Лабораторная работа № 3
«Определение номенклатуры информационных активов компании»
Цель работы
Ознакомление с понятием информационного актива, базовых уязвимостей и угроз в сфере информационной безопасности предприятия
Краткие теоретические сведения
В соответствии с ГОСТ Р ИСО /МЭК 27000-2012 «Информационная технология. Методы и средства обеспечения безопасности системы менеджмента информационной безопасности. Общий обзор и терминология»: Информация - это актив, который наряду с другими важными деловыми активами важен для бизнеса организации и, следовательно, должен быть соответственно защищен. Информация может храниться в различных формах, включая такие как цифровая форма (например, файлы с данными, сохраненные на электронных или оптических носителях), материальная форма (например, на бумаге), а также в нематериальном виде в форме знаний служащих. Информация может быть передана различными способами: с помощью курьера, систем электронной или голосовой коммуникации. Независимо от того, в какой форме представлена информация и каким способом передается, она должна быть должным образом защищена. Информация организации зависит от информационно-коммуникационных технологий. Эти технологии - существенный элемент в любой организации. Они облегчают создание, обработку, хранение, передачу, защиту и расширение информации. Расширение связанной глобальной деловой среды выдвигает требование защиты информации, поскольку эта информация теперь подвергается воздействию более широкого разнообразия угроз и уязвимостей. Информационная безопасность включает в себя три основных измерения: конфиденциальность, доступность и целостность. С целью обеспечения длительного непрерывного успеха в бизнесе и уменьшения нежелательных воздействий информационная безопасность предусматривает применение соответствующих мер безопасности, которые включают в себя рассмотрение широкого диапазона угроз, а также управление этими мерами. Информационная безопасность достигается посредством применения соответствующего набора средств управления, определенного с помощью процесса управления рисками и управляемого с использованием Системы менеджмента информационной безопасности, включая политику, процессы, процедуры, организационные структуры, программное и аппаратное обеспечение, чтобы защитить идентифицированные информационные активы. Эти меры и средства контроля и управления должны быть определены, реализованы, проверены, проанализированы и при необходимости улучшены, чтобы гарантировать, что уровень безопасности соответствует деловым целям организации. Меры и средства контроля и управления безопасностью важной информации неразрывно связываются с бизнес-процессами организации. Пункт 2.3. ГОСТ Р ИСО /МЭК 27000-2012 следующим образом определяет понятие «информационный актив»: Актив (asset): что-либо, что имеет ценность для организации. Имеются различные типы активов: - информация (2.18); - программное обеспечение; - материальные активы, например компьютер; - услуги; - люди и их квалификация, навыки и опыт; - нематериальные активы, такие как репутация и имидж Пункт 2.18 : «Информационный актив (information asset): знания или данные, которые имеют значение для организации. Таким образом, информационный актив является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации. При идентификации активов следует иметь в виду, что всякая система информационных технологий включает в себя не только информацию – сведения, данные, независимо от формы их представления, но и аппаратные средства, программное обеспечение и т.д. Могут существовать следующие типы активов: o информация/данные (например, файлы, содержащие информацию о платежах или продукте); o аппаратные средства (например, компьютеры, принтеры); o программное обеспечение, включая прикладные программы (например, программы обработки текстов, программы целевого назначения); o оборудование для обеспечения связи (например, телефоны, медные и оптоволоконные кабели); o программно-аппаратные средства (например, гибкие магнитные диски, CD-ROM, программируемые ROM); o документы (например, контракты); o фонды (например, в банковских автоматах); o продукция организации; o услуги (например, информационные, вычислительные услуги); o конфиденциальность и доверие при оказании услуг (например, услуг по совершению платежей); o - оборудование, обеспечивающее необходимые условия работы; o - персонал организации; o - престиж (имидж) организации. 3. Задания Задание 1. Дайте определение понятиям«уязвимость» и «угроза» в сфере информационной безопасности ( в соответствии с ГОСТом) Задание 2. В лабораторной работе необходимо на примере конкретной компании (в соответствии с вариантом) сформулировать основные задачи ИБ компании, определить номенклатуру ее основных информационных активов Последовательность выполнения работы: 1. Укажите наименование компании и адрес ее корпоративного сайта. 2. Дайте описание деятельности компании, её направлений и бизнес-целей. 3. Опишите основные показатели деятельности компании, характеризующие её масштабы (5-6 показателей), и приведите их числовые значения за какой-то период или дату; 4. В любом графическом редакторе составьте функциональную блок-схему компании. Определите ключевые роли по управлению информационной безопасностью предприятия (см. пример в Приложении 1) 5. Сформулировать основные задачи ИБ компании (см. пример в Приложении 2) 6. Определение номенклатуры информационных активов Для каждого структурного подразделения определите информационные активы.. Определите базовые уязвимости и угрозы в сфере информационной безопасности для деятельности компании. Заполните таблицу 1 Таблица 1. Характеристика информационных активов предприятия | Вид актива | Наименование актива | Владе-лец | Форма представления актива | Угрозы | Уязви-мости | Степень важности | | | | | | | | | Таблица должна содержать: а) обоснование выбора активов, подлежащих оценке, т.е. необходимо аргументировать, почему обязательной защите должны подлежать именно указанные активы. б) перечень видов деятельности организации (определенных в п.2), а также наименование и краткое описание используемых (создаваемых) информационных активов для каждого вида, форму представления актива (бумажный документ, информация на электронном носителе, материальный объект); в) перечень владельцев активов, определенных в п.4. Термин «владелец» обозначает лицо или субъект, наделенный утвержденной руководством ответственностью за осуществление контроля производства, разработки, сопровождения, использования и безопасности активов. Примечание : Для составления таблицы необходимо определить состав и содержание информации, циркулирующей на предприятии и подлежащей обязательной защите. После чего провести ранжирование активов по степени их важности для компании. · Для обеспечения полного учета активов рекомендуется сгруппировать их по типам, например, информационные активы, активы программного обеспечения, физические активы и услуги Поскольку защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то результаты анализа должны быть сформулированы в терминах доступности, целостности и конфиденциальности. Например, если организация занимается продажами, то во главу угла ставится актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Для организации, отвечающей за поддержание критически важных баз данных, на первом плане должна стоять целостность данных. Для любой организации очень важна информация о персонале, база данных может находиться в автоматизированной системе , например АС «Босс-Кадровик» 7. Необходимо проранжировать активы, исходя из их ценности для предприятия. Результаты ранжирования активов представить в таблице 2. Таблица 2. Результаты ранжирования активов | Наименование актива | Ценность актива (ранг) | | Информационный актив №1 | | | Физический актив № 3 | | | … | … | | Информационный актив №3 | | | Актив программного обеспечения №2 | | | Физический актив №4 | | | | | | | | | |
Содержание отчета
1. Титульный лист
2. Содержание
3. Задание
4. Описание компании
5. Ключевые роли по управлению ИБ предприятия
6. Основные задачи ИБ компании
7. Таблица " Характеристика информационных активов предприятия "
8. Таблица Результаты ранжирования активов
9. Выводы
Варианты
Вариант – номер по списку в журнале.
Варианты компаний:
1. Компания является нефтедобывающим предприятием
2. Компания является газоперерабатывающим предприятием
3. Компания работает в области нефтепереработки
4. Компания занимается розничной торговлей непродовольственными товарами
5. Компания занимается розничной торговлей продуктами
6. Компания занимается розничной торговлей мультимедийной продукцией
7. Компания занимается поставкой нефтепродуктов
8. Компания занимается оказанием логистических услуг
9. Компания занимается образовательной деятельностью
10. Компания работает в сфере сервисных услуг в области нефтедобычи
11. Компания занимается производством мебели
12. Компания работает в области электроснабжения
13. Компания является туроператором
14. Компания занимается оказанием услуг в сфере геологоразведки
15. Компания занимается оказанием услуг в сфере здравоохранения деятельностью
16. Компания разрабатывает средства защиты информации
17. Компания занимается изготовлением полиграфической продукции
18. Компания оказывает оказанием услуг в сфере телекоммуникаций
19. Компания занимается брокерской деятельностью
20. Компания занимается разработкой и сопровождением отраслевого программного обеспечения
21. Компания занимается кинопрокатом фильмов
22. Компания является венчурным фондом
23. Компания занимается книгоизданием
24. Компания занимается страховой деятельностью
25. Компания занимается выпуском журналов (Издательский дом)
26. Компания осуществляет подключение к сети Интернет и IP телефонии
27. Компания занимается банковской деятельностью
28. Компания занимается разработкой и администрованием веб-сайтов
Приложение 1
Ключевые роли по управлению информационной безопасностью в организации должны распределяться следующим образом:
· Руководство - поддержка и анализ СУИБ, утвреждение политики ИБ, распределение ключевых ролей и ответственности, определение критериев принятия рисков, общих контроль и т.п.
· Управляющий комитет по ИБ - стратегическое управление, утверждение ключевых документов и бюджета ИБ;
· Служба риск-менеджмента - оценка рисков, подготовка и контроль реализации решений Руководства по обработке рисков, коммуникация и мониторинг рисков и т.п.
· Служба ИБ - оперативное управление, реализация мероприятий по обеспечению ИБ и уменьшению соответствующих рисков;
· Служба внутреннего аудита - независимый контроль и оценка эффективности деятельности всех подразделений, включая риск-менеджмент, ИБ, ИТ и других участников процессов обеспечения ИБ;
· Служба ИТ - реализация программно-технических механизмов контроля ИБ в зоне своей ответственности совместно или под контролем службы ИБ;
Приложение 2
Таблица 1. Основные задачи по обеспечению информационной безопасности предприятия
| Основные задачи по обеспечению информационной безопасности | Степень выполнения |
| обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной; | |
| организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны; | |
| организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной; | |
| предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну; | |
| выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях; | |
| обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне; | |
| обеспечение охраны территории, зданий помещений, с защищаемой информацией. | |
