Разработка методики классификации объектов защиты в корпоративных информационных системах

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

СОДЕРЖАНИЕ

• Введение
• 1. Анализ подходов к классификации объектов защиты в корпоративных информационных системах
• 1.1 Показатели для оценки подходов к классификации объектов защиты
• 1.2 Анализ подходов к классификации объектов защиты, описанных в российских и международных стандартах и стандартах
• 1.2.1 Анализ подхода к классификации объектов защиты в соответствии с ГОСТ Р ИСО/МЭК 17799-2005
• 1.2.2 Анализ подхода к классификации объектов защиты в соответствии со стандартами NIST
• 1.2.3 Анализ подхода к классификации объектов защиты в соответствии со стандартами СТО БР ИББС
• 1.2.4 Анализ подхода к классификации объектов защиты в соответствии с библиотекой ITIL v3
• 1.3 Анализ подходов к классификации объектов защиты в организациях
• 1.3.1 Анализ подхода к классификации объектов защиты компании «Инфосистемы Джет»
• 1.3.2 Анализ подхода к классификации объектов защиты компании «Microsoft»
• 1.3.3 Анализ подхода к классификации объектов защиты в университете штата Массачусетс, США
• 1.4 Сравнительный анализ подходов к классификации объектов защиты
• 2. Разработка методики классификации объектов защиты
• 2.1 Определение целей, задач и области действия процесса классификации объектов защиты
• 2.1.1 Цель и задачи процесса классификации объектов защиты
• 2.1.2 Область действия процесса классификации объектов защиты
• 2.1.3 Роли, выделяемые в рамках процесса классификации объектов защиты
• 2.1.4 Модель взаимодействия подсистемы классификации объектов защиты с подсистемами управления информационной безопасностью
• 2.1.5 Структура процесса классификации объектов защиты
• 2.2 Внедрение процесса классификации объектов защиты
• 2.2.1 Разработка организационно-распорядительной документации по классификации объектов защиты
• 2.2.2 Инициирование процесса классификации объектов защиты
• 2.2.3 Внедрение средств автоматизации процесса классификации объектов защиты
• 2.2.4 Обучение работников предприятия методологии классификации объектов защиты
• 2.2.5 Формирование порядковой шкалы уровней критичности объектов защиты
• 2.3 Функционирование процесса классификации объектов защиты
• 2.3.1 Планирование деятельности по классификации объектов защиты
• 2.3.2 Идентификация объектов защиты
• 2.3.3 Определение уровня критичности объектов защиты
• 2.3.4 Организация учета объектов защиты
• 2.4 Анализ эффективности и модернизация процесса классификации объектов защиты
• 3. Выработка требований к программному обеспечению подсистемы классификации объектов защиты
• 3.1 Требования к архитектуре программного обеспечения подсистемы классификации объектов защиты
• 3.2 Требования к регистрации и учету объектов защиты
• 3.3 Требования к определению уровня критичности объектов защиты
• 3.4 Требования к актуализации результатов классификации объектов защиты
• 3.5 Требования к конструированию отчетных форм и формированию отчетов
• 4. Безопасность жизнедеятельности
• 4.1 Общие положения
• 4.2 Охрана окружающей среды
• 4.2.1 Современные методы утилизации и переработки ТБО
• 4.2.2 Канализация и сточные воды
• 4.2.3 Очистка бытовых сточных вод
• 4.3 Охрана труда и производственной безопасности
• 4.3.1 .Микроклимат рабочего помещения
• 4.3.2 Вентиляция, отопление
• 4.3.3 Освещенность рабочего места
• 4.3.4 Расчет искусственного освещения
• 4.3.5 Уровень шума
• 4.3.6 Защита от электромагнитных излучений
• 4.3.7 Электробезопасность
• 4.3.8 Эргономические условия организации рабочего места
• 4.3.9 Пожарная безопасность
• 5. Экономика защиты информации
• 5.1 Стоимостные характеристики проектов по обеспечению информационной безопасности
• 5.2 Расчет затрат на реализацию процесса классификации объектов защиты
• 5.2.1 Общее описание системы
• 5.2.2 Расчет единовременных затрат
• 5.2.3 Расчет постоянных затрат
• 5.2.4 Расчет совокупной стоимости владения подсистемой классификации объектов защиты
• 5.2.5 Оценка экономической эффективности
• ЗАКЛЮЧЕНИЕ
• Список использованной литературы
• 

СПИСОК используемых сокращений

ИБ - Информационная безопасность

ИС - Информационная система

ИТ - Информационные технологии

КИС - Корпоративная информационная система

ОРД - Организационно-распорядительная документация

ПО - Программное обеспечение

СТО БР ИББС - Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации

ITIL - InformatioN Technology Infrastructure Library

NIST - The National Institute of Standards and Technology



АННОТАЦИЯ

Проект состоит из: 145 страниц, 20 рисунков, 27 таблиц, 16 источников.

Ключевые слова:

объекты защиты, информационные активы, классификация объектов защиты, идентификация объектов защиты, категорирование информации, подсистема классификации объектов защиты.

Данный проект посвящен разработке методики классификации объектов защиты, определяющей порядок организации деятельности по классификации объектов защиты, в том числе порядок внедрения процесса классификации объектов защиты, проведения классификации объектов защиты, а также порядок анализа эффективности и модернизации процесса классификации объектов защиты. В данном проекте проведен анализ подходов к классификации объектов защиты, описанных в национальных и зарубежных стандартах, а также подходов, применяемых негосударственными учреждениями для категорирования объектов защиты. Сформулированы общие требования к программному обеспечению подсистемы классификации объектов защиты.



ВВЕДЕНИЕ

Согласно известной аксиоме, достичь абсолютного уровня защищенности достичь невозможно, вне зависимости от того, сколько средств будет затрачено на обеспечение ИБ. В то же время, в современном, быстро развивающемся мире, все компании стремятся сократить свои издержки и получить максимальную отдачу от своих вложений. Именно поэтому риск-ориентированный подход к обеспечению ИБ является на сегодняшней день единственной альтернативой в развитии систем защиты информации и систем управления ИБ.

Классификация объектов защиты является фундаментальным процессом в рамках системы управления ИБ, необходимым для анализа рисков ИБ, управления инцидентами ИБ и других подсистем управления ИБ. Процесс классификации объектов защиты позволяет:

провести инвентаризацию активов компании;

выявить активы предприятия и выделить наиболее важные из них с точки зрения требований бизнеса, обеспечения его непрерывности и безопасности;

определить роль ИС в реализации бизнес-процессов компании;

выявить информационные потоки внутри КИС компании и во внешние организации;

организовать учет объектов защиты компании;

получить актуальную картину прав доступа пользователей к компонентам КИС.

Сведения о степени важности активов компании, получаемые по результатам их классификации, являются основой для определения приоритетов в построении систем защиты информации. Организация деятельности по классификации объектов защиты позволяет построить максимально эффективные системы защиты информации, направленные на обеспечение непрерывности реализации бизнес-процессов компании.

Организация деятельности по классификации объектов защиты позволяет решить такие проблемы, как:

чрезмерные затраты на обеспечение информационной безопасности объектов защиты, не играющих существенной роли в рамках реализации ключевых бизнес-процессов компании;

сложность экономического обоснования необходимости внедрения средств защиты информации;

снижение экономической эффективности затрат на обеспечение ИБ КИС;

недостаточная защищенность ключевых активов компании.

Целью дипломного проекта является повышение эффективности системы управления ИБ в КИС за счет внедрения методики классификации объектов защиты.

Для достижения поставленной цели необходимо решить следующие задачи:

провести анализ существующих подходов к классификации объектов защиты;

разработать структуру процесса классификации объектов защиты и составляющих его процедур;

разработать методику классификации объектов защиты в КИС, определить порядок проведения классификации объектов защиты;

сформировать требования к ПО подсистемы классификации объектов защиты.



1. АНАЛИЗ ПОДХОДОВ К КЛАССИФИКАЦИИ ОБЪЕКТОВ ЗАЩИТЫ В КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

В данном разделе приводится описание подходов к классификации объектов защиты, описанных в международных и национальных стандартах в области информационной безопасности, а также подходов к классификации объектов защиты, применяемых коммерческими организациями. Проводится сравнительный анализ рассматриваемых подходов по выбранным критериям.

1.1 Показатели для оценки подходов к классификации объектов защиты

Классификация объектов защиты КИС коммерческих организаций - это процесс, направленный на:

выявление активов, представляющих ценность для организации, и их последующая защита;

сокращение расходов на обеспечение информационной безопасности и их перераспределение в пользу более ценных;

оценку возможного ущерба от нарушения ИБ объектов защиты для последующей оценки рисков ИБ;

определение приоритетности защиты объектов защиты для последующего обеспечения непрерывности бизнеса за счет резервирования объектов защиты, критичных с точки зрения реализации бизнес-процессов.

Исходя из описанных выше целей, для оценки рассматриваемых подходов к классификации объектов защиты, будем использовать следующие качественные показатели:

полнота описания процесса и составляющих его процедур - деятельность по классификации объектов защиты должна рассматриваться в качестве единого процесса с выделенными процедурами, должны быть предъявлены требования к реализации процесса и составляющих его процедур;

полнота используемой терминологии - используемая терминология должна быть конкретизирована и иметь однозначное толкование;

однозначность используемого классификационного признака (критериев классификации объектов защиты) - в подходе должны быть явно определены классификационные признаки, используемые при категорировании объектов защиты;

однозначность выделенных классов объектов защиты - в подходе должен быть однозначно определен перечень классов объектов защиты или описан порядок и принципы его формирования в соответствии с используемым классификационным признаком, должны быть определены виды информации, наиболее вероятно принадлежащие тому или иному классу;

гибкость подхода - должна допускаться адаптация методологии с учетом специфики бизнеса конкретной организации;

простота реализации процесса - подход к классификации объектов защиты должен быть легко реализуем на практике процедуры, реализуемые в рамках процесса, не должны быть чрезмерно сложными и содержать большое количество действий.

Для качественной субъективной оценки подходов к классификации объектов защиты по описанным выше показателям, введем уровни:

высокий;

средний;

низкий.

Проведем анализ основных подходов к классификации объектов защиты.

1.2 Анализ подходов к классификации объектов защиты, описанных в российских и международных стандартах и стандартах

Национальные и зарубежные стандарты по информационной безопасности являются основой для организации защиты информации в коммерческих организациях, так как данные стандарты реализуют требования законодательства и вбирают лучшие мировые и национальные практики в области информационной безопасности.

Рассмотрим подходы к классификации объектов защиты, описанные в следующих стандартах:

ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»;

NIST SP 800-30 «Guide for Conducting Risk Assessments»;

NIST SP 800-60 «Guide to Mapping Types of Informatio№Systems to Security»;

СТО БР ИББС 1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»;

ITIL v3.

1.2.1 Анализ подхода к классификации объектов защиты в соответствии с ГОСТ Р ИСО/МЭК 17799-2005

Российский стандарт ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» предназначен для [1] обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации. Стандарт содержит рекомендации по проектированию систем управления ИБ, в том числе по организации процесса классификации объектов защиты.

Терминология. В качестве объекта защиты в стандарте рассматриваются активы предприятия, в том числе информация (информационные активы). В соответствии со стандартом, информация - это актив, который, подобно другим активам организации имеет ценность, и, следовательно, должен быть защищен.

Требования к организации процесса. В соответствии со стандартом, в процессе классификации объектов защиты выделяются процедуры:

инвентаризации и учета активов;

классификации и маркировки активов.

Целью процедуры инвентаризации и учета информационных активов является обеспечение соответствующей защиты активов организации.

Инвентаризация и учет активов осуществляется в соответствии со следующими принципами:

учету подлежат все информационные активы;

для всех информационных активов должен быть идентифицирован и документально закреплен владелец;

активы рассматриваются неразрывно с информационными системами, в состав которых они входят;

в качестве активов выступают информационные активы (базы данных, файлы и др.), активы ПО (прикладное ПО, системное ПО и др.), физические активы (оборудование, носители информации и др.), а также услуги (в т.ч. услуги связи, электроснабжение, освещение и др.).

Целью процедуры классификации и маркировки активов является обеспечение уверенности в том, что информационные активы защищены надлежащим образом. Классификация активов предполагает оценку его критичности, то есть потенциального ущерба в случае нарушения требований конфиденциальности, целостности и доступности информации.

Классификация и маркировка активов осуществляется в соответствии со следующими принципами:

классификация объектов защиты должна быть основана на требованиях бизнеса;

результаты классификации должны регулярно пересматриваться;

ответственность за определение категории информации лежит на ее создателе, владельце или собственнике.

Анализ подхода к классификации объектов защиты. В результате проведенного анализа была дана следующая характеристика подхода к классификации объектов защиты:

полнота описания процесса и составляющих его процедур: высокая;

полнота используемой терминологии: недостаточная (используется общеупотребительная терминология);

однозначность используемых классификационных признаков: высокая;

однозначность выделенных классов объектов защиты: недостаточная (не описаны пороговые значения, позволяющие однозначно определить класс объекта защиты);

гибкость подхода: высокая;

простота реализации процесса: высокая.

1.1.2 Анализ подхода к классификации объектов защиты в соответствии со стандартами NIST

Стандарты «Национального института стандартов и технологий» («The National Institute of Standards and Technology») разрабатываются для применения организациями, составляющими государственный сектор США. В то же время, рекомендации, описанные в стандартах, находят применение и в коммерческих организациях, в том числе за пределами Соединенных Штатов.

Процесс классификации объектов защиты описан в стандартах NIST:

NIST SP 800-30 «Guide for Conducting Risk Assessments» («Руководство по управлению рисками»);

NIST SP 800-60 «Guide to Mapping Types of Informatio№Systems to Security Categories» («Руководство по категорированию различной информации с точки зрения безопасности»).

Терминология. В стандарте используется понятие «сведения, относящиеся к информационным системам», таким образом, в качестве объектов защиты рассматриваются информационные активы, ПО, оборудование, объекты физического окружения и персонал.

Требования к организации процесса. В рамках процесса классификации объектов защиты, процедуры идентификации и категорирования информационных ресурсов не выделены.

Требования к инвентаризации объектов защиты описаны в стандарте NIST SP 800-30. Для сбора информации, предлагается использовать методы [2]:

интервьюирование;

анкетирование;

анализ документов;

использование средств автоматизации (программных сканеров).

Предполагается, что на этапе инвентаризации информационных ресурсов уже известна их критичность, а также требования конфиденциальности, целостности и доступности, накладываемые действующим законодательством и политикой компании.

Требования к категорированию объектов защиты описаны в стандарте NIST SP 800-60. В стандарте описаны около 60 типов информации; [3] проведено категорирования каждого типа информации по требованиям конфиденциальности, целостности и доступности, при этом в стандарте допускаются и описаны частные случаи.

Таким образом, для категорирования информационного ресурса необходимо идентифицировать его тип и определить категорию, к которой он принадлежит, в соответствии со спецификой деятельности предприятия.

Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты:

полнота описания процесса и составляющих его процедур: низкая (процесс классификации не выделен, процедуры не выделены);

полнота используемой терминологии: недостаточная (используется общеупотребительная терминология);

однозначность используемых классификационных признаков: высокая;

однозначность выделенных классов объектов защиты: высокая;

гибкость подхода: низкая (не допускается актуализация типов информации);

простота реализации процесса: низкая (категорирование объектов защиты усложнено за счет необходимости определения типа информации и последующего анализа объекта защиты для его категорирования).

1.1.3 Анализ подхода к классификации объектов защиты в соответствии со стандартами СТО БР ИББС

Стандарты СТО БР ИББС описывают подходы и предъявляют требования к проектированию систем обеспечения информационной безопасности, включающие:

системы информационной безопасности;

системы менеджмента информационной безопасности.

Требования, предъявляемые в стандартах СТО БР ИББС, обязательны для исполнения в организациях банковской сферы Российской Федерации.

Терминология. В стандартах СТО БР ИББС используется развернутая терминология. К классификации объектов защиты имеют отношение следующие термины [4]:

информация (сведения независимо от формы их представления);

документ (зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать);

информационный актив (документ, имеющий ценность для организации, находящийся в ее распоряжении, представленный на любом материальном носителе в пригодной для обработки, хранения и передачи форме);

объект среды информационного актива (материальный объект среды использования и/или эксплуатации информационного актива);

актив (все, что имеет ценность для организации, включая персонал, финансовые средства, оборудование, информацию, банковские процессы, а также банковские продукты и услуги).

Требования к организации процесса. В соответствии со стандартами СТО БР ИББС, системы менеджмента информационной безопасности представляют собой совокупность процессов, реализуемых в виде циклической модели Деминга: «планирование - реализация - проверка - совершенствование». Указанная модель предполагает непрерывную модернизацию процессов управления информационной безопасности, направленную на повышение их эффективности.

Областью действия систем обеспечения информационной безопасности (систем информационной безопасности и систем менеджмента информационной безопасности) являются защищаемые информационные активы, а также соответствующие им объекты среды, то есть оборудование, ПО и автоматизированные банковские системы.

Стандартом СТО БР ИББС 1.0 определяется необходимость составления описи структурированных по классам защищаемых информационных активов. При составлении описи устанавливаются связи между объектами защиты, в частности, связь между активами банковскими процессами (технологическими, платежными) и автоматизированными банковскими системами, используемыми для их автоматизации.

Все защищаемые информационные активы должны быть проклассифицированы по типам в соответствии со степенью тяжести последствии от потери их значимых свойств информационной безопасности (конфиденциальности, целостности и доступности). При этом в организации должен быть определен и поддерживаться в актуальном состоянии перечень типов информационных активов.

Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты:

полнота описания процесса и составляющих его процедур: низкая (процесс классификации не выделен, процедуры в рамках процесса не выделены);

полнота используемой терминологии: высокая;

однозначность используемого классификационного признака: недостаточная (не описаны пороговые значения, позволяющие отнести объект защиты к одному из выделенных классов);

однозначность выделенных классов объектов защиты: низкая;

гибкость подхода: высокая;

простота реализации процесса: высокая.

1.1.4 Анализ подхода к классификации объектов защиты в соответствии с библиотекой ITIL v3

Библиотека ITIL v3 описывает лучшие из применяемых на практике способов организации деятельности подразделений, предоставляющих услуги в сфере информационных технологий (ИТ-услуг).

В отличие от стандартов, рассмотренных выше, в библиотеке ITIL v3 деятельность по идентификации и классификации объектов защиты является совокупностью ИТ-процессов, то есть процессов, целью которых является не обеспечение информационной безопасности, а эффективное управление ресурсами предприятия. Этим объясняются различия в описываемых подходах и получаемых результатах.

Терминология. В библиотеке ITIL понятию «Объект защиты» соответствует понятие «Актив», включающее, в том числе, информацию и объекты инфраструктуры.

Требования к организации процесса. ИТ-процесс управления информационными активами описан в книге «Проектирование услуг» («Service Design»). В рамках данного процесса выделяются следующие процедуры, связанные с процессом классификации объектов защиты [5]:

идентификация информационных активов;

оценка ценности информационных активов;

классификация информационных активов.

В рамках процедуры идентификации информационных активов осуществляется:

идентификация источников информации;

опись информационных активов;

определение лиц, ответственных за управление информационными активами (владельцев информационных активов);

выявление дубликатов информационных активов;

выявление факторов, препятствующих получению информационных активов;

формализация правил хранения информационных активов.

В рамках процедуры оценки стоимости информационных активов осуществляется:

оценка критичности информационных активов в случае нарушения его доступности;

оценка критичности информационных активов в случае их уничтожения или потери;

оценка изменения ценности информационных активов на различных этапах жизненного цикла.

В рамках процедуры классификации информационных активов осуществляется:

классификация информационных активов по периоду их использования (краткосрочные, среднесрочные, долгосрочные);

классификация информационных активов по требования обеспечения информационной безопасности;

классификация информационных активов по уровню представления (уровень организации, уровень бизнес-функции, уровень ИТ-услуги).

Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты:

полнота описания процесса и составляющих его процедур: высокая;

полнота используемой терминологии: высокая;

однозначность используемого классификационного признака: недостаточная (не определены пороговые значения, позволяющие отнести объект защиты к одному из выделенных классов);

однозначность выделенных классов объектов защиты: недостаточная (не выделены классы информационных ресурсов по требованиям информационной безопасности);

гибкость подхода: недостаточная (не допускается актуализация выделенных классов по некоторым признакам);

простота реализации процесса: низкая (классификация осуществляется по большому числу признаков, при этом не описан порядок определения).

1.2 Анализ подходов к классификации объектов защиты в организациях

Часто подходы в области информационной безопасности, применяемые негосударственными учреждениям, в отличие от подходов, описанных в стандартах, имеют четкую практическую направленность, они лучше продуманы и подробнее описаны.

Рассмотрим подходы к классификации объектов защиты следующих организаций:

«Инфосистемы Джет»;

«Microsoft»;

Университет штата Массачусетс, США.

1.3.1 Анализ подхода к классификации объектов защиты компании «Инфосистемы Джет»

Описание методологии классификации объектов защиты. Методология классификации объектов защиты компании «Инфосистемы Джет» удовлетворяет требованиям стандарта ГОСТ Р ИСО/МЭК 17799-2005.

В соответствии с методологией классификации объектов защиты, разработанной компанией «Инфосистемы Джет», [6] присвоение категорий безопасности информации и информационными системам производится на основе оценки ущерба, который может быть нанесен нарушениями безопасности.

Размер потенциального ущерба оценивается отдельно по трем основным аспектам информационной безопасности (конфиденциальность, целостность, доступность) с последующим расчетом интегральной оценки.

Размер ущерба оценивается по трехуровневой шкале:

высокий - потеря свойств ИБ информационных активов оказывает тяжелое или катастрофическое вредоносное воздействие на деятельность организации, ее активы и персонал;

умеренный - потеря свойств ИБ информационных активов оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал;

низкий - потеря свойств ИБ информационных активов оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал.

Для каждого уровня определены виды информации, вероятно относящиеся к нему. Дана развернутая характеристика уровней критичности, облегчающая задачу категорирования объектов защиты.

Стоит отметить, что методика компании «Инфосистемы Джет» предписывает классифицировать не только так называемую «пользовательскую» информацию (т.е. информационные активы, используемые при выполнении сотрудниками своих производственных задач), но также и системную (файлы конфигураций, системные файлы). К информационным активам при этом относятся как электронные документы, так и документы, закрепленные на материальном носителе.

Категорирование информационных систем осуществляется в соответствии с критичностью обрабатываемых и/или хранимых информационных активов, при этом информационной системе присваивается максимальный из уровней критичности информационных активов.

В соответствии с уровень критичности информационной системы, к ней применяются так называемые «регуляторы безопасности», представляющие собой набор требований по обеспечению информационной безопасности.

Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты:

полнота описания процесса и составляющих его процедур: недостаточная (процедура идентификации объектов защиты не описана);

полнота используемой терминологии: недостаточная (используется общеупотребительная терминология);

однозначность используемого классификационного признака: высокая;

однозначность выделенных классов объектов защиты: высокая;

гибкость подхода: высокая;

простота реализации процесса: недостаточная (не описан в полной мере порядок классификации объектов защиты).

1.2.2 Анализ подхода к классификации объектов защиты компании «Microsoft»

Описание методологии классификации объектов защиты. Подход к классификации объектов защиты компании «Microsoft» описан в документе «Руководство по управлению рисками информационной безопасности» («The Security Risk Management Guide»).

В соответствии с данным подходом, процесс классификации объектов защиты включает процедуры идентификации активов и их последующего категорирования. Под активами Microsoft понимает все, что имеет ценность для компании с точки зрения бизнеса (бизнес-активы). В это понятие включаются [7]:

нематериальные активы (электронные документы, репутация компании);

материальные активы (бумажные документы, объекты физической инфраструктуры);

ИТ-сервисы, как совокупность материальных и нематериальных активов.

Идентификация активов осуществляется в привязке с решаемыми бизнес-задачами, при этом электронные активы идентифицируются в составе прикладных информационных систем.

Категорирования активов осуществляется их владельцами, сведения о которых должны быть получены на этапе их идентификации. Для категорирования активов, они объединяются в группы, состоящие из однородных элементов, в соответствии с реализуемыми бизнес-функциями (например, проведение онлайн-платежей, разработка программного обеспечения).

В соответствии с методикой компании Microsoft, классификационным признаком является ценность актива для организации (его роль для бизнеса). Ценность актива для организации определяется качественной шкалой:

высокая;

средняя;

низкая.

Для каждого из классов в методике определяется примерный перечень относящихся к нему видов информационных активов, который должен быть актуализирован в соответствии со спецификой бизнеса организации.

Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты:

полнота описания процесса и составляющих его процедур: недостаточная (процедура категорирования активов описана не в полной мере);

полнота используемой терминологии: недостаточная (используется общеупотребительная терминология);

однозначность используемого классификационного признака: низкая (не описаны методы оценки активов по выделенным классификационным признакам);

однозначность выделенных классов объектов защиты: низкая (не описаны пороговые значения, позволяющие отнести актив к одному из выделенных классов);

гибкость подхода: высокая;

простота реализации процесса: высокая.

1.2.3 Анализ подхода к классификации объектов защиты в университете штата Массачусетс, США

Описание методологии классификации объектов защиты. Методика классификации объектов защиты университета штата Массачусетс разработана в соответствии с требованиями законодательства США и штата Массачусетс. Методика применяется для классификации информационных ресурсов, находящихся в собственности и/или ведении университета и служит для повышения уровня информационной безопасности.

В методике, принятой в университете штата Массачусетс, США, классификационными признаками являются [8]:

конфиденциальность информационного ресурса;

ценность информационного ресурса.

Выделяются следующие категории информационных ресурсов:

несекретные (широко доступная информация);

только для оперативного использования (данные, потеря, порча или несанкционированное разглашение которых может привести к любому коммерческому, финансовому или юридическому убытку; данные, предоставляемые с санкции владельца);

частные (данные, потеря, порча или несанкционированное разглашение которых может привести к любому коммерческому, финансовому или юридическому убытку; данные, связанные с вопросами личного доверия, репутации и другими вопросами неприкосновенности частной жизни);

ограниченного пользования (данные, потеря, порча или несанкционированное разглашение которых может привести к нанесению ущерба коммерческим или исследовательским функциям Университета);

конфиденциальные (данные, потеря, порча или несанкционированное разглашение которых может привести к нарушению федеральных законов/положений, законов/положений штата или университетских контрактов).

При этом, совокупности данных (например, базы данных) должны классифицироваться на уровне самого высокого уровня защиты, а информационные ресурсы, содержащиеся в одной системе, должны быть отнесены к самым конфиденциальным данным в системе.

Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты:

полнота описания процесса и составляющих его процедур: низкая (процедуры в рамках процесса не выделены, методология идентификации активов не описана);

полнота используемой терминологии: недостаточная (используется общеупотребительная терминология);

однозначность используемого классификационного признака: недостаточная (не все признаки имеют однозначное толкование);

однозначность выделенных классов объектов защиты: высокая;

гибкость подхода: низкая (выделенные классы применимы только для образовательных учреждений);

простота реализации процесса: недостаточная.



1.3 Сравнительный анализ подходов к классификации объектов защиты

По результатам анализа подходов к классификации объектов защиты по критериям, описанным в данной главе, проведем сравнительный анализ рассмотренных подходов (Таблица 1.1).

По результатам проведенного сравнительного анализа можно сделать вывод о том, что для разработки методики классификации объектов защиты КИС коммерческих организаций будем использовать в качестве методологической основы следующие подходы к классификации объектов защиты:

ГОСТ ИСО/МЭК 17799-2005 в части требований к организации деятельности по классификации объектов защиты;

«Инфосистемы Джет» в части формирования набора классификационных признаков и порядка категорирования объектов защиты.

Выводы:

В данной главе дипломного проекта был проведен сравнительный анализ подходов к классификации объектов защиты по различным качественным показателям.

Результаты сравнительного анализа представлены в таблице (Таблица 1.1).

По результатам сравнительного анализа был сделан вывод о том, что выбранным показателям в наибольшей степени отвечают подходы:

подход к классификации объектов защиты в соответствии с ГОСТ Р ИСО/МЭК 17799-2005«Информационная технология. Практические правила управления информационной безопасностью»;

подход к классификации объектов защиты компании «Инфосистемы Джет».

Данные подходы будут являться основой для разработки методики классификации объектов защиты в КИС.

Таблица 1.1

Результаты сравнительного анализа подходов к классификации объектов защиты

Критерии оценки походов к классификации Подходы к классификации объектов защиты	Полнота описания процесса и составляющих его процедур	Полнота используемой терминологии	Однозначность используемого классификационного признака	Однозначность выделенных классов объектов защиты	Гибкость подхода	Простота реализации процесса
ГОСТ Р ИСО/МЭК 17799-2005	высокая	недостаточная	высокая	недостаточная	высокая	высокая
NISTSP 800-30 / NISTSP 800-60	низкая	недостаточная	высокая	Высокая	низкая	низкая
СТО БР ИББС	высокая	высокая	недостаточная	недостаточная	недостаточная	низкая
ITIL v3	высокая	высокая	недостаточная	недостаточная	недостаточная	недостаточная
«Инфосистемы Джет»	недостаточная	недостаточная	высокая	Высокая	высокая	недостаточная
«Microsoft»	недостаточная	недостаточная	низкая	недостаточная	низкая	низкая
Университет штата Массачусетс, США	низкая	недостаточная	недостаточная	Высокая	низкая	недостаточная

2 РАЗРАБОТКА МЕТОДИКИ КЛАССИФИКАЦИИ ОБЪЕКТОВ ЗАЩИТЫ

В данном разделе определяются цели и задачи процесса классификации объектов защиты, приводится описание методики классификации объектов защиты, включающей порядок организации деятельности по классификации объектов защиты:

- порядок внедрения процесса классификации объектов защиты;

- порядок функционирования процесса классификации объектов защиты;

- порядок анализа эффективности и модернизации процесса классификации объектов защиты.

2.1 Определение целей, задач и области действия процесса классификации объектов защиты

2.1.1 Цель и задачи процесса классификации объектов защиты

Целью классификации объектов зашиты является обеспечение дифференцированного подхода к организации их защиты в КИС с учетом уровня критичности, определяемого тяжестью возможных последствий нарушения ИБ.

Классификация объектов защиты необходима для:

выявления всех объектов защиты предприятия, участвующих в реализации его бизнес-процессов;

определения важности объектов защиты для реализации бизнес-процессов предприятия;

установления, применения и исполнения требований ИБ, предъявляемых к объектам защиты в составе ИС предприятия.

Основными задачами процесса классификации объектов защиты являются:

идентификация и учет объектов защиты;

выявление взаимосвязей между объектами защиты в КИС;

определение уровня критичности объектов защиты и ИС, в состав которых они входят.

Успешная реализация процесса классификации объектов защиты позволит:

обеспечить лучшую защиту объектов защиты, наиболее критичных с точки зрения реализации бизнес-процессов предприятия;

достичь набольшей эффективности затрат на обеспечение ИБ ИС;

создать основу для последующего внедрения подсистем управления информационной безопасности, в том числе подсистем управления инцидентами ИБ, анализа и оценки рисков ИБ, управления конфигурациями и изменениями и других.

2.1.2 Область действия процесса классификацииобъектов защиты

Деятельность любого коммерческого предприятия представляет собой совокупность бизнес-процессов. При этом любой бизнес-процесс обладает следующими свойствами:

имеет свои границы (состоит из определенного неизменяющегося или редко изменяющегося числа бизнес-функций);

выполняется с определенной периодичностью или непрерывно;

имеет конечного потребителя (другой бизнес-процесс, структурные подразделения предприятия или контрагенты предприятия);

имеет своих исполнителей - подразделения предприятия;

имеет своего владельца - подразделение, ответственное за результат реализации бизнес-процесса.

Любой бизнес-процесс состоит из бизнес-функций, при этом любая бизнес-функция обладает следующими свойствами:

имеет определенные входы и выходы, то есть перечень информации поступающей на вход бизнес-функции и перечень информации, формируемой на выходе;

имеет определенного исполнителя - одного или нескольких работников бизнес-подразделений компании.

Таким образом, и бизнес-процессы, и составляющие их бизнес-функции можно рассматривать в упрощенной модели как последовательность действий по преобразованию информации, а точнее - информационных активов, поскольку именно информационные активы на материальном носителе (бумажные документы) или в электронном виде поступают на вход и формируются на выходе бизнес-функций и бизнес-процессов.

Таким образом, все информационные активы можно подразделить на 2 группы:

электронные информационные активы;

материальные информационные активы.

К электронным информационным активам будем относить:

сведения, содержащиеся в базах данных, представляемые посредством рабочих форм прикладного ПО ИС (далее - рабочие формы ИС);

базы данных ИС;

файлы, размещенные на съемных носителях информации, а также устройствах хранения данных рабочих станций и серверов.

К материальным информационным активам будем относить только бумажные документы. Носители информации не относятся к материальным информационным активам, поскольку сами по себе они не представляют ценность для организации и не участвуют в реализации ее бизнес-процессов.

Учитывая возможное большое число информационных активов (как печатных, так и электронных), а также тот факт, что в процессе деятельности предприятия число информационных активов постоянно изменяется, для эффективной реализации процесса классификации объектов защиты целесообразно группировать однородные информационные активы, обрабатываемые в пределах одной бизнес-функции. Можно выделить следующие группы информационных активов:

файловые каталоги (директория файлов, содержащая однородные файлы, например: «Квартальные отчеты»);

шаблоны рабочих форм (например: «Форма заказа товара» в ИС «SAPR3»);

группы одноименных печатных документов.

В настоящее время большинство бизнес-процессов реализуется с использованием средств автоматизации, объединенных по функциональному назначению в ИС. В состав ИС входят:

информационные активы;

прикладное ПО, используемое для непосредственной обработки информационных активов;

средства вычислительной техники (серверы, рабочие места и периферийное оборудование, на которых выполняется такая обработка).

Взаимодействие ИС, в том числе передача данных между ними, осуществляется посредством инфраструктурных служб. Под инфраструктурной службой в данном случае понимается ИТ-сервис общего назначения, реализующий определенную информационную технологию. К инфраструктурным службам относятся, в частности, сервис локальной вычислительной сети, сервис антивирусной защиты, сервис сетевой печати, сервис электронной почты и другие ИТ-сервисы, в том числе реализующие функции защиты информации. При этом, одна инфраструктурная служба поддерживает функционирование сразу нескольких ИС, и, наоборот, работу ИС обеспечивает сразу несколько инфраструктурных служб.

ПО, входящее в состав инфраструктурных служб, можно подразделить на следующие виды:

системное ПО (ПО, обеспечивающее функционирование прикладного ПО в составе ИС или установленное на рабочих местах пользователей КИС, а также управление оборудованием КИС, например: операционные системы, системные утилиты и др.);

инструментальное ПО (ПО, используемое в ходе разработки, корректировки или сопровождении других программ, например: редакторы, компиляторы, отладчики и др.).

К оборудованию, входящему в состав инфраструктурных служб, относится:

средства вычислительной техники (серверы);

сетевое оборудование (маршрутизаторы, коммутаторы и др.);

коммутационное оборудование (сетевые кабели, патч-панели и др.).

Обобщая изложенные выше рассуждения, сформируем общий перечень объектов защиты (Таблица 2.1).

Таблица 2.1

Перечень объектов защиты

№	Наименование	Описание
1.	Информационные активы	Информация в электронном или печатном виде, участвующая в реализации бизнес-процессов и бизнес-функций организации.
1.1.	Базы данных ИС	Логически структурированные наборы данных, используемые в ИС для хранения и обработки информации.
1.2.	Рабочие формы ИС (шаблоны рабочих форм)	Сведения, содержащиеся в базах данных, представляемые посредством рабочих форм прикладного ПО ИС.
1.3.	Файлы (файловые каталоги)	Файлы или файловые каталоги, размещенные на съемных носителях информации и устройствах хранения данных рабочих станций и серверов.
1.4.	Печатные документы (группы одноименных печатных документов)	Документы или группы документов на бумажном носителе.
2.	ПО	ПО в составе ИС или установленное на рабочих станциях пользователей КИС, используемое для обработки, хранения и передачи информационных активов.
2.1.	Прикладное ПО	ПО, используемое для непосредственной обработки информационных активов в составе ИС или на рабочих станциях пользователей КИС.
2.2.	Системное ПО	ПО, обеспечивающее функционирование прикладного ПО в составе ИС или установленного на рабочих местах пользователей КИС, а также управление оборудованием КИС.
2.3	Инструментальное ПО	ПО, используемое в ходе разработки, корректировки или сопровождении других программ.
3.	Оборудование КИС	Технические средства, используемые для обработки, хранения и передачи информационных активов
3.1.	Средства вычислительной техники	Рабочие станции, серверы и периферийное оборудование.
3.2.	Сетевое оборудование	Маршрутизаторы, коммутаторы и другие активное и пассивное сетевое оборудование.
3.3.	Коммутационное оборудование	Средства телефонной связи, телеметрии, кабели и т.д.
4.	ИС	Комплекс средств автоматизации, реализующий набор прикладных задач, используемых при реализации бизнес-функций.
5.	Инфраструктурные службы	ИТ-сервисы, поддерживающие функционирование и обеспечивающие взаимосвязь ИС и КИС в целом

2.1.3 Роли, выделяемые в рамках процесса классификации объектов защиты

В связи с тем, что процесс классификации объектов защиты является обширной, непрерывной деятельностью в рамках всего предприятия, всех лиц, участвующих в данном процессе можно подразделить на 2 группы:

лица, осуществляющие деятельность по классификации объектов защиты (группа классификации объектов защиты);

лица, принимающие участие в классификации объектов защиты.

Среди лиц, осуществляющих деятельность по классификации объектов защиты, целесообразно выделить следующие функциональные роли:

руководитель процесса классификации объектов защиты (далее - руководитель процесса) - организует деятельность по классификации объектов защиты, несет ответственность за внедрение, реализацию, анализ эффективности и модернизацию процесса классификации объектов защиты;

комиссия по классификации объектов защиты (далее - Комиссия) - определяет правила и принципы классификации объектов защиты, осуществляет оценку уровней критичности информационных активов, несет ответственность за выбор критериев классификации объектов защиты; Председателем Комиссии назначается один из руководителей компании; помощь в организации деятельности Комиссии Председателю оказывает секретарь Комиссии;

специалисты по классификации объектов защиты - осуществляют работы по классификации объектов защиты, в том числе - идентификацию объектов защиты, выявление взаимосвязей между ними, расчет уровня критичности объектов защиты и учет объектов защиты;

администраторы ИС - осуществляют идентификацию объектов защиты в составе ИС предприятия; взаимодействуют с руководителем процесса классификации объектов защиты через руководителя подразделения ИТ.

В реализации процесса классификации объектов защиты участие также принимают:

руководство компании - назначает сотрудников, ответственных за реализацию процесса классификации объектов защиты, принимает и утверждает документы, формируемые в рамках процесса классификации объектов защиты;

руководители бизнес-подразделений - организуют опрос работников подразделения с целью идентификации объектов защиты;

работники бизнес-подразделений (пользователи объектов защиты) - идентифицируют информационные активы компании.

Изобразим схему подчинения лиц в рамках процесса классификации объектов защиты (Рисунок 2.1):

Конкретный список сотрудников, ответственных за реализацию тех или иных функциональных ролей, определяется для каждого предприятия индивидуально исходя из специфики бизнеса компании, при этом можно сформулировать следующие рекомендации:

в качестве руководителя процесса классификации объектов защиты назначить руководителя подразделения информационной безопасности;

в состав Комиссии включить руководителей ключевых бизнес-подразделений, подразделений информационной безопасности, информационных технологий, маркетинга, а также юристов, специалиста по работе с персоналом и других ключевых для компании сотрудников;