Aktiva organizace jako klíčové rizikové faktory. Analýza bezpečnosti podnikových informací

Problematika praktické aplikace analýzy rizik v procesech řízení bezpečnosti informací i obecné otázky samotného procesu analýzy rizik bezpečnosti informací.

V procesu řízení jakékoli oblasti činnosti je nutné vyvinout vědomá a efektivní rozhodnutí, jejichž přijetí pomáhá dosáhnout určitých cílů. Adekvátní rozhodnutí lze podle našeho názoru učinit pouze na základě faktů a analýzy vztahů příčiny a následku. Samozřejmě, že v řadě případů jsou rozhodnutí přijímána na intuitivní úrovni, ale kvalita intuitivního rozhodnutí velmi závisí na zkušenostech manažera a v menší míře na úspěšné kombinaci okolností.

Abychom ilustrovali, jak složitý je proces fundovaného a realistického rozhodnutí, uvedeme příklad z oblasti řízení informační bezpečnosti (IS). Vezměme si typickou situaci: vedoucí oddělení informační bezpečnosti musí pochopit, kterými směry se ubírat, aby mohl efektivně rozvíjet svou hlavní funkci – zajištění informační bezpečnosti organizace. Na jednu stranu je vše velmi jednoduché. Existuje řada standardních přístupů k řešení bezpečnostních problémů: ochrana perimetrů, ochrana před zasvěcenými osobami, ochrana před okolnostmi vyšší moci. A existuje mnoho produktů, které vám umožní vyřešit ten či onen problém (chránit se před tou či onou hrozbou).

Je tu však malé „ale“. Specialisté oddělení informační bezpečnosti se potýkají se skutečností, že výběr produktů různých tříd je velmi široký, informační infrastruktura organizace je velmi rozsáhlá, počet potenciálních cílů útoků narušitelů je velký a aktivity oddělení organizace jsou heterogenní a nelze je sjednotit. Zároveň má každý specialista oddělení svůj názor na prioritu oblastí činnosti odpovídající jeho specializaci a osobním prioritám. A z implementace jednoho technického řešení nebo vypracování jednoho předpisu či pokynu ve velké organizaci vznikne malý projekt se všemi atributy projektové činnosti: plánování, rozpočet, odpovědní pracovníci, termíny atd.

Chránit se tedy všude a před vším za prvé není fyzicky možné a za druhé to nedává smysl. Co může v tomto případě dělat vedoucí oddělení informační bezpečnosti?

Za prvé, do prvního velkého incidentu nesmí nic dělat. Za druhé, pokuste se zavést nějaký obecně uznávaný standard bezpečnosti informací. Zatřetí důvěřujte marketingovým materiálům výrobců softwaru a hardwaru a integrátorům či konzultantům v oblasti informační bezpečnosti. Existuje však i jiný způsob.

Definování cílů řízení bezpečnosti informací

Můžete se pokusit – s pomocí vedení a zaměstnanců organizace – pochopit, co je vlastně potřeba chránit a před kým. Od tohoto okamžiku začínají na průsečíku technologie a hlavního podnikání konkrétní činnosti, které spočívají v určení směru činnosti a (pokud je to možné) cílového stavu podpory informační bezpečnosti, který bude formulován současně v obchodních podmínkách a v podmínkách informační bezpečnost.

Proces analýzy rizik je nástroj, pomocí kterého můžete určit cíle řízení bezpečnosti informací, posoudit hlavní kritické faktory, které negativně ovlivňují klíčové podnikové procesy společnosti, a vyvinout informovaná, efektivní a oprávněná řešení k jejich kontrole nebo minimalizaci.

Níže popíšeme, jaké úkoly se řeší v rámci analýzy rizik informační bezpečnosti pro získání uvedených výsledků a jak je těchto výsledků v rámci analýzy rizik dosaženo.

Identifikace a oceňování majetku

Cílem řízení bezpečnosti informací je zachovat důvěrnost, integritu a dostupnost informací. Jedinou otázkou je, jaký druh informací je třeba chránit a jaké úsilí je třeba vyvinout pro zajištění jejich bezpečnosti (obr. 1).

Jakékoli řízení je založeno na uvědomění si situace, ve které se vyskytuje. Z hlediska analýzy rizik je informovanost o situaci vyjádřena inventarizací a hodnocením majetku organizace a jejího prostředí, tedy všeho, co zajišťuje výkon podnikatelské činnosti. Z hlediska analýzy rizik informační bezpečnosti patří mezi hlavní aktiva informace, infrastruktura, personál, image a reputace společnosti. Bez inventarizace majetku na úrovni podnikatelské činnosti nelze odpovědět na otázku, co přesně je potřeba chránit. Je důležité porozumět tomu, jaké informace se v rámci organizace zpracovávají a kde se zpracovávají.

Ve velké moderní organizaci může být počet informačních aktiv velmi velký. Pokud jsou činnosti organizace automatizovány pomocí ERP systému, pak můžeme říci, že téměř jakýkoli hmotný objekt použitý v této činnosti odpovídá nějakému druhu informačního objektu. Prvořadým úkolem řízení rizik je proto identifikovat nejvýznamnější aktiva.

Není možné tento problém vyřešit bez zapojení manažerů hlavní činnosti organizace, a to jak střední, tak vyšší úrovně. Optimální je situace, kdy vrcholový management organizace osobně stanoví nejkritičtější oblasti činnosti, pro které je mimořádně důležité zajistit informační bezpečnost. Názor vrcholového vedení na priority při zajišťování bezpečnosti informací je velmi důležitý a cenný v procesu analýzy rizik, ale v každém případě by měl být vyjasněn sběrem informací o kritičnosti aktiv na průměrné úrovni řízení společnosti. Zároveň je vhodné provádět další analýzy právě v oblastech podnikatelské činnosti určených vrcholovým managementem. Přijaté informace jsou zpracovávány, agregovány a předávány vrcholovému vedení pro komplexní posouzení situace (ale o tom později).

Informace lze identifikovat a lokalizovat na základě popisu obchodních procesů, ve kterých jsou informace považovány za jeden z typů zdrojů. Úkol je poněkud zjednodušen, pokud organizace přijala přístup k regulaci obchodních aktivit (například pro účely řízení kvality a optimalizace podnikových procesů). Formalizované popisy obchodních procesů jsou dobrým výchozím bodem pro inventarizaci majetku. Pokud nejsou žádné popisy, můžete majetek identifikovat na základě informací získaných od zaměstnanců organizace. Jakmile jsou aktiva identifikována, musí být stanovena jejich hodnota.

Práce na stanovení hodnoty informačních aktiv v celé organizaci je nejdůležitější a zároveň nejsložitější. Právě posuzování informačních aktiv umožní vedoucímu odboru informační bezpečnosti vybrat si hlavní oblasti činnosti k zajištění informační bezpečnosti.

Hodnota aktiva je vyjádřena výší ztrát, které organizaci utrpí v případě narušení bezpečnosti aktiva. Stanovení hodnoty je problematické, protože ve většině případů nemohou organizační manažeři okamžitě odpovědět na otázku, co by se stalo, kdyby například informace o nákupních cenách uložená na souborovém serveru odešla ke konkurenci. Nebo spíše, ve většině případů organizační manažeři o takových situacích nikdy nepřemýšleli.

Ekonomická efektivita procesu řízení bezpečnosti informací však do značné míry závisí na povědomí o tom, co je třeba chránit a jaké úsilí to bude vyžadovat, protože ve většině případů je vynaložené úsilí přímo úměrné množství vynaložených peněz a provozních nákladů. Řízení rizik vám umožňuje odpovědět na otázku, kde můžete riskovat a kde ne. V případě informační bezpečnosti pojem „riziko“ znamená, že v určité oblasti je možné nevyvíjet významné úsilí na ochranu informačního majetku a zároveň v případě narušení bezpečnosti organizace neutrpí značné ztráty. Zde můžeme nakreslit analogii s třídami ochrany automatizovaných systémů: čím významnější jsou rizika, tím přísnější by měly být požadavky na ochranu.

Chcete-li určit důsledky narušení zabezpečení, musíte mít buď informace o zaznamenaných incidentech podobné povahy, nebo provést analýzu scénáře. Analýza scénářů zkoumá vztahy příčin a následků mezi událostmi zabezpečení aktiv a důsledky těchto událostí na obchodní aktivity organizace. Důsledky scénářů by mělo být hodnoceno několika lidmi, iterativně nebo záměrně. Je třeba poznamenat, že vývoj a hodnocení takových scénářů nelze zcela oddělit od reality. Vždy si musíte pamatovat, že scénář musí být pravděpodobný. Kritéria a měřítka pro stanovení hodnoty jsou pro každou organizaci individuální. Na základě výsledků analýzy scénářů lze získat informace o hodnotě aktiv.

Pokud jsou identifikována aktiva a stanovena jejich hodnota, lze říci, že cíle poskytování informační bezpečnosti jsou stanoveny částečně: jsou určeny předměty ochrany a význam jejich udržování ve stavu informační bezpečnosti pro organizaci. Zbývá snad jen určit, před kým je potřeba být chráněn.

Analýza zdrojů problémů

Po stanovení cílů správy bezpečnosti informací byste měli analyzovat problémy, které vám brání přiblížit se k cílovému stavu. Na této úrovni proces analýzy rizik sestupuje k informační infrastruktuře a tradičním konceptům informační bezpečnosti – vetřelci, hrozby a zranitelnosti (obr. 2).

Model vetřelce

Pro posouzení rizik nestačí zavést standardní model narušitele, který rozděluje všechny porušovatele podle typu přístupu k aktivu a znalosti struktury aktiv. Toto rozdělení pomáhá určit, jaké hrozby mohou být namířeny proti aktivu, ale neodpovídá na otázku, zda lze tyto hrozby v zásadě realizovat.

V procesu analýzy rizik je nutné posoudit motivaci narušitelů při implementaci hrozeb. Narušitelem v tomto případě není abstraktní externí hacker nebo insider, ale strana, která má zájem získat výhody porušením zabezpečení aktiva.

Prvotní informace o modelu pachatele je vhodné získat, stejně jako v případě volby počátečních směrů činností informační bezpečnosti, od vrcholového managementu, který rozumí postavení organizace na trhu, má informace o konkurenci a o tom, jaké metody ovlivňování mohou být se od nich očekává. Informace potřebné k vytvoření modelu narušitele lze také získat ze specializovaného výzkumu narušení počítačové bezpečnosti v obchodní oblasti, pro kterou se provádí analýza rizik. Správně vyvinutý model vetřelce doplňuje cíle informační bezpečnosti stanovené při posuzování aktiv organizace.

Model ohrožení

Vývoj modelu hrozeb a identifikace zranitelnosti jsou neoddělitelně spojeny s inventarizací prostředí informačních aktiv organizace. Informace samotné se neukládají ani nezpracovávají. Přístup k němu je poskytován pomocí informační infrastruktury, která automatizuje obchodní procesy organizace. Je důležité pochopit, jak spolu souvisí informační infrastruktura organizace a informační aktiva. Z hlediska řízení bezpečnosti informací lze význam informační infrastruktury stanovit až po stanovení vztahu mezi informačními aktivy a infrastrukturou. Pokud jsou procesy údržby a provozování informační infrastruktury v organizaci regulované a transparentní, shromažďování informací nezbytných k identifikaci hrozeb a posouzení zranitelnosti se výrazně zjednoduší.

Vývoj modelu hrozeb je úkolem pro odborníky na informační bezpečnost, kteří dobře chápou, jak může útočník získat neoprávněný přístup k informacím narušením bezpečnostního perimetru nebo pomocí metod sociálního inženýrství. Při vývoji modelu hrozeb lze také hovořit o scénářích jako o postupných krocích, podle kterých lze hrozby realizovat. Velmi zřídka se stává, že jsou hrozby implementovány v jednom kroku využitím jediného zranitelného bodu v systému.

Model hrozeb by měl zahrnovat všechny hrozby identifikované prostřednictvím souvisejících procesů řízení bezpečnosti informací, jako je řízení zranitelnosti a incidentů. Je třeba pamatovat na to, že hrozby bude nutné vzájemně seřadit podle úrovně pravděpodobnosti jejich implementace. K tomu je v procesu vývoje modelu hrozby pro každou hrozbu nutné označit nejvýznamnější faktory, jejichž existence ovlivňuje její implementaci.

Identifikace zranitelnosti

Po vytvoření modelu hrozeb je tedy nutné identifikovat zranitelná místa v prostředí aktiv. Identifikaci a posouzení zranitelnosti lze provést v rámci jiného procesu řízení bezpečnosti informací – auditu. Zde bychom neměli zapomínat, že pro provedení auditu bezpečnosti informací je nutné vypracovat ověřovací kritéria. A ověřovací kritéria lze vyvinout na základě modelu hrozby a modelu vetřelce.

Na základě výsledků vývoje modelu hrozeb, modelu vetřelce a identifikace zranitelnosti lze říci, že byly identifikovány důvody, které ovlivňují dosažení cílového stavu informační bezpečnosti organizace.

Odhad rizika

Identifikujte a vyhodnoťte aktiva, vytvořte model protivníka a model hrozeb a identifikujte zranitelná místa – to vše jsou standardní kroky, které by měly být popsány v jakékoli metodice analýzy rizik. Všechny výše uvedené kroky lze provádět s různou úrovní kvality a detailů. Je velmi důležité pochopit, co a jak lze dělat s obrovským množstvím nashromážděných informací a formalizovaných modelů. Tato otázka je podle našeho názoru nejdůležitější a odpověď na ni by měla dát použitá metodika analýzy rizik.

Získané výsledky je třeba vyhodnotit, agregovat, klasifikovat a zobrazit. Vzhledem k tomu, že škoda je stanovena ve fázi identifikace a posouzení majetku, je nutné odhadnout pravděpodobnost rizikových událostí. Stejně jako v případě hodnocení aktiv lze hodnocení pravděpodobnosti získat na základě statistik o incidentech, jejichž příčiny se shodují s uvažovanými hrozbami informační bezpečnosti, nebo předpovědní metodou - na základě vážení faktorů odpovídajících vyvinutému modelu hrozby.

Osvědčeným postupem pro hodnocení pravděpodobnosti by bylo klasifikovat zranitelná místa podle vybraného souboru faktorů, které charakterizují snadnost zneužití zranitelnosti. Předpovídání pravděpodobnosti hrozeb se provádí na základě vlastností zranitelnosti a skupin pachatelů, od kterých hrozby pocházejí.

Příkladem systému klasifikace zranitelnosti je standard CVSS – společný systém hodnocení zranitelnosti. Je třeba poznamenat, že v procesu identifikace a hodnocení zranitelností jsou velmi důležité odborné zkušenosti specialistů na informační bezpečnost provádějících hodnocení rizik a používané statistické materiály a zprávy o zranitelnostech a hrozbách v oblasti informační bezpečnosti.

Velikost (úroveň) rizika by měla být určena pro všechny identifikované a odpovídající soubory aktiv a hrozeb. Výše škody a pravděpodobnost přitom nemusí být vyjádřena v absolutních peněžních jednotkách a procentech; Navíc zpravidla není možné výsledky v této podobě prezentovat. Důvodem jsou metody používané k analýze a hodnocení rizik informační bezpečnosti: analýza scénářů a prognózování.

Rozhodování

Co můžete udělat s výsledkem hodnocení?

Nejprve byste měli vypracovat jednoduchou a vizuální zprávu o analýze rizik, jejímž hlavním účelem bude prezentovat shromážděné informace o významu a struktuře rizik informační bezpečnosti v organizaci. Zpráva by měla být předložena vrcholovému vedení organizace. Častou chybou je předkládání průběžných výsledků vrcholovému vedení namísto závěrů. Všechny závěry musí být nepochybně podloženy argumenty – ke zprávě musí být připojeny všechny mezivýpočty.

Pro srozumitelnost zprávy musí být rizika klasifikována v obchodních termínech známých organizaci a podobná rizika musí být agregována. Obecně může být klasifikace rizik mnohostranná. Na jedné straně hovoříme o rizicích informační bezpečnosti, na druhé o rizicích poškození dobrého jména nebo ztráty klienta. Klasifikovaná rizika je nutné seřadit podle pravděpodobnosti jejich výskytu a významu pro organizaci.

Zpráva o analýze rizik odráží následující informace:

• nejproblematičtější oblasti zajišťování informační bezpečnosti v organizaci;
• dopad hrozeb informační bezpečnosti na celkovou strukturu rizik organizace;
• prioritní oblasti činnosti útvaru informační bezpečnosti ke zefektivnění podpory informační bezpečnosti.

Na základě zprávy o analýze rizik může vedoucí oddělení informační bezpečnosti vypracovat střednědobý plán práce oddělení a stanovit rozpočet podle povahy činností nezbytných ke snížení rizik. Všimněte si, že správně sestavená zpráva o analýze rizik umožňuje vedoucímu oddělení informační bezpečnosti najít společný jazyk s nejvyšším vedením organizace a vyřešit naléhavé problémy související s řízením informační bezpečnosti (obr. 3).

Politika léčby rizik

Velmi důležitou otázkou je politika řízení rizik organizace. Politika stanoví pravidla pro zacházení s riziky. Zásady mohou například říkat, že nejprve by měla být zmírněna reputační rizika, zatímco zmírnění rizik středního významu, která nejsou potvrzena incidenty zabezpečení informací, je odloženo na konec fronty. Zásady řízení rizik může určit útvar řízení rizik společnosti.

Politika ošetření rizik může vysvětlit problematiku pojištění rizik a restrukturalizaci činností v případě, že potenciální rizika překročí přijatelnou míru. Pokud politika není definována, pak by posloupnost snižování rizik měla být založena na principu maximální účinnosti, ale stále by ji mělo určovat vrcholové vedení.

Pojďme si to shrnout

Analýza rizik je poměrně pracný postup. V procesu analýzy rizik by měly být použity metodické materiály a nástroje. To však nestačí k úspěšné implementaci opakovatelného procesu; Další důležitou součástí jsou předpisy pro řízení rizik. Může být soběstačný a řešit pouze rizika informační bezpečnosti, nebo může být integrován s celkovým procesem řízení rizik v organizaci.

Proces analýzy rizik zahrnuje mnoho strukturálních divizí organizace: divize vedoucí hlavní směry její činnosti, divizi řízení informační infrastruktury a divizi řízení bezpečnosti informací. K úspěšnému provedení analýzy rizik a efektivnímu využití jejích výsledků je navíc nutné zapojit vrcholové vedení organizace, a tím zajistit interakci mezi strukturálními divizemi.

Samotné techniky analýzy rizik nebo specializované nástroje pro hodnocení rizik informační bezpečnosti nestačí. Jsou vyžadovány postupy pro identifikaci aktiv, určení významnosti aktiv, vývoj modelů narušitelů a hrozeb, identifikaci zranitelných míst a agregaci a klasifikaci rizik. V různých organizacích se mohou všechny uvedené postupy výrazně lišit. Cíle a rozsah analýzy rizik informační bezpečnosti ovlivňují také požadavky na procesy spojené s analýzou rizik.

Využití metody analýzy rizik pro řízení bezpečnosti informací vyžaduje, aby organizace měla dostatečnou úroveň vyspělosti, na které bude možné implementovat všechny procesy potřebné v rámci analýzy rizik.

Řízení rizik umožňuje strukturovat činnost oddělení informační bezpečnosti, najít společnou řeč s vrcholovým vedením organizace, vyhodnocovat efektivitu oddělení informační bezpečnosti a zdůvodňovat rozhodnutí o volbě konkrétních technických a organizačních ochranných opatření vrcholovému managementu. .

Proces analýzy rizik je nepřetržitý, protože nejvyšší cíle informační bezpečnosti mohou zůstat po dlouhou dobu nezměněny, ale neustále se mění informační infrastruktura, metody zpracování informací a rizika spojená s používáním IT.

Oddělení bezpečnosti informací a organizace jako celek při strukturování svých činností prostřednictvím průběžné analýzy rizik získávají tyto velmi významné výhody:

• identifikace cílů řízení;
• stanovení metod řízení;
• účinnost řízení založená na přijímání informovaných a včasných rozhodnutí.

V souvislosti s řízením rizik a řízením bezpečnosti informací je třeba poznamenat ještě několik bodů.

Analýza rizik, řízení incidentů a audit bezpečnosti informací jsou neoddělitelně propojeny, protože vstupy a výstupy uvedených procesů jsou propojeny. Vývoj a implementace procesu řízení rizik musí být prováděny s ohledem na řízení incidentů a audity IS.

Zavedený proces analýzy rizik je povinným požadavkem standardu STO-BR IBBS-1.0-2006 pro zajištění bezpečnosti informací v bankovním sektoru.

Nastavení procesu analýzy rizik je pro organizaci nezbytné, pokud se rozhodla podstoupit certifikaci pro shodu s požadavky mezinárodní normy ISO/IEC 27001:2005.

Zavedení režimu ochrany obchodního tajemství a osobních údajů je neoddělitelně spojeno s analýzou rizik, protože všechny tyto procesy používají podobné metody pro identifikaci a hodnocení majetku, vývoj modelu narušitele a modelu ohrožení.

Cílem řízení bezpečnosti informací je zachovat důvěrnost, integritu a dostupnost informací. Jedinou otázkou je, jaký druh informací je třeba chránit a jaké úsilí je třeba vyvinout pro zajištění jejich bezpečnosti (obr. 5).

Rýže. 5. Vzájemný vztah řídících a ochranných procesů v organizaci

Jakékoli řízení je založeno na uvědomění si situace, ve které se vyskytuje. Z hlediska analýzy rizik je informovanost o situaci vyjádřena inventarizací a hodnocením majetku organizace a jejího prostředí, tedy všeho, co zajišťuje výkon podnikatelské činnosti. Z hlediska analýzy rizik informační bezpečnosti patří mezi hlavní aktiva informace, infrastruktura, personál, image a reputace společnosti. Bez inventarizace majetku na úrovni podnikatelské činnosti nelze odpovědět na otázku, co přesně je potřeba chránit. Je velmi důležité porozumět tomu, jaké informace se v organizaci zpracovávají a kde se zpracovávají.

Ve velké moderní organizaci musí být počet informačních aktiv velmi velký. Pokud jsou činnosti organizace automatizovány pomocí ERP systému, pak můžeme říci, že téměř jakýkoli hmotný objekt použitý v této činnosti odpovídá nějakému druhu informačního objektu. Prvořadým úkolem řízení rizik je proto identifikovat nejvýznamnější aktiva.

Není možné tento problém vyřešit bez zapojení manažerů hlavní činnosti organizace, a to jak střední, tak vyšší úrovně. Optimální je situace, kdy vrcholový management organizace osobně stanoví nejkritičtější oblasti činnosti, pro které je mimořádně důležité zajistit informační bezpečnost. Názor vrcholového vedení na priority při zajišťování bezpečnosti informací je velmi důležitý a cenný v procesu analýzy rizik, ale v každém případě by měl být vyjasněn sběrem informací o kritičnosti aktiv na průměrné úrovni řízení společnosti. Zároveň je vhodné provádět další analýzy právě v oblastech podnikatelské činnosti určených vrcholovým managementem. Přijaté informace jsou zpracovávány, agregovány a předávány vrcholovému vedení pro komplexní posouzení situace (ale o tom později).

Informace lze identifikovat a lokalizovat na základě popisu obchodních procesů, ve kterých jsou informace vnímány jako jeden z typů zdrojů. Úkol je poněkud zjednodušen, pokud organizace přijala přístup k regulaci obchodních aktivit (například pro účely řízení kvality a optimalizace podnikových procesů). Formalizované popisy obchodních procesů jsou dobrým výchozím bodem pro inventarizaci majetku. Pokud nejsou žádné popisy, můžete majetek identifikovat na základě informací získaných od zaměstnanců organizace. Jakmile jsou aktiva identifikována, musí být stanovena jejich hodnota.

Odeslat svou dobrou práci do znalostní báze je jednoduché. Použijte níže uvedený formulář

Studenti, postgraduální studenti, mladí vědci, kteří využívají znalostní základnu ve svém studiu a práci, vám budou velmi vděční.

Vloženo na http://www.allbest.ru/

Úvod

1. Analytická část

1.1.1 Obecná charakteristika předmětné oblasti

1.1.2 Organizační a funkční struktura podniku

1.2 Analýza rizik informační bezpečnosti

1.2.2 Posouzení zranitelnosti aktiv

1.2.3 Posouzení ohrožení majetku

2. Návrhová část

2.1 Soubor organizačních opatření k zajištění informační bezpečnosti a ochrany podnikových informací

2.1.1 Tuzemský a mezinárodní regulační rámec pro vytvoření systému pro zajištění bezpečnosti informací a ochranu podnikových informací

Úvod

Informační bezpečnost je spojena s celou vrstvou problémů, které před našima očima již několik let plynule přecházejí z oblasti specifické pro IT trh do oblasti univerzální až civilizační. Zjednodušeně lze říci, že informační bezpečnost má tři hlavní úkoly: zajistit integritu dat (neupravitelnost), jejich důvěrnost (neprozrazení) a dostupnost. Budou všechny problémy informační bezpečnosti vyřešeny, pokud budou splněny tyto tři úkoly? Bohužel ne. Existuje odvěký problém hledání kompromisu mezi použitelností a bezpečností. S nutností a oprávněností použití určitých prostředků ochrany souvisí legislativní otázky. Problémy ovladatelnosti informační bezpečnosti jsou ve středních a velkých podnicích, kde „jednoduché“ použití moderních bezpečnostních nástrojů nepřináší kvalitativní změny, dokud není promyšlena politika informační bezpečnosti a vybudován komplexní systém řízení. Tam je nakonec hlavní příčina všech problémů – lidé, jejich vědomí nutnosti dodržovat určitá pravidla interakce informací.

Účelem této předdiplomové stáže je studium aspektů informační bezpečnosti v podniku FACILICOM LLC.

Stanovený cíl předurčil formulaci a řešení řady vzájemně souvisejících úkolů:

· studie předmětné oblasti a identifikace nedostatků ve stávajícím systému zajištění bezpečnosti informací a ochrany informací na příkladu organizace FACILICOM LLC

· vývoj úkolového prohlášení pro automatizaci ochrany osobních údajů a obchodních informací, jakož i analýzy rizik v podniku FACILICOM LLC

· zdůvodnění volby základních konstrukčních řešení;

· vývoj automatizace podpůrných subsystémů pro ochranu a šifrování dat;

· zdůvodnění ekonomické efektivnosti projektu.

Tato práce se skládá ze tří částí.

První část reflektuje analytickou část projektu, která představuje technické a ekonomické charakteristiky společnosti FACILICOM LLC a stávající proces analýzy rizik a ochrany osobních údajů a obchodních informací společnosti; charakterizace souboru problémů vyžadujících řešení a zdůvodnění potřeby automatizace popsaného procesu ve společnosti FACILICOM LLC; analýza stávajícího vývoje, zdůvodnění návrhových rozhodnutí a volba strategie pro analýzu rizik společnosti FACILICOM LLC a ochranu informací.

Druhá část práce obsahuje přímo projektovou část, kterou tvoří vývoj projektu automatizace informační bezpečnosti a analýzy rizik společnosti Fasilikom LLC, informace a software pro automatizaci popsaného procesu a dále popis testovacího příkladu realizace projektu.

A konečně třetí částí práce je zdůvodnění ekonomické efektivity projektu, kde je popsána volba metod výpočtu a dále je uveden matematický výpočet ukazatelů ekonomické efektivity ochrany informací a analýzy rizik společnosti FACILICOM LLC.

1. Analytická část

1.1 Technicko-ekonomická charakteristika předmětu a podniku (Stanovení hranic úvahy)

1.1.1 Obecná charakteristika předmětné oblasti

FACILICOM Group of Companies působí na ruském trhu od roku 1994. Za 20 let činnosti jsme zaujali přední místo v poskytování profesionálních služeb pro správu a údržbu různých nemovitostí. Ve správě je více než 30 milionů m2. Servisní zařízení se nacházejí ve více než 300 osadách v různých regionech Ruska a také ve velkých městech v Bělorusku a na Ukrajině. Široké geografické pokrytí spolu s rozsáhlými zkušenostmi, moderní technickou a zdrojovou základnou a velkým množstvím vlastních vývojů umožňují společnosti FACILICOM převzít správu objektů libovolné lokality a rozsahu.

Základem naší práce je servisní přístup: budování dlouhodobých partnerství s klientem, podpora a řešení všech problémů, které se vyskytnou v průběhu celého životního cyklu spolupráce. To je přístup, který dnes zákazníci očekávají od lídrů na trhu, a my máme dobrou pozici, abychom tato očekávání splnili.

„Hodnotou, kterou poskytujeme našim klientům, je schopnost soustředit se na hlavní obchodní úkol bez plýtvání zdroji na pomocné procesy“

Široká škála služeb společnosti nám umožňuje poskytovat potřebné služby společnostem jakékoli velikosti: od začínajících, středních a malých podniků až po federální struktury. Klienty společnosti FACILICOM jsou společnosti z různých průmyslových odvětví a sektorů ekonomiky, včetně:

· Vládní sektor

Telekomunikační společnosti

· Finanční sektor

· Výroba

· Doprava a logistika

Také Alfa-Bank, která Společnosti svěřila nemovitosti své federální sítě, která se nachází ve více než 75 regionech.

Společnost zaměstnává více než 350 inženýrů, 300 konzultantů a 200 analytiků. Vysokou kvalifikaci specialistů potvrzuje více než 1400 certifikátů, včetně těch jedinečných pro Rusko. Realizujeme realitní projekty jakéhokoli rozsahu.

Společnost FACILICOM nabízí různá schémata obsluhy objektů, což umožňuje každému Klientovi vybrat si optimální variantu spolupráce, která nejlépe odpovídá jeho aktuálním potřebám a možnostem. Veškeré práce provádějí především divize naší společnosti, což zajišťuje vysokou kvalitu služeb a dodržování jednotných standardů ve všech provozovnách bez ohledu na jejich umístění.

Automatizovaný řídicí systém a neustálá implementace inovativních řešení umožňují společnosti FACILICOM dosahovat lepších výsledků, které splňují mezinárodní standardy. Software FACILICOM-24, vytvořený interně, zaručuje transparentnost a snadnou interakci mezi klientem a službami společnosti.

Zákazníkovi jsou také poskytovány vynikající možnosti kontroly nákladů a optimalizace nákladů při zachování vysoké kvality služeb, velkého výběru služeb a individuálního přístupu k řešení různých problémů.

1.1.2 Organizační a funkční struktura podniku

Organizační struktura řízení společnosti FACILICOM LLC je uvedena na Obr. 1.

Organizační strukturou podniku se rozumí složení, podřízenost, interakce a rozdělení práce mezi útvary a řídící orgány, mezi nimiž jsou vytvořeny určité vztahy týkající se provádění pravomocí, toku příkazů a informací.

Existuje několik typů organizačních struktur: lineární, funkční, lineárně-funkční, divizní, adaptivní.

Organizační struktura společnosti odpovídá lineárnímu typu.

Lineární struktura se vyznačuje tím, že v čele každé divize stojí manažer, který soustřeďuje všechny řídící funkce do svých rukou a vykonává výhradní řízení jemu podřízených zaměstnanců. Jeho rozhodnutí, přenášená v řetězci „shora dolů“, jsou povinná pro implementaci na nižších úrovních. Ten je zase podřízen nadřízenému manažerovi.

Vloženo na http://www.allbest.ru/

Rýže. 1 Organizační struktura řízení společnosti FACILICOM LLC

Organizační struktura vybudovaná v souladu s těmito principy se nazývá hierarchická nebo byrokratická struktura.

Účetní oddělení: výpočet mezd, různých plateb, rozvaha, sledování souladu činností se schválenými normami, standardy a odhady.

Obchodní oddělení: vyhledávání a interakce s klienty, účast ve výběrových řízeních, sepisování a podepisování smluv, technické specifikace, jednání s dodavateli, nákup vybavení;

Oddělení informačních technologií: podpora firemní IT infrastruktury, údržba softwaru, drobné opravy PC a periferií, nákup vybavení do kanceláře a vzdálených pracovišť.

Funkce oddělení informačních technologií a softwaru:

· Konfigurace operačních systémů na serverech a také udržování provozního stavu serverového softwaru.

· Kontrola instalace softwaru na servery a pracovní stanice.

· Zajištění softwarové integrace na souborových serverech, serverech systému správy databází a pracovních stanicích.

· Plánování informačních zdrojů a sledování využití síťových zdrojů.

· Řízení výměny informací v lokální síti s externími organizacemi prostřednictvím telekomunikačních kanálů. Poskytování přístupu pro uživatele systému do lokálních (INTRANET) a globálních (INTERNET) sítí.

· Zajištění nepřetržitého fungování systému a přijetí rychlých opatření k odstranění porušení, ke kterým během provozu dojde. Eliminace výpadků služeb.

· Registrace uživatele, přidělení identifikátorů a hesel.

· Nastavení omezení pro uživatele na:

o a) používání pracovní stanice nebo serveru;

o b) čas;

o c) stupeň využití zdrojů.

· Identifikace chyb uživatelského a síťového softwaru a obnovení funkčnosti systému.

· Školení uživatelů pro práci v podnikovém informačním systému.

· Zajištění bezpečnosti práce v systému:

· Přijmout opatření pro zabezpečení sítě (ochrana před neoprávněným přístupem k informacím, prohlížení nebo modifikace systémových souborů a dat), jakož i zabezpečení internetové komunikace.

· Vytvářejte včasné kopie a zálohy dat.

· Provádějte pravidelné kontroly na přítomnost počítačových virů v systému.

· Podílet se na řešení problémů údržby při identifikaci závad na síťovém zařízení, stejně jako na obnově funkčnosti systému při poruchách a výpadcích síťových zařízení.

· Monitorujte instalaci síťových zařízení odborníky z organizací třetích stran.

· Monitorovat počítačovou síť, vypracovávat návrhy na rozvoj síťové infrastruktury.

· Kontrolovat dodržování postupu práce v informační síti a standardů v oblasti informačních technologií.

· Organizovat a instalovat nové nebo optimalizovat uživatelské pracovní stanice.

V současné době je tedy zajištění informační bezpečnosti podniku funkcí IT oddělení.

1.2 Analýza rizik informační bezpečnosti

Proces analýzy rizik zahrnuje určení toho, co chránit, před čím se chránit a jak to udělat. Je nutné zvážit všechna možná rizika a seřadit je v závislosti na potenciální výši škody. Tento proces se skládá z mnoha ekonomických rozhodnutí. Již dlouho se uvádí, že náklady na ochranu by neměly přesáhnout náklady na chráněný objekt.

Analýza rizik v oblasti informační bezpečnosti může být kvalitativní a kvantitativní. Kvantitativní analýza je přesnější, umožňuje získat konkrétní rizikové hodnoty, ale zabere výrazně více času, což není vždy opodstatněné. Nejčastěji postačí rychlá kvalitativní analýza, jejímž úkolem je rozložení rizikových faktorů do skupin. Rozsah kvalitativní analýzy se může mezi metodami hodnocení lišit, ale vše závisí na identifikaci nejzávažnějších hrozeb.

Mezi úkoly pracovníků oddělení informační bezpečnosti patří upozorňování managementu podniku na existující a potenciální hrozby. Zprávy musí být doprovázeny fakty, čísly a analytickými výpočty. Toto je nejefektivnější způsob, jak předat informace vedoucím organizací.

Kvalitativní analýza

Existuje několik modelů kvalitativní analýzy. Všechny jsou docela jednoduché. Možnosti se liší pouze počtem stupňů rizika. Jeden z nejběžnějších modelů je třístupňový. Každý faktor je hodnocen na stupnici „nízká – střední – vysoká“.

Odpůrci této metody se domnívají, že tři fáze nestačí k přesnému oddělení rizik, a navrhují pětiúrovňový model. To však není důležité, protože obecně jakýkoli model analýzy sestává z nejjednoduššího rozdělení hrozeb na kritické a sekundární. Pro přehlednost jsou použity tří-, pětiúrovňové a další modely.

Při práci s modely s velkým počtem gradací, například s pěti, mohou mít analytici potíže s přiřazením rizika do páté nebo čtvrté skupiny. Kvalitativní analýza umožňuje takové „chyby“, protože je samoregulační. Není kritické, pokud bylo riziko původně nepřiměřeně přiřazeno do čtvrté kategorie místo do páté. Kvalitativní metoda umožňuje provedení analýzy během několika minut. Očekává se, že tato hodnocení rizik budou prováděna pravidelně. A v dalším kroku se kategorie přeřadí, faktor se přesune do páté skupiny. Proto se kvalitativní analýze také říká iterativní metoda.

Kvantitativní analýza

Kvantitativní metoda vyžaduje podstatně více času, protože každému rizikovému faktoru je přiřazena specifická hodnota. Výsledky kvantitativní analýzy mohou být užitečnější pro obchodní plánování. Ve většině případů však není další přesnost zapotřebí nebo prostě nestojí za další úsilí. Pokud například vyhodnocení rizikového faktoru trvá čtyři měsíce, ale řešení problému trvá pouze dva měsíce, zdroje nejsou využívány efektivně.

Je třeba také vzít v úvahu, že mnoho organizací se neustále vyvíjí a mění. A během doby, kdy se provádí analýza, se skutečné rizikové hodnoty ukáží jako jiné.

Uvedené faktory hovoří ve prospěch kvalitativní analýzy. Kromě toho se odborníci domnívají, že přes veškerou svou jednoduchost je kvalitativní metoda velmi účinným analytickým nástrojem.

Hlavním cílem činností v oblasti bezpečnosti informací je zajistit dostupnost, integritu a důvěrnost každého informačního aktiva. Při analýze hrozeb je třeba vzít v úvahu jejich dopad na aktiva v těchto třech oblastech. Nezbytným a zásadním krokem v analýze rizik je posouzení zranitelnosti aktiv, které bylo provedeno v této diplomové práci. Rozhodnutí provést posouzení zranitelnosti činí vedoucí oddělení informačních technologií a softwaru odpovědného za informační bezpečnost ve společnosti Facilicom LLC.

Posouzení zranitelnosti aktiv ve společnosti se obvykle provádí ve spojení s analýzou rizik informační bezpečnosti, tzn. s frekvencí 2x ročně. Neexistuje žádné samostatné posouzení zranitelnosti. Provádějí ji určení zaměstnanci na příkaz vedoucího oddělení informačních technologií a softwaru. fond aktiv pro bezpečnost informací

Posouzení zranitelnosti aktiv je prezentováno ve formě elektronického dokumentu. Dokument se nazývá „Posouzení zranitelnosti informačních aktiv společnosti Facilicom LLC v roce 2005“ s uvedením času analýzy.

1.2.1 Identifikace a hodnocení informačních aktiv

Jednou z fází analýzy rizik je identifikace všech objektů, které potřebují ochranu. Některá aktiva (např. komunikační zařízení) jsou jasně identifikována. Na ostatní (například lidé používající informační systémy) se často zapomíná. Je třeba vzít v úvahu vše, co by mohlo být ovlivněno narušením bezpečnosti.

Lze použít následující klasifikaci aktiv:

· Hardware: procesory, moduly, klávesnice, terminály, pracovní stanice, osobní počítače, tiskárny, diskové jednotky, komunikační linky, terminálové servery, mosty, směrovače;

· Software: zdrojové kódy, objektové moduly, utility, diagnostické programy, operační systémy, komunikační programy;

· Data: zpracovaná, přímo přístupná, archivovaná, zálohovaná, protokoly, databáze, data přenášená po komunikačních linkách;

· Lidé: uživatelé, servisní personál.

Výsledky posouzení informačních aktiv jsou shrnuty v tabulce 2.

Tabulka Hodnocení informačních aktiv podniku Facilicom LLC

Tabulka 3 uvádí výsledky hodnocení informačních aktiv společnosti Facilicom LLC

Tabulka Výsledky hodnocení aktiv společnosti Facilicom LLC

Aktiva, která mají největší hodnotu a je třeba je chránit, jsou tedy:

1. Databázový server s informacemi o klientech a dopisech;

2. Pobočná databáze;

3. příkazy, pokyny generálního ředitele;

4. Účetní databáze.

Následně bylo u těchto aktiv provedeno posouzení zranitelností, hrozeb a rizik informační bezpečnosti.

1.2.2 Posouzení zranitelnosti aktiv

Hodnocení zranitelnosti lze provádět na mnoha objektech, nejen na počítačových systémech/sítích. Například fyzické budovy mohou být posouzeny, aby se zjistilo, které části budovy mají nedostatky. Pokud může zloděj obejít stráž u předních dveří a vstoupit do budovy zadními dveřmi, je to určitě zranitelnost. Pokud to skutečně udělá, je to zneužití. Fyzická bezpečnost je jedním z nejdůležitějších aspektů, kterému je třeba přikládat důležitost. Protože pokud je server ukraden, útočník nemusí obcházet IDS (Intrusion Detection System), nemusí obcházet IPS (Intrusion Prevention System), nemusí vymýšlet způsob, jak přenést 10 TB dat - na serveru již jsou. Úplné šifrování disku může pomoci, ale na serverech se obvykle nepoužívá.

Předmětem ochrany jsou následující typy podnikových informačních zdrojů:

· informace (data, telefonní hovory a faxy) přenášené komunikačními kanály;

· informace uložené v databázích, na souborových serverech a pracovních stanicích, na adresářových serverech, v poštovních schránkách uživatelů podnikové sítě atd.;

· konfigurační informace a protokoly pro provoz síťových zařízení, softwarových systémů a komplexů.

Vloženo na http://www.allbest.ru/

Tabulka 4 poskytuje srovnání fyzických hrozeb a zranitelností aktiv.

Tabulka Porovnání fyzických hrozeb a zranitelností automatizovaného systému společnosti Facilicom LLC

Tabulka 5 uvádí výsledky hodnocení zranitelnosti aktiv.

Tabulka Výsledky hodnocení zranitelnosti informačních aktiv společnosti Facilicom LLC

1.2.3 Asset Threat Assessment

Podívejme se na seznam možných hrozeb pro informace a majetek:

2. Návrhová část

2.1 Soubor organizačních opatření k zajištění bezpečnosti informací

2.1.1 Vnitrostátní a mezinárodní právní rámec pro vytvoření systému bezpečnosti informací a ochranu podnikových informací

Pro každý typ hrozby, která vzniká při provozu informačního bezpečnostního systému, může existovat jedno nebo více protiopatření. Vzhledem k nejednoznačnosti volby protiopatření je nutné hledat některá kritéria, která lze použít jako spolehlivost zajištění bezpečnosti informací a náklady na zavedení ochrany. Přijaté protiopatření bude z ekonomického hlediska přijatelné, pokud účinnost ochrany s jeho pomocí, vyjádřená snížením pravděpodobných ekonomických škod, převýší náklady na jeho realizaci. V této situaci je možné stanovit maximální přijatelné úrovně rizika při zajišťování bezpečnosti informací a na základě toho zvolit jedno nebo více ekonomicky proveditelných protiopatření ke snížení celkového rizika do takové míry, aby jeho hodnota byla pod maximální přijatelnou úroveň. Z toho vyplývá, že potenciální narušitel, který se snaží racionálně využít příležitosti, které mu byly dány, nevynaloží na provedení hrozby více, než očekává, že vyhraje. Proto je nutné udržovat náklady na porušení informační bezpečnosti na úrovni přesahující očekávaný zisk potenciálního narušitele. Podívejme se na tyto přístupy.

Tvrdí se, že většina vývojářů počítačového hardwaru považuje jakýkoli mechanismus ochrany hardwaru za určité dodatečné náklady s touhou snížit celkové náklady na jejich náklady. Při rozhodování na úrovni projektového manažera o problematice vývoje hardwarových bezpečnostních nástrojů je nutné vzít v úvahu poměr nákladů na implementaci postupu a dosažené úrovně zajištění bezpečnosti informací. Vývojář proto potřebuje nějaký vzorec propojující úroveň ochrany a náklady na její implementaci, který by umožnil určit náklady na vývoj požadovaného hardwaru nutného k vytvoření předem stanovené úrovně ochrany. Obecně lze takovou závislost nastavit na základě následujících úvah. Pokud definujeme režii zabezpečení jako poměr množství využití zdroje mechanismem řízení přístupu k celkovému množství využití tohoto zdroje, pak použití ekonomie řízení přístupu povede k režii blížící se nule.

Publikováno na Allbest.ru

Podobné dokumenty

Analýza systému informační bezpečnosti v podniku. Služba ochrany informací. Hrozby zabezpečení informací specifické pro podnik. Metody a prostředky informační bezpečnosti. Model informačního systému z hlediska bezpečnosti.

práce v kurzu, přidáno 02.03.2011


Hrozby informační bezpečnosti v podniku. Identifikace nedostatků v systému informační bezpečnosti. Cíle a cíle formování systému informační bezpečnosti. Navrhovaná opatření ke zlepšení systému informační bezpečnosti organizace.

práce v kurzu, přidáno 02.03.2011


Hierarchický diagram zaměstnanců. Nástroje informační bezpečnosti. Otázky týkající se stavu bezpečnosti. Schéma informačních toků podniku. Metody sledování integrity informačního systému. Modelování řízení přístupu k servisním informacím.

práce v kurzu, přidáno 30.12.2011


Podstata informace a její klasifikace. Analýza informací klasifikovaných jako obchodní tajemství. Výzkum možných hrozeb a kanálů úniku informací. Analýza ochranných opatření. Analýza zajištění spolehlivosti a ochrany informací ve společnosti Tism-Yugnefteprodukt LLC.

práce, přidáno 23.10.2013


Určení psychologických typů osobnosti a lidského charakteru. Profily motivace zaměstnanců. Analýza hlavních podnikových procesů nezbytných pro fungování podniku. Ohrožení bezpečnosti informací. Hodnocení a léčba lidských rizik.

abstrakt, přidáno 3.11.2015


Charakteristika podniku Iceberg LLC, analýza struktury toku dokumentů a logistiky podniku. Vývoj a popis nové automatizované informační technologie pro plánování, řízení a kontrolu činností.

práce v kurzu, přidáno 03.04.2010


Účel informační politiky, východiska pro její tvorbu a realizaci, typy podpory. Analýza informační politiky Bank Center-Invest. Včasné a spolehlivé zveřejňování informací jako jeden ze základních principů corporate governance.

práce v kurzu, přidáno 04.10.2011


Problémy identifikace podnikatelských rizik. Identifikace rizika: riziko jako „příležitost“, jako „nebezpečí“ a jako „nejistota“. Hodnocení rizik na základě informací a analytické práce odborníků. Modelování situací, finanční analýza.

test, přidáno 16.06.2010


Definování strategie a plánování práce na rozvoji informační struktury podniku Ural Security Systems. Vypracování doporučení pro zlepšení práce v oblasti aplikace informačních technologií, jejich dokumentární podpora.

zpráva z praxe, přidáno 14.04.2014


Charakteristika podstaty, úkolů a forem činnosti podnikových bezpečnostních služeb. Vlastnosti budování organizační struktury bezpečnostní služby. Analýza oblastí činnosti: právní, fyzická, informační a komerční bezpečnost.

Podívejme se stručně na moderní problémy identifikace majetku a externího hodnocení (certifikace) systémů řízení bezpečnosti informací (ISMS) v souladu s požadavky GOST R ISO/IEC 270011 a STO Gazprom série 4.22. Při implementaci pouze požadavků STO Gazprom řady 4.2 jsou možné opomenutí v procesu analýzy rizik informační bezpečnosti (IS), fragmentární identifikace a hodnocení části aktiv - pouze předmětů ochrany (OP) a následně - při výběru adekvátní výčet opatření (prostředků) k zajištění IS

UDC 004.94

Metodika identifikace majetku při implementaci a certifikaci ISMS v souladu s požadavky GOST R ISO/IEC 27001-2006 a STO Gazprom série 4.2

I.I. Livshits, Ph.D., přední inženýr společnosti Gazinformservice LLC

Klíčová slova

Informační bezpečnost (IS); systém řízení bezpečnosti informací (ISMS); informační bezpečnostní systém (ISMS); předmět ochrany (OZ); audit; PDCA cyklus; řízení rizik.

Klíčová slova:

Informační bezpečnost (IT-Security); Systém řízení bezpečnosti informací (ISMS); Systém poskytování informační bezpečnosti (ISPS); předmět ochrany(ObP); audit;cyklus PDCA;řízení rizik.

anotace

Tato publikace stručně zkoumá moderní problémy při identifikaci majetku a certifikaci systémů managementu bezpečnosti informací (ISMS) v souladu s požadavky GOST R ISO/IEC série 27001 a průmyslovými standardy STO Gazprom Information Security Systems série 4.2 (ISMS). Je navržen přístup k vytváření modelů a metod pro identifikaci, identifikaci a klasifikaci ohrožení narušení informační bezpečnosti (IS) pro chráněná aktiva různého typu. Hlavní pozornost je věnována obtížím při kombinování požadavků dvou různých standardizačních systémů (GOST R ISO/IEC a ISOB), které mohou způsobit potíže při identifikaci a hodnocení aktiv ISMS, jakož i v procesech plánování a úspěšného vedení certifikační audit.

Toto vydání stručně pokrývá aktuální problémy identifikace majetku a certifikace systémů managementu bezpečnosti informací (ISMS) v souladu s požadavky norem řady GOST R ISO/IEC27001 a systému poskytování průmyslové bezpečnosti informací STO Gazpromseries4.2 (ISPS). Navrhovaný přístup zajišťující vývoj modelů a metod pro detekci, identifikaci a klasifikaci hrozeb pro dosažení informační bezpečnosti (IS) pro různé typy aktiv.Zaměřuje se na rozdíly ve slaďování požadavků dvou různých systémů pro standardizaci (ISMS a ISPS), které může způsobit potíže při identifikaci a hodnocení majetku ISMS, stejně jako při plánování a úspěšném certifikačním auditu.

Úvod

Problém implementace efektivního ISMS v souladu s požadavky norem GOST R série 27001 je poměrně dobře znám. Požadavky na provádění auditů systémů managementu (MS) jsou stanoveny ve známé normě. Řada zdrojů (www.snti.ru/snips_sto51.htm, s3r.ru/2010/10/standarty/Gazprom, txcom.ru/gazpro) poskytuje standardy bezpečnosti informací, které v podstatě obsahují řadu požadavků těchto standardů. Objektivně existují rozdíly v požadavcích ISMS, které mohou bránit úspěšné implementaci ISMS (například rozdíly v konceptech „ aktiva" A " předmětem ochrany“) a provedení úspěšného nezávislého posouzení (certifikace) podle požadavků základního „certifikačního“ standardu. V případě, že se vrcholové vedení organizace rozhodne připravit stávající ISMS na certifikační audit, jeví se jako nezbytné analyzovat požadavky ISMS a rozhodnout o souboru opatření, která by měla být přijata k zajištění shody s požadavky. Pro implementaci řízených podmínek tohoto procesu je navržena metodika identifikace a hodnocení aktiv, která prošla praktickým testováním.

Zohlednění rozdílů při identifikaci a posuzování aktiv (předmětů ochrany) ISMS

Pro některé organizace je zcela přirozené přijímat požadavky odvětví „jak jsou“ a zavedení dalších standardů vyžaduje samostatné rozhodnutí vrcholového vedení. Tato okolnost není mimořádná, protože za prvé je uvedena v preambuli téměř všech mezinárodních norem (ISO) a jejich ruských překladů GOST R, za druhé je funkcí tvorby přidané hodnoty a za třetí je potvrzena podle světových statistik certifikace ISO. V souladu s tím, pokud je učiněno takové rozhodnutí - implementovat konkrétní národní nebo mezinárodní standard, je organizace nucena provést srovnání (“ mapování”) jejich procesů, původně implementovaných pouze za účelem splnění požadavků specifických průmyslových požadavků. Zároveň může dojít k opomenutí (neúplnosti) při provádění analýzy rizik narušení bezpečnosti informací a nedostatečně úplné studii zranitelností procesů zpracování informací vašich automatizovaných systémů. Závažnější důsledky může mít situace, pokud konkrétní průmyslový systém (zejména ISIS) byl původně vytvořen na základě zahraničních norem (např. BS řada 7799), ale z řady důvodů nebyl při změně příslušných norem nebo platných zákonů (předpisů) aktualizován. Norma SOIB obsahuje zejména odkaz na zrušený federální zákon č. 1-FZ „O elektronickém digitálním podpisu“ (viz http://base.garant.ru/) a standard SOIB obsahuje odkaz na zrušený standard BS 7799: 3-2006 (viz http://www.standards.ru/document/3858996.aspx) – k datu zveřejnění.

Zároveň existují metody založené na normách ISO, které zohledňují základní požadavky na řízení rizik informační bezpečnosti, dostatečně podrobně popisují praktickou implementaci požadavků jak základní „certifikační“ normy, tak cílové normy pro informační bezpečnost. řízení rizik. Využití této metodiky přispívá k získání číselných hodnocení rizik informační bezpečnosti a obecně k případné úspěšné certifikaci ISMS pro shodu s normou.

Pro účely této publikace budou zváženy dva hlavní zásadní rozdíly, které podle názoru autora mohou mít zásadní důsledky pro účely vytvoření a úspěšné certifikace ISMS pro shodu s požadavky normy. Tyto nekonzistence mohou vést k „zastavení“ myšlenky vytvoření ISMS a ztrátě důležité výhody každého úspěšně implementovaného MS – adekvátního zajištění plnění obchodních cílů. Druhým negativním důsledkem zjištěných rozdílů, který má měřitelný význam, jsou dodatečné náklady na uvedení ISMS na úroveň dostatečnou pro adekvátní splnění požadavků normy. Připomeňme, že v praxi tvorby ISMS se jeví jako důležité soustředit odborné úsilí na tvorbu spolehlivých modelů a metod pro zajištění interního auditu a efektivního „monitorování“ stavu objektů pod vlivem hrozeb informační bezpečnosti.

Rozdíl 1. Identifikace (klasifikace) aktiv

Pro analýzu prvního rozdílu zvažte požadavky normy týkající se správy majetku a požadavky normy na klasifikaci předmětů ochrany. Definice je dobře známá: „aktiva: vše, co má pro organizaci hodnotu“ (bod 3.1). Dále zvažte dodatek „B“ normy: „ Pro stanovení hodnoty aktiv musí organizace identifikovat všechna svá aktiva na příslušné úrovni podrobností." Zároveň je vysvětleno, že lze rozlišit dva typy aktiv: „ základní aktiva, včetně obchodních procesů, obchodních aktivit a informací a podpůrná (podpůrná) aktiva, na kterých závisí hlavní komponenty aplikační oblasti všech typů, včetně hardwaru, softwaru, sítě, personálu, místa provozu organizace a struktury organizace».

Fáze „Plán“ cyklu PDCA (bod 4.2.1) uvádí, že organizace by měla např. určit rozsah a hranice ISMS s přihlédnutím k charakteristikám podniku, organizace, jejího umístění, aktiv a technologií.“ Příloha A() uvádí příklady implementace konkrétních opatření (prostředků) k zajištění bezpečnosti informací (“ řízení“) týkající se správy majetku, například: „ Inventář majetku: „Měl by být sestaven a aktualizován soupis všech významných aktiv organizace (A.7.1.1).“

Požadavky ISMS na klasifikaci předmětů ochrany (PO) zase poskytují další pojmy a definice (oddíl 3), kde se PO vykládá v pojmech;

• AS - automatizovaný systém;
• IA - informační aktivum;
• Software - software.

Pojmem OZ rozumíme informační aktiva, hardware a software pro jejich zpracování, přenos a uložení (bod 3.3.3). Tento seznam aktiv je uzavřený, objektivně jasně menší než výše uvedená definice aktiv. V souladu s tím může být jedním z kritických rizik při certifikaci objektivně zřejmá neúplnost identifikovaných a přijatých k ochraně v ISMS, zejména se neberou v úvahu aktiva v následujících kategoriích - personál, umístění (zařízení) a struktura organizace . Je nutné poznamenat, že navrhovaný přístup v systému Gazprom ISMS přináší značné potíže do současného procesu udržování a zajišťování informační bezpečnosti, zejména v oblasti řízení incidentů informační bezpečnosti a rizik informační bezpečnosti. Například norma GOST R ISO/IEC 18044-2007 pracuje s příklady incidentů informační bezpečnosti souvisejících s personálem a nejnovější mezinárodní norma řady ISO 27040 pro zajištění bezpečnosti uložených dat zohledňuje kritickou roli personálu (interní, externí) při zajišťování požadované úrovně bezpečnosti informací na zařízeních infrastruktury.

Norma definuje pravidla pro identifikaci OZ a musí být určen vlastník, držitel a uživatelé konkrétního OZ (bod 5.6), každý z nich musí být přiřazen pouze k jednomu z následujících typů (bod 5.8):

• informační aktiva (IA);
• software (software);
• technické prostředky pro zpracování, ukládání a přenos informací (TS).

Norma uvádí pravidla pro stanovení kritičnosti ochranného zařízení a podle nich se stanoví kritičnost ochranného zařízení (bod 6.7.) a následně na základě získané úrovně kritičnosti je ochranné zařízení přiřazeno k jednomu skupin (bod 7.1.):

• OZ maximální kritičnosti;
• OZ střední kritické úrovně;
• OZ minimální kritické úrovně.

V § 8 normy jsou uvedena pravidla pro účtování zdravotního pojištění. Hlavními cíli zdravotnického účetnictví je sběr, zpracování a systematizace údajů o zdravotní péči. Je třeba poznamenat, že musí být provedena povinná evidence skutečností vytvoření, nabytí, převodu, duplikace, vyřazení z provozu a zničení zařízení. K 1. rozdílu tedy můžeme učinit předběžný závěr - pro vývoj a úspěšnou certifikaci ISMS podle požadavků objektivně nestačí pouze splnění požadavků ISMS, protože je zohledněn extrémně omezený soubor subjektů, které jsou objektivně kritickými aktivy pro podnikání.

Rozdíl 2. Hodnocení rizik informační bezpečnosti

Abychom mohli analyzovat 2. rozdíl, uvažujme požadavky na řízení rizik informační bezpečnosti a požadavky Systému informační bezpečnosti na analýzu a hodnocení rizik. Základní definice nutné pro analýzu 2. rozdílu jsou uvedeny v (odstavce 3.7 - 3.15). Je vhodné zvážit základní požadavky na řízení rizik informační bezpečnosti podle fází cyklu PDCA, podobně jako Rozdíl 1: ve fázi „Plánovat“ (bod 4.2.1), fázi „Do“ (bod 4.2.2), ve fázi „Kontrola“ (bod 4.2.3), resp. Příloha A () uvádí příklady implementace konkrétních opatření (prostředků) k zajištění bezpečnosti informací (“ řízení“) z hlediska řízení rizik, například: „ Prověřování všech stálých uchazečů o zaměstnání, dodavatelů a uživatelů třetích stran bude prováděno v souladu se zákony, předpisy a etickými pravidly, s přihlédnutím k požadavkům podniku, povaze informací, ke kterým budou mít přístup, a předpokládaným rizikům." (A. 8.1.2.).

Požadavky ISMS na analýzu a hodnocení rizik zase provádějí následující základní postupy (bod 4.4): identifikace, analýza a hodnocení rizik. Posouzení rizik se provádí pro AS, která zahrnuje alespoň jednu PO s maximální úrovní kritičnosti, určeno v souladu s (bod 4.8). Objektivně tedy existuje kritické riziko pro účely úspěšné certifikace ISMS, kdy činnosti hodnocení rizik z hlediska samotného ISMS nemusí být vůbec prováděny. Činnosti poskytované ISMS tedy nebudou prováděny na „legálním“ základě, což může vést k chybám v procesech identifikace, identifikace a klasifikace ohrožení narušení bezpečnosti informací pro veřejné zdraví, jakož i k nespolehlivé analýze rizika narušení informační bezpečnosti a zranitelnosti procesů zpracování informací v automatizovaných systémech ve stanoveném rozsahu („rozsah“). Zvláště důležité je, že může docházet k „vnoření“ kritických rizik – neprovedení posouzení rizik (rozdíl 2) může být přímým důsledkem vyloučení personálu z aktiv v ISMS (rozdíl 1) a takového „vnoření“ může objektivně vést k významným nesrovnalostem v externím certifikačním auditu ISMS V rámci práce na identifikaci rizik je nutné identifikovat rizikové prvky, a to hrozby OH, OH a zranitelnosti OH (bod 5.1) V rámci analýzy rizik práce, je stanoveno následující (bod 6.1.):

• případné škody způsobené v důsledku porušení bezpečnostních vlastností zdravotnického zařízení;
• úroveň pravděpodobnosti výskytu takového porušení s přihlédnutím ke zjištěným hrozbám a zranitelnostem, jakož i k zavedeným ochranným opatřením;
• výše rizika.

Možné poškození se posuzuje pomocí 3stupňové kvalitativní škály (6.2.2):

• maximální hodnota;
• průměrná hodnota;
• minimální hodnota.

Upozorňujeme, že při řešení konkrétních aplikovaných problémů se hodnoty kritérií zpravidla měří v určité škále a vyjadřují se v zavedených jednotkách. Je známo, že kvalitativní škály se používají například k měření různých psychofyzikálních veličin, síly zemětřesení, ale i stupně destrukce materiálu nebo konstrukce (3.3.1). Využití kvalitativní škály pro účely posouzení možného poškození informační bezpečnosti se tedy nejeví zcela odůvodněné a je metodicky zranitelné z pozice zajištění dosažení měřitelný (!) cíle - vytvoření ISMS, zajištění neustálého zlepšování účinnosti ISMS a úspěšná certifikace ISMS pro shodu s požadavky.

Norma uvádí, že maximální výše možného poškození je charakterizována maximální úrovní kritičnosti zdravotnického objektu, průměrná výše možného poškození je charakterizována průměrnou úrovní kritičnosti zdravotnického objektu, minimální výše možného poškození je charakterizována podle minimální úrovně kritičnosti zdravotního objektu. Objektivně jsou potíže se stanovením úrovně možného poškození majetku (ve smyslu norem ISO), které však není zohledněno jako PO v systému ISMS, například: personál (vlastní a externí), serverovny, místnosti pro důvěrné jednání atd.

Dalším krokem v hodnocení rizik je porovnat získané hodnoty rizika s předem stanovenou stupnicí úrovně rizika - fází hodnocení rizik (bod 7.1). Musí být identifikovány úrovně rizika, které jsou přijatelné (bod 7.4) a rizika, která nepřekračují přijatelnou úroveň, musí být přijata. Rizika, která překračují přijatelnou úroveň, musí být také přijata, pokud pro tato rizika neexistuje vhodná léčba. Všechna ostatní rizika musí být zpracována (bod 7.5) Toto ustanovení vytváří značné potíže při přípravě ISMS k certifikaci, protože známým požadavkem je, aby vedení provedlo analýzu ISMS (standard, oddíl 7), přičemž jako vstupní informace výslovně zohlední: „ zranitelnosti nebo hrozby, které nebyly adekvátně řešeny v předchozím hodnocení rizik„(bod 7.2. f) a v systému Gazprom ISMS není naplněna z důvodu aplikovaného paradigmatu pro vznik OZ.

Metoda identifikace majetku

Jak bylo uvedeno výše, mezi systémy ISMS a ISMS existuje řada rozdílů, jedním z nejdůležitějších a nejzásadnějších je rozdíl v pojmech „majetek“ () a „předmět ochrany“ (). V souladu s tím je nutné navrhnout metodický přístup, který vám umožní šetrně transformovat stávající ISMS na požadavky ISMS a zajistit efektivní provádění různých auditů a sledování stavu objektů, které jsou pod vlivem hrozeb narušení informační bezpečnosti. V prvé řadě, jak je uvedeno výše, je nutné transformovat základní zdravotní systém na požadavky na identifikaci všech skupin majetku ISMS pro soulad s normou. Například lze navrhnout následující klasifikaci skupin aktiv ISMS (viz tabulka 1).

Tabulka 1. Klasifikace skupin aktiv ISMS

Příklad evidence skupiny aktiv AS je uveden v tabulce. 2.

Tabulka 2. Registr skupiny aktiv AS

Poznámky:

* Vlastník - specifická služba v oblasti certifikace ISMS, která zodpovídá za uvedené aktivum z hlediska zachování funkčnosti;

** Stupeň kritičnosti – na základě „Seznamu informací o zdravotní bezpečnosti“ v souladu s požadavky ISMS.

Příklad hodnocení rizika informační bezpečnosti pro příklad aktiva AS „Boss-Kadrovik“ je uveden v tabulce. 3.

Tabulka 3. Posouzení rizik informační bezpečnosti pro aktivum AS

Posouzení účinnosti IMS s ohledem na požadavky ISMS

Účtování majetku v souladu s požadavky normy ISO zavede do IMS prvek kontrolovatelnosti podle společných cílů, obchodně měřitelných. Pro IMS, který zahrnuje ISMS, lze použít vhodné metriky. Existují široce známé příklady vytváření jednoduchých metrik informační bezpečnosti, které mohou poskytnout kvantitativní hodnocení (metriky) jako důkaz „užitečnosti“ pro podnikání. Zde se zdá být obzvláště důležité okamžitě provést srovnání s mechanismy interního auditu, které jsou speciálně navrženy tak, aby poskytovaly „objektivní důkazy“ vrcholovému vedení, aby mohli činit efektivní manažerská rozhodnutí. Zdá se vhodné seskupit různé typy metrik pro účely informační bezpečnosti takto:

1. K posouzení hlavní činnosti, například: podíl na trhu, úroveň loajality zákazníků;
2. Pro řízení nákladů, například: TCO (celkové náklady na vlastnictví), ROI (hodnocení návratnosti investic);
3. K optimalizaci současných činností např.: optimalizace nákladů (přímých i nepřímých).

Ke snížení nákladů (toto je jeden z prioritních úkolů každého podnikání a „nejprezentovatelnější“ forma hodnocení výkonu služby informační bezpečnosti) lze použít metriky, které ukazují, do jaké míry bylo dosaženo možného maxima. (plán prodeje, dokončení projektu včas atd.). V souladu s tím lze navrhnout různé typy metrik:

• jednoduché metriky (například počet identifikovaných incidentů informační bezpečnosti);
• komplexní metriky (například poměr nákladů na informační technologie k nákladům na IT aktiva);
• komplexní metriky (například počet incidentů zabezpečení informací, ke kterým došlo a které vedly k poškození (vynucenému odstavení) vašich automatizovaných systémů, které jsou definovány jako kritické pro podnikání.

závěry

1. Při plánování a implementaci certifikačních projektů ISMS je nutné vzít v úvahu, že mnoho požadavků libovolného průmyslového certifikačního systému obecně nesplňuje požadavky certifikační normy řady ISO 27001. Pro přizpůsobení ISMS je třeba produktivní je vyžadována metodika založená na srovnání („ mapování”) standardní požadavky v oblasti informační bezpečnosti a zajištění dosažení cílů pro zajištění interního auditu a efektivního „monitorování“ stavu objektů pod vlivem hrozeb informační bezpečnosti - na základě vygenerovaných spolehlivých modelů a metod.

2. Implementace požadavků moderních standardů ISMS, „vnucených“ stávajícím ISMS, vede k potřebě revidovat základní požadavky (např. koncepty „ aktiva" A " řízení rizik c“). Tato okolnost přímo souvisí s rozsahem certifikace stanoveným vrcholovým managementem („ rozsah“) a v souladu s tím se seznamem aktiv uznaných za životně důležité pro podnikání organizace a z tohoto důvodu podléhajících ochraně v rámci ISMS.

Bibliografie

GOST R ISO/IEC 27001-2006 „Informační technologie. Metody a prostředky zajištění bezpečnosti. Ze systému řízení bezpečnosti informací. Požadavky"

GOST R ISO/IEC 27005-2010 „Informační technologie. Metody a prostředky zajištění bezpečnosti. Řízení rizik informační bezpečnosti"

GOST R ISO 19011-2011 „Směrnice pro provádění auditů systémů managementu“.

STO Gazprom 4.2-1-001-2009 Informační bezpečnostní systém OJSC Gazprom. Základní pojmy a definice

STO Gazprom 4.2-2-002-2009 Informační bezpečnostní systém OJSC Gazprom. Požadavky na automatizované systémy řízení procesů

STO Gazprom 4.2-3-002-2009 Požadavky na technickou ochranu informací při používání informačních technologií

STO Gazprom 4.2-3-003-2009 Informační bezpečnostní systém OJSC Gazprom. Analýza a hodnocení rizik

STO Gazprom 4.2-3-004-2009 Klasifikace objektů ochrany

STO Gazprom 4.2-3-005-2013 Řízení incidentů bezpečnosti informací

Livshits I.I. Odhady poměru kvantitativních ukazatelů certifikace systémů řízení podniku // Management kvality, 2014, roč. 2;

Livshits I. I. Společné řešení problémů auditu informační bezpečnosti a zajištění dostupnosti informačních systémů na základě požadavků mezinárodních standardů BSI a ISO // Informatization and Communications, 2013, roč. 6;

Livshits I.I. Prakticky použitelné metody pro hodnocení systémů managementu bezpečnosti informací // Quality Management, 2013, roč. 1;

Livshits I.I. Přístupy k aplikaci modelu integrovaného systému řízení pro provádění auditů komplexních průmyslových zařízení - letištních komplexů // Proceedings of SPIIRAS, 2014, roč. 6

V.D. Nogin Rozhodování podle mnoha kritérií // State University - Higher School of Economics, St. Petersburg, 2007, 103 stran.

M.K. Yanchin. Řízení informačních rizik na základě metodiky MEHARI, Zdroj publikace: http://pvti.ru/data/file/bit/bit_4_2011_29.pdf (k 19. lednu 2015)

ISO/IEC 27040:2015 Informační technologie — Bezpečnostní techniky — Zabezpečení úložiště.

ISO/IEC 27001:2013 Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky.

ISO/IEC 27000:2014 Informační technologie — Bezpečnostní techniky — Systémy řízení bezpečnosti informací — Přehled a slovní zásoba.

ISO/IEC 27004:2014 Informační technologie — Bezpečnostní techniky — Řízení informační bezpečnosti — Měření.

A pokud existují rizika, je třeba je řídit. Tento přístup tvoří základ moderních mezinárodních i domácích standardů v oblasti informační bezpečnosti.

Začít znovu

Možná bychom měli začít výběrem metodiky, kterou se bude hodnocení rizik provádět. O takové metody pro hodnocení rizik narušení bezpečnosti informací dnes není nouze. Jsou to např. OCTAVE, CRAMM, RA2, sektorová metodika Bank of Russia RS BR IBBS 2.2 - to je jen několik z nich. Metody lze rozdělit na kvalitativní a kvantitativní v závislosti na škálách používaných k posouzení pravděpodobnosti realizace hrozby a závažnosti důsledků její realizace. Rozdíly v metodách navíc spočívají v přístupech (základní úroveň nebo podrobné hodnocení rizik) a postupech hodnocení rizik. Pro některé metody byly vyvinuty nástroje, které obsahují znalostní základnu o rizicích a mechanismech pro jejich minimalizaci.

Bez ohledu na zvolenou metodiku bude proces řízení rizik informační bezpečnosti zahrnovat následující úkoly:

• vymezení rozsahu hodnocení rizik;
• odhad rizika;
• léčba rizik;
• monitorování a kontrola;
• zlepšování procesu.

Před zahájením práce na hodnocení rizik je také nutné vytvořit organizační strukturu pro řízení rizik a vypracovat Zásady řízení rizik informační bezpečnosti. Měl by odrážet otázky, jako jsou cíle a procesy řízení rizik (v souladu se zvolenou metodikou), kritéria řízení rizik (včetně kritérií pro hodnocení škod, hodnocení rizik a přijímání rizik) a funkční role pro hodnocení rizik.

Komponenty

Rozsah hodnocení rizik může zahrnovat obchodní procesy, prvky infrastruktury, informační aktiva, služby, personál atd. V praxi je pro organizace, které provádějí hodnocení rizik poprvé, vhodné omezit rozsah hodnocení například na některý z podpůrných podnikových procesů nebo dokonce na konkrétní informační aktiva. Jinými slovy, provést pilotní projekt. Takové omezení vám umožní „otestovat“ a v případě potřeby zpřesnit použitou metodiku, vypilovat šablony dokumentů a téměř bezbolestně došlápnout na všechny ostatní chyby roztroušené na cestě zavádění systému řízení rizik informační bezpečnosti.

Následně by rozsah hodnocení rizik měl pokrývat celou organizaci jako celek (alespoň tu její část, která je pokryta systémem řízení bezpečnosti informací - ISMS).

Identifikace majetku

Ve fázi hodnocení rizik musíme identifikovat informační aktiva zahrnutá do rozsahu hodnocení; určit hodnotu těchto aktiv; určit seznam hrozeb a pravděpodobnost jejich realizace; vyhodnocovat a hodnotit rizika.

Začněme identifikací informačních aktiv. Informační aktivum je jakákoli informace, bez ohledu na typ její prezentace, která má pro organizaci hodnotu a je jí k dispozici. Každá organizace má svůj vlastní soubor aktiv patřících k jednomu nebo druhému typu, například:

• Osobní informace;
• strategické informace potřebné k dosažení obchodních cílů;
• know-how;
• obchodní tajemství;
• úřední tajemství atd.

U každého majetku je nutné identifikovat vlastníka, který za něj zodpovídá.

Stojí za zmínku, že v této fázi může velmi pomoci dokumentovaný popis obchodních procesů organizace. To nám umožní rychle identifikovat informační aktiva, která se podílejí na konkrétním obchodním procesu, a také identifikovat zaměstnance, kteří se na něm podílejí. Pokud obchodní procesy v organizaci nejsou zdokumentovány, je čas s tím začít. Kromě praktických přínosů při implementaci informační bezpečnosti a systému řízení rizik ISMS přináší přenos obchodních procesů „na papír“ často příležitosti k jejich optimalizaci.

Stanovení hodnoty aktiv, nebo přesněji, posouzení závažnosti důsledků (STS) ze ztráty vlastností informační bezpečnosti aktiva – důvěrnosti, integrity nebo dostupnosti – je pro nás nezbytné, abychom mohli odpovědět na následující otázky: Kolik bude „prostoje“ nás systém časem stál? Jaká by byla škoda, kdyby se tato informace dostala do povědomí konkurence?

Cena a hodnoty

V rámci pilotního projektu vytvoření systému řízení rizik informační bezpečnosti je nejvhodnější kvalitativní posouzení hodnoty informačního aktiva ze strany vlastníka. Přitom v závislosti na potřebách organizace, její velikosti nebo jiných faktorech může kvalitativní ratingová škála používat slova jako „nevýznamný“, „nízký“, „střední“, „vysoký“, „kritický“, což znamená určitý rozsah kvantitativních hodnotících škál. Například „nevýznamné“ - méně než 10 tisíc rublů, „nízké“ - od 10 do 100 tisíc rublů atd.

Existují však speciální metody používané oceňovacími společnostmi pro vyčíslení hodnoty nehmotného majetku na základě tržních, výnosových nebo nákladových přístupů. Jejich použití však často vyžaduje zapojení profesionálních odhadců, neboť specialisté z oddělení informační bezpečnosti takové znalosti v naprosté většině případů nemají.

Opět má smysl analyzovat pouze rizika na vysoké úrovni jako součást pilotního projektu a postupně zvyšovat podrobnost a hloubku analýzy v následných hodnoceních. Touto zásadou se budeme řídit při sestavování seznamu hrozeb, pokud organizace nemá schválený model hrozeb, který lze použít jako základ. Hrozby mohou být přirozené nebo způsobené člověkem a mohou být náhodné nebo úmyslné. Typické seznamy hrozeb jsou uvedeny v přílohách norem ISO 27005, BS 7799-3 a RS BR IBBS 2.2. K určení stupně pravděpodobnosti implementace (SVR) konkrétní hrozby v této fázi můžete použít kvalitativní expertní posouzení.

Přechod na kvantitativní škály samozřejmě umožňuje zpřesnit výsledky hodnocení rizik, ale předpokládá přítomnost určité úrovně vyspělosti stávajících procesů řízení informační bezpečnosti a hodnocení rizik a není vždy oprávněný. Pokud však organizace má fungující systém řízení incidentů a eviduje údaje o četnosti výskytu konkrétní hrozby, pak by byl hřích takové informace nevyužít.

Hodnocení rizik se obecně provádí porovnáním hodnocení STP s hodnocením SVR hrozeb informační bezpečnosti (někdy se k nim přidává hodnocení zranitelnosti).

K posouzení rizik narušení bezpečnosti informací v závislosti na potřebách organizace a kritériích definovaných v Zásadách se používá jednoduchá kvalitativní škála („přijatelné“, „nepřijatelné“), pokročilejší kvalitativní škála (např. „“, „vysoké“, „průměrné“, „přijatelné“) nebo dokonce kvantitativní škála vyjádřená v procentech nebo penězích (tabulka 1).

Stůl 1.

Léčba rizik

Na základě výsledků hodnocení rizik je nutné stanovit způsob léčby pro každé z rizik, které je nepřijatelné. Možné možnosti léčby rizik jsou:

• použití ochranných opatření ke snížení rizika na přijatelnou úroveň;
• vyhýbání se riziku (například odmítáním činností, jejichž provádění vede k riziku);
• převod rizika na jiné organizace (například prostřednictvím pojištění nebo outsourcingu);
• vědomé riskování.

Je třeba mít na paměti, že jakákoli činnost je neodmyslitelnou součástí rizik a lze je snížit pouze na určitou zbytkovou úroveň, nikoli na nulu.

Rozhodnutí o použití té či oné metody léčby rizik by mělo být učiněno na základě nákladů na jejich implementaci, jakož i očekávaných přínosů z jejich implementace. Naším cílem je totiž za prvé dosáhnout výrazného snížení rizik při relativně nízkých nákladech a za druhé udržet přijatá rizika na přijatelné, nízké úrovni.

Při výběru ochrany je lepší se řídit zásadou přiměřené dostatečnosti. Bezpečnostní opatření nemohou být nákladnější než potenciální škody způsobené porušením bezpečnosti informací.

Sledování a kontrola

Jakmile bylo učiněno rozhodnutí o léčbě rizik, musí být ISMS neustále monitorován a kontrolován. To nám umožní vyhodnotit účinnost ochranných opatření, která jsme použili ke snížení velikosti rizika.

V této fázi jsou rovněž sledovány změny v seznamu aktiv, hrozeb a dalších faktorů ovlivňujících výsledky hodnocení, jsou prováděny audity a další kontrolní postupy.

Zdokonalování procesů řízení rizik informační bezpečnosti je prováděno na základě výsledků získaných v procesu monitorování a kontroly. V případě potřeby se reviduje Politika řízení rizik informační bezpečnosti, rozsah hodnocení, skladba hrozeb informační bezpečnosti, hodnocení SVR a STP, zlepšuje se metodika atd.

Je velmi žádoucí integrovat procesy řízení rizik do celkového procesu řízení bezpečnosti informací. To umožní propojit cykly činností hodnocení rizik s obecně uznávaným cyklem implementace činnosti IS na základě Demingova modelu „... - plánování - implementace - ověřování - zlepšování - plánování - ...“, který je základem modelu řízení norem kvality GOST R ISO 9001 a IS ISO 27001-2005.

Demingův cyklus pro informační bezpečnost

V tomto případě se bude proces ISMS vztahovat k procesu řízení rizik následovně:

• Plánování – vymezení rozsahu; odhad rizika; vývoj plánů léčby rizik; riskovat.
• Implementace – realizace plánů léčby rizik; provádění ochranných opatření.
• Revize – průběžné sledování a kontrola rizik; sledování účinnosti ochranných opatření.
• Zlepšení – udržování a zlepšování procesu řízení rizik v oblasti bezpečnosti informací.

Netriviální úkol

Implementace systému řízení rizik informační bezpečnosti může být netriviálním úkolem pro mnoho organizací, které právě začínají pracovat na vytvoření systému řízení bezpečnosti informací. Je to však výchozí bod pro vybudování efektivního bezpečnostního systému, který bude splňovat obchodní cíle organizace. V tomto případě může být pro provedení pilotního projektu oprávněné přizvat externí konzultanty, kteří na cestě vypracují potřebnou organizační a administrativní dokumentaci, přizpůsobí metodiku a poskytnou školení zaměstnancům organizace.

Řízení informačních rizik a budování integrovaného systému řízení informační bezpečnosti je pro každou organizaci krokem ke kvalitativně jiné úrovni podnikového řízení a v některých případech i rozhodující konkurenční výhodou.

Ovládejte svá rizika sami, pokud nechcete, aby to za vás dělali vaši konkurenti.

Chernenko A.N., expert na informační bezpečnost, oddělení auditu a poradenských služeb pro finanční instituce, FBK