Тема Информационные угрозы. Методы защиты информации. Предмет защиты. Средства защиты
Этап 3. Оценка возможности возникновения и реализации угроз утечек информации
жүктеу/скачать 5.32 Mb.
|
- Бұл бет үшін навигация:
- Кто проводит оценку эффективности защиты информации
| Этап 3. Оценка возможности возникновения и реализации угроз утечек информации
Этот этап состоит из: определения источников утечек. Определяются внешние и внутренние антропогенные источники (лица и группы лиц), которые могут реализовать угрозу ИБ путем несанкционированного доступа к данным или воздействия на информационные ресурсы. Источники рекомендуется классифицировать исходя из их возможностей по реализации угроз утечек данных. При этом следует рассматривать возможность возникновения намеренных, а также непреднамеренных утечек; оценки способов реализации угроз ИБ. Это может быть несанкционированная передача третьим лицам информации по каналам связи, внедрение вредоносного ПО, использование недекларированных возможностей программного обеспечения, перехват информации, а также ошибки и неумышленные действия, которые могут привести к утечкам; оценки актуальности различных видов угроз для конкретной информационной системы / компании. Актуальность оценивается по наличию сценариев реализации угрозы: при наличии хотя бы одного сценария, который можно реализовать в конкретной информационной системе, она считается актуальной. Кто проводит оценку эффективности защиты информации Для этой процедуры создается экспертная группа. В нее могут входить собственные специалисты, либо эксперты сторонних компаний, предлагающих такие услуги. Рекомендуется включать в состав экспертной группы представителей компании, отвечающих за: обеспечение информационной безопасности; эксплуатацию сетей связи; цифровую трансформацию (при наличии); эксплуатацию АСУ; выполнение основных (критических) бизнес-процессов в компании. Опыт показывает, что о качестве определения уровня защищенности важных данных от утечек можно говорить при наличии в группе не менее 3 экспертов, отвечающих за разные сферы. Для оценки параметров защиты рекомендуется использовать опросный метод с максимально четкими и однозначно трактуемыми вопросами. По результатам опроса оценивается уровень защищенности системы. Видно, что процесс оценки защищенности информации от утечки довольно сложный и многогранный. Здесь не подойдет шаблонный подход. Если у вас возникает необходимость в этом, есть смысл подумать о привлечении экспертов со стороны. Например, представителей компании-разработчика DLP-систем, у которых уже есть опыт внедрения решений в разных компаниях и проведения необходимых для этого оценок. В настоящее время, использование информации способствует развитию всех сфер деятельности государства в целом и отдельно взятого предприятия в частности, и, в конечном счете, приводит к значительным успехам в экономике, бизнесе, финансах и т.д. Обладание ценной информацией, предоставляет существенные преимущества, при этом возлагает на ее обладателей, высокую степень ответственности за ее сохранность и защиту от возможного внешнего воздействия различного рода факторов и событий, носящих как преднамеренный, так и случайный характер. Обеспечение информационной безопасности в органах власти и организациях (далее – организации) является неотъемлемой частью общей системы управления, необходимой для достижения уставных целей и задач. Значимость систематической целенаправленной деятельности по обеспечению информационной безопасности становится тем более высокой, чем выше степень автоматизации на предприятии бизнес-процессов. Обеспечение информационной безопасности, основные требования, организационные и технические меры и процедуры непосредственно регламентируются федеральным законодательством, и надзор за выполнением требований осуществляется органами власти. В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенноцифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации. Одним из основных этапов процесса управления информационной безопасностью (ИБ) является оценка состояния системы обеспечения информационной безопасности (СОИБ). Оценка состояния СОИБ выполняется: при осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных, оценке эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных, при проведении контроля за принимаемыми мерами по обеспечению безопасности персональных данных на этапах предпроектного обследования и аттестации государственных и иных информационных систем, обрабатывающих ИОД, не содержащую сведений составляющих государственную тайну, а также общедоступную информацию; при оценке эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных; при контроле выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн. Оценка состояния ИБ выполняется по всем ИС, функционирующим в организации. В ходе оценки состояния проверке подвергаются: разработанные в организации организационно-распорядительные документы; наличие и квалификация специалистов; выполнение технических мер по защите информации для каждого сегмента ИС, обрабатывающей защищаемую информацию. Так, для защиты информации ограниченного доступа (служебная информация, коммерческая тайна) необходимо разработать и иметь в наличии 17 документов для защищаемого помещения и 27 документов на АС. Для обеспечения безопасности ПДн операторы должны разработать и иметь в наличии от 69 до 78 документов. В свою очередь оценка соответствия состава мер защиты ИОД, не содержащей сведений, составляющих 7 государственную тайну, должна осуществляться для ИС 4-го уровня защиты как минимум по 36 параметрам, входящим в базовый набор требований, а для ИС 1-го уровня защиты – по 83 параметрам. Для общедоступной информации оценка должна проводиться по 18 параметрам. Оценка соответствия состава мер защиты для ИСПДн 4-го уровня защищенности ПДн должна выполняться по 26 параметрам, входящим в базовый набор требований, а для ИСПДн 1-го уровня защищенности ПДН – по 68 параметрам. Таким образом, если принять, что в организации имеется только по одной ИС, обрабатывающей соответственно служебную информацию, персональные данные, коммерческую тайну и общедоступную информацию, т.е. имеется четыре сегмента, то в этом случае оценке подлежат 157 – 168 организационнораспорядительных документа и 116 параметров, если в организации функционируют ИС 4-го уровня защиты и ИСПДн 4-го уровня защищенности ПДн, если в организации функционируют ИС 1-го уровня защиты и ИСПДн 1-го уровня защищенности ПДн, то оценка должна проводиться по 282 параметрам. Результаты оценки состояния (контроля эффективности) принятых мер защиты информации должны представляться как в качественном, так и количественном формате. Следовательно, задача оценки эффективности мер защиты информации, является достаточно сложной, емкой, рутинной и требует привлечения квалифицированных экспертов (специалистов). Очевидно, решение этой задачи обусловливает необходимость применения методик базирующихся на современном математическом аппарате с возможностью автоматизации этой процедуры. жүктеу/скачать 5.32 Mb. Достарыңызбен бөлісу:
|