Представленная модель - это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.
Рассматриваются следующие объективные факторы:
угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;
уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы; - риск - фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери - прямые или косвенные).
Для создания эффективной политики безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для предприятия на основе заданного критерия. Политику безопасности и соответствующую корпоративную систему защиты информации предстоит построить таким образом, чтобы достичь заданного уровня риска.
Предлагаемая методика разработки политики информационной безопасности современного предприятия позволяет полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности, избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, обеспечить проведение работ в сжатые сроки, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер.
В ходе работ должны быть установлены границы исследования. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков. При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные, а также информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Примерами внешних элементов являются сети связи, внешние сервисы и т.п.
При построении модели будут учитываться взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения ИБ.
Эта модель, в соответствии с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т.д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.
На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут рекомендации по проведению регулярных проверок эффективности системы защиты.
Обеспечение повышенных требований к ИБ предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.
По завершении работ, можно будет определить меру гарантии безопасности информационной среды, основанную на оценке, с которой можно доверять информационной среде объекта. Данный подход предполагает, что большая гарантия следует из применения больших усилий при проведении оценки безопасности. Адекватность оценки основана на вовлечении в процесс оценки большего числа элементов информационной среды объекта, глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей выполнения, строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.
Важно помнить, что прежде чем внедрять
какие-либо решения по защите информации необходимо разработать политику
безопасности, адекватную целям и задачам современного предприятия. В частности,
политика безопасности должна описывать порядок предоставления и использования
прав доступа пользователей, а также требования отчетности пользователей за свои
действия в вопросах безопасности. Система информационной безопасности (СИБ)
окажется эффективной, если она будет надежно поддерживать выполнение правил
политики безопасности, и наоборот. Этапы построения политики безопасности - это
внесение в описание объекта автоматизации структуры ценности и проведение
анализа риска, и определение правил для любого процесса пользования данным
видом доступа к ресурсам объекта автоматизации, имеющим данную степень
ценности. При этом политику безопасности желательно оформить в виде отдельного
документа и утвердить руководством предприятия.
.4. Постановка задачи
Для достижения поставленной цели необходимо решить следующие задачи:
· Определить цели и задачи защиты информации в предприятии.
· Выбрать модель политики безопасности для данной организации.
· Составить матрицу доступа
· Определить группу требований к АС
· Определить класс защищенности АС и требования к нему
· Определить основные объекты защиты на предприятии
· Определить предмет защиты на предприятии
· Выявить возможные угрозы защищаемой информации в предприятии и их структуру
· Выявить источники, виды и способы дестабилизирующего воздействия на защищаемую информацию на предприятии
· Выявить каналы и методы несанкционированного доступа к защищаемой информации на предприятии
· Определить основные направления, методы и средства защиты информации на предприятии
Целями защиты информации предприятия являются:
· предупреждение хищения, утечки, утраты, искажения, подделки конфиденциальной информации (коммерческой тайны и персональных данных);
· предотвращение угроз безопасности личности и предприятия;
· предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;
· предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
· защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
· сохранение, конфиденциальности документированной информации в соответствии с законодательством.
К задачам защиты информации на предприятии относятся:
. Обеспечение управленческой, финансовой и маркетинговой деятельности предприятия режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необходимой информацией, как засекреченной, так и несекретной.
. Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.
. Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности компании.
. Документирование процесса защиты информации, особенно сведений, составляющих коммерческую тайну.
. Организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации.
Основными объектами защиты в ателье являются:
· персонал (так как эти лица допущены к работе с охраняемой законом информацией (коммерческая тайна, персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается)
· объекты информатизации - средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены,
· информация ограниченного доступа:
коммерческая тайна (сведения о применяемых оригинальных методах управления предприятием, сведения о подготовке, принятии и исполнении отдельных решений руководства предприятия по коммерческим, организационным и др. вопросам; сведения о фактах проведения, целях, предмете и результатах совещаний и заседаний органов управления организации (управляющих партнеров и т.д.);
персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника).
персональные данные клиентов (фамилия, имя, отчество, дата рождения, телефон, данные о заказа и о персональных скидках)
· защищаемая от утраты общедоступная информация:
· материальные носители охраняемой законом информации (личные дела работников, личные дела клиентов, электронные базы данных работников и клиентов, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну)
· средства защиты информации (антивирусные программы, система сигнализации и видеонаблюдения, система противопожарной охраны.)
· технологические отходы (мусор), образовавшиеся в результате обработки охраняемой законом информации (личные дела бывших клиентов и сотрудников)
Предметом защиты информации в ателье являются носители информации, на которых зафиксированы, отображены защищаемые сведения:
· Личные дела клиентов в бумажном и электронном (база данных клиентов и работников) виде;
· Приказы, постановления, положения, инструкции,
соглашения и обязательства о неразглашении, распоряжения, договоры, планы,
отчеты, ведомость ознакомления с Положением о конфиденциальной информации и
другие документы, составляющие коммерческую тайну, в бумажном и электронном
виде.
2. Проектная часть
Эффективность современной организации сегодня всё больше определяется степенью использования информационных технологий в процессе его функционирования. Происходит непрерывное увеличение как объема информации, обрабатываемой в электронном виде, так и количества различных информационных систем. В связи с этим на передний план в задаче обеспечения безопасности предприятия выходит разработка политики безопасности и защита информации на предприятии.
Обеспечение защиты информации предусматривает необходимость защиты нескольких видов тайн: коммерческой и персональных данных. Наиболее важной представляется защита персональных данных, так как доверие клиентов в первую очередь основывается на предоставлении своих личных данных, и соответственно, сохранением их сотрудниками организации.
Поэтому целью обеспечения безопасности в ателье
является разработка политики безопасности и обеспечение надежной защиты
информации на предприятии для его нормального функционирования.
.1 Выбор и обоснование модели защиты информации
Основными объектами защиты в ателье являются:
· персонал (так как эти лица допущены к работе с охраняемой законом информацией (коммерческая тайна, персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается)
· объекты информатизации - средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены,
· информация ограниченного доступа:
коммерческая тайна (сведения о применяемых оригинальных методах управления предприятием, сведения о подготовке, принятии и исполнении отдельных решений руководства предприятия по коммерческим, организационным и др. вопросам; сведения о фактах проведения, целях, предмете и результатах совещаний и заседаний органов управления организации (управляющих партнеров и т.д.);
персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника).
персональные данные клиентов (фамилия, имя, отчество, дата рождения, телефон, данные о заказа и о персональных скидках)
· защищаемая от утраты общедоступная информация:
документированная информация, регламентирующая статус предприятия, права, обязанности и ответственность его работников (Устав, журнал регистрации, учредительный договор, положение о деятельности, положения о структурных подразделениях, должностные инструкции работников)
· материальные носители охраняемой законом информации (личные дела работников, личные дела клиентов, электронные базы данных работников и клиентов, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну)
· средства защиты информации (антивирусные программы, система сигнализации и видеонаблюдения, система противопожарной охраны.)
· технологические отходы (мусор), образовавшиеся в результате обработки охраняемой законом информации (личные дела бывших клиентов и сотрудников)
Предметом защиты информации в ателье являются носители информации, на которых зафиксированы, отображены защищаемые сведения:
· Личные дела клиентов в бумажном и электронном (база данных клиентов и работников) виде;
· Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с Положением о конфиденциальной информации и другие документы, составляющие коммерческую тайну, в бумажном и электронном виде.
Угрозы защищаемой информации.
Внешние угрозы:
· Конкуренты (частные ателье, являющиеся конкурентами ателье «Vilden»);
· Административные органы (органы государственной власти);
· Преступники.
Внутренние угрозы:
· Персонал;
· Администрация предприятия.
Классификация угроз:
. По объектам:
.1. Персонал;
.2. Материальные ценности;
.3. Финансовые ценности.
. По ущербу:
.1. Материальный;
.2. Моральный.
. По величине ущерба:
.1. Предельный (полное разорение);
.2. Значительный (некоторая валового дохода);
.3. Незначительный (потеря прибыли).
. По отношению к объекту:
.1. Внутренние;
.2. Внешние.