- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Реестр информационных ресурсов Компании
Конфиденциально
Дата последнего изменения 06.02.2014 г. Ценность ресурса: ОН - очень низкая, Н - низкая, С - средняя, В - высокая, ОВ - очень высокая
Категория |
Название |
Описание |
Размещение |
Использование (бизнес- процессы) |
Формат |
Конфиденциальность |
Целостность |
Доступность |
Максимальны е период недоступности |
Сервисы, приложения |
Владелец |
Веб-сайты |
Корпоративн ый сайт Компании |
http:/ компания.ru |
Офисная сеть |
Представительство компании в сети Интернет |
|
- |
Н |
Н |
1 день |
|
ИТ |
Сайт проекта X |
http:/ проект 1.ru |
ЦОД |
Представительство проекта в сети Интернет, коммуникации с клиентами и партнерами |
|
- |
С |
С |
1 час |
|
ИТ |
|
Сайт проекта Y |
http:/ проект2.т |
ЦОД |
Представительство проекта в сети Интернет, коммуникации с клиентами и партнерами |
|
- |
Н |
С |
1 час |
|
ИТ |
|
Данные по клиентам и партнерам |
Коммерчески е предложения |
|
Файловый сервер |
Работа с клиентами |
doc |
Н |
- |
- |
1 неделя |
|
Департамент продаж |
Электронные сообщения |
Входящая и исходящая электронная почта сотрудников |
Файловый сервер |
Внутренние и внешние коммуникации |
|
В |
- |
С |
3 часа |
|
Все |
|
Презентации |
Презентации для клиентов и партнеров |
Файловый сервер |
Привлечение новых клиентов и партнеров |
ppt |
L |
- |
- |
2 недели |
|
Департамент продаж |
Таблица 1.4
Законодательные и нормативные требования
Краткая формулировка требования |
Полная формулировка требования |
Отметка о выполнении |
Примечание |
Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» |
|||
1. Обеспечение конфиденциальности персональных данных всеми участниками процесса их обработки |
Статья 6. Условия обработки персональных данных 4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их иобработке
Статья 7. Конфиденциальность персональных данных 1. Операторами и третьими лицами, получабщими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных
|
V |
|
2. Получение письменного согласия на обработку персональных данных |
Статья 6. Условия обработки персональных данных 1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных
Статья 7. Конфиденциальность персональных данных 4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных |
V |
|
Таблица 1.5
Контрактные обязательства
Договор, соглашение и другие обязательства |
Требования информационной безопасности |
Отметка о выполнении |
Примечание |
Лицензионные соглашения с производителями ПО |
Соблюдение условий лицензионного договора по использованию ПО и предотвращению несанкционированного распространения программных кодов, серийных номеров и лицензионных ключей
|
V |
|
Договоры с поставщиками, партнерами, клиентами, провайдерами услуг |
Обеспечение конфиденциальности информации, содержащейся в договорах
|
V |
|
Договоры банковского обслуживания
|
Обеспечение конфиденциальности и сохранности ключей шифрования и электронной подписи. Контроль правильности платежной информации Контроль физического доступа к рабочей станции и коммуникационному оборудованию, используемым для осуществления платежей и взаимодействия с банком |
V |
|
Договоры с разработчиками программного обеспечения |
Соблюдения авторского права разработчиков ПО. обеспечение конфиденциальности программных кодов и исходных текстов программ, предотвращение НСД к программным кодам |
? |
|
Таблица 1.6
Требования бизнеса
Бизнес-процессы |
Требования информационной безопасности |
Отметка о выполнении |
Примечание |
Взаимодействие с партнерами |
|
|
|
Маркетинг продукции |
|
|
|
Проектная деятельность |
|
|
|
Техническая поддержка клиентов |
|
|
|
Производственная деятельность |
|
|
|
Поддержка web-сайта |
|
|
|
Разработка продуктов |
|
|
|
Лабораторные исследования |
|
|
|
Управление поставками и закупками |
|
|
|
Общее административное управление |
|
|
|
После определения активов и требований безопасности осуществляется определение ценности активов. В целом, можно выделить следующие этапы определения ценности активов:
определение шкалы ценности активов;
определение критериев оценки ущерба;
получение исходных данных для оценки от владельцев и пользователей актива;
определение последствие для бизнеса в результате нарушения целостности, конфиденциальности и доступности актива;
определение ценности актива отдельно для каждого из трех свойств.
Для определения ценности активов может использоваться как количественная, так и качественная шкала. Типичные термины, используемые для качественного установления ценности активов: пренебрежимо малая, очень низкая, низкая, средняя, высокая, очень высокая, критичная. Критерии, используемые в качестве основы для присвоения ценности каждому активу, должны быть записаны в однозначных выражениях. Возможные критерии, используемые для определения ценности актива, включают его исходную стоимость, стоимость его замены или воссоздания, или ценность, которая может быть абстрактной, например, ценность репутации организации. Еще одной основой для установления ценности активов являются расходы, понесенные из-за потери конфиденциальности, целостности и доступности в результате инцидента.
Перечень критериев для оценки возможного ущерба в результате осуществления угроз в отношении активов может выглядеть следующим образом:
У1 – ущерб коммерческим интересам партнеров и третьих лиц;
У2 – санкции со стороны правоохранительных и регулирующих органов (штрафы, административная и уголовная ответственность)
УЗ – ущерб коммерческим интересам организации;
У4 – финансовые потерн;
У5 – ущерб репутации организации;
У6 – дезорганизация деятельности, ухудшение морального климата в коллективе, снижение эффективности работы.
Для оценки величины возможного ущерба может использоваться пятибалльная качественная шкала (табл. 1.7, 1.8).
Таблица 1.7
Пример шкалы для оценки ущерба репутации организации
Величина ущерба |
Ущерб репутации организации |
0 |
Недовольство со стороны некоторых клиентов |
1 |
Потеря доверия некоторых клиентов или потенциальных клиентов, снижение уровня доверия со стороны некоторых партнером |
2 |
Локальное распространение негативной информации о компании, снижение уровня доверия со стороны партнеров и клиентов |
3 |
Негативная информация о компании распространя-ется через СМИ. Потеря доверия со стороны некото-рой части клиентов и/или партнеров, отказ некото-рых партнеров или клиентов от участия в программе |
4 |
Серьезное ухудшение имиджа организации, потеря доверия со стороны значительной части клиентов и/или партнеров, широкая негативная известность |
Примечание: 0 - минимально возможный (незначительный) ущерб, 4 - максимальный ущерб (разрушительные последствия для организации). Оценка ущерба дается для каждого свойства актива (конфиденциальности, целостности и доступности) независимо.
Результаты оценки ущерба сводятся в таблицу ценности активов (табл. 1.9).
Таблица 1.8
Пример шкалы для оценки прямого финансового ущерба
и ущерба коммерческим интересам организации
Величина ущерба |
Ущерб коммерческим интересам организации |
Финансовые потери |
0 |
Представляет интерес для конкурентов, но не приносит коммерческой выгоды |
Менее 100 000 руб. |
1 |
Представляет интерес для конкурентов и приносит им коммерческую выгоду на сумму менее 1 000 000 руб. |
От 100 000 до 1 000 000 руб. |
2 |
Представляет интерес для конкурентов и приносит им коммерческую выгоду на сумму от 1 000 000 до 10 000 000 руб. |
От 1 000 000 до 10 000 000 руб. |
3 |
Представляет интерес для конкурентов и приносит им коммерческую выгоду на сумму от 10 000 000 до 100 000 000 руб. (упущенная выгода организации) |
От 10 000 000 до 100 000 000 руб. |
4 |
Коммерческие интересы или финансовое положение организации могут быть существенно подорваны, потеря основной доли рынка |
Более 100 000 000 руб., банкротство и прекращение бизнеса |
Таблица 1.9
Оценка величины возможного ущерба и ценности активов
Название актива |
Последствие угрозы |
Требование безопасности |
Тип ущерба |
Ценность актива (величина ущерба) |
Примечание (описание возможных последствий угрозы и ущерба) |
Корпоративный |
К |
|
– |
– |
|
веб-сайт |
Ц |
|
У5 |
1 |
Незначительные затруднения в установлении отношений с новыми партнерами |
|
Д |
|
У5 |
0 |
Посещаемость сайта незначительна |
Сайт проекта X |
К |
|
– |
– |
|
|
Ц |
|
У5 |
3 |
Существенный ущерб имиджу компании, потеря доверия со стороны значительной части клиентов |
|
д |
|
У5 |
3 |
Невозможность получения информации клиентами При недоступности сайта более 1 часа, репутации компании может быть нанесен серьезный ущерб |
Персональные данные клиентов |
к |
|
У2.У5 |
3 |
В случае несанкционированного раскрытия информации из базы персональных данных возможна потеря значительной части клиентов |
|
ц |
|
У2 |
2 |
Возможен срыв маркетинговых мероприятий в случае несанкционированного изменения персональных данных клиентов (email, почтовый адрес, SMS) |
|
|
|
У6 |
3 |
В случае недоступности базы персональных данных более 1 дня |
Примечание: последствия угрозы оцениваются с точки зрения утраты конфиденциальности (К), целостности (Ц) и доступности (Д) актива; среди требований безопасности выделяют законодательные и нормативные требования (Т1), контрактные обязательства (Т2), требования бизнеса (Т3).
Таким образом, в результате идентификации активов получаем перечень активов, подлежащих менеджменту риска, и перечень бизнес- процессов, связанных с активами, а также их значимость.