работа. На сегодняшней день, в связи с развитием Информационных Технологий и компьютеризацией экономики одним из важнейших вопросов в деятельности компании становится обеспечение информационной безопасности (ИБ)
 Скачать 306.16 Kb.
|
|
Оценка информационных активов предприятия
На основании законодательных актов РФ установим список информации, подлежащей защите. К сведениям конфиденциального характера (на основании Указа Президента Российской Федерации от 6 марта 1997 года № 188) относятся: 1. Тайна судопроизводства и следствия; 2. Персональные данные; 3. Служебная, профессиональная и коммерческая тайна; 4. Известия об изобретении (до публикации). Перечень конфиденциальных данных предприятия состоят из нескольких видов закрытых материалов. Разделы о коммерческой тайне и персональных данных присутствуют в данной организации, они составляются по нормам законов № 98-ФЗ и № 152-ФЗ. Сведения профессионального характера внесены в номенклатуру в соответствии с профилем деятельности компании. Доступ к ней ограничен специальными законами. Реестр состоит из двух разделов – коммерческой тайны и информации, доступ к которой ограничен законодательно. Официального утвержденного перечня конфиденциальных сведений в области коммерческой тайны не существует. Компания сама устанавливает к каким материалам следует ограничить доступ третьих лиц. Чаще всего закрывают данные о: - планируемых сделках и контрагентах; - маркетинговых исследованиях, анализы рыночных конъюнктуры; - научно-технических и технологических решениях; - производственных секретах; - механизмах ценообразования; - хозяйственной деятельности; - бухгалтерской отчетности. Информация, доступ к которой ограничивается законом, сюда относятся персональные данные, материалы профессионального характера, налоговая, банковская, адвокатская, нотариальная, врачебная, аудиторская и прочие виды тайн. Чтобы понять, какое значение имеет перечень конфиденциальных сведений компании, необходимо руководствоваться практическими соображениями и требованиями закона. Коммерческая тайна нужна для того, чтобы повысить доходы и сократить расходы, обеспечивать прибыль компании как раз в следствии сокрытия от третьих лиц – из этого следует, что ее необходимо охранять от конкурентов. Ст. 9 закона № 149-ФЗ в п. 2, 4, 9 регламентирует обязательность соблюдения конфиденциальности информации, доступ к которой ограничен законодательно. На предприятии надо составить и оформить перечень конфиденциальных сведений компании и ограничить их распространение. Разрабатываются локальные нормативные акты и проводятся организационные мероприятия, определенные ст. 10 закона № 98-ФЗ: - определяются и систематизируются данные, требующие защиты от неправомерного использования; - устанавливается порядок ограничения доступа, взаимодействия и надзора; - учитываются лица или должности, получившие допуск; - устанавливаются требования к сотрудникам и контрагентам, получившим; допуск в ходе выполнения должностных обязанностей или по соглашению - документы, составляющие коммерческую тайну, грифуются. Список сведений конфиденциального характера компании ООО “Альпина” приведен в таблице 1.3. Таблица 1.3 Перечень сведений конфиденциального характера
Оценив информационные активы компании, необходимо провести их ранжирование, чтобы выявить нарушение информационной безопасности каких активов может нанести ущерб предприятию. В этом случае актив будет считаться ценным, и его необходимо будет учитывать при анализе информационных рисков. Результаты ранжирования активов компании ООО “Альпина” представлены в таблице 1.4. Таблица 1.4 Результаты ранжирования активов
Активы, которые имеют наибольшую ценность: 1. Финансовые показатели компании; 2. Сведения о клиентах и партнерах; 3. Сведения о планах противодействия конкурентам; 4. Сведения о маркетинговых исследованиях; 5. Личные сведения о сотрудниках фирмы; 6. Сведения о системе защиты компании; 7. Сведения об организационно-управленческой деятельности. 1.2.2 Оценка уязвимостей активов Под оценкой уязвимости понимаются процессы, направленные на поиск любых угроз, уязвимых точек и рисков потенциального несанкционированного проникновения злоумышленников в информационную систему. Если присутствуют уязвимости, это негативно сказывается на работе всего предприятия, так как оно становится менее защищенным перед недобросовестными конкурентами, это упрощает работу злоумышленников по нанесению вреда и позволяет третьим лицам получить доступ к конфиденциальным данным. Источник угрозы может быть как случайным, так и преднамеренным. Угрозы могут иметь несколько источников, поэтому очень важно своевременно их классифицировать и создать схему их анализа. Это поможет охватить наибольшее количество потенциальных уязвимостей в бизнес-процессах предприятия. В информационной безопасности важно следовать четырем принципам: конфиденциальность, целостность, достоверность, доступность. Если мы хотим провести качественный анализ уязвимостей информационной структуры, необходимо распознавать виды угроз, которые могут возникнут в системе предприятия. Такие угрозы можно разделить на отдельные классы. 1 класс. Потенциальный источник угроз, который может находится: - непосредственно в самой информационной системе (ИС); - в пределах видимости ИС (например, устройства для несанкционированной звукозаписи); - вне зоны видимости ИС (перехват данных в процессе их отправки). 2 класс. Воздействие на ИС, которое может нести: - активную угрозу (троян, вирус); - пассивную угрозу (копирование конфиденциальной информации). 3 класс. Метод обеспечения доступа, который может быть реализован: - напрямую (кража паролей); - посредством нестандартных каналов связи (например, уязвимости операционной системы). Можно выделить конкретные угрозы информационной безопасности для любого предприятия: это вредоносное программное обеспечение; мошенники-хакеры; инсайдеры-работники, действующие со злыми намерениями или по неосторожности, природные явления. Чтобы оценить вероятность наступления угрозы, специалистами применяется качественная шкала, которая состоит из трех уровней: Уровень 1 – Н (“низкая вероятность”). Минимальная вероятность появления. У такой угрозы нет предпосылок (прошлых инцидентов, мотивов) для того, чтобы она была осуществлена. Угрозы этого уровня возникаю не чаще, чем один раз в 5-10 лет. Уровень 2 – С (“средняя вероятность”). У данной угрозы вероятность возникновения чуть выше, чем у предыдущей, потому что в прошлом, к примеру, уже были подобные случаи или известно, что атакующая сторона имеет планы по реализации такой угрозы. Угрозы этого уровня приводят к реальным инцидентам примерно раз в год. Уровень 3 – В (“высокая вероятность”). Имеет высокие шансы на исполнение. В подтверждение тому – статистика, наличие подобных инцидентов в прошлом, серьезная мотивация со стороны злоумышленников. Вероятная частота угроз данного уровня – раз в неделю или чаще. Результаты оценивания уязвимости активов ООО “Альпина” представлены в таблице 1.5. Таблица 1.5 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||