Тема Информационные угрозы. Методы защиты информации. Предмет защиты. Средства защиты

(σ) Коэффициент вариации, (V)

жүктеу/скачать 5.32 Mb.

бет	27/30
Дата	05.11.2022
өлшемі	5.32 Mb.
	#464064

1 ... 22 23 24 25 26 27 28 29 30

8-16 лекции

(σ)
Коэффициент вариации, (V)
а₁
а₂

а_i
b₁
b₂
b₃

Этап 2. При проведении контроля реализации требований осуществляются следующие мероприятия:

Шаг 1. Формирование анкет для проведения контроля реализации требований;
Шаг 2. Непосредственное проведение контроля реализации требований; Шаг 3. Ввод результатов контроля в БД.
Шаг 1. Проведение контроля реализации требований осуществляется методом анкетирования. С учетом имеющейся в БД информации, введенных исходных данных автоматически формируются следующие анкеты:
анкета требований к составу ОРД, изложенных в нормативных правовых актах, представлена в таблице 3.2.;

Рисунок 3.1 – Диалоговое окно ввода информации
Таблица 3.2 Анкета требований к составу ОРД, изложенных в нормативных правовых актах

Номер требовани я (s)	Наименование документа	Единичные показатели, фактическое выполнение требования _(pфнп ₎ s
1	Политика информационной безопасности
2	Правила рассмотрения запросов субъектов персональных данных или их представителей


21	Правила работы с обезличенными данными
S = 21

анкета требований к составу ОРД, изложенных в нормативных документах в области защиты информации. Содержание анкеты представлено в таблице 3.3;

Таблица 3.3 Анкета требований к составу ОРД, изложенных в нормативных документах

Номер требовани я (n)	Наименование документа	Единичные показатели, фактическое выполнение требования _(pфнд ₎ s
1
2


18
N = 18

анкета требований к уровню квалификации специалистов по ТЗИ, которая оформляется в виде таблицы 3.4;

анкета требований к составу подразделений, специалистов, обеспечивающих защиту информации в организации. Анкета оформляется в виде таблицы 3.5.
анкета требований к системе защиты информации информационной системы, в том числе ИСПДн. Данные требования определяются с учетом класса защищенности информационной системы и базового набора требований к системе защиты информации информационной системы, в том числе ИСПДн, изложенные в документах [9, 11, 12]. Содержание анкеты представлено в таблице 3.6. В приложении К приведена анкета требований к системе защиты информации информационной системы 4 класса защищенности, а в приложении Л анкета требований к системе защиты информации информационной системы персональных данных 2 класса защищенности персональных данных.
Таблица 3.4 Анкета требований к уровню квалификации специалистов по ТЗИ

№ (l)	Наименовани е должности	Номер требован ия (q^l)	Наименование квалификационных требований к специалистам	Единичные показатели , фактическо е выполнени е (p^фl)
1	Главный специалист по ТЗИ	1	Высшее профессиональное образование по специальности "Информационная безопасность"
		2	стаж работы по технической защите информации не менее 5 лет, в том числе на руководящих должностях не менее 3 лет.
		q¹ = 2


6	Администрат ор по обеспечению безопасности информации	1	Высшее профессиональное образование по специальности "Информационная безопасность"
		2	стаж работы в должности специалиста по защите информации не менее 3 лет.
		q⁶ = 2
L = 6

Таблица 3.5 Анкета требований к составу подразделений, специалистов, обеспечивающих защиту информации в организации

№ п/п (m)	Наименование требования	Единичные показатели, фактическое выполнение (p^фс_m)
1	Наличие структурного подразделения

8
М = 8

Количество анкет с требованиями к системам защиты информации информационных систем соответствует количеству информационных систем, функционирующих в организации.

Таблица 3.6 Анкета требований к системе защиты информации ИС (ИСПДн)

класса защищенности

№ ФП r	Наименование ФП	Номер меры h_r	Наименование требуемой меры	Единичные показатели, фактическое выполнение ^p^фrh
1	Идентификация и аутентификация субъектов доступа и объектов доступа	1	Идентификация и аутентификация пользователей, являющихся работниками оператора	1
		2	Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов	0
		3
		4
		5	Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)	0
		h₁ = 5


11	Защита информационной системы, ее средств, систем связи и передачи данных	1	Обеспечение ЗИ от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы КЗ, в том числе беспроводным каналам связи	1
11		2	Запрет несанкционированной	1
			удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств
		h₁₁ = 2
R = 11

Шаг 2. Контроль реализации требований выполняется членами комиссии, осуществляющими аудит информационной безопасности организации. В ходе контроля проверяется выполнение требований по каждой анкете и в графе

«Единичные показатели, фактическое выполнение» проставляется «1» в случае выполнения требования и «0» в противном случае.
Шаг 3. По завершении контроля реализации требований данные из анкет (графа «Единичные показатели, фактическое выполнение») вводятся в систему с использованием диалогового окна представленного на рисунке 3.1. После ввода фактических значений единичных показателей требований к СОИБ организации производится запуск на решение задачи оценки СОИБ предъявляемым требованиям.
Этап 3. После запуска задачи оценки состояния СОИБ программа по алгоритму (см. раздел 2.4 и рисунок 2.14) осуществляет расчет показателей состояния СОИБ в соответствии с выражениями (2.1 – 2.10).
Этап 4. Результаты вычислений могут выдаваться как в количественном виде с соответствующей цветовой подсветкой, так и графической форме.
На данном этапе осуществляется решение задач оценки и анализа состояния СОИБ.
При формировании значений показателей оценки в количественном виде соответствие оценки состояния, ее значения и цветовой гаммы определяется с учетом характеристик представленных в таблице 3.7.
Таблица 3.7 Характеристика состояния системы обеспечения информационной безопасности

Оценка состояния системы обеспечения информационной безопасности	Значение комплексного показателя, %	Цвет поля
«отлично»	W = 100	зелѐный
«хорошо»	70 ≤ W < 100	жѐлтый
«удовлетворительно»	40 ≤ W < 70	розовый
«неудовлетворительно»	0 ≤ W <40	красный

Вывод на экран значений комплексных показателей выполняется следующим образом.

После решения задачи на экране отображаются значения комплексных показателей соответствия, предъявляемым требованиям: СОИБ в целом; правовых, организационных и технических мер защиты информации. На экран информация выводится в виде, представленном на рисунке 3.2.

Рисунок 3.2 – Результаты оценки состояния системы обеспечения информационной безопасности организации

В случае, если полученные результаты имеют оценку «отлично», то работа на этом
завершается. Если полученные результаты имеют оценку ниже «отлично», то специалист переходит в режим анализа состояния СОИБ с целью выявления слабых мест путем нажатия на соответствующую кнопку (стрелка на рисунке 3.2).
После нажатия кнопки на экран в диалоговом окне в виде, как показано на рисунке 3.3, высвечиваются подсистемы значения оценочных показателей у которых ниже «отлично»

Рисунок 3.3 – Результаты оценки состояния систем защиты информации информационных систем

Получив информацию по СЗИ ИС и нажав на кнопку (стрелка на рисунке 3.3), в диалоговом окне появится информация в виде, представленном на рисунке 3.4.
В диалоговом окне выводится информация по тем функциональным подсистемам СЗИ ИС, в которых не выполнены все требования по защите информации.
На данном шаге выявляются единичные показатели, по которым не выполнены требования по защите информации. Для этого должностное лицо нажимает на соответствующую кнопку (стрелка на рисунке 3.4). Форма представления информации показана на рисунках 3.5, 3.6.
Единичные показатели выводятся в табличной форме позволяющей делать прокрутку для просмотра всего перечня. На экран выводятся только не выполненные требования единичных показателей.

Рисунок 3.5 – Результаты оценки состояния функциональных подсистем системы защиты информации

Рисунок 3.6 – Результаты оценки выполнения требований единичных

показателей
В такой же последовательности выполняются шаги 1 – 4 и случаях, если правовые и организационные меры по защите информации имеют оценку ниже
«отлично».

Рисунок 3.7 – Результаты оценки выполнения требований единичных

показателей
Таким образом, суть работ четвертого этапа сводится к анализу и выявлению, в конечном счете, всех не выполненных требований по всем направлениям работ по обеспечению информационной безопасности в организации. Особенностью данного этапа является то, что должностному лицу последовательно на экран выводятся данные только по состоянию, имеющих оценку «хорошо», «удовлетворительно» и «неудовлетворительно». Тем самым концентрируется внимание только на не решенных задачах по обеспечению информационной безопасности в организации.
Вывод результатов оценки состояния СЗИ ИС в графическом виде осуществляется в диалоговом окне, показанном на рисунке 3.8.
На рисунке 3.8, в качестве примера, представлены результаты оценки состояния СЗИ ИС для организации, в которой функционируют две ИС, обрабатывающие коммерческую тайну (КТ) и персональные данные (ПДн).
Представление информации в таком виде позволяет должностному лицу в целом увидеть состояние СЗИ как по всем информационным системам, так и по отдельным функциональным подсистемам этих информационных систем.

Рисунок 3.8 - Результаты оценки состояния СЗИ ИС

На этапе 5 выполняется формирование перечня рекомендаций по совершенствованию состояния информационной безопасности в организации.
Шаг 1. В формате текстового редактора Word автоматически формируется перечень не выполненных единичных показателей в виде таблицы. Наименования показателей соответствует тем, как они внесены в базу данных. Пример сформированного перечня представлен на рисунке 3.9.

Рисунок 3.9 – Проект Плана мероприятий по обеспечению информационной
безопасности
Шаг 2. Должностное лицо на экране корректирует содержание графы
«Мероприятия», заполняет графы «Срок выполнения»,
«Исполнитель/Ответственный» и выводит План реализации на печать с последующим представлением его на утверждение руководителю организации. На рисунке 3.10 приведен пример скорректированного Плана реализации рекомендаций по совершенствованию СОИБ организации.
На рисунке 3.11 представлена последовательность реализации процедур методики оценки состояния системы обеспечения информационной безопасности организации.

Рисунок 3.10 – Скорректированный проект Плана мероприятий по обеспечению информационной безопасности
При проведении в организации повторного аудита информационной безопасности, если характеристики СЗИ ИС не изменялись, то методика реализуется с блока формирования анкет контроля выполнения требований.
В случае изменения требований к защите информации, получения практики эксплуатации информационных систем, изменения структуры СОИБ, появления новых информационных систем реализация методики начинается с блока первичного заполнения БД. Это вызвано необходимостью корректировки исходных данных и приведения их в соответствии с нормативными правовыми актами и нормативными документами в области информационной безопасности.

Рисунок 3.11 – Последовательность реализации процедур методики оценки состояния системы обеспечения информационной безопасности

Разработанная методика оценки состояния СОИБ в отличие от существующих, позволяет выполнять экспресс-оценку состояния информационной безопасности организации при проведении аудита информационной безопасности, периодического контроля эффективности обеспечения ЗИ, автоматизировать процесс выработки рекомендаций по совершенствованию информационной безопасности организации, а также обеспечивает решение задач оценки и анализа состояния СОИБ.

жүктеу/скачать 5.32 Mb.

Достарыңызбен бөлісу:

1 ... 22 23 24 25 26 27 28 29 30