Материал: Sb96058
1. Уяснение задачи обеспечения и контроля безопасности информации
1-й этап
Уяснение задачи обеспечения и контроля БИ
От кого защищать |
Важно уяснить |
|
Где защищать |
||
конфиденциальную |
||
и контролировать |
||
информацию |
||
|
Что конкретно защищать
и контролировать
Перечень сведений, |
Перечень объектов |
относящихся |
|
к коммерческой |
защиты |
тайне |
|
Перечень |
|
|
выделенных |
Исходные данные |
Акт классификации |
помещений |
||
с указанием |
для уяснения |
объектов защиты |
ответственных |
|
|
исполнителей |
|
|
Перечень ИС, АС |
|
Результаты |
|
определения уровня |
|
с указанием |
|
|
|
критичности |
|
ответственных |
|
|
|
информационных |
|
исполнителей |
|
|
|
активов |
|
|
|
6
2. Оценка обстановки
2-й этап
Оценка
обстановки
Оценка условий |
Оценка угроз |
|
и рисков |
||
|
Оценка своих возможностей Оценка времени по обеспечению
и контролю БИ (оценка защитного ресурса)
В рамках работпо оценке рисков выполняются следующие основные процедуры
Идентификация |
Анализ риска |
Оценка риска |
|
риска |
|||
|
|
||
|
Основные задачи |
|
|
|
оценки рисков |
Идентификация |
|
Ранжирование |
|
||
|
и формирование |
||
рисков |
|
перечня элементов |
|
|
|
риска |
Определение |
Определение |
Оценка возможного |
величины |
ущерба |
|
и формирование |
уровня вероятности |
от реализации |
перечня рисков |
реализации |
угроз БИ |
|
выявленных угроз |
|
7
3. Организация работ по оценке рисков
Оценка рисков, как правило, проводится по инициативе структурного подразделения, отвечающего
за обеспечение БИ
Оценка рисков осуществляется методом экспертных оценок. Для проведения работ по оценке рисков приказом руководителя компании из числа его работников формируется экспертная комиссия. Председатель комиссии организовывает ее работу, распределяет обязанностимежду членами, контролирует разработку отчетных документов
по результатам оценки рисков
До начала работы комиссии разрабатываетсяи утверждается руководителем компании план ее работы,
в котором должны быть отражены
Иные вопросы |
|
|
Основание |
|
организации работы |
|
|
||
|
|
для проведения |
||
комиссии по оценке |
|
|
||
|
|
оценки рисков |
||
рисков |
|
|
||
|
|
|
||
Перечень задействованных |
|
|
|
|
структурных подразделений |
|
|
|
|
компании |
|
Сроки проведения работ |
||
и представляемых ими |
|
по оценке рисков |
||
материалов с указанием |
|
|
|
|
ответственных исполнителей |
|
|
|
|
|
|
Состав комиссии |
|
|
|
|
|
|
|
|
|
|
|
|
По окончании работ по оценке рисков комиссией оформляется акт оценки рисков, которыйпредставляется председателем комиссии
на утверждение руководителю компании. Рекомендуемая форма акта оценки рисков приведена вприл. 1. К акту прилагаются
все отчетные материалы работы комиссии
Проведение работ по оценке рисков должно выполняться регулярно, но не реже одного раза в год, а также в случае возникновения обстоятельств, влияющих на предыдущие результаты оценки. Целесообразно оценку рисков проводить прикаждом планировании организации и контроля БИ на год
8
Окончание
Сабынин В. Н. Учебное |
|
|
пособие «Безопасность |
ГОСТ Р ИСО |
|
информации». Вып. 3. |
/МЭК 17799–2005 |
|
СПб., 2001. |
|
|
Рискнарушения БИ – вероятностное |
|
|
предположение |
Комбинация вероятности события |
|
о возможности ущерба, связанного |
||
и его последствий |
||
с нарушением информационной |
||
|
||
безопасности |
|
Вероятная частота и |
Сочетание вероятности |
|
вероятная величина |
события и его |
|
будущих потерь |
последствий |
|
|
Риск |
|
Метод FAIR (Factor |
|
|
Analysis of |
ГОСТ Р 51901–2002. |
|
Information Risk – |
«Менеджмент риска. |
|
факторный анализ |
Анализ риска |
|
информационных |
технологических систем» |
|
рисков) |
|
|
Федеральный закон |
ГОСТ Р 52448–2005. «Защита |
|
информации. Обеспечение |
||
от 27.12.2002 № 184-ФЗ |
||
безопасности сетей |
||
«О техническом |
||
электросвязи. Общие |
||
регулировании» |
||
положения» |
||
|
||
Вероятность причинения вреда жизни |
|
|
илиздоровью граждан, имуществу |
Вероятность причинения ущерба |
|
физических или юридических лиц, |
||
вследствие того, что определенная угроза |
||
государственному или |
||
реализуется в результате наличия |
||
муниципальному имуществу, |
||
определенной уязвимости |
||
окружающей среде, жизни или |
||
|
||
здоровью животных ирастений |
|
|
с учетом тяжести этого вреда |
|
9
4.Правила идентификации рисков
Врамках работпо идентификации рисков необходимо выполнить идентификацию элементов риска, а именно
|
Угроз |
|
ОЗ |
информационной |
Уязвимостей ОЗ |
|
безопасности ОЗ |
|
Результатом идентификации ОЗ является перечень ОЗ, в котором должны быть отражены следующие сведения
Наименование
АС (ИС), Название ОЗ в составкоторой
входит ОЗ
Пользователи |
|
|
(с указанием |
|
|
структурного |
Владелец ОЗ |
Тип ОЗ |
подразделения |
|
|
компании) |
|
|
Рекомендуемая форма перечня ОЗ (прил. 2)
Результатом идентификации угроз является систематизированный перечень актуальных для ОЗ данной АС (ИС) угроз, представленных вформализованном виде – частная модель угроз ОЗ
Частная модель угроз ОЗ формируется путем последовательного сокращения полного перечня типовых угроз ОЗ до минимально актуального для рассматриваемых ОЗ. При необходимости возможно
расширение перечня угроз ОЗ
Полученные данные заносятся втиповую форму описания частной модели угроз информационной безопасности (прил. 3)
10