Цель управления ИБ состоит в сохранении конфиденциальности, целостности и доступности информации. Вопрос только в том, какую именно информацию необходимо охранять и какие усилия прилагать для обеспечения её сохранности (рис. 5).

Рис. 5. Взаимосвязь процессов управления и защиты в организации

Любое управление основано на осознании ситуации, в которой оно происходит. В терминах анализа рисков осознание ситуации выражается в инвентаризации и оценке активов организации и их окружения, т. е. всего того, что обеспечивает ведение бизнес-деятельности. С точки зрения анализа рисков ИБ к основным активам относятся непосредственно информация, инфраструктура, персонал, имидж и репутация компании. Без инвентаризации активов на уровне бизнес-деятельности невозможно ответить на вопрос, что именно нужно защищать. Очень важно понять, какая информация обрабатывается в организации и где выполняется её обработка.

В условиях крупной современной организации количество информационных активов должна быть очень велико. Если деятельность организации автоматизирована при помощи ERP-системы, то можно говорить, что практически любому материальному объекту, использующемуся в этой деятельности, соответствует какой-либо информационный объект. Поэтому первоочередной задачей управления рисками становится определение наиболее значимых активов.

Решить эту задачу невозможно без привлечения менеджеров основного направления деятельности организации как среднего, так и высшего звена. Оптимальна ситуация, когда высший менеджмент организации лично задает наиболее критичные направления деятельности, для которых крайне важно обеспечить информационную безопасность. Мнение высшего руководства по поводу приоритетов в обеспечении ИБ очень важно и ценно в процессе анализа рисков, но в любом случае оно должно уточняться путем сбора сведений о критичности активов на среднем уровне управления компанией. При этом дальнейший анализ целесообразно проводить именно по обозначенным высшим менеджментом направлениям бизнес-деятельности. Полученная информация обрабатывается, агрегируется и передается высшему менеджменту для комплексной оценки ситуации (но об этом чуть позже).

Идентифицировать и локализовать информацию можно на основании описания бизнес-процессов, в рамках которых информация воспринимается как один из типов ресурсов. Задача несколько упрощается, в случае если в организации принят подход регламентации бизнес-деятельности (например, в целях управления качеством и оптимизации бизнес-процессов). Формализованные описания бизнес-процессов служат хорошей стартовой точкой для инвентаризации активов. Если описаний нет, можно идентифицировать активы на основании сведений, полученных от сотрудников организации. После того как активы идентифицированы, необходимо определить их ценность.

Ключевым элементом риска является актив, подверженный этому риску. Риски информационной безопасности обусловлены наличием у организации информационных активов. К информационным активам относится любая информация, представляющая ценность для организации. Они включают в себя информацию, напечатанную или записанную на бумаге, пересылаемую по почте или демонстрируемую в видеозаписях, передаваемую устно, информацию, хранимую в электронном виде на серверах, веб-сайтах, мобильных устройствах, магнитных и оптических носителях и т.п., информацию, обрабатываемую в корпоративных информационных системах и передаваемую по каналам связи, а также программное обеспечение: операционные системы, приложения, утилиты, программную документацию и т.п.

Помимо информации организация располагает и другими видами материальных и нематериальных активов, которые она использует для достижения своих бизнес-целей. Это имущество организации, имущественные и неимущественные права, интеллектуальная собственность, кадровые ресурсы, а также имидж и репутация организации. Современные международные стандарты также определяют еще одну категорию активов – это процессы, а также информационные и неинформационные сервисы. Это агрегированные типы активов, которые оперируют другими активами для достижения бизнес-целей.

_____________________________________

Виды активов организации

материальные;

финансовые;

имущественные и неимущественные права;

интеллектуальная собственность;

кадровые;

информационные;

процессы и сервисы;

имидж и репутация.

_______________________________________

Все активы определенным образом взаимосвязаны. Реализация угроз в отношении одних активов, например помещений или оборудования, может приводить к нарушению безопасности других активов, например информации, хранимой в этих помещениях или обрабатываемой на данном оборудовании, и т.д. В свою очередь нарушение безопасности информации, например ее конфиденциальности или достоверности, может обуславливать финансовые или политические риски. Сбой сервера влияет на доступность хранящихся на нем информации и приложений, а его ремонт отвлекает людские ресурсы, создавая их дефицит на определенном участке работ и вызывая дезорганизацию бизнес-процессов, при этом временная недоступность клиентских сервисов может негативно повлиять на имидж компании.

Таким образом, во многих видах бизнес-рисков есть информационная составляющая, обусловленная тем, что все активы организации и соответствующие риски в отношении этих активов связаны между собой.

Рассмотрим, например, физические угрозы, такие как пожар или землетрясение. С этими угрозами связаны, прежде всего, риски для жизни и здоровья людей, также с ними связаны риски потери оборудования и помещений, нарушения бизнес-операций, а также риски потери информационных активов, которые размещаются на этом оборудовании и в этих помещениях. Мы видим, что с одной и той же угрозой связано множество активов и уязвимостей, т.е. множество различных рисков, которые находятся в сфере компетенции различных людей: работников службы безопасности, пожарников, кадровиков, IT -специалистов, специалистов по управлению непрерывностью бизнеса.

Поэтому руководству организации, вообще говоря, было бы проще рассматривать все эти взаимосвязанные бизнес-риски в совокупности, в рамках единого процесса и общей методологии, охватывающей все виды информационных, физических и операционных рисков.

Все виды активов важны для организации. Однако у каждой организации есть основные активы и есть вспомогательные. Определить, какой актив является основным и жизненно важным, очень просто, т.к. бизнес организации построен вокруг основного актива. Так, бизнес может быть построен на владении и использовании материальных активов (земля, недвижимость, оборудование, полезные ископаемые), бизнес может быть построен на управлении финансовыми активами (кредитные организации, страхование, инвестирование), бизнес может быть основан на компетенции и авторитете конкретных специалистов (консалтинг, аудит, обучение, высокотехнологичные и наукоемкие отрасли) или все может вращаться вокруг информационных активов (разработка ПО, информационных продуктов, электронная коммерция, бизнес в Интернет).

Риски основных активов чреваты потерей бизнеса и невосполнимыми потерями, поэтому на этих рисках в первую очередь сосредоточено внимание владельцев бизнеса и ими руководство организации занимается лично и в первую очередь. Риски вспомогательных активов приводят к восполнимому ущербу и не являются основным приоритетом в системе управления организации. Обычно управлением такими рисками занимаются специально назначаемые люди, либо эти риски передаются, скажем, аутсорсинговой организации. Управление такими неосновными рисками – это вопрос эффективности управления, а не выживания для организации.

Для комментирования войдите или зарегистрируйтесь

А если есть риски - ими надо управлять. Такой подход заложен в основу современных международных и отечественных стандартов в области обеспечения ИБ.

Начать сначала

Начать, пожалуй, следует с выбора методики, по которой будет проводиться оценка рисков. На сегодняшний день недостатка в таких методиках оценки рисков нарушения информационной безопасности нет. Это, к примеру, OCTAVE, CRAMM, RA2, отраслевая методика Банка России РС БР ИББС 2.2 – вот лишь немногие из них. Методики можно разделить на качественные и количественные, в зависимости от шкал, применяемых для оценки вероятности реализации угрозы и тяжести последствий от её реализации. Кроме того, отличия методик заложены в подходах (базовый уровень или детальная оценка рисков) и процедурах оценки рисков. Для некоторых методик разработаны инструментальные средства, содержащие базу знаний по рискам и механизмы их минимизации.

Независимо от выбранной методики, процесс управления рисками ИБ будет включать в себя выполнение следующих задач:

определение области оценки рисков;
оценка рисков;
обработка рисков;
мониторинг и контроль;
совершенствование процесса.

Также перед началом работ по оценке рисков необходимо создать организационную структуру по управлению рисками, и разработать Политику управления рисками ИБ. В ней должны быть отражены такие вопросы, как цели и процессы управления рисками (в соответствии с выбранной методологией), критерии управления рисками (включая критерии оценки ущерба, оценки рисков и принятия рисков), функциональные роли по оценке рисков.

Составляющие

В область оценки рисков могут входить бизнес-процессы, элементы инфраструктуры, информационные активы, сервисы, персонал и т.д. На практике для организаций, которые впервые проводят оценку рисков, целесообразно ограничить область оценки, например, одним из вспомогательных бизнес-процессов или даже конкретным информационным активом. Иначе говоря, выполнить пилотный проект. Такое ограничение позволит «обкатать» и, при необходимости, доработать применяемую методику, довести до ума шаблоны документов, а также практически безболезненно наступить на все остальные грабли, разбросанные на пути внедрения системы управления рисками ИБ.

Впоследствии область оценки рисков должна охватить всю организацию в целом (по крайней мере, ту её часть, на которую распространяется действие системы управления информационной безопасностью - СУИБ).

Идентификация активов

На этапе оценки рисков мы должны идентифицировать информационные активы, входящие в область оценки; определить ценность этих активов; определить перечень угроз и вероятность их реализации; произвести оценивание и ранжирование рисков.

Начнем с идентификации информационных активов. Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении. У каждой организации свой набор активов, относящихся к тому или иному типу, например:

персональные данные;
стратегическая информация, необходимая для достижения бизнес-целей;
ноухау;
коммерческая тайна;
служебная тайна и т.д.

Для каждого актива необходимо определить владельца, который несет за него ответственность.

Стоит заметить, что на данном этапе большим подспорьем может служить документированное описание бизнес-процессов организации. Это позволит нам быстро идентифицировать информационные активы, вовлеченные в конкретный бизнес-процесс, а также определить задействованный в нем персонал. Если же бизнес-процессы в организации не документированы, то самое время начать это делать. Помимо практической пользы при внедрении системы управления рисками ИБ и СУИБ, перенос бизнес-процессов «на бумагу» часто помогает увидеть возможности по их оптимизации.

Определение ценности активов, а точнее, оценка степени тяжести последствий (СТП) от утраты активом свойств информационной безопасности - конфиденциальности, целостности или доступности - необходима нам для того, чтобы ответить на следующие вопросы: Сколько нам будет стоить «простой» системы в течение времени, требующегося на её восстановление? Каков будет ущерб, если эта информация станет известной конкурентам?

Цена и ценности

В рамках пилотного проекта по созданию системы управления рисками ИБ наиболее целесообразной является качественная оценка ценности информационного актива со стороны владельца. При этом, в зависимости от потребностей организации, её размера или иных факторов, качественная шкала оценки может использовать такие слова, как «незначительный», «низкий», «средний», «высокий», «критический», под которыми подразумевается определенный интервал количественной шкалы оценки. Например, «незначительный» - менее 10 тыс. рублей, «низкий» - от 10 до 100 тыс. рублей и т.д.

Впрочем, существуют специальные методики, используемые оценочными компаниями для количественной оценки стоимости нематериальных активов на основе рыночного, доходного или затратного подходов. Однако их применение часто требует привлечения профессиональных оценщиков, так как в подавляющем большинстве случаев специалисты подразделений ИБ не обладают подобными знаниями.

Опять же, в рамках пилотного проекта имеет смысл анализировать только высокоуровневые риски, постепенно повышая детализацию и глубину анализа в последующих оценках. Этим принципом мы будем руководствоваться при составлении перечня угроз, если в организации нет утвержденной Модели угроз, которую можно взять за основу. Угрозы могут иметь природное или техногенное происхождение, могут быть случайными или преднамеренными. Типовые перечни угроз приведены в приложениях к стандартам ISO 27005, BS 7799-3 и РС БР ИББС 2.2. Для определения степени вероятности реализации (СВР) той или иной угрозы на данном этапе можно воспользоваться качественной экспертной оценкой.

Переход на количественные шкалы, безусловно, позволяет сделать результаты оценки рисков более точными, однако предполагает наличие некоего уровня зрелости существующих процессов управления ИБ и оценки рисков и не всегда оправдан. Тем не менее, если в организации существует функционирующая система менеджмента инцидентов, фиксируются данные о частоте реализации той или иной угрозы, то грех не воспользоваться подобной информацией.

Оценивание риска, в общем случае, происходит путем сопоставления оценок СТП с оценкой СВР угроз ИБ (иногда к ним добавляется оценка уязвимостей).

Для оценивания рисков нарушения ИБ, в зависимости от потребностей организации и критериев, определенных в Политике, может быть использована простая качественная шкала («допустимый», «недопустимый»), более продвинутая качественная шкала (например, «критический», «высокий», «средний», «приемлемый») или даже количественная шкала, выраженная в процентах или деньгах (таблица 1).

Таблица 1.

Степень вероятности реализации угрозы ИБ (СВР)	Степень тяжести последствий нарушения ИБ (СТП)
Степень вероятности реализации угрозы ИБ (СВР)	минимальная			критическая
нереализуемая	допустимый	допустимый	допустимый	допустимый
минимальная	допустимый	допустимый	допустимый	недопустимый
	допустимый	допустимый	недопустимый	недопустимый
	допустимый	недопустимый	недопустимый	недопустимый
критическая	недопустимый	недопустимый	недопустимый	недопустимый

Обработка рисков

По результатам оценки рисков необходимо определить способ обработки для каждого из рисков, который является недопустимым. Возможными вариантами обработки рисков являются:

применение защитных мер, позволяющих снизить величину риска до допустимого уровня;
уход от риска (например, путем отказа от деятельности, выполнение которой приводит к появлению риска);
перенос риска на другие организации (например, путем страхования или передачи деятельности на аутсорсинг);
осознанное принятие риска.

Следует помнить, что любой деятельности свойственны риски, и понизить их можно лишь до определенного остаточного уровня, а не до нуля.

Решение о применении того или иного способа обработки рисков должно приниматься исходя из стоимости их реализации, а также ожидаемых выгод от их реализации. Ведь наша цель, во-первых, добиться значительного уменьшения рисков при относительно низких затратах и, во-вторых, поддерживать принятые риски на допустимом, низком уровне.

Руководствоваться при выборе защиты лучше принципом разумной достаточности. Меры безопасности не могут быть более затратными, чем потенциальный ущерб от нарушения ИБ.

Мониторинг и контроль

После принятия решений об обработке рисков необходимо осуществлять постоянный мониторинг и контроль СУИБ. Это позволит нам оценить эффективность защитных мер, которые мы использовали для понижения величины риска.

На данном этапе также осуществляется контроль изменения перечня активов, угроз и других факторов, влияющих на результаты оценки, проводятся аудиты и иные контрольные процедуры.

Совершенствование процессов управления рисками ИБ осуществляется по результатам, полученным в процессе мониторинга и контроля. При необходимости пересматривается Политика управления рисками ИБ, область оценки, состав угроз ИБ, оценки СВР и СТП, совершенствуется методология и т.д.

Крайне желательно интегрировать процессы управления рисками в общий процесс управления информационной безопасностью. Это позволить привязать циклы деятельности по оценке рисков к общепринятому циклу выполнения деятельности по обеспечению ИБ, основанному на модели Деминга «… — планирование - реализация - проверка - совершенствование- планирование - …”, которая является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO 27001-2005.

Цикл Деминга по обеспечению ИБ

В этом случае процесс СУИБ будет соотноситься с процессом управления рисками следующим образом:

Планирование – определение области действия; оценка рисков; разработка планов обработки рисков; принятие рисков.
Реализация – реализация планов обработки рисков; внедрение защитных мер.
Проверка – постоянный мониторинг и пересмотр рисков; контроль эффективности защитных мер.
Совершенствование – поддержание и совершенствование процесса управления рисками ИБ.

Нетривиальная задача

Внедрение системы управления рисками ИБ может быть нетривиальной задачей для многих организаций, только начинающих работу над созданием системы управления информационной безопасностью. Однако оно является отправной точкой для построения эффективной системы защиты, которая будет отвечать бизнес-целям организации. В этом случае для проведения пилотного проекта может быть оправданным приглашение внешних консультантов, которые попутно разработают необходимую организационно-распорядительную документацию, адаптируют методологию и проведут обучение сотрудников организации.

Управление информационными рисками и построение комплексной системы управления информационной безопасностью – это для каждой организации шаг на качественно иной уровень корпоративного управления, а в некоторых случаях – решающее конкурентное преимущество.

Управляйте своими рисками сами, если не хотите, чтобы за вас это сделали ваши конкуренты.

Черненко А.Н., эксперт по информационной безопасности департамента аудиторских и консультационных услуг финансовым институтам ФБК

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

1. Аналитическая часть

1.1.1 Общая характеристика предметной области

1.1.2 Организационно-функциональная структура предприятия

1.2 Анализ рисков информационной безопасности

1.2.2 Оценка уязвимостей активов

1.2.3 Оценка угроз активам

2. Проектная часть

2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия

2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

Введение

С информационной безопасностью связан целый пласт вопросов, которые на наших глазах уже несколько лет плавно переходят из области, специфичной для ИТ-рынка, в общечеловеческую и даже цивилизационную. Упрощенно можно сказать, что у ИБ есть три основные задачи: обеспечить целостность данных (не модифицируемость), их конфиденциальность (нераскрываемость) и доступность. Будут ли решены все проблемы ИБ, если выполнить эти три задачи? Увы, нет. Есть извечная проблема нахождения компромисса между удобством использования и безопасностью. Есть вопросы законодательства, связанные с необходимостью и легитимностью использования тех или иных средств защиты. Есть вопросы управляемости ИБ на средних и крупных предприятиях, где «простое» использование современных средств защиты не приносит качественных изменений, пока не будет продумана политика ИБ и построена комплексная система управления ею. Есть, в конце концов, первопричина всех проблем -- люди, их осведомленность о необходимости соблюдать определенные правила информационного взаимодействия.

Цель данной преддипломной практики заключается в изучении аспектов защиты информации на предприятии ООО «FACILICOM».

Поставленная цель предопределила постановку и решение ряда взаимосвязанных задач:

· изучение предметной области и выявление недостатков в существующей системе обеспечения информационной безопасности и защите информации на примере организации ООО «FACILICOM»

· разработку постановки задачи на автоматизирование защиты персональных данных и коммерческой информации, а так же анализ рисков на предприятии ООО «FACILICOM»

· обоснование выбора основных проектных решений;

· разработку автоматизации обеспечивающих подсистем для защиты и шифрования данных;

· обоснование экономической эффективности проекта.

Данная дипломная работа состоит из трех частей.

В первой части отражена аналитическая часть проекта, в которой представлены технико-экономическая характеристика ООО «FACILICOM» и существующего на предприятии процесс анализа рисков и защиты персональных данных и коммерческой информации; характеристика комплекса задач, требующих решения, и обоснование необходимости автоматизации описанного процесса в ООО «FACILICOM»; анализ существующих разработок, обоснование проектных решений и выбор стратегии анализа рисков ООО «FACILICOM» и защите информации.

Вторая часть работы содержит непосредственно проектную часть, которая состоит из разработки проекта автоматизации защиты информации и анализ рисков ООО «Фасиликом», информационного и программного обеспечения автоматизации описанного процесса, а также описания контрольного примера реализации проекта.

И, наконец, третья часть дипломной работы представляет собой обоснование экономической эффективности проекта, где описываются выбор методик расчёта, а также представляется математический расчёт показателей экономической эффективности защиты информации и анализ рисков ООО «FACILICOM».

1. Аналитическая часть

1.1 Технико-экономическая характеристика предметной области и предприятия(Установление границ рассмотрения)

1.1.1 Общая характеристика предметной области

Группа Компаний FACILICOM - работает на российском рынке с 1994 года. За 20 лет деятельности заняли лидирующие позиции в сфере предоставления профессиональных услуг по управлению и обслуживанию различных объектов недвижимости. Под управлением находится более 30 млн. м2. Обслуживаемые объекты располагаются более чем в 300 населенных пунктах в различных регионах России, а также крупных городах Белоруссии и Украины. Широкая география охвата вместе с большим опытом, современной техническо-ресурсной базой и большим количеством собственных наработок позволяют FACILICOM принимать на управление объекты с любым расположением и масштабом.

Основой нашей работы является сервисный подход: выстраивание долгосрочных партнерских взаимоотношений с клиентом, сопровождение и решение всех задач, возникающих на протяжении всего жизненного цикла сотрудничества. Это подход, которого клиенты сегодня ожидают от лидеров рынка, и у нас есть все возможности для соответствия этим ожиданиям.

"Ценность, которую мы предоставляем нашим клиентам - возможность сфокусироваться на основной бизнес-задаче, не тратя ресурсы на вспомогательные процессы"

Широкий спектр услуг компании позволяет нам предоставлять необходимые сервисы компаниям любого масштаба: от стартапов, среднего и малого бизнеса до структур федерального масштаба. Клиентами "FACILICOM" являются компании из различных отраслей и сфер экономики, в числе которых:

· Государственный сектор

· Телекоммуникационные компании

· Финансовый сектор

· Производство

· Транспорт и логистика

Так же «Альфа-Банк», доверивший Компании недвижимость своей федеральной сети, расположенную в более чем 75 регионах.

В компании работают более 350 инженеров, 300 консультантов, 200 аналитиков. Высокую квалификацию специалистов подтверждают более 1400 сертификатов, в том числе - уникальных для России. Мы выполняем проекты любого масштаба в области недвижимости.

Компания FACILICOM предлагает различные схемы обслуживания объектов, что позволяющая каждому Клиенту подбирать оптимальный вариант сотрудничества, максимально соответствующий его текущим потребностям и возможностям. Все работы выполняются преимущественно силами подразделений нашей Компании, что обеспечивает высокое качество услуг и соблюдение единых стандартов на всех объектах, независимо от их локализации.

Система автоматизированного контроля и постоянное внедрение инновационных решений позволяют компании FACILICOM добиваться лучшего результата, соответствующего международным стандартам. Созданное собственными силами программное обеспечение FACILICOM-24 гарантирует прозрачность и удобство взаимодействия Клиента со службами компании.

Также заказчику предоставляются прекрасные возможности для контроля затрат и оптимизации расходов при сохранении высокого качества обслуживания, большого выбора услуг и индивидуального подхода при решении различных вопросов.

1.1.2 Организационно-функциональная структура предприятия

Организационная структура управления ООО «FACILICOM» представлена на рис. 1.

Под организационной структурой предприятия понимаются состав, соподчиненность, взаимодействие и распределение работ по подразделениям и органам управления, между которыми устанавливаются определенные отношения по поводу реализации властных полномочий, потоков команд и информации.

Различают несколько типов организационных структур: линейные, функциональные, линейно-функциональные, дивизиональные, адаптивные.

Организационная структура фирмы соответствует линейному типу.

Линейная структура характеризуется тем, что во главе каждого подразделения стоит руководитель, сосредоточивший в своих руках все функции управления и осуществляющий единоличное руководство подчиненными ему работниками. Его решения, передаваемые по цепочке "сверху вниз", обязательны для выполнения нижестоящими звеньями. Он, в свою очередь, подчинен вышестоящему руководителю.

Размещено на http://www.allbest.ru/

Рис. 1 Организационная структура управления ООО «FACILICOM»

Организационная структура, построенная в соответствии с этими принципами, получила название иерархической или бюрократической структуры.

Отдел бухгалтерии: расчёт зарплат, различных выплат, свод баланса, контроль соответствия деятельности утверждённым нормам, нормативам и сметам.

Коммерческий отдел: поиск и взаимодействие с клиентами, участие в тендерах, составление и подписание договоров, технических заданий, встречи с поставщиками, закупка оборудования;

Отдел информационных технологий: поддержка IT инфраструктуры компании, сопровождение программного обеспечения, мелкий ремонт ПК и периферии, закупка техники для офиса и удаленных объектов.

Функции отдела информационных технологий и ПО:

· Конфигурация операционных систем на серверах, а также поддерживание рабочего состояния программного обеспечения серверов.

· Контроль установки программного обеспечения на серверы и рабочие станции.

· Обеспечение интегрирования программного обеспечения на файл-серверах, серверах систем управления базами данных и на рабочих станциях.

· Осуществление планирования информационных ресурсов и контроль использования сетевых ресурсов.

· Контроль обмена информацией локальной сети с внешними организациями по телекоммуникационным каналам. Обеспичение доступа пользователей системы к локальной (INTRANET) и глобальной (INTERNET) сетям.

· Обеспечение бесперебойного функционирования системы и принятие оперативных мер по устранению возникающих в процессе работы нарушений. Устранение нарушения работы сервисов.

· Регистрация пользователей, назначение идентификаторов и паролей.

· Установление ограничений для пользователей по:

o а) использованию рабочей станции или сервера;

o б) времени;

o в) степени использования ресурсов.

· Выявление ошибок пользователей и сетевого программного обеспечения и восстановление работоспособность системы.

· Обучение пользователей работе в информационной системе предприятия.

· Обеспечение безопасность работы в системе:

· Принимать меры для сетевой безопасности (защита от несанкционированного доступа к информации, просмотра или изменения системных файлов и данных), а также безопасности межсетевого взаимодействия.

· Производить своевременное копирование и резервирование данных.

· Выполнять регулярную проверку на наличие компьютерных вирусов в системе.

· Участвовать в решении задач технического обслуживания при выявлении неисправностей сетевого оборудования, а также в восстановлении работоспособности системы при сбоях и выходе из строя сетевого оборудования.

· Осуществлять контроль монтажа сетевого оборудования специалистами сторонних организаций.

· Осуществлять мониторинг компьютерной сети, разрабатывает предложения по развитию инфраструктуры сети.

· Осуществлять контроль соблюдения порядка работы в информационной сети и стандартов в области информационных технологий.

· Организовывать и устанавливать новые или оптимизировать рабочие места пользователей.

Таким образом, в настоящее время обеспечение информационной безопасности предприятия является функцией IT-отдела.

1.2 Анализ рисков информационной безопасности

Процесс анализа рисков включает в себя определение того, что следует защищать, от чего защищать и как это делать. Необходимо рассмотреть все возможные риски и ранжировать их в зависимости от потенциального размера ущерба. Этот процесс состоит из множества экономических решений. Давно замечено, что затраты на защиту не должны превышать стоимости защищаемого объекта.

Анализ рисков в области ИБ может быть качественным и количественным. Количественный анализ точнее, он позволяет получить конкретные значения рисков, но он отнимает заметно больше времени, что не всегда оправданно. Чаще всего бывает достаточно быстрого качественного анализа, задача которого -- распределение факторов риска по группам. Шкала качественного анализа может различаться в разных методах оценки, но всё сводится к тому, чтобы выявить самые серьезные угрозы.

В задачи сотрудников подразделений ИБ входит оповещение руководства предприятий о существующих и потенциальных угрозах. Отчеты должны сопровождаться фактами, цифрами, аналитическими выкладками. Это наиболее эффективный способ довести информацию до глав организаций.

Качественный анализ

Существует несколько моделей качественного анализа. Все они достаточно просты. Варианты различаются лишь количеством градаций риска. Одна из самых распространенных моделей -- трехступенчатая. Каждый фактор оценивается по шкале “низкий -- средний -- высокий”.

Противники данного способа считают, что трех ступеней для точного разделения рисков недостаточно, и предлагают пятиуровневую модель. Однако это не принципиально, ведь в целом любая модель анализа сводится к простейшему разделению угроз на критические и второстепенные. Трех-, пятиуровневые и прочие модели используются для наглядности.

При работе с моделями с большим числом градаций, например с пятью, у аналитиков могут возникнуть затруднения -- отнести риск к пятой или к четвертой группе. Качественный анализ допускает подобные “ошибки”, поскольку является саморегулирующимся. Не критично, если первоначально риск необоснованно отнесли к четвертой категорию вместо пятой. Качественный метод позволяет проводить анализ за считанные минуты. Предполагается, что такая оценка рисков будет осуществляться регулярно. И уже на следующем шаге категории будут переназначены, фактор перейдет в пятую группу. Поэтому качественный анализ также называется итерационным методом.

Количественный анализ

Количественный метод требует значительно больше времени, так как каждому фактору риска присваивается конкретное значение. Результаты количественного анализа могут быть более полезны для бизнес-планирования. Однако в большинстве случаев дополнительная точность не требуется или просто не стоит лишних усилий. Например, если для оценки фактора риска надо потратить четыре месяца, а решение проблемы займет только два, ресурсы используются неэффективно.

Также следует учитывать, что многие организации постоянно развиваются, изменяются. И за то время, что выполняется анализ, фактические значения рисков окажутся другими.

Перечисленные факторы говорят в пользу качественного анализа. Кроме того, эксперты считают, что, несмотря на всю свою простоту, качественный метод является весьма эффективным инструментом анализа.

Главной целью деятельности в области информационной безопасности является обеспечение доступности, целостности и конфиденциальности каждого информационного актива. При анализе угроз следует принимать во внимание их воздействие на активы по трем названным направлениям. Необходимым и существенным этапом в анализе рисков является оценка уязвимостей активов, которая и была проведена в данной дипломной работе. Решение о проведении оценки уязвимостей принимает ответственный за информационную безопасность ООО «Facilicom» начальник отдела информационных технологий и ПО.

Оценка уязвимостей активов в компании, как правило, проводится совместно с анализом рисков ИБ, т.е. с периодичностью 2 раза в год. Отдельная оценка уязвимостей не проводится. Её проводят назначенные сотрудники по распоряжению начальника отдела информационных технологий и ПО. информационный безопасность актив фонд

Оценка уязвимостей активов представляется в форме электронного документа. Документ называется «Оценка уязвимостей информационных активов ООО «Facilicom» на момент 2005 года» с указанием времени проведения анализа.

1.2.1 Идентификация и оценка информационных активов

Один из этапов анализа рисков состоит в идентификации всех объектов, нуждающихся в защите. Некоторые активы (например, коммуникационное оборудование) идентифицируются очевидным образом. Про другие (например, про людей, использующих информационные системы) нередко забывают. Необходимо принять во внимание все, что может пострадать от нарушений режима безопасности.

Может быть использована следующая классификация активов:

· Аппаратура: процессоры, модули, клавиатуры, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы, мосты, маршрутизаторы;

· Программное обеспечение: исходные тексты, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные программы;

· Данные: обрабатываемые, непосредственно доступные, архивированные, сохраненные в виде резервной копии, регистрационные журналы, базы данных, данные, передаваемые по коммуникационным линиям;

· Люди: пользователи, обслуживающий персонал.

Результаты оценки информационных активов сведены в таблицу 2.

Таблица Оценка информационных активов предприятия ООО «Facilicom»

Вид деятельности	Наименование актива	Форма представления	Владелец актива	Критерии определения стоимости	Размерность оценки
					Качественная
Информационные активы
1. Коммерческая деятельность		Электронная	Коммерческий директор	Ущерб от потери коммерческой информации	очень высокая
2. Все виды деятельности	Сервер БД электронных писем	Электронная	Департамент ИТ		очень высокая
3. Основная деятельность			Секретарь	Первоначальная стоимость	очень высокая
4. Работа с персоналом	Договора, контракты	Бумажный и электронный документ	Отдел кадров	Первоначальная стоимость
5.Общее руководство администрацией и оперативно-хозяйственной деятельностью предприятия	Приказы, распоряжения	Бумажный и электронный документ	Генеральный директор	Первоначальная стоимость	очень высокая
6. Бухгалтерский учет	База данных бухгалтерии	1С предприятие	Департамент бухучета и ценообразования	Первоначальная стоимость	Очень высокая
Физические активы
1.Все виды деятельности		Электронная	Департамент ИТ	Ущерб от потери информации в электронной почте	очень высокая
2. Основная деятельность	Здания сооружения, материалы	Здания, сооружения, транспортные средства, материалы	Департамент развития	Основные средства
3.Заключение договоров на оказание услуг	Договора, контракты	Бумажный и электронный документ	Генеральный директор	Конечная стоимость

В таблице 3 представлены результаты ранжирования информационных активов ООО «Facilicom»

Таблица Результаты ранжирования активов ООО «Facilicom»

Наименование актива	Ценность актива (ранг)
Сервер БД с информацией о клиентах
Сервер с базой электронных писем;
База данных ДО
Приказы, распоряжения Генерального директора
База данных бухгалтерии
Отчеты о деятельность подразделений
Договора, контракты
Работа с персоналом
Здания сооружения, материалы

Таким образом, активы, имеющие наибольшую ценность и подлежащие защите, следующие:

1. Сервер БД с информацией о клиентах и писем;

2. База данных ДО;

3. Приказы, распоряжения Генерального директора;

4. База данных бухгалтерии.

В дальнейшем именно для этих активов проводилась оценка уязвимостей, угроз и рисков информационной безопасности.

1.2.2 Оценка уязвимостей активов

Оценка уязвимости может быть выполнена по отношению ко многим объектам, не только компьютерным системам/сетям. Например, физические здания могут быть подвергнуты оценке, по результатам которой будет понятно, какие части здания имеют изъяны. Если взломщик может обойти охранника у парадной двери и проникнуть внутрь здания через заднюю дверь - это, определённо, уязвимость. Если он на самом деле сделает это - это эксплойт. Физическая безопасность - один из наиболее важных аспектов, которым нужно придавать значение. Поскольку если сервер украден, атакующему не нужно обходить IDS (система обнаружения вторжений), не нужно обходить IPS (система предотвращения вторжений), не нужно думать над способом, с помощью которого можно передать 10 ТБ данных, - они уже здесь, на сервере. Полное шифрование диска может помочь, но обычно его не используют на серверах.

В качестве объектов защиты выступают следующие виды информационных ресурсов предприятия:

· информация (данные, телефонные переговоры и факсы) передаваемая по каналам связи;

· информация, хранимая в базах данных, на файловых серверах и рабочих станциях, на серверах каталогов, в почтовых ящиках пользователей корпоративной сети и т.п.;

· конфигурационная информация и протоколы работы сетевых устройств, программных систем и комплексов.

Размещено на http://www.allbest.ru/

В таблице 4 представлено сопоставление физических угроз и уязвимости активов.

Таблица Сопоставление физических угроз и уязвимостей автоматизированной системы ООО «Facilicom»

УГРОЗЫ АРМ	УЯЗВИМОСТИ АРМ
1). Физический доступ нарушителя к АРМ	1). Отсутствие системы контроля доступа сотрудников к чужим АРМ


2). Разглашение конфиденциальной информации, хранящейся на рабочем месте сотрудника организации	1). Отсутствия соглашения о неразглашении между работником и работодателем

2. УГРОЗЫ СЕРВЕРОВ	2. УЯЗВИМОСТИ СЕРВЕРОВ

	2). Отсутствие видеонаблюдения в серверной комнате
	3). Отсутствие охранной сигнализации
2). Разглашение конфиденциальной информации	1). Отсутствие соглашения о нераспространении конфиденциальной информации
	2). Нечеткая регламентация ответственности сотрудников организации
3. УГРОЗЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ	3. УЯЗВИМОСТИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
1). Физический доступ нарушителя к носителям с конфиденциальной информации	1). Неорганизованность контрольно-пропускного пункта
	2). Отсутствие системы видеонаблюдения в организации
	3). Отсутствие системы охранной сигнализации
2). Разглашение конфиденциальной информации, в документах, вынос носителей за пределы контролируемой зоны	1). Отсутствие соглашения о неразглашении конфиденциальной информации
	2). Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками организации
3).Несанкционированное копирование, печать и размножение носителей конфиденциальной информации	1).Нечеткая организация конфиденциального документооборота в организации
	2). Неконтролируемый доступ сотрудников к копировальной и множительной технике
4. Угрозы сетевых устройств и коммутационного оборудования	4. Уязвимости сетевых устройств и коммутационного оборудования
1). Физический доступ к сетевому устройству	1). Неорганизованный контрольно-пропускной режим в организации
	2). Отсутствие системы видеонаблюдения в организации
	3). Несогласованность в системе охраны периметра
	4). Нечеткая регламентация ответственности сотрудников предприятия
2). Разрушение (повреждение, утрата) сетевых устройств и коммутационного оборудования	1). Отсутствие ограничения доступа к сетевым устройствам и коммутационному оборудованию, внутренней сети предприятия
	2). Нечеткая регламентация ответственности сотрудников предприятия

В таблице 5 представлены результаты оценки уязвимости активов.

Таблица Результаты оценки уязвимости информационных активов ООО «Facilicom»

Группа уязвимостей	Отчеты о деятельность подразделений	Сервер с базой электронных писем	База данных бухгалтерии	Сервер БД с информацией о клиентах
1. Среда и инфраструктура
Отсутствие системы контроля доступа сотрудников к чужим АРМ.


Отсутствия соглашения о неразглашении между работником и работодателем.

2. Аппаратное обеспечение

Отсутствие видеонаблюдения в серверной комнате.
Отсутствие охранной сигнализации.
Отсутствие соглашения о нераспространении конфиденциальной информации.
Нечеткая регламентация ответственности сотрудников организации.
3. Программное обеспечение
Неорганизованность контрольно-пропускного пункта. Отсутствие системы видеонаблюдения в организации.

Отсутствие системы охранной сигнализации.
Отсутствие соглашения о неразглашении конфиденциальной информации.
Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками организации.
Нечеткая организация конфиденциального документооборота в организации.
Неконтролируемый доступ сотрудников к копировальной и множительной технике
4. Коммуникации
Неорганизованный контрольно-пропускной режим в организации. Отсутствие системы видеонаблюдения в организации.

Несогласованность в системе охраны периметра.
Нечеткая регламентация ответственности сотрудников предприятия.
Отсутствие ограничения доступа к сетевым устройствам и коммутационному оборудованию, внутренней сети предприятия.

1.2.3 Оценка угроз активам

Рассмотрим перечень возможных угроз для информации и активов:

Группа угроз	Отчеты о деятельности подразделений	Сервер с базой электронных писем	База данных бухгалтерии	Сервер БД с информацией о клиентах
1. Угрозы, обусловленные преднамеренными действиями
Намеренное повреждение

Несанкционированное использование носителей данных
Использование несанкционированного доступа
Вредоносное программное обеспечение
Повреждение линий
2. Угрозы, обусловленные случайными действиями

Затопление
Неисправность в электроснабжении.
Неисправность в водоснабжении.
Неисправность в системе кондиционирования воздуха.
Колебания напряжения.
Аппаратные отказы.
Экстремальные величины температуры и влажности
Воздействие пыли
Ошибки обслуживающего персонала
Программный сбои
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)
Землетрясение

Попадание молнии

2. Проектная часть

2.1 Комплекс организационных мер обеспечения информационной безопасности

2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

Для каждого типа угроз, возникающих при функционировании системы информационной безопасности, может быть одна или несколько мер противодействия. В связи с неоднозначностью выбора мер противодействия необходим поиск некоторых критериев, в качестве которых могут быть использованы надежность обеспечения сохранности информации и стоимость реализации защиты. Принимаемая мера противодействия с экономической точки зрения будет приемлема, если эффективность защиты с ее помощью, выраженная через снижение вероятного экономического ущерба, превышает затраты на ее реализацию. В этой ситуации можно определить максимально допустимые уровни риска в обеспечении сохранности информации и выбрать на этой основе одну или несколько экономически обоснованных мер противодействия, позволяющих снизить общий риск до такой степени, чтобы его величина была ниже максимально допустимого уровня. Из этого следует, что потенциальный нарушитель, стремящийся рационально использовать предоставленные ему возможности, не будет тратить на выполнение угрозы больше, чем он ожидает выиграть. Следовательно, необходимо поддерживать цену нарушения сохранности информации на уровне, превышающем ожидаемый выигрыш потенциального нарушителя. Рассмотрим эти подходы.

Утверждается, что большинство разработчиков средств вычислительной техники рассматривает любой механизм аппаратной защиты как некоторые дополнительные затраты с желанием за их счет снизить общие расходы. При решении на уровне руководителя проекта вопроса о разработке аппаратных средств защиты необходимо учитывать соотношение затрат на реализацию процедуры и достигаемого уровня обеспечения сохранности информации. Поэтому разработчику нужна некоторая формула, связывающая уровень защиты и затраты на ее реализацию, которая позволяла бы определить затраты на разработку потребных аппаратных средств, необходимых для создания заранее определенного уровня защиты. В общем виде такую зависимость можно задать исходя из следующих соображений. Если определять накладные расходы, связанные с защитой, как отношение количества использования некоторого ресурса механизмом управления доступом к общему количеству использования этого ресурса, то применение экономических рычагов управления доступом даст накладные расходы, приближающиеся к нулю.

Размещено на Allbest.ru

Подобные документы

Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.

курсовая работа , добавлен 03.02.2011

Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.

курсовая работа , добавлен 03.02.2011

Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.

курсовая работа , добавлен 30.12.2011

Сущность информации и ее классификация. Анализ сведений, относимых к коммерческой тайне. Исследование возможных угроз и каналов утечки информации. Анализ мер защиты. Анализ обеспечения достоверности и защиты информации в ООО "Тисм-Югнефтепродукт".

дипломная работа , добавлен 23.10.2013

Определение психологических типов личности и характера человека. Мотивационные профили сотрудников. Анализ основных бизнес-процессов, необходимых для функционирования предприятия. Угрозы информационной безопасности. Оценка и обработка человеческих рисков.

реферат , добавлен 11.03.2015

Характеристика предприятия ООО "Айсберг", анализ структуры документооборота и материально-технического обеспечения предприятия. Разработка и описание новой автоматизированной информационной технологии по планированию, управлению и контролю деятельности.

курсовая работа , добавлен 04.03.2010

Назначение информационной политики, основы ее формирования и внедрения, виды обеспечения. Анализ информационной политики Банка "Центр-инвест". Своевременное и достоверное раскрытие информации как один из основных принципов корпоративного управления.

курсовая работа , добавлен 10.04.2011

Проблемы идентификации предпринимательских рисков. Идентификация рисков: риск как "возможность", как "опасность" и как "неопределенность". Оценки рисков на основе информационной и аналитической работы экспертов. Моделирование ситуаций, финансовый анализ.

контрольная работа , добавлен 16.06.2010

Определение стратегии и планирование работ по развитию информационной структуры предприятия "Урал-системы безопасности". Разработка рекомендаций по совершенствованию работы в области применения информационных технологий, их документальное сопровождение.

отчет по практике , добавлен 14.04.2014

Характеристика сущности, задач и форм деятельности служб безопасности предприятия. Особенности построения организационной структуры службы безопасности. Анализ направлений деятельности: юридическая, физическая, информационно-коммерческая безопасность.

Классификация и виды активов предприятия подразделяются в зависимости от характера владения, формы использования, состава, степени ликвидности и прочим основным признакам. Что представляют собой активы компании? Как отражаются в балансе предприятия? Разберем структуру имущественных ценностей бизнеса с позиции финансового менеджмента – подробная таблица показателей с примерами приведена ниже.

Понятие и классификация активов

Все активы делятся на большие группы, охватывающие как материальные объекты, так и нематериальные. При этом к имуществу предприятия относят не только ТМЦ, основные средства , НМА , но и денежные средства и приравненные к ним, а также финансовые вложения, то есть любые ценности, чья стоимость может быть выражена в денежной оценке. Существует много разновидностей активов, которые отражаются в правой части баланса , уравновешивая общий капитал предприятия (пассив).

Классификация активов:

По скорости оборота – на долгосрочные внеоборотные (со скоростью обращения в финансово-хозяйственной деятельности больше 12 мес.) и краткосрочные оборотные (непрерывно участвуют в деятельности компании).
По степени ликвидности – в зависимости от скорости трансформации актива в свободные денежные средства подразделяются на максимально ликвидные (А1), труднореализуемые (А4) и средние – оперативно реализуемые (А2), а также медленно реализуемые (А3).
По вещественности или материальности – на материальные или реальные активы – это , к примеру, готовая продукция, товары, сырье, топливо и прочие физические ценности. Также в эту группу входят нематериальные объекты (деловая репутация, ПО, товарные знаки и др.) и финансовые (вложения, наличные и безналичные средства, дебиторские обязательства).
По источникам формирования – на общие валовые и чистые . Первые также именуются суммарными совокупными активами – в балансе это итоговый показатель раздела «Активы». Чистые рассчитываются в установленном порядке, исходя из сформированных активов только за счет собственных средств компании. Получение в результате показателя отрицательных активов может являться одним из основных признаков необходимости принудительной ликвидации бизнеса.
По характеру владения – на арендованные, используемые безвозмездно или собственные.
По виду налоговых расчетов – на отложенные активы, учитываемые по сч. 09, и отложенные налоговые обязательства, принимаемые по сч. 77. Понятия применяются теми фирмами, которые используют нормы ПБУ 18/02 в целях законного снижения налогооблагаемой базы по налогу с прибыли.
По степени условности оценочности обязательств – на условные обязательства и условные активы в соответствии с ПБУ 8/2010.
При работе с различными финансовыми инструментами – выделяют базовые активы.
При приобретении основных средств за счет заемных обязательств – используется термин инвестиционный актив, то есть такой имущественный объект, работа с которым требует дополнительного финансирования и длительного времени.
Прочие активы – это те объекты, которые по решению предприятия не представляют для него преимущественной ценности. Такая градация устанавливается каждой компанией самостоятельно в зависимости от отраслевой специфики деятельности, правового статуса, особенностей производства и прочих экономических факторов.

Виды активов – таблица

Для удобства восприятия информации основные виды активов собраны в таблице ниже. Отдельно приведены конкретные примеры в соответствии с упомянутой классификацией.

Таблица активов:

Классификационный признак	Вид актива	Пример актива
По скорости оборота	Внеоборотные Оборотные (мобильные активы в балансе – это раздел II)	Здания, сооружения, оборудование к установке, НМА, транспорт, объекты для передачи по лизинговым сделкам Сырье, топливо, материалы, инструменты, произведенные товары, закупленная продукция, деньги на счетах и в кассе, дебиторка
По ликвидности	А1 – высоколиквидные А2 – быстрореализуемые А3 – медленно реализуемые А4 – труднореализуемые	Денежные средства на банковских счетах и депозитах, наличные в кассе, ценные бумаги Краткосрочные дебиторские обязательства (меньше 12 мес.) Сырье и другие запасы Оборудование, недвижимость, дебиторская задолженность долгосрочного характера (больше 12 мес.)
По материальности	Вещественные Невещественные Финансовые	Реальные или физические активы – это все основные средства, материалы, товары, запасы, сырье и т.д. Патенты, торговые марки и знаки, гудвилл, деловая репутация Денежные резервы в любой валюте, страховые полисы, ценные бумаги, паи, путевые расчетные листки
По правовому характеру владения	Собственные Арендованные Полученные безвозмездно	Все основные активы, приобретенные за средства компании Полученные по договорам аренды Переданные безвозмездно, к примеру, вклады участников в уставник общества
По источникам формирования	Суммарные активы Чистые	Совокупные активы в балансе по строке 1600 Рассчитанные по специальной формуле
По привлечению заемных денег	Инвестиционные активы	Здание, приобретенное за счет кредита банка
По степени важности для предприятия	Прочие активы – это те, которые не играют главной роли в деятельности компании	Оборудование к монтажу и установке, вложения во внеоборотные объекты, расходы будущих периодов

Редкие виды активов:

Проблемные активы – то есть те, которые реализовать крайне трудно по причине различных юридических и финансовых обременений. К примеру, проблемные активы – это имущество под арестом, в залоге; денежные долги компаний, отказывающихся исполнять обязательств; объекты с оспариваемым титулом и пр.
Резервные активы – те, которые находятся в юрисдикции прямого контроля государства. Акции крупных компаний, международные счета в банках, монетарное золото, СДР (специальные права заимствования) и пр., - это все резервные активы.
Информационные активы – невещественные объекты, имеющие важное значение для предприятия. К примеру, информационный актив – это базы данных компании, имидж бизнеса и пр.
Экономические активы – это те объекты, индивидуальное или совместное владение которыми приносит собственникам определенную экономическую выгоду.