Управление информационной безопасностью на предприятии
Организация. Цели n Прибыль n Доля рынка n Качество оказания услуг
Организация. Задачи Снижение затрат на 20% n Привлечение клиентов на 10000$ n Средний срок работы сотрудника > 5 лет n Вывод нового продукта на рынок через 6 месяцев n Количество положительных отзывов клиентов > 90% n
Организация. Процессы Производство n Финансирование n Маркетинг n Продажи n Управление персоналом n Исследования и разработка новых продуктов n
Процессы. Характеристики n n n n n Владелец (ответственный) Вход Выход Поставщик Потребитель Субподрядчик Ресурсы Персонал Условия «внешней среды»
Процессы. Оценка работы Результат работы каждого ПРОЦЕССА характеризуется некоторыми величинами – ПОКАЗАТЕЛЯМИ. По показателям можно понять, эффективно ли работает процесс, приводит ли он к реализации ЗАДАЧИ, соответствующей данному процессу. Если показатели не в допустимых рамках– ситуация является опасной, так как не является запланированной. Это нарушение непрерывности бизнес-процесса.
Безопасность – это состояние, в котором объекту не угрожает опасность (угроза). Угроза – это фактор, вследствие которого показатели работы некоторых процессов выходят за рамки допустимых. Обеспечение безопасности – минимизация вероятности возникновения угроз и минимизация ущерба в случае реализации угроз.
Угрозы. Причины Внешняя среда не соответствует комфортной, то есть условия работоспособности процесса не выполнены (отказ ключевых механизмов, отказ обеспечения). n Процессы работают не так, как запланировано (нарушение инструкций). n Входы и ресурсы процесса не соответствуют заданным параметрам (часто является следствием первых двух типов угроз) n
Угрозы. Примеры Отключение электропитания, отключение канала связи, землетрясение, вор, вирусная атака, атака хакера, эпидемия и т. д. n Саботаж, кража материальных ценностей сотрудниками, ошибки персонала, нетрудоспособность сотрудника, программный сбой и т. д. n Срыв поставки материалов, брак, ошибки в данных и т. д. n
Ценности Материальные ценности n Персонал n Информация и информационная система n
Информационная безопасность. Объекты защиты n Бумажные носители n Электронные носители n ИТ сервисы n Персонал (люди – носители информации)
Процессы. Информация в процессе может быть: n Входом n Выходом ВХОДЫ И ВЫХОДЫ ИНФОРМАЦИИ В ПРОЦЕССНОЙ МОДЕЛИ ОПРЕДЕЛЯЮТ ИНФОРМАЦИОННЫЕ ПОТОКИ
Процессы. Информация Информационный поток – перемещение информации между субъектами (людьми), либо между субъектом (человеком) и сервисом, либо между сервисами. Информационный ресурс – хранилище документированной информации.
Информация. Примеры Сведения о клиентах n Финансовые показатели n Персональные данные n Ноу-хау n Статистика n
Информация Информационные ресурсы Информационные потоки Формализованные Неформализованные
Информация. Характеристики n n Степень конфиденциальности – права доступа у информации Степень важности целостности – степень необходимости контролировать изменения Степень важности доступности – критический срок ее отсутствия Срок хранения архива Характеристики определяются требованиями бизнес-процессов и владельцами информации
Категорирование. Сводная таблица Исходя из описания процессов и опроса владельцев информации и руководителей предприятия получаем сводную таблицу: Информац. ресурс Конфиденциальност ь Целостность Доступнос ть Заявки клиентов Доступно сотрудникам клиентского отдела. Любой сотрудник имеет право ознакомиться. Важно знать автора последнего изменения 1 час Финансовая отчетность Доступно бухгалтеру, главному бухгалтеру, Юридически определить автора 6 часов
Проверка корректности На основе сводных данных необходимо проверить корректность процессов на соответствие естественным требованиям. В первую очередь это касается прав доступа и срока допустимого нарушения доступности. При необходимости нужно вносить изменения в процессы.
БЕЗОПАСНОСТЬ НАИБОЛЕЕ ЭФФЕКТИВНА, КОГДА ОНА ЗАЛОЖЕНА В СТРУКТУРЕ, ТО ЕСТЬ В ПРОЦЕССАХ!!!
Категорирование. Конфиденциальность • • Общедоступная Для служебного пользования (ДСП) Строго конфиденциально Государственная тайна Важно идентифицировать информацию, которую необходимо защищать по закону (профессиональная тайна, персональные данные, данные по договорам с контрагентами)
Категорирование. Целостность Отсутствие фиксирования изменений и их источников n Фиксирование изменений и их источников (журналирование) n Юридически значимое фиксирование изменений и их источников (ЭЦП) n
Категорирование. Доступность • • • Максимальное время отсутствия доступности: 1 неделя 1 день 3 часа 1 час 5 минут
Сервисы. Безопасность Конфиденциальность – строго определены права доступа к сервису и контролируется их выполнение Целостность – процесс внесения изменений в сервис является строго регламентированным Доступность – обеспечена устойчивая работоспособность сервиса и доступ к нему
ИТОГ Мы определили состояние информационных ресурсов и сервисов, которое является безопасным
Угрозы. Примеры Отключение электроэнергии n Саботаж n Неисправность оборудования n Взлом информационной системы n …… n
УГРОЗЫ Естественные (объективные) Случайные Внешние Искусственные (субъективные) Преднамеренные Внутренние
Угрозы. Характеристики Источник n Направление (изнутри, снаружи) n Вероятность реализации n Последствия реализации (ущерб) n
Модель угроз Угроза 1 Угроза 2 Угроза N Риск 1 Риск 2 Риск M Контрмера 1 Контрмера 2 Контрмера K
Модель угроз – это описание исчерпывающего множества угроз с описанием их источника, направления, описания рисков применительно к каждой категории информационных ресурсов, потоков и сервисов
Источники угроз Естественные – определяется природными явлениями, законами физики и т. д. n Искусственные – определяется антропогенными факторами и человеческим поведением n
Источники угроз. Определения Нарушитель – это лицо, предпринявшее попытку выполнения запрещенных действий по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового и использующее для этого различные возможности, методы и средства
Модель нарушителя Категория лиц n Мотивы действия n Квалификация и техническая оснащенность n Характер возможных действий n
Модель нарушителя. Внутренние нарушители n Конечные пользователи системы n Персонал, обслуживающий тех. средства n Программисты n Администраторы информационной безопасности n Руководители различных уровней
Модель нарушителя. Внешние нарушители n Технический персонал n Клиенты n Посетители n Представители конкурентов
Модель нарушителя. Мотивы n Безответственность n Самоутверждение n Вандализм n Принуждение n Месть n Корыстный интерес n Идейные соображения
Модель нарушителя. Квалификация Знает функциональные особенности АС, умеет пользоваться штатными средствами n Обладает высоким уровнем знаний и опытом работы с тех. средствами АС n Обладает высоким уровнем знаний и опытом работы в программировании n Знает структуру, механизмы средств защиты АС, их сильные и слабые стороны n
Модель нарушителя. Технические средства Только агентурные методы n Только пассивные средства (перехват без модификации системы) n Только штатные средства АС и недостатки систем защиты, а также компактные накопители данных n Методы и средства активного воздействия n
Риски Риск – вероятностное следствие реализации угрозы, влекущее за собой ущерб. o o Риски определяются: Вероятностью Потерями
Меры противодействия Снижение риска возможно как через уменьшение вероятности угрозы, так и через снижение ущерба вследствие ее реализации Меры противодействия – снижают вероятность реализации угрозы и снижают ущерб в случае их реализации
Оценка рисков В простейшем случае: R=Px. Y R – степень риска P – вероятность реализации угрозы Y – потери от реализации угрозы
Оценка рисков. Вероятность Событие А – кража 1 ноутбука Вероятность кражи хотя бы одного ноутбука из 50 равняется 64%
Оценка рисков. Последствия • Разглашение персональных данных • Разглашение коммерческой и конфиденциальной информации • Утеря рабочих несекретных данных • Утеря ноутбука
Оценка рисков. Потери o Разглашение персональных данных Иски владельцев персональных данных, санкции госорганов = 20000$ o Разглашение коммерческой конфиденциальной информации Усиление конкурентов, потеря клиентов = 30000$ o Утеря рабочих несекретных данных Затраты на восстановление данных = 500$ o Утеря ноутбука Стоимость ноутбука = 2000$
Меры снижения потерь o Разглашение персональных данных o Разглашение коммерческой конфиденциальной информации Шифрование данных = 10000$ o Утеря рабочих несекретных данных Резервное копирование = 5000$ o Утеря ноутбука Спутниковая система слежения = 25000$
Угроза Риск Разглашение 20000$ * 64% = персональных данных, 12800$ хранящихся на ноутбуке Разглашение 30000$ * 64% = конфиденциальных 19200$ коммерческих данных, хранящихся на ноутбуке Затраты на снижение потерь 10000$ (средства криптозащиты на каждый ноутбук) Восстановление информации 500$ * 64% = 320$ 5000$ (система резервирования данных) Утеря ноутбука 2000$ * 64% = 1280$ 25000$ (GPS передатчик на каждый ноутбук)
ИТОГ На основании модель угроз, модели нарушителя возможно разработать набор контрмер, позволяющих минимизировать риски с учетом экономической эффективности
Скачать презентацию Управление информационной безопасностью на предприятии Организация Цели
7 - Задачи предприятия.pptx