Тема Информационные угрозы. Методы защиты информации. Предмет защиты. Средства защиты
Методика оценки состояния системы обеспечения информационной безопасности организации
жүктеу/скачать 5.32 Mb.
|
| Методика оценки состояния системы обеспечения информационной безопасности организации.
Разработка методики оценки состояния информационной безопасности организации. Методика предназначена для организации и проведения оценки состояния системы информационной безопасности на предпроектной стадии создания систем защиты информации, при проведении внутреннего (внешнего) аудита информационной безопасности, аттестации информационных систем по требованиям безопасности информации, оценки эффективности реализованных в рамках систем защиты персональных данных ИСПДн. Методика является завершающим этапом технологии оценки состояния СОИБ и реализуется путем выполнения следующих процедур: 1 этап - Подготовка и ввод исходных данных в БД ПОС СОИБ; 2 этап - Проведение контроля реализации требований; 3 этап - Расчет комплексных показателей оценки состояния СОИБ; 4 этап - Интерпретация результатов вычислений; 5 этап - Разработка рекомендаций по совершенствованию СОИБ. На первом этапе осуществляется: Первичное заполнение базы данных (БД). В базу данных вводится следующая информация: - перечень видов, защищаемой информации {hи}. основными видами, защищаемой информации являются: служебная информация; коммерческая тайна; персональные данные; общедоступная и другие сведения конфиденциального характера в соответствии с; - перечни требований к составу ОРД, изложенных в нормативных правовых актах {pнп} и нормативных документах {pнд} в области обеспечения информационной безопасности. Таблицы требований формируются для каждого вида, защищаемой информации. В качестве примера, в приложении Г приведены требования к составу ОРД для обеспечения безопасности персональных данных; - перечни требований к структурным подразделениям {pс} и квалификации сотрудников данных подразделений {pк}. В приложении Д представлены требования к квалификации сотрудников подразделений по ТЗИ. - перечень типов информационных систем {δ} . В приложении Е представлен перечень возможных типов информационных систем; - перечень требований, предъявляемых к СЗИ информационных систем и СЗИ информационных систем персональных данных, а также к уровню защищенности персональных данных {рфп}. В приложении Ж приведен перечень требований к СЗИ в соответствии с, в приложение И к уровню защищенности персональных данных. - классы защищенности информационных систем {qис}. Устанавливаются четыре класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс – четвертый, самый высокий – первый. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных. Эта информация, представляет собой класс нормативно-справочной информации, которая актуальна для любых организаций. Определение и ввод в БД коэффициентов весомости ai, b1, b2, b3. Расчет значений коэффициентов весомости осуществляется на основе мнения специалистов (экспертов). Для проведения экспертной оценки формируется группа из 5 – 7 экспертов. Экспертиза проводится с использованием процедуры непосредственной оценки. Один из методов определения весов состоит в следующем. Пусть xij – оценка фактора i, данная j-ым экспертом, i = 1÷n , j = 1÷m, n – число сравниваемых объектов, m – число экспертов. Тогда вес i-го объекта, подсчитанный по оценкам всех экспертов (wi), равен: Wi = , где где wij – вес i-го объекта, подсчитанный по оценкам j-го эксперта, равен: wij = Для анализа разброса и согласованности оценок применяются следующие статистические характеристики – меры разброса: а) среднее квадратическое отклонение, вычисляемое по известной формуле: где xj - оценка, данная j-ым экспертом; m - количество экспертов; хэ - обобщенная оценка группы экспертов где xj - оценка j-го эксперта, j = 1 m, m – число экспертов; б) коэффициент вариации (V), который обычно выражается в процентах: Результаты вычислений оформляются в виде таблицы 3.1. Ввод в базу данных характеристик ИС: типы информационных систем, функционирующих в организации; количество информационных систем каждого типа; классы защищенности информационных систем каждого типа. Ввод данных осуществляется с использованием диалогового окна представленного на рисунке 3.1. Таблица 3.1 Значения коэффициентов весомости
жүктеу/скачать 5.32 Mb. Достарыңызбен бөлісу:
|