Данный пункт должен включать

а) обоснование выбора методики оценки риска;

б) описание проведения процедуры оценки рисков, с указанием:

· должностных лиц, участвующих в оценке;

· способов (форм) представления исходной информации;

· способов (форм) представления результатов оценки рисков

в) результаты проведения оценки риска, проведенные с учетом ценности информационных активов (п.1.2.1.), наличия уязвимостей (п.1.2.2.), степени угроз (п.1.2.3) и состояния действующей в организации системы защиты информации (п.1.2.4.).

г) определить (при наличии) приемлемые риски, обосновать данное решение.

Результаты проведения оценки целесообразно свести в таблицу, которая должна содержать риски наиболее ценным информационным активам, ранжированные в порядке убывания.

Таблица 10

Результаты оценки рисков информационным активам организации

Риск Актив Ранг риска
     
     
     

Следует обратить особое внимание на то, что именно результаты оценки рисков являются основанием для:

· выбора и формулировки задач по обеспечению информационной безопасности предприятия (п.1.3.);

· выбора защитных мер (п.1.4.);

Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии.

1.3.1. Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих рисков, характеристика существующих средств информационной безопасности.

Кроме общих угроз информационной безопасности специфика деятельности предприятия накладывает и специфические угрозы. Отсюда, при общем анализе возможных угроз предприятию необходимо провести глубокий анализ специфических рисков (например, в финансово-экономической сфере, в сфере государственной на режимном предприятии и т.д.). Следует выбрать те основные задачи или совокупность задач, для которых будет в дальнейшем разрабатываться дипломный проект и провести обоснование, используя для этого информацию из п.1.2.

1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.

В этом разделе необходимо кратко специфицировать комплекс задач, подлежащих дальнейшему решению. Необходимо отразить причину сделанного выбора и место задачи в комплексе задач.

При описании целесообразно выделить:

· границы рассматриваемой задачи (от какого состояния до какого трансформируется объект);

· взаимосвязи с другими задачами и комплексами задач предприятия;

· важность задачи в целом для предприятия;

· задействованных в решении специалистов;

· основные определения и понятия, свойственные рассматриваемой области;

· описание перечня результатных показателей, рассчитываемых на базе использования совокупности исходных показателей в процессе выполнения этих функций;

· указать на особенности методов расчета показателей;

· указать исполнителей этапов и регламенты их исполнения.

Данный пункт призван описать внешнее окружение задачи и ее внутреннее содержание. Описание задачи должны быть выполнено в виде единого связного текста и может сопровождаться диаграммами и обобщающими таблицами или разъясняющими схемами.

Выбор защитных мер

Выбор защитных мер должен всегда включать в себя комбинацию организационных (нетехнических) и технических мер защиты. В качестве организационных рассматриваются меры, обеспечивающие физическую, персональную и административную безопасность.

1.4.1. Выбор организационных мер.

Защитные меры для физической безопасности включают в себя обеспечение прочности внутренних стен зданий, использование кодовых дверных замков, систем пожаротушения и охранных служб. Обеспечение безопасности персонала включает в себя проверку лиц при приеме на работу (особенно лиц, нанимающихся на важные с точки зрения обеспечения безопасности должности), контроль за работой персонала и реализацию программ знания и понимания мер защиты.

Административная безопасностьвключает в себя безопасные способы ведения документации, наличие методов разработки и принятия прикладных программ, а также процедур обработки инцидентов в случаях нарушения систем безопасности.

При таком способе обеспечения безопасности очень важно, чтобы для каждой системы была разработана система ведения деловой деятельности организации, предусматривающая в том числе возможность появления непредвиденных обстоятельств (ликвидацию последствий нарушения систем безопасности) и включающая в себя соответствующую стратегию и план (планы).

Можно предложить три стратегии обеспечения информационной безопасности, представленные в таблице 11.

Выбор оборонительной стратегии означает, что если исключить вмешательство в процесс функционирования информационной системы, то можно нейтрализовать лишь наиболее опасные угрозы. Обычно это достигается построением «защитной оболочки», включающей разработку дополнительных организационных мер, создание программных средств допуска к ресурсам информационной системы в целом, использованию технических средств контроля помещений, в которых расположено терминальное и серверное оборудование.

Таблица 11

Учитываемые угрозы Влияние на информационные системы
отсутствует частичное существенное
Наиболее опасные Оборонительная стратегия    
Все идентифицированные угрозы   Наступательная стратегия  
Все потенциально возможные     Упреждающая стратегия

Наступательная стратегия предусматривает активное противодействие известным угрозам, влияющим на информационную безопасность системы. Наступательная стратегия может включать установку дополнительных программно-аппаратных средств аутентификации пользователей, внедрение более совершенных технологий разгрузки и восстановления данных, повышение доступности системы с использованием горячего и холодного резервирования.

Упреждающая стратегия предполагает тщательное исследование возможных угроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. Важной частью упреждающей стратегии является оперативный анализ информации центров изучения проблем информационной безопасности, изучение отечественного и мирового передового опыта, проведение независимого аудита уровня обеспечения безопасности информационных ресурсов организации.

План должен содержать подробные сведения о важнейших функциях и приоритетах, подлежащих восстановлению, необходимых условиях обработки информации и способах организации, которые необходимо осуществлять в случае аварии или временного прекращения работы системы.

К числу разрабатываемых планов можно отнести:

· положение о пропускном режиме предприятия;

· регламент защищенного (конфиденциального) документооборота

· порядок реагирования на инциденты

Пункт должен содержать:

а) обоснование и выбор стратегии обеспечения информационной безопасности

б) обоснование и выбор необходимых документов, регламентирующих проведение мероприятий по решению задач, определенных в п.1.3.2.

1.4.2. Выбор инженерно-технических мер.

При выборе инженерно-технических мер желательно дать краткое описание и провести анализ таких разработок, указав основные характеристики и функциональные возможности.

Обзор рынка средств рекомендуется проводить с помощью Internet. Адреса используемых при обзоре ресурсов следует добавить в список литературы дипломного проекта.

Затем следует отметить, чем, с точки зрения решаемой задачи, должно и будет отличаться выбранное техническое решение от существующих. Кроме того, необходимо провести обоснование выбора инженерно-технических мер, с точки зрения способа реализации, а именно:

а) создание;

б) доработка

в) модернизация.

При анализе рынка целесообразно руководствоваться следующим планом:

· выявить и обосновать требуемые классы средств обеспечения информационной безопасности и защиты информации;

· выявить критерии анализа, помимо функциональных возможностей;

· провести сбор информации по существующим технологиям;

· составить сводную таблицу по найденным разработкам в сравнении с планируемым решением;

· написать вывод, исходя из анализа.

Наши рекомендации