Тема Информационные угрозы. Методы защиты информации. Предмет защиты. Средства защиты


Методика оценки состояния системы обеспечения информационной безопасности организации



бет26/30
Дата05.11.2022
өлшемі5.32 Mb.
#464064
1   ...   22   23   24   25   26   27   28   29   30
8-16 лекции

Методика оценки состояния системы обеспечения информационной безопасности организации.
Разработка методики оценки состояния информационной безопасности организации.
Методика предназначена для организации и проведения оценки состояния системы информационной безопасности на предпроектной стадии создания систем защиты информации, при проведении внутреннего (внешнего) аудита информационной безопасности, аттестации информационных систем по требованиям безопасности информации, оценки эффективности реализованных в рамках систем защиты персональных данных ИСПДн.
Методика является завершающим этапом технологии оценки состояния СОИБ и реализуется путем выполнения следующих процедур:
1 этап - Подготовка и ввод исходных данных в БД ПОС СОИБ;
2 этап - Проведение контроля реализации требований;
3 этап - Расчет комплексных показателей оценки состояния СОИБ;
4 этап - Интерпретация результатов вычислений;
5 этап - Разработка рекомендаций по совершенствованию СОИБ. На первом этапе осуществляется:

  1. Первичное заполнение базы данных (БД).

В базу данных вводится следующая информация:
- перечень видов, защищаемой информации {hи}. основными видами, защищаемой информации являются: служебная информация; коммерческая тайна; персональные данные; общедоступная и другие сведения конфиденциального характера в соответствии с;
- перечни требований к составу ОРД, изложенных в нормативных правовых актах {pнп} и нормативных документах {pнд} в области обеспечения информационной безопасности. Таблицы требований формируются для каждого вида, защищаемой информации. В качестве примера, в приложении Г приведены требования к составу ОРД для обеспечения безопасности персональных данных;
- перечни требований к структурным подразделениям {pс} и квалификации сотрудников данных подразделений {pк}. В приложении Д представлены требования к квалификации сотрудников подразделений по ТЗИ.
- перечень типов информационных систем {δ} . В приложении Е представлен перечень возможных типов информационных систем;
- перечень требований, предъявляемых к СЗИ информационных систем и СЗИ информационных систем персональных данных, а также к уровню защищенности персональных данных {рфп}. В приложении Ж приведен перечень требований к СЗИ в соответствии с, в приложение И к уровню защищенности персональных данных.
- классы защищенности информационных систем {qис}. Устанавливаются четыре класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс – четвертый, самый высокий – первый. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
Эта информация, представляет собой класс нормативно-справочной информации, которая актуальна для любых организаций.

  1. Определение и ввод в БД коэффициентов весомости ai, b1, b2, b3.

Расчет значений коэффициентов весомости осуществляется на
основе мнения специалистов (экспертов). Для проведения экспертной оценки формируется группа из 5 – 7 экспертов. Экспертиза проводится с использованием процедуры непосредственной оценки. Один из методов определения весов состоит в следующем. Пусть xij – оценка фактора i, данная j-ым экспертом, i = 1÷n , j = 1÷m, n – число сравниваемых объектов, m – число экспертов.
Тогда вес i-го объекта, подсчитанный по оценкам всех экспертов (wi), равен:

Wi = ,


где где wij – вес i-го объекта, подсчитанный по оценкам j-го эксперта, равен:
wij =
Для анализа разброса и согласованности оценок применяются следующие статистические характеристики – меры разброса:
а) среднее квадратическое отклонение, вычисляемое по известной формуле:


где xj - оценка, данная j-ым экспертом; m - количество экспертов; хэ - обобщенная оценка группы экспертов




где xj - оценка j-го эксперта, j = 1 m, m – число экспертов;
б) коэффициент вариации (V), который обычно выражается в процентах:

Результаты вычислений оформляются в виде таблицы 3.1.



  1. Ввод в базу данных характеристик ИС:

типы информационных систем, функционирующих в организации; количество информационных систем каждого типа;
классы защищенности информационных систем каждого типа.
Ввод данных осуществляется с использованием диалогового окна представленного на рисунке 3.1.
Таблица 3.1 Значения коэффициентов весомости



Обозначение коэффициента весомости

Значение коэффициента весомости

Среднее квадратическое отклонение,


Достарыңызбен бөлісу:
1   ...   22   23   24   25   26   27   28   29   30




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет