Организационно-функциональная структура предприятия.

В данном разделе необходимо представить схему общей организационно-функциональной структуры предприятия, которая бы отражала содержание аппарата управления и объекта управления на предприятии, основные административные и функциональные подразделения предприятия. Схема должна носить целостный характер.

 
 

В организационной структуре должна соблюдаться логичность представления должностей и подразделений. Например, на втором уровне подчиненности указываются либо должности руководителей, либо названия подразделений.

 

Рис.1 Организационно-функциональная структура предприятия


1.2. Анализ рисков информационной безопасности.

Положения действующей нормативной базы в области информационной безопасности (международные стандарты, ГОСТы) требует от организации идентификации и принятия систематического метода и подхода к оценке рисков, гдериск – комбинация вероятности события и его последствий. (другими словами, риск – это математической ожидание ущерба информационным активам компании).

Тем не менее, результат оценивания риска может быть представлен как в форме количественного показателя (тыс. рублей), так и виде качественного: приемлемыйриск или неприемлемый риск

Важно, чтобы управление рисками информационной безопасности осуществлялось четко и последовательно во всей организации.

Однако для управления рисками могут применяться различные подходы к оценке и управлению риском, а также различные степени детализации, отвечающие потребностям организации.

Какой из подходов к оценке рисков следует выбрать, целиком определяется организацией.

Какое бы решение не приняла организация, важно, чтобы этот подход к управлению рисками был подходящим и соответствовал всем требованиям организации.

Перед непосредственным п.п.1.2.1.- 1.2.5.выполнением пунктов данного раздела следует дать обоснование необходимости анализа рисков для организации и указать:

· кто принимает решение о проведении анализа рисков?

· кто проводит анализ рисков, с какой периодичностью?

· в какой форме представлена оценка рисков?

· если данный анализ не проводится, то по каким причинам?

 

 

1.2.1. Идентификация и оценка информационных активов

Информационный актив является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации. При идентификации активов следует иметь в виду, что всякая система информационных технологий включает в себя не только информацию – сведения, данные, независимо от формы их представления, но и аппаратные средства, программное обеспечение и т.д. Могут существовать следующие типы активов:

· информация/данные (например, файлы, содержащие информацию о платежах или продукте);

· аппаратные средства (например, компьютеры, принтеры);

· программное обеспечение, включая прикладные программы (например, программы обработки текстов, программы целевого назначения);

· оборудование для обеспечения связи (например, телефоны, медные и оптоволоконные кабели);

· программно-аппаратные средства (например, гибкие магнитные диски, CD-ROM, программируемые ROM);

· документы (например, контракты);

· фонды (например, в банковских автоматах);

· продукция организации;

· услуги (например, информационные, вычислительные услуги);

· конфиденциальность и доверие при оказании услуг (например, услуг по совершению платежей);

· - оборудование, обеспечивающее необходимые условия работы;

· - персонал организации;

· - престиж (имидж) организации.

В данном пункте необходимо определить состав и, по возможности, содержание информации, циркулирующей на предприятии и подлежащей обязательной защите. После чего провести ранжирование активов по степени их важности для компании. Поскольку защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то результаты анализа должны быть сформулированы в терминах доступности, целостности и конфиденциальности.

Например, если организация занимается продажами, то во главу угла ставится актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Для организации, отвечающей за поддержание критически важных баз данных, на первом плане должна стоять целостность данных. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, то есть о ее защите от несанкционированного доступа.

Результат ранжирования информационных активов, должен соответствовать сформулированной во введении цели дипломного проектирования. Так, например, недопустимо при выборе темы, связанной с криптографической защиты данных, отдавать приоритет информации, зафиксированной в бумажной форме, либо, если тематика предусматривает защиту какого-либо конкретного актива (персональных данных), присваивать данному активу низший приоритет по сравнению с другими активами, подлежащими оценке.

Пункт должен содержать:

а) обоснование выбора активов, подлежащих оценке, т.е. необходимо аргументировать, почему обязательной защите должны подлежать именно указанные активы.

б) перечень видов деятельности организации (определенных в п.1.1.1), а также наименование и краткое описание используемых (создаваемых) информационных активов для каждого вида, форму представления актива (бумажный документ, информация на электронном носителе, материальный объект);

в) перечень владельцев активов, определенных в п.п (б). Термин «владелец» обозначает лицо или субъект, наделенный утвержденной руководством ответственностью за осуществление контроля производства, разработки, сопровождения, использования и безопасности активов. Следовательно, формирование данного перечня должно осуществляться на основе информации, изложенной в п.1.1.2.;

г) результаты оценки активов. При проведении оценки следует руководствоваться приведенными ниже рекомендациями.

· Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и юридическому лицу, ведущему деловую деятельность.

· Ответственность за определение ценности активов должны нести их владельцы.

· Для обеспечения полного учета активов (рассматриваемых в дипломной работе) рекомендуется сгруппировать их по типам, например, информационные активы, активы программного обеспечения, физические активы и услуги.

· Необходимо определить критерииопределения конкретной стоимости активов. Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться в однозначных (недвусмысленных) терминах. Возможны следующие критерии определения ценности активов:

- первоначальная стоимость актива,

- стоимость его обновления или воссоздания.

- ценность актива может также носить нематериальный характер, например, цена доброго имени или репутации компании.

Другой подход к оценке активов предполагает учет возможных затрат, вследствие

- утраты конфиденциальности;

- нарушения целостности;

- утраты доступности.

· Необходимо определить размерность оценки, которая должна быть произведена. Некоторые активы могут быть оценены в денежных единицах, в то время как другие активы могут оцениваться по качественной шкале.

Например, для количественной шкалы используется размерность тыс. рублей. Для качественной шкалы используются термины: "пренебрежимо малая", "очень малая", "малая", "средняя", "высокая", "очень высокая", "имеющая критическое значение".

Для одного и того же выбранного актива должны быть определены значения для обоих типов оценки.

Информация в подпункте (а) может быть представлена в произвольной тестовой форме. Желательно привести результаты внутреннего аудита информационной безопасности. При необходимости возможно использование статистических данных, полученных из внешних источников.

Информация по подпунктам б-г должна быть сведена в таблицу 2

 


Вид деятельности Наименование актива Форма представления Владелец актива Критерии определения стоимости Размерность оценки
Количественная оценка (ед.изм) Качественная
Информационные активы
             
             
Активы программного обеспечения
             
             
Физические активы
             
             
Услуги
             
             

Таблица 2

Оценка информационных активов предприятия

В зависимости от постановки задачи некоторые разделы таблицы могут не заполняться

 

 


д) перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, сведенных в таблицу 3.

Таблица 3

Перечень

сведений конфиденциального характера ООО «Информ-Альянс»

№ п/п Наименование сведений Гриф конфиденциальности Нормативный документ, реквизиты, №№ статей
1. Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа.      
2. Требования по обеспечению сохранения служебной тайны сотрудниками предприятия.   Гражданский кодекс РФ ст.ХХ
3. Персональные данные сотрудников   Федеральный закон ХХ-ФЗ

 

е) результат ранжирования активов. Результат ранжирования должен представлять собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале и внесенную в таблицу 4.

Именно активы, имеющие наибольшую ценность (ранг) должны в последующем рассматриваться в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия, но в дипломной работе целесообразно рассматривать 5-9 активов.

Таблица 4

Результаты ранжирования активов

Наименование актива Ценность актива (ранг)
Информационный актив №1
Физический актив № 3
Информационный актив №3
Актив программного обеспечения №2
Физический актив №4

 

Активы, имеющие наибольшую ценность:

1.

2.


1.2.2. Оценка уязвимостей активов;

В данном пункте необходимо провести идентификацию уязвимостей окружающей среды, организации, процедур, персонала, менеджмента, администрации, аппаратных средств, программного обеспечения или аппаратуры связи, которые могли бы быть использованы источником угроз для нанесения ущерба активам и деловой деятельности организации, осуществляемой с их использованием.

Оценка должна проводиться для активов, определенных в п.п. (е) п.1.2.1.

При проведении оценки рекомендуется руководствоваться требованиями стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 (Приложение D).

Пункт должен содержать:

а) Описание процедуры оценки уязвимости активов, при этом должно быть отражено, что является основанием для проведения такой оценки, как часто проводится оценка, кто проводит оценку, какие при этом используются методики, в какой форме представляются результаты оценки.

б) Перечень уязвимостей с указанием оценки степени вероятности возможной реализации отмеченных уязвимостей, например "высокая", "средняя" или "низкая", сведенный в таблицу 5

Следует обратить внимание на то что, в указанной таблице уязвимости сгруппированы по областям существования/возникновения. Один и тот же информационный актив может присутствовать в нескольких разделах таблицы. Иными словами, один и тот же информационный актив может иметь несколько уязвимостей.

 


Таблица 5

Результаты оценки уязвимости активов

Группа уязвимостей Содержание уязвимости Актив №1 Актив №2 Актив №3 Актив №4 Актив №5 Актив №6 Актив №7
1. Среда и инфраструктура
Уязвимость 1.1. низкая            
  высокая          
Уязвимость 1.n              
2. Аппаратное обеспечение
Уязвимость 2.1.              
             
Уязвимость 2.n         средняя    
3. Программное обеспечение
Уязвимость 3.1.              
             
Уязвимость 3.n              
4. Коммуникации
Уязвимость 4.1.              
             
Уязвимость 4.n              
5. Документы (документооборот)
Уязвимость 5.1.              
             
Уязвимость 5.n              
6.Персонал
Уязвимость 6.1.              
             
Уязвимость 6.n              
7. Общие уязвимые места
Уязвимость 7.1.              
             
Уязвимость 7.n              

 


1.2.3. Оценка угроз активам;

Перед началом выполнения данного пункта необходимо уяснить, что угроза – этопотенциальная причина инцидента, который может нанести ущерб системе или организации, а инцидент, (инцидент информационной безопасности) – это любое непредвиденное или нежелательное событие, которое может нарушить деятельность организации или информационную безопасность.

В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно.

В ходе выполнения пункта источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена.

Следует учесть, что, с одной стороны, важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий, а с другой не акцентировать внимание на заведомо маловероятных угрозах.

Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации.

При формировании перечня угроз рекомендуется руководствоваться требованиями стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 (Приложение С).

Также полезно использование каталогов угроз (наиболее соответствующих нуждам конкретной организации или виду ее деловой деятельности).

После идентификации источника угроз (кто и что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы. При этом следует учитывать:

- частоту появления угрозы (как часто она может возникать согласно статистическим, опытным и другим данным), если имеются соответствующие статистические и другие материалы;

- мотивацию, возможности и ресурсы, необходимые потенциальному нарушителю и, возможно, имеющиеся в его распоряжении; степень привлекательности и уязвимости активов системы информационных технологий с точки зрения возможного нарушителя и источника умышленной угрозы;

- географические факторы - такие как наличие поблизости химических или нефтеперерабатывающих предприятий, возможность возникновения экстремальных погодных условий, а также факторов, которые могут вызвать ошибки у персонала, выход из строя оборудования и послужить причиной реализации случайной угрозы.

После завершения оценки угроз составляют перечень идентифицированных угроз, активов или групп активов, подверженных этим угрозам, а также определяют степень вероятности реализации угроз с разбивкой на группы высокой, средней и низкой вероятности.

Пункт должен содержать:

а) описание процедуры оценки угроз активам, при этом должно быть отражено, что является основанием для проведения такой оценки, как часто проводится оценка, кто проводит оценку, какие при этом используются методики, в какой форме представляются результаты оценки.

 


Таблица 6

Результаты оценки угроз активам

Группа угроз Содержание угроз Актив №1 Актив №2 Актив №3 Актив №4 Актив №5 Актив №6 Актив №7
1. Угрозы, обусловленные преднамеренными действиями
Угроза 1.1. средняя            
  высокая          
Угроза 1.n              
2. Угрозы, обусловленные случайными действиями
Угроза 2.1.              
             
Угроза 2.n         высокая    
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)
Угроза 3.1.              
             
Угроза 3.n              

 

 


1.2.4. Оценка существующих и планируемых средств защиты

 

Для защиты информации, составляющей коммерческую тайну, её владелец создает собственную систему защиты информации. Законодательно структура такой системы не закреплена.

Задачи по защите информации, в зависимости от возможностей и масштабов организации, может выполнять как профильное структурное подразделение, входящее в штатную структуру предприятия (для крупных компаний), так и сотрудники, уполномоченные руководством для проведения мероприятий по защите информации параллельно с выполнением основных функциональных обязанностей.

Защита информации может осуществляться также в рамках абонентского обслуживания.

Вне зависимости от того, на кого возложены организация и выполнение мероприятий по защите информационных активов, данный пункт должен содержать:

а) данные о подразделении (должностных лицах), на которых возложены задачи по защите информации: организационную структуру подразделения и функционал. Информация должна детализировать данные по п.1.1.1. с точки зрения обеспечения информационной безопасности..

б) техническую архитектуру – состав и взаимодействие аппаратных средств, используемых (даже частично) для обработки информационных активов, подлежащих защите. Схему (Рис.2) и таблицу описания технических характеристик;

в) программную архитектуру – программное обеспечение, используемое (даже частично) для обработки информационных ресурсов, подлежащих защите Схему (Рис.3) и таблицу описания технических характеристик;

г) описание как минимум одной из подсистем инженерно-технических средств защиты информации: системы видеонаблюдения, системы контроля и управления доступом, системы периметровой охраны, внедрение и/или модернизация которой предусмотрено темой дипломного проекта. Схемы (Рис.4-7) и таблицу описания технических характеристик.

 

 


Рис.2. Пример технической архитектуры предприятия

 


 

 
 

Рис.3. Пример программной архитектуры предприятия

 


Рис.4. Расположение камер охранного видеонаблюдения.

 
 

Рис.5. Расположение датчиков движения

 


 
 

Рис. 6. Расположение систем контроля периметра (вариант 1)

 

Рис. 7 Расположение систем контроля периметра (вариант 2)

 


г) результаты оценки действующей системы безопасности информации, отражающие, насколько полно выполняются однотипные объективные функции при решении задач обеспечения защиты информации. Если некоторые задачи решаются не в полном объеме, следует указать, как предусмотренные мероприятия выполняются в действительности. Результаты обследования внести в Таблицу 7.

 

Таблица 7

Анализ выполнения основных задач

по обеспечению информационной безопасности

Основные задачи по обеспечению информационной безопасности Степень выполнения
обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной;  
организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;  
организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;  
предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну;  
выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях;  
обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне;  
обеспечение охраны территории, зданий помещений, с защищаемой информацией.    

 


1.2.5. Оценка рисков

 

На заключительном этапе анализа риска должна быть проведена суммарная оценка риска. Активы, имеющие ценность и характеризующиеся определенной степенью уязвимости, всякий раз подвергаются риску в присутствии угроз.

Оценка риска представляет собой оценку соотношения потенциальных негативных воздействий на деловую деятельность в случае нежелательных инцидентов и уровня оцененных угроз и уязвимых мест. Риск фактически является мерой незащищенности системы и связанной с ней организации. Величина риска зависит от:

· ценности активов;

· угроз и связанной с ними вероятности возникновения опасного для активов события;

· легкости реализации угроз в уязвимых местах с оказанием нежелательного воздействия;

· существующих или планируемых средств защиты, снижающих степень уязвимости, угроз и нежелательных воздействий.

Задача анализа риска состоит в определении и оценке рисков, которым подвергается система информационных технологий и ее активы, с целью определения и выбора целесообразных и обоснованных средств обеспечения безопасности. При оценке рисков рассматривают несколько различных его аспектов, включая воздействие опасного события и его вероятность.

Многие методы предлагают использование таблиц и различных комбинаций субъективных и эмпирических мер. В настоящее время нельзя говорить о правильном или неправильном методе анализа риска. Важно, чтобы организация пользовалась наиболее удобным и внушающим доверие методом, приносящим воспроизводимые результаты. Ниже приведены несколько примеров методов, основанных на применении таблиц:

 

Пример 1

Суть подхода заключается в определении наиболее критичных активов в организации с точки зрения рисков ИБ по «штрафным баллам». Оценивание рисков производится экспертным путем на основе анализа ценности активов, возможности реализации угроз и использования уязвимостей, определенных в предыдущих пунктах. Для оценивания предлагается, например, таблица с заранее предопределенными «штрафными баллами» для каждой комбинации ценности активов, уровня угроз и уязвимостей (табл. 8).

 

Таблица 8

 

В случае определения уровня уязвимости из результатов аудита или самооценки для различных процессов и при наличии экспертных оценок уровня соответствующих угроз и ценности активов можно получить меру риска ИБ для каждого процесса.

 

Однако такой подход не приводит к интерпретации результатов аудита или самооценки ИБ, ориентированной на бизнес, на бизнес-процессы.

Если оставить за границей анализа угрозы, слабо поддающиеся управлению со стороны системы обеспечения ИБ, и оценить риски по степени влияния уязвимостей на бизнес-процессы, то можно получить оценки рисков бизнес-процессов на основе оцененного профиля процессов.

 

Пример 2

 
 

Для такого оценивания может быть применена таблица, (Таблица 9)в которой строками являются уровни степени влияния уязвимости на бизнес-процессы , столбцами — уровни уязвимостей.

Таблица 9

То есть уровень уязвимости бизнес-процесса показывает (отображает) степень влияния на конкретный бизнес-процесс организации уязвимости, а уровень уязвимости отражает величину отклонения оцененного профиля от рекомендованного (целевого профиля).

Таким образом, столбец в таблице 9 есть характеристика бизнеса, а строка — характеристика уязвимости. Чем больше оцененный профиль отличается от рекомендованного, тем больше величина (уровень) уязвимости.

Предопределенные «штрафные баллы» меры риска бизнес-процессов могут отражать историю инцидентов, связанных с бизнес-процессами, и их последствия, если таковая история имеется. С другой стороны, баллы могут быть внесены в таблицу экспертным способом.

Далее для оценки рисков каждый реализуемый в организации бизнес-процесс рассматривается экспертами и относится ими к одному из 4 классов (столбец табл. 9). Фактически при этом оценивается степень влияния ИБ на каждый конкретный бизнес-процесс.

Понятно, что если процесс имеет сильную стохастическую составляющую, связанную с его природой (например, невозврат кредита, курс валют и т.д.), то влияние ИБ на этот процесс существенно меньше, чем на детерминированный процесс, в котором потери в основном возникают при фальсификации и манипулировании информацией.

Каждый бизнес-процесс может классифицироваться в целом по профилю либо по каждому показателю профиля. (Профиль – наименование совокупности информационного актива, уязвимости, угроз, состояния средств защиты информации). В последнем случае будет получена более точная оценка. Если бизнес-процессы классифицированы экспертами по каждому показателю профиля, то он получает пару координат в таблице 9 и для него может быть определено количество «штрафных баллов» путем их выборки из таблицы и суммирования.

Если бизнес-процессы классифицированы в целом по профилю, то нет необходимости рассматривать далее каждый показатель профиля в отдельности — достаточно взять разницу между значением рекомендованного профиля и средним значением оцененного профиля. По ее величине будет выбран один из столбцов таблицы 9, каждому бизнес-процессу будет присвоен «штрафной балл» из соответствующей для него степени влияния этого столбца. Далее «штрафные баллы» всех бизнес-процессов организации суммируются и получается интегральная оценка в «штрафных баллах» для организации.

После этого вычисляются значения двух характеристических точек для бизнес-процессов организации на оси «штрафных баллов».

Первая характеристическая точка отображает состояние, когда оцененный профиль совпадает с рекомендованным, т.е. соответствует столбцу «очень малый» таблицы 10. При этом окажется, что даже при полной реализации рекомендованного профиля будет ненулевое количество «штрафных баллов». Эта величина отображает остаточный риск, и он будет тем больше, чем больше бизнес-процессов отнесено к высокому уровню зависимости от ИБ.

Вторая характеристическая точка определяется при условии максимального отклонения оцененного и рекомендованного профиля, то есть для ее подсчета используется столбец «высокий» таблицы 9.

Как размещаются эти точки на оси «штрафных баллов», показано на рисунке 8. Как видно из рисунка , на оси образовалось три интервала:

· [0; 1-я характеристическая точка];

· [1-я характеристическая точка; интегральная оценка];

· [интегральная оценка; 2-я характеристическая точка].

Кроме того, представляют также интерес интервалы [0; интегральная оценка] и [0; 2-я характеристическая точка].

 
 

Суждение о величине риска ИБ для организации выносится на основе сопоставления длин указанных интервалов. Они же используются и для прогноза состояния информационной безопасности, которое изменяется вследствие изменчивости структуры активов и бизнес-процессов организации и ее деятельности по совершенствованию защитных мер, что приводит к изменению указанных точек на оси «штрафных баллов».

Рис. 8. Размещение характеристических точек на оси штрафных баллов

 

На рисунке 9 представлена взаимосвязь основных понятий информационной безопасности: «владелец», «актив», «угроза», «уязвимость» и, наконец «риск». Именно величина риска является тем интегрированным показателем, который позволяет владельцу актива принять адекватное решение для определению перечня мер по уменьшению уязвимостей активов.

 

 
 

Рис.9. Основные понятия информационной безопасности и их взаимосвязь

 

Данный пункт должен включать

а) обоснование выбора методики оценки риска;

б) описание проведения процедуры оценки рисков, с указанием:

· должностных лиц, участвующих в оценке;

· способов (форм) представления исходной информации;

· способов (форм) представления результатов оценки рисков

в) результаты проведения оценки риска, проведенные с учетом ценности информационных активов (п.1.2.1.), наличия уязвимостей (п.1.2.2.), степени угроз (п.1.2.3) и состояния действующей в организации системы защиты информации (п.1.2.4.).

г) определить (при наличии) приемлемые риски, обосновать данное решение.

Результаты проведения оценки целесообразно свести в таблицу, которая должна содержать риски наиболее ценным информационным активам, ранжированные в порядке убывания.

Таблица 10

Результаты оценки рисков информационным активам организации

Риск Актив Ранг риска
     
     
     

Следует обратить особое внимание на то, что именно результаты оценки рисков являются основанием для:

· выбора и формулировки задач по обеспечению информационной безопасности предприятия (п.1.3.);

· выбора защитных мер (п.1.4.);