Виды информационных активов в бизнесе. Оценка стоимости информационных активов. Цель данной преддипломной практики заключается в изучении аспектов защиты информации на предприятии ООО «FACILICOM»

Идентификация и оценка информационных активов

Идентифицируем информационные активы организации. Для этого сначала приведем понятие информационного актива.

Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении. У каждой организации свой набор активов, относящихся к тому или иному типу.

Рассмотрим информационные активы организации. Для более удобного рассмотрения активов сгруппируем их согласно типам.

1. Информация/данные.

Данные о разработках;

Данные по продукции.

2. Аппаратные средства.

8 серверов;

374 компьютера;

36 принтеров;

22 сканера.

3. Программное обеспечение.

1C: Предприятие;

MS Windows XP/7

4. Документы.

Контракты с вендорами;

Контракты с клиентами;

Бухгалтерская отчетность;

Рассмотрим выделенные активы более подробно, т.е. приведем форму представления, владельца актива, критерии определения стоимости и осуществим оценку активов.

В таблице 1.1. представлена информация по выделенным активам организации.

Таблица 1.1.

Оценка информационных активов предприятия

Вид деятельности	Наименование актива	Форма представления	Владелец актива	Критерии определения стоимости	Размерность оценки
Количественная оценка	Качественная
Информационные активы
Кадровое обеспечение		Электронная	Специалист по кадрам	Стоимость воссоздания	170 тыс. руб.	Средняя
Реализация продукции	Данные по продукции	Электронная	Бухгалтер	Стоимость воссоздания	500 тыс. руб.	Критическая
Активы аппаратного обеспечения
Обработка информации	Сервера	Материальная	Системный администратор	Первоначальная стоимость	300 тыс. руб.	Критическая
Обработка информации	Компьютеры	Материальная	Системный администратор	Первоначальная стоимость	100 тыс. руб.	Средняя
Обработка информации	Принтеры	Материальная	Системный администратор	Первоначальная стоимость	25 тыс. руб.	Малая
Обработка информации	Сканера	Материальная	Системный администратор	Первоначальная стоимость	15 тыс. руб.	Малая
Активы программного обеспечения
Обработка информации	Microsoft Windows	Электронная	Системный администратор	Стоимость воссоздания	15 тыс. руб.	Малая
Обработка информации	Microsoft Office	Электронная	Системный администратор	Стоимость воссоздания	17 тыс. руб.	Малая
Обработка информации	1C: Предприятие	Электронная	Системный администратор	Стоимость воссоздания	120 тыс. руб.	Средняя
Обработка информации	SAP WMS	Электронная	Системный администратор	Стоимость воссоздания	400 тыс. руб.	Критическая
Физические активы
Реализация продукции	Документация по разработкам	Бумажная		Стоимость воссоздания	55 тыс. руб.	Малая
Реализация продукции	Контракты с клиентами	Бумажная	Менеджер по работе с клиентами	Стоимость воссоздания	82 тыс. руб.	Малая
Бухгалтерия	Бухгалтерская отчетность	Бумажная	Бухгалтер	Стоимость воссоздания	75 тыс. руб.	Малая

Рассмотрим перечень информационных активов, обязательное ограничение доступа, к которым регламентируется законодательством РФ. Данный перечень представлен в таблице 1.2.

Таблица 1.2.

Перечень сведений конфиденциального характера

Подведем итоги ранжирования выделенных активов. Результаты ранжирования представлены в таблице 1.3.

Таблица 1.3.

Результаты ранжирования активов.

Наименование актива	Ценность актива (ранг)
Данные контрагентов
Данные по продажам
8 серверов
Персональные данные сотрудников
Данные по продукции
1C: Предприятие
Компьютеры
Microsoft Windows
SAP WMS
Microsoft Office
Принтеры
Сканеры
Контракты с клиентами
Бухгалтерская отчетность

Итак, подводя итог можно сказать, что активы имеющие наибольшую ценность:

Данные контрагентов;

Данные по продажам;

Сервера;

Компьютеры;

Персональные данные сотрудников;

Данные по продукции;

1C: Предприятие;

Контракты с клиентами;

Бухгалтерская отчетность

Остальные активы представляют минимальную ценность по сравнению с выделенными.

Сгруппируем активы «Принтеры» и «Сканеры» в группу «Принтеры и сканеры», также сгруппируем активы «Microsoft Windows» и «Microsoft Office» в группу «ПО Microsoft», а также все физические активы организации в группу «Документация», поскольку ранги ценности у данных активов одинаковы, а подобная группировка заметно упростит дальнейший анализ.

Оценка уязвимостей активов

Осуществим оценку уязвимостей выделенных активов предприятия. Результаты данной оценки представлены в таблице 1.4.

Таблица 1.4.

Результаты оценки уязвимости активов

Группа уязвимостей	Данные контрагентов	Данные по продажам	Сервера	Персональные данные сотрудников	SAP WMS	1С: Предприятие	Компьютеры	Принтеры и сканеры	ПО Microsoft	Документация
1. Среда и инфраструктура
Ненадежная охрана здания			Низкая				Низкая	Низкая		Низкая
Проблемы с электропитанием	Средняя	Средняя	Низкая	Низкая	Низкая	Низкая	Низкая	Низкая	Низкая
2. Аппаратное обеспечение
Передача или повторное использование средств хранения информации без надлежащей очистки	Средняя	Средняя		Низкая	Средняя
3. Программное обеспечение
Недостаточное обслуживание носителей данных	Средняя	Средняя		Низкая	Средняя				Низкая
Отсутствие обновления программного обеспечения, используемого для защиты от вредоносного кода	Высокая	Высокая	Высокая	Высокая	Высокая	Высокая	Высокая		Низкая
4. Коммуникации
Незащищенные соединения с сетями общего пользования	Высокая	Высокая	Высокая	Высокая	Высокая	Высокая	Высокая
5. Физический доступ
Незащищенное хранение			Низкая				Низкая	Низкая		Низкая
6. Персонал
Неосведомленность в вопросах безопасности	Средняя	Средняя		Средняя	Средняя	Средняя	Средняя		Низкая
7. Общие уязвимые места
Внедрение аппаратных и программных закладок			Высокая		Высокая	Высокая	Высокая

Оценка угроз активам

Угроза (потенциальная возможность неблагоприятного воздействия) обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему. В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно. Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий.

Оценка угроз безопасности производится экспертным путем в зависимости от текущего уровня информационной безопасности и вероятности реализации угроз.

Выделим угрозы активам организации, а также осуществим их оценку. Результаты данных действий представлены в таблице 1.5.

Таблица 1.5.

Результаты оценки угроз активам

Группа уязвимостей	Данные контрагентов	Данные по продажам	Сервера	Персональные данные сотрудников	SAP WMS	1С: Предприятие	Компьютеры	Принтеры и сканеры	ПО Microsoft	Документация
1. Угрозы обусловленные преднамеренными действиями
Кража документов и других носителей	Низкая	Низкая		Низкая						Низкая
Подмена документов и других носителей	Низкая	Низкая		Низкая						Низкая
	Высокая	Высокая		Высокая						Низкая
Несанкционированное копирование документов и носителей информации	Низкая	Низкая		Низкая	Низкая	Низкая				Низкая
Несанкционированное обращение к данным.	Высокая	Высокая		Высокая	Низкая	Низкая				Высокая
Раскрытие данных путем их выгрузки с носителя данных неуполномоченным лицом	Низкая	Низкая		Низкая	Низкая					Низкая
2. Угрозы, обусловленные случайными действиями
Утечка информации из сети по каналам связи	Низкая	Низкая	Низкая	Низкая	Низкая
Неумышленное раскрытие информации сотрудниками компании	Низкая	Низкая	Низкая	Низкая	Низкая					Низкая
	Высокая	Высокая	Высокая	Высокая	Высокая	Высокая	Высокая	Высокая	Высокая
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)
Антропогенные катастрофы (взрыв, терроризм, вандализм, другие способы умышленного причинения ущерба)	Низкая	Низкая	Низкая	Низкая	Низкая	Низкая	Низкая	Низкая	Низкая	Низкая

1.2.4. Оценка существующих и планируемых средств защиты

Осуществим анализ уже используемых на предприятии средств защиты информации. Для этого необходимо провести анализ технической и программной архитектуры предприятия.

Под архитектурой компьютерной системы будем понимать концепцию организации информационной системы, ее элементы, а также характер взаимодействия этих элементов.

Целесообразно рассматривать отдельно техническую и программную архитектуру существующей информационной системы.

В компании довольно широко используются компьютерные средства. В техническую архитектуру входит:

Сервера. Используются сервера, обеспечивающие создание и функционирование единой локальной сети.

Рабочие станции. Около 380 рабочих станций, различных марок, производителей и с абсолютно различными техническими характеристиками, т.к. используются в подразделениях с различной направленностью.

Ноутбуки. Используется порядка 20 ноутбуков, также различной производительности.

Коммутаторы. Установлено 10 коммутаторов, необходимых для создания единой локальной сети.

Модем-роутер. Используется для обеспечения всех компьютеров доступом к сети Интернет.

Схема технической архитектуры информационной системы представлена на рисунке 1.2.

Рис. 1.2. Техническое обеспечение предприятия

На рисунке 1.3 представлена схема программного обеспечения предприятия.

Рис. 1.3. Схема программного обеспечения

В компании используются операционные системы Windows 7 и XP от компании Microsoft. Интегрированные офисный пакет Microsoft 2003/2007. Интернет-браузер Google Chrome. Антивирусная защита представлена антивирусом Avast! Business Pro. Также используется информационная система «1С: Бухгалтерия», которая установлена на компьютерах бухгалтерии.

Рассмотрим защиту от физического проникновения. На рисунке 1.4 представлено здание главного офиса и расположение датчиков движения.

Рис. 1.4. Расположение датчиков движение

Исходя из представленных схем можно сделать вывод об относительно слабой защите с точки зрения физического проникновения, а также с точки зрения вирусных и хакерских атак

Подведем итог всех действий организации по обеспечению информационной безопасности. Сводная таблица анализа выполнения основных задач по обеспечению информационной безопасности представлена в таблице 1.6.

Таблица 1.6.

Анализ выполнения основных задач по обеспечению информационной безопасности

Основные задачи по обеспечению информационной безопасности	Степень выполнения
Обеспечение безопасности производственно-торговой деятельности, защита информации, являющихся коммерческой тайной;	Частично
Организация работы по правовой, организационной и инженерно-технической защите коммерческой тайны;	Частично
Организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;	Частично
Предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну;	Частично
Выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных ситуациях;	Частично
Обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне;	Не выполняется
Обеспечение охраны территории, зданий помещений, с защищаемой информацией.	Частично

Оценка рисков

Осуществим оценку выделенных рисков. Результаты оценки активов приведены в таблице 1.7.

Таблица 1.7.

Результаты оценки рисков информационным активам организации

Риск	Актив	Ранг риска
Уничтожение документов и других носителей	Данные контрагентов	Высокий
Данные по продажам	Высокий
Персональные данные сотрудников	Высокий
Данные по продукции	Высокий
Несанкционированное обращение к данным	Данные контрагентов	Высокий
Данные по продажам	Высокий
Персональные данные сотрудников	Высокий
Данные по продукции	Высокий
Недостаточное обслуживание компьютерной техники	Данные контрагентов	Высокий
Данные по продажам	Высокий
Персональные данные сотрудников	Высокий
Данные по продукции	Высокий
Программное обеспечение	Высокий
Сервера	Высокий
1С: Предприятие	Высокий
SAP WMS	Высокий
Компьютеры	Высокий

Таким образом, основываясь на результатах проведенного анализа рисков угроз, можно сделать вывод, что в первую очередь необходимо повысить защиту информации от вирусных и хакерских атак, т.е. модернизировать существующую антивирусную защиту на предприятии. Уже в дальнейшем рекомендуется организации повысить и физическую безопасность активов организации.

А если есть риски - ими надо управлять. Такой подход заложен в основу современных международных и отечественных стандартов в области обеспечения ИБ.

Начать сначала

Начать, пожалуй, следует с выбора методики, по которой будет проводиться оценка рисков. На сегодняшний день недостатка в таких методиках оценки рисков нарушения информационной безопасности нет. Это, к примеру, OCTAVE, CRAMM, RA2, отраслевая методика Банка России РС БР ИББС 2.2 – вот лишь немногие из них. Методики можно разделить на качественные и количественные, в зависимости от шкал, применяемых для оценки вероятности реализации угрозы и тяжести последствий от её реализации. Кроме того, отличия методик заложены в подходах (базовый уровень или детальная оценка рисков) и процедурах оценки рисков. Для некоторых методик разработаны инструментальные средства, содержащие базу знаний по рискам и механизмы их минимизации.

Независимо от выбранной методики, процесс управления рисками ИБ будет включать в себя выполнение следующих задач:

• определение области оценки рисков;
• оценка рисков;
• обработка рисков;
• мониторинг и контроль;
• совершенствование процесса.

Также перед началом работ по оценке рисков необходимо создать организационную структуру по управлению рисками, и разработать Политику управления рисками ИБ. В ней должны быть отражены такие вопросы, как цели и процессы управления рисками (в соответствии с выбранной методологией), критерии управления рисками (включая критерии оценки ущерба, оценки рисков и принятия рисков), функциональные роли по оценке рисков.

Составляющие

В область оценки рисков могут входить бизнес-процессы, элементы инфраструктуры, информационные активы, сервисы, персонал и т.д. На практике для организаций, которые впервые проводят оценку рисков, целесообразно ограничить область оценки, например, одним из вспомогательных бизнес-процессов или даже конкретным информационным активом. Иначе говоря, выполнить пилотный проект. Такое ограничение позволит «обкатать» и, при необходимости, доработать применяемую методику, довести до ума шаблоны документов, а также практически безболезненно наступить на все остальные грабли, разбросанные на пути внедрения системы управления рисками ИБ.

Впоследствии область оценки рисков должна охватить всю организацию в целом (по крайней мере, ту её часть, на которую распространяется действие системы управления информационной безопасностью - СУИБ).

Идентификация активов

На этапе оценки рисков мы должны идентифицировать информационные активы, входящие в область оценки; определить ценность этих активов; определить перечень угроз и вероятность их реализации; произвести оценивание и ранжирование рисков.

Начнем с идентификации информационных активов. Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении. У каждой организации свой набор активов, относящихся к тому или иному типу, например:

• персональные данные;
• стратегическая информация, необходимая для достижения бизнес-целей;
• ноухау;
• коммерческая тайна;
• служебная тайна и т.д.

Для каждого актива необходимо определить владельца, который несет за него ответственность.

Стоит заметить, что на данном этапе большим подспорьем может служить документированное описание бизнес-процессов организации. Это позволит нам быстро идентифицировать информационные активы, вовлеченные в конкретный бизнес-процесс, а также определить задействованный в нем персонал. Если же бизнес-процессы в организации не документированы, то самое время начать это делать. Помимо практической пользы при внедрении системы управления рисками ИБ и СУИБ, перенос бизнес-процессов «на бумагу» часто помогает увидеть возможности по их оптимизации.

Определение ценности активов, а точнее, оценка степени тяжести последствий (СТП) от утраты активом свойств информационной безопасности - конфиденциальности, целостности или доступности - необходима нам для того, чтобы ответить на следующие вопросы: Сколько нам будет стоить «простой» системы в течение времени, требующегося на её восстановление? Каков будет ущерб, если эта информация станет известной конкурентам?

Цена и ценности

В рамках пилотного проекта по созданию системы управления рисками ИБ наиболее целесообразной является качественная оценка ценности информационного актива со стороны владельца. При этом, в зависимости от потребностей организации, её размера или иных факторов, качественная шкала оценки может использовать такие слова, как «незначительный», «низкий», «средний», «высокий», «критический», под которыми подразумевается определенный интервал количественной шкалы оценки. Например, «незначительный» - менее 10 тыс. рублей, «низкий» - от 10 до 100 тыс. рублей и т.д.

Впрочем, существуют специальные методики, используемые оценочными компаниями для количественной оценки стоимости нематериальных активов на основе рыночного, доходного или затратного подходов. Однако их применение часто требует привлечения профессиональных оценщиков, так как в подавляющем большинстве случаев специалисты подразделений ИБ не обладают подобными знаниями.

Опять же, в рамках пилотного проекта имеет смысл анализировать только высокоуровневые риски, постепенно повышая детализацию и глубину анализа в последующих оценках. Этим принципом мы будем руководствоваться при составлении перечня угроз, если в организации нет утвержденной Модели угроз, которую можно взять за основу. Угрозы могут иметь природное или техногенное происхождение, могут быть случайными или преднамеренными. Типовые перечни угроз приведены в приложениях к стандартам ISO 27005, BS 7799-3 и РС БР ИББС 2.2. Для определения степени вероятности реализации (СВР) той или иной угрозы на данном этапе можно воспользоваться качественной экспертной оценкой.

Переход на количественные шкалы, безусловно, позволяет сделать результаты оценки рисков более точными, однако предполагает наличие некоего уровня зрелости существующих процессов управления ИБ и оценки рисков и не всегда оправдан. Тем не менее, если в организации существует функционирующая система менеджмента инцидентов, фиксируются данные о частоте реализации той или иной угрозы, то грех не воспользоваться подобной информацией.

Оценивание риска, в общем случае, происходит путем сопоставления оценок СТП с оценкой СВР угроз ИБ (иногда к ним добавляется оценка уязвимостей).

Для оценивания рисков нарушения ИБ, в зависимости от потребностей организации и критериев, определенных в Политике, может быть использована простая качественная шкала («допустимый», «недопустимый»), более продвинутая качественная шкала (например, «критический», «высокий», «средний», «приемлемый») или даже количественная шкала, выраженная в процентах или деньгах (таблица 1).

Таблица 1.

Степень вероятности реализации угрозы ИБ (СВР)	Степень тяжести последствий нарушения ИБ (СТП)
	минимальная			критическая
нереализуемая	допустимый	допустимый	допустимый	допустимый
минимальная	допустимый	допустимый	допустимый	недопустимый
	допустимый	допустимый	недопустимый	недопустимый
	допустимый	недопустимый	недопустимый	недопустимый
критическая	недопустимый	недопустимый	недопустимый	недопустимый

Обработка рисков

По результатам оценки рисков необходимо определить способ обработки для каждого из рисков, который является недопустимым. Возможными вариантами обработки рисков являются:

• применение защитных мер, позволяющих снизить величину риска до допустимого уровня;
• уход от риска (например, путем отказа от деятельности, выполнение которой приводит к появлению риска);
• перенос риска на другие организации (например, путем страхования или передачи деятельности на аутсорсинг);
• осознанное принятие риска.

Следует помнить, что любой деятельности свойственны риски, и понизить их можно лишь до определенного остаточного уровня, а не до нуля.

Решение о применении того или иного способа обработки рисков должно приниматься исходя из стоимости их реализации, а также ожидаемых выгод от их реализации. Ведь наша цель, во-первых, добиться значительного уменьшения рисков при относительно низких затратах и, во-вторых, поддерживать принятые риски на допустимом, низком уровне.

Руководствоваться при выборе защиты лучше принципом разумной достаточности. Меры безопасности не могут быть более затратными, чем потенциальный ущерб от нарушения ИБ.

Мониторинг и контроль

После принятия решений об обработке рисков необходимо осуществлять постоянный мониторинг и контроль СУИБ. Это позволит нам оценить эффективность защитных мер, которые мы использовали для понижения величины риска.

На данном этапе также осуществляется контроль изменения перечня активов, угроз и других факторов, влияющих на результаты оценки, проводятся аудиты и иные контрольные процедуры.

Совершенствование процессов управления рисками ИБ осуществляется по результатам, полученным в процессе мониторинга и контроля. При необходимости пересматривается Политика управления рисками ИБ, область оценки, состав угроз ИБ, оценки СВР и СТП, совершенствуется методология и т.д.

Крайне желательно интегрировать процессы управления рисками в общий процесс управления информационной безопасностью. Это позволить привязать циклы деятельности по оценке рисков к общепринятому циклу выполнения деятельности по обеспечению ИБ, основанному на модели Деминга «… — планирование - реализация - проверка - совершенствование- планирование - …”, которая является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO 27001-2005.

Цикл Деминга по обеспечению ИБ

В этом случае процесс СУИБ будет соотноситься с процессом управления рисками следующим образом:

• Планирование – определение области действия; оценка рисков; разработка планов обработки рисков; принятие рисков.
• Реализация – реализация планов обработки рисков; внедрение защитных мер.
• Проверка – постоянный мониторинг и пересмотр рисков; контроль эффективности защитных мер.
• Совершенствование – поддержание и совершенствование процесса управления рисками ИБ.

Нетривиальная задача

Внедрение системы управления рисками ИБ может быть нетривиальной задачей для многих организаций, только начинающих работу над созданием системы управления информационной безопасностью. Однако оно является отправной точкой для построения эффективной системы защиты, которая будет отвечать бизнес-целям организации. В этом случае для проведения пилотного проекта может быть оправданным приглашение внешних консультантов, которые попутно разработают необходимую организационно-распорядительную документацию, адаптируют методологию и проведут обучение сотрудников организации.

Управление информационными рисками и построение комплексной системы управления информационной безопасностью – это для каждой организации шаг на качественно иной уровень корпоративного управления, а в некоторых случаях – решающее конкурентное преимущество.

Управляйте своими рисками сами, если не хотите, чтобы за вас это сделали ваши конкуренты.

Черненко А.Н., эксперт по информационной безопасности департамента аудиторских и консультационных услуг финансовым институтам ФБК

Активы (ресурсы) – это все, что имеет ценность или находит полезное применение для организации, ее деловых операций и обеспечения их непрерывности. Поэтому активы нуждаются в защите для того, чтобы обеспечить корректность деловых операций и непрерывность бизнеса. Надлежащее управление и учет активов должны являться одной из основных обязанностей руководителей всех уровней.

Важные активы внутри области действия СУИБ должны быть четко идентифицированы и должным образом оценены, а реестры, описывающие различные виды активов, должны быть взаимоувязаны и поддерживаться в актуальном состоянии. Для того чтобы быть уверенным в том, что ни один из активов не был пропущен или забыт, должна быть определена область действия СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий.

________________________________________

Идентификация активов:

формирование модели бизнес-процессов;

инвентаризация активов;

формирование реестров активов;

определение взаимосвязей между реестрами активов;

построение модели активов;

определение владельцев активов и их обязанностей;

делегирование обязанностей по обеспечению безопасности активов;

определение правил допустимого использования активов.

_________________________________________

Важно идентифицировать не только информационные активы, но другие активы, с которыми они связаны. Взаимосвязи между активами описываются моделью активов. Активы надо структурировать, категорировать и классифицировать по уровню конфиденциальности, критичности и другим признакам. Группирование похожих или связанных активов позволяет упростить процесс оценки рисков.

Нельзя обеспечить адекватный уровень информационной безопасности без установления подотчетности за активы. Для каждого из идентифицированных активов или группы активов должен быть определен владелец, на которого возлагается ответственность за осуществление контроля производства, разработки, сопровождения, использования и безопасности этих активов. Обязанности по внедрению механизмов безопасности могут быть делегированы, однако ответственность должна оставаться за назначенным владельцем актива.

Владелец актива должен нести ответственность за определение соответствующей классификации и прав доступа к этому активу, согласование и документирование этих решений, а также поддержание соответствующих механизмов контроля. В обязанности владельца актива также входит периодический пересмотр прав доступа и классификаций безопасности. Кроме того, следует определить, документировать и внедрить правила допустимого использования активов, описывающие разрешенные и запрещенные действия при повседневном использовании активов. Лица, использующие активы, должны быть осведомлены об этих правилах.

Цель.

Анализ информационных ресурсов, используемых компанией, и выработка концептуальных основ деятельности по обеспечению корпоративной информационной безопасности.

Задачи.

1. Установить номенклатуру информационных ресурсов и оценить их значимость для компании в целом и ее структурных подразделений.

2. Выявить виды и разновидности тайн, которые используются в деятельности компании.

3. Оценить риски информационной безопасности.

Порядок оформления.

1. Шрифт Arial 10. Интервал 1. Поля стандартные. Страницы работы должны быть пронумерованы сверху. Формат документа - MS Office

2. Работы в электронном виде отправляются на электронную почту преподавателя:
[email protected].
Тема письма «Практикум ИБ/ФИО студента - группа». В теле письма необходимо продублировать ФИО и группу.

3. Крайний срок сдачи лабораторного практикума: 2 ноября . Практикумы, сданные после этого срока, не засчитываются. При выявлении работ, текст которых совпадает, не засчитывается ни одна из них

Задание 1.

Описание компании и ее структурных подразделений

1. Укажите наименование компании и адрес ее корпоративного сайта.

2. Дайте описание деятельности компании, её направлений и бизнес-целей.

3. Опишите основные показатели деятельности компании, характеризующие её масштабы (5-6 показателей), и приведите их числовые значения за какой-то период или дату;

4. В MS Visio или другом графическом редакторе составьте функциональную блок-схему компании в выбранном варианте. Детализацию производить до уровня отделов.

5. Постройте схему, характеризующую архитектуру ИТ-сети компании, ее программные и аппаратные компоненты.

Если Вы испытываете трудности с выбором компании для анализа, воспользуйтесь перечнем компании з Приложения 1 в конце файла.

Описание компании не должно занимать более 1 страницы.

Задание 2.

Определение номенклатуры информационных активов

a. Определите базовые уязвимости и угрозы в сфере информационной безопасности для деятельности компании.

b. Для каждого структурного подразделения определите информационные активы. Заполните Таблицу 1 .

Таблица 1

Для выполнения данного пункта необходимо внимательно ознакомиться с пунктом 5 стандарта ГОСТ Р ИСО/МЭК 17799-2005 (Приложение 2). Не менее трех активов.

Задание 3.

Определение номенклатуры видов и разновидностей тайн

a. Определите перечень сведений, которые используются в деятельности компании и образуют тайны различных видов и разновидностей.

b. Для каждого вида (разновидности) тайны заполните Таблицу 2 . В первой строке таблицы приведен условный пример.

Таблица 2

Вид (разновидность) тайны	Содержание сведений, составляющих тайну	В состав какого информационного актива входят соответствующие данные	Численность пользователей (П), рабочих мест (РМ), филиалов (Ф), вовлеченных в обработку КИ	Наиболее значимые ДФ для каждого пункта (по мере убывания важности)	На каких носителях распространяются соответствующие данные
Персональные данные	Сведения о сотрудниках	База данных 1С	Отдел кадров - 2П, 2РМ Бухгалтерия - 2П, 1 РМ

Должны быть указаны минимум ТРИ тайны. Для каждой тайны следует указать КОНКРЕТНЫЕ ДФ и носители

Задание 4.

Для информационных активов определите:

· условия разведывательного контакта (укажите конкретные условия);

· методы доступа к добываемой информации (определите конкретные методы);

· способы дистанционного добывания информации (перечислите конкретные способы);

· зону, в которой должен находиться актив (укажите конкретную зону).

Заполните Таблицу 3 .

Таблица 3

Задание 5

Определите наиболее опасные каналы утечки информации, способы и средства противодействия утечке. Заполните Таблицу 4 . Укажите конкретные каналы, способы и средства. Абстрактные рекомендации (быть внимательными, осторожными, осмотрительными и т.п.) не засчитываются.

Таблица 4

Начисление баллов:

· за правильно и полно заполненную Таблицу 1 - 7 баллов;

· за правильно и полно заполненную Таблицу 2 - 8 баллов;

· за правильно и полно заполненную Таблицу 3 - 12 баллов;

· за правильно и полно заполненную Таблицу 4 - 11 баллов;

· за выполненное Задание 1 - 2 балла (начисляются, если заполнены минимум две таблицы).

Приложение 1

Варианты компаний:

1. Московский финансово-промышленный университет «Синергия».

2. Компания занимается розничной торговлей мультимедийной продукцией

3. Компания занимается оказанием логистических услуг

4. Компания занимается учебной деятельностью

5. Компания занимается производством мебели

6. Компания является туроператором

7. Компания занимается оказанием услуг в сфере здравоохранения деятельностью

8. Компания разрабатывает средства защиты информации

9. Компания занимается изготовлением полиграфической продукции

10. Компания оказывает услуги по инкассации торговых объектов

11. Компания занимается разработкой и сопровождением отраслевого программного обеспечения

12. Компания занимается кинопрокатом фильмов

13. Компания занимается книгоизданием

14. Компания занимается выпуском журналов (Издательский дом)

15. Компания осуществляет подключение к сети Интернет и IP телефонии

16. Компания занимается разработкой и администрованием веб-сайтов

17. Компания занимается изготовлением POS-терминалов

18. Компания занимается бронированием гостиниц по России

19. Компания занимается бронированием и доставкой железнодорожных и авиабилетов.

20. Компания занимается локализацией программных продуктов

21. Компания занимается тиражированием оптических дисков

Приложение 2

Классификация активов, связанных с информационными системами

Описание активов дает уверенность в том, что обеспечивается эффективная защита активов, и оно может также потребоваться для целей обеспечения безопасности труда, страхования или решения финансовых вопросов (управление активами). Процесс составления описи активов - важный аспект управления риском. Организация должна быть в состоянии идентифицировать свои активы с учетом их относительной ценности и важности. Основываясь на этой информации, организация может обеспечивать заданные уровни защиты, соответствующие ценности и важности активов. Описи следует составлять и поддерживать для важных активов, связанных с каждой информационной системой. Каждый актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности, его владельцы должны быть авторизованы, а данные о них документированы. Кроме того, должно быть указано фактическое местоположение актива (это важно в случае восстановления активов при потере или повреждении). Примерами активов, связанных с информационными системами, являются:

Информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы по обеспечению непрерывности функционирования информационного обеспечения, процедуры действий при сбоях, архивированная информация;

Активы программного обеспечения: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты;

Физические активы: компьютерное оборудование (процессоры, мониторы, переносные компьютеры, модемы), оборудование связи (маршрутизаторы, частные автоматические телефонные станции с выходом в сеть общего пользования, факсы, автоответчики), магнитные носители (ленты и диски), другое техническое оборудование (электропитание, кондиционеры), мебель, помещения;

Услуги: вычислительные услуги и услуги связи, основные коммунальные услуги, например, отопление, освещение, электроэнергия, кондиционирование.