метода и подхода к оценке рисков, гдериск – комбинация вероятности события и его последствий. (другими словами, риск – это математической ожидание ущерба информационным активам компании).

Тем не менее, результат оценивания риска может быть представлен как в форме количественного показателя (тыс. рублей), так и виде качественного: приемлемыйриск или неприемлемый риск

Важно, чтобы управление рисками информационной безопасности осуществлялось четко и последовательно во всей организации.

Однако для управления рисками могут применяться различные подходы к оценке и управлению риском, а также различные степени детализации, отвечающие потребностям организации.

Какой из подходов к оценке рисков следует выбрать, целиком определяется организацией.

Какое бы решение не приняла организация, важно, чтобы этот подход к управлению рисками был подходящим и соответствовал всем требованиям организации.

Перед непосредственным п.п.1.2.1.- 1.2.5.выполнением пунктов данного раздела следует дать обоснование необходимости анализа рисков для организации и указать:

· кто принимает решение о проведении анализа рисков?

· кто проводит анализ рисков, с какой периодичностью?

· в какой форме представлена оценка рисков?

· если данный анализ не проводится, то по каким причинам?

1.2.1. Идентификация и оценка информационных активов

Информационный актив является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации. При идентификации активов следует иметь в виду, что всякая система информационных технологий включает в себя не только информацию – сведения, данные, независимо от формы их представления, но и аппаратные средства, программное обеспечение и т.д. Могут существовать следующие типы активов:

· информация/данные (например, файлы, содержащие информацию о платежах или продукте);

· аппаратные средства (например, компьютеры, принтеры);

· программное обеспечение, включая прикладные программы (например, программы обработки текстов, программы целевого назначения);

· оборудование для обеспечения связи (например, телефоны, медные и оптоволоконные кабели);

· программно-аппаратные средства (например, гибкие магнитные диски, CD-ROM, программируемые ROM);

· документы (например, контракты);

· фонды (например, в банковских автоматах);

· продукция организации;

· услуги (например, информационные, вычислительные услуги);

· конфиденциальность и доверие при оказании услуг (например, услуг по совершению платежей);

· - оборудование, обеспечивающее необходимые условия работы;

· - персонал организации;

· - престиж (имидж) организации.

В данном пункте необходимо определить состав и, по возможности, содержание информации, циркулирующей на предприятии и подлежащей обязательной защите. После чего провести ранжирование активов по степени их важности для компании. Поскольку защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то результаты анализа должны быть сформулированы в терминах доступности, целостности и конфиденциальности.

Например, если организация занимается продажами, то во главу угла ставится актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Для организации, отвечающей за поддержание критически важных баз данных, на первом плане должна стоять целостность данных. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, то есть о ее защите от несанкционированного доступа.

Результат ранжирования информационных активов, должен соответствовать сформулированной во введении цели дипломного проектирования. Так, например, недопустимо при выборе темы, связанной с криптографической защиты данных, отдавать приоритет информации, зафиксированной в бумажной форме, либо, если тематика предусматривает защиту какого-либо конкретного актива (персональных данных), присваивать данному активу низший приоритет по сравнению с другими активами, подлежащими оценке.

Пункт должен содержать:

а) обоснование выбора активов, подлежащих оценке, т.е. необходимо аргументировать, почему обязательной защите должны подлежать именно указанные активы.

б) перечень видов деятельности организации (определенных в п.1.1.1), а также наименование и краткое описание используемых (создаваемых) информационных активов для каждого вида, форму представления актива (бумажный документ, информация на электронном носителе, материальный объект);

в) перечень владельцев активов, определенных в п.п (б). Термин «владелец» обозначает лицо или субъект, наделенный утвержденной руководством ответственностью за осуществление контроля производства, разработки, сопровождения, использования и безопасности активов. Следовательно, формирование данного перечня должно осуществляться на основе информации, изложенной в п.1.1.2.;

г) результаты оценки активов. При проведении оценки следует руководствоваться приведенными ниже рекомендациями.

· Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и юридическому лицу, ведущему деловую деятельность.

· Ответственность за определение ценности активов должны нести их владельцы.

· Для обеспечения полного учета активов (рассматриваемых в дипломной работе) рекомендуется сгруппировать их по типам, например, информационные активы, активы программного обеспечения, физические активы и услуги.

· Необходимо определить критерииопределения конкретной стоимости активов. Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться в однозначных (недвусмысленных) терминах. Возможны следующие критерии определения ценности активов:

- первоначальная стоимость актива,

- стоимость его обновления или воссоздания.

- ценность актива может также носить нематериальный характер, например, цена доброго имени или репутации компании.

Другой подход к оценке активов предполагает учет возможных затрат, вследствие

- утраты конфиденциальности;

- нарушения целостности;

- утраты доступности.

· Необходимо определить размерность оценки, которая должна быть произведена. Некоторые активы могут быть оценены в денежных единицах, в то время как другие активы могут оцениваться по качественной шкале.

Например, для количественной шкалы используется размерность тыс. рублей. Для качественной шкалы используются термины: "пренебрежимо малая", "очень малая", "малая", "средняя", "высокая", "очень высокая", "имеющая критическое значение".

Для одного и того же выбранного актива должны быть определены значения для обоих типов оценки.

Информация в подпункте (а) может быть представлена в произвольной тестовой форме. Желательно привести результаты внутреннего аудита информационной безопасности. При необходимости возможно использование статистических данных, полученных из внешних источников.

Информация по подпунктам б-г должна быть сведена в таблицу 2

Таблица 2

Оценка информационных активов предприятия

В зависимости от постановки задачи некоторые разделы таблицы могут не заполняться

д) перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, сведенных в таблицу 3.

Таблица 3

Перечень

сведений конфиденциального характера ООО «Информ-Альянс»

е) результат ранжирования активов. Результат ранжирования должен представлять собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале и внесенную в таблицу 4.

Именно активы, имеющие наибольшую ценность (ранг) должны в последующем рассматриваться в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия, но в дипломной работе целесообразно рассматривать 5-9 активов.

Таблица 4

Результаты ранжирования активов

Активы, имеющие наибольшую ценность:

1.

2.

1.2.2. Оценка уязвимостей активов

В данном пункте необходимо провести идентификацию уязвимостей окружающей среды, организации, процедур, персонала, менеджмента, администрации, аппаратных средств, программного обеспечения или аппаратуры связи, которые могли бы быть использованы источником угроз для нанесения ущерба активам и деловой деятельности организации, осуществляемой с их использованием.

Оценка должна проводиться для активов, определенных в п.п. (е) п.1.2.1.

При проведении оценки рекомендуется руководствоваться требованиями стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 (Приложение D).

Пункт должен содержать:

а) Описание процедуры оценки уязвимости активов, при этом должно быть отражено, что является основанием для проведения такой оценки, как часто проводится оценка, кто проводит оценку, какие при этом используются методики, в какой форме представляются результаты оценки.

б) Перечень уязвимостей с указанием оценки степени вероятности возможной реализации отмеченных уязвимостей, например "высокая", "средняя" или "низкая", сведенный в таблицу 5

Следует обратить внимание на то что, в указанной таблице уязвимости сгруппированы по областям существования/возникновения. Один и тот же информационный актив может присутствовать в нескольких разделах таблицы. Иными словами, один и тот же информационный актив может иметь несколько уязвимостей.

Таблица 5

Результаты оценки уязвимости активов

1.2.3. Оценка угроз активам

Перед началом выполнения данного пункта необходимо уяснить, что угроза – этопотенциальная причина инцидента, который может нанести ущерб системе или организации, а инцидент, (инцидент информационной безопасности) – это любое непредвиденное или нежелательное событие, которое может нарушить деятельность организации или информационную безопасность.

В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно.

В ходе выполнения пункта источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена.

Следует учесть, что, с одной стороны, важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий, а с другой не акцентировать внимание на заведомо маловероятных угрозах.

Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации.

При формировании перечня угроз рекомендуется руководствоваться требованиями стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 (Приложение С).

Также полезно использование каталогов угроз (наиболее соответствующих нуждам конкретной организации или виду ее деловой деятельности).

После идентификации источника угроз (кто и что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы. При этом следует учитывать:

- частоту появления угрозы (как часто она может возникать согласно статистическим, опытным и другим данным), если имеются соответствующие статистические и другие материалы;

- мотивацию, возможности и ресурсы, необходимые потенциальному нарушителю и, возможно, имеющиеся в его распоряжении; степень привлекательности и уязвимости активов системы информационных технологий с точки зрения возможного нарушителя и источника умышленной угрозы;

- географические факторы - такие как наличие поблизости химических или нефтеперерабатывающих предприятий, возможность возникновения экстремальных погодных условий, а также факторов, которые могут вызвать ошибки у персонала, выход из строя оборудования и послужить причиной реализации случайной угрозы.

После завершения оценки угроз составляют перечень идентифицированных угроз, активов или групп активов, подверженных этим угрозам, а также определяют степень вероятности реализации угроз с разбивкой на группы высокой, средней и низкой вероятности.

Пункт должен содержать:

а) описание процедуры оценки угроз активам, при этом должно быть отражено, что является основанием для проведения такой оценки, как часто проводится оценка, кто проводит оценку, какие при этом используются методики, в какой форме представляются результаты оценки.

Таблица 6

Результаты оценки угроз активам