Введение 4
1 Анализ стандартов и практик в области оценки рисков ИБ, идентификации и оценки важности информационных активов 6
1.1 Общие сведения 6
1.2 Международный стандарт ISO/IEC 27005: 2011 9
1.3 Международный стандарт ISO/IEC 27002: 2013 10
1.4 Стандарт Банка России СТО БР ИББС—1.0—2014 11
1.5 Рекомендации в области стандартизации Банка России РС БР
ИББС—2.2—2009 12
1.6 Национальный стандарт Российской Федерации ГОСТ Р
ИСО/МЭК ТО 18044—2007 13
1.7 Обзор существующих методик и лучших практик в области
идентификации и оценки важности информационных активов организации 14
1.8 Рассмотрение подходов и способов идентификации и оценки
важности информационных активов организации при оценке рисков ИБ 25
2 Анализ систем мониторинга информационной безопасности в части
использования данных мониторинга для идентификации и оценки важности информационных активов предприятия 42
2.1 Полное наименование системы и ее условное обозначение 42
2.2 Назначение, область использования и цель создания системы. .42
2.3 Описание процесса деятельности 46
2.4 Архитектура ЕСМИБ ТУ 47
2.5 Назначение компонентов ЕСМИБ ТУ 50
2.6 Обзор свойств объекта автоматизации 55
3 Процесс идентификации и оценки важности информационных активов 59
4 Предложения по идентификации информационных активов на основе
данных мониторинга информационной безопасности 65
5 Формирование критериев оценки важности информационных активов
на основе данных мониторинга информационной безопасности 66
6 Проверка методики идентификации и оценки важности
информационных активов на основе данных мониторинга информационной безопасности 69
7 Вредные психофизиологические факторы, влияющие на нервную
систему специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие 80
Заключение 83
Список используемых источников 84
Приложение А Журнал работы 87
Приложение Б Методика идентификации и оценки важности информационных активов 135
В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации.
Его основная задача — объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски организации, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности организации.
Оценка важности информационных активов является начальным шагом в процессе управления информационными рисками.
В тоже время другим актуальным и динамично развивающимся направлением стратегического и оперативного менеджмента в области защиты информации является обработка инцидентов информационной безопасности, которая на сегодняшний день часто обсуждаема и актуальна для организации. Как показывают реальные жизненные примеры, необходимость своевременного выявления инцидентов и реагирования на них обусловлена в первую очередь тем, что зачастую на карту поставлены не только конфиденциальность, целостность и доступность информации, но также репутация и деньги, которых в одночасье может лишиться компания, не заметив инцидента, о котором сигнализировали средства защиты.
Оценка важности информационных активов также является начальным шагом обработки инцидентов ИБ.
Работа по определению ценности информационных активов в разрезе всей организации одновременно наиболее значима и сложна. Именно оценка информационных активов позволит начальнику отдела ИБ выбрать основные направления деятельности по обеспечению информационной безопасности. В первую очередь при проведении данной процедуры необходимо получить сведения об активах организации, используемых в ее повседневной деятельности. Ценность актива выражается величиной потерь, которые понесет организация в случае нарушения безопасности актива.
Целью процесса идентификации и оценки важности информационных активов является получение значений важности для выбранных активов организации. Результат этого процесса важен не только для проведения оценки рисков, но и для понимания руководством организации необходимости мероприятий в области ИБ.
В данной дипломной работе необходимо разработать методику идентификации и оценки важности информационных активов организации, которая позволяет автоматизировать действия по получению значений важности активов.
В ходе выполнения дипломной работы был проведен анализ международных и отечественных стандартов и практик в области идентификации и оценки важности информационных активов организации, а также были рассмотрены подходы и способы идентификации и оценки важности информационных активов организации на основе данных мониторинга.
По результатам выполненного анализа была разработана методика идентификации и оценки важности информационных активов организации на основе данных мониторинга с использованием метода парных сравнений.
Поле разработки методики, она была экспериментально проверена на системе мониторинга ИБ ЕСМИБ ТУ, а именно используя журнал работы данной системы мониторинга были выявлены типы информационных активов и проведена их оценка важности.
Результатом выполнения данной методики является ранжированный список важных информационных активов регионального банка.
Полученная оценка важности типов информационных активов, применяется в системе мониторинга ЕСМИБ ТУ при обработке выявленных инцидентов ИБ.
Таким образом, цель дипломного проектирования была достигнута, задание на дипломное проектирование выполнено в полном объеме.
