Анализ информационной безопасности предприятия. Оценка рисков нарушения информационной безопасности

Классификация и виды активов предприятия подразделяются в зависимости от характера владения, формы использования, состава, степени ликвидности и прочим основным признакам. Что представляют собой активы компании? Как отражаются в балансе предприятия? Разберем структуру имущественных ценностей бизнеса с позиции финансового менеджмента – подробная таблица показателей с примерами приведена ниже.

Понятие и классификация активов

Все активы делятся на большие группы, охватывающие как материальные объекты, так и нематериальные. При этом к имуществу предприятия относят не только ТМЦ, основные средства , НМА , но и денежные средства и приравненные к ним, а также финансовые вложения, то есть любые ценности, чья стоимость может быть выражена в денежной оценке. Существует много разновидностей активов, которые отражаются в правой части баланса , уравновешивая общий капитал предприятия (пассив).

Классификация активов:

  1. По скорости оборота – на долгосрочные внеоборотные (со скоростью обращения в финансово-хозяйственной деятельности больше 12 мес.) и краткосрочные оборотные (непрерывно участвуют в деятельности компании).
  2. По степени ликвидности – в зависимости от скорости трансформации актива в свободные денежные средства подразделяются на максимально ликвидные (А1), труднореализуемые (А4) и средние – оперативно реализуемые (А2), а также медленно реализуемые (А3).
  3. По вещественности или материальности – на материальные или реальные активы – это , к примеру, готовая продукция, товары, сырье, топливо и прочие физические ценности. Также в эту группу входят нематериальные объекты (деловая репутация, ПО, товарные знаки и др.) и финансовые (вложения, наличные и безналичные средства, дебиторские обязательства).
  4. По источникам формирования – на общие валовые и чистые . Первые также именуются суммарными совокупными активами – в балансе это итоговый показатель раздела «Активы». Чистые рассчитываются в установленном порядке, исходя из сформированных активов только за счет собственных средств компании. Получение в результате показателя отрицательных активов может являться одним из основных признаков необходимости принудительной ликвидации бизнеса.
  5. По характеру владения – на арендованные, используемые безвозмездно или собственные.
  6. По виду налоговых расчетов – на отложенные активы, учитываемые по сч. 09, и отложенные налоговые обязательства, принимаемые по сч. 77. Понятия применяются теми фирмами, которые используют нормы ПБУ 18/02 в целях законного снижения налогооблагаемой базы по налогу с прибыли.
  7. По степени условности оценочности обязательств – на условные обязательства и условные активы в соответствии с ПБУ 8/2010.
  8. При работе с различными финансовыми инструментами – выделяют базовые активы.
  9. При приобретении основных средств за счет заемных обязательств – используется термин инвестиционный актив, то есть такой имущественный объект, работа с которым требует дополнительного финансирования и длительного времени.
  10. Прочие активы – это те объекты, которые по решению предприятия не представляют для него преимущественной ценности. Такая градация устанавливается каждой компанией самостоятельно в зависимости от отраслевой специфики деятельности, правового статуса, особенностей производства и прочих экономических факторов.

Виды активов – таблица

Для удобства восприятия информации основные виды активов собраны в таблице ниже. Отдельно приведены конкретные примеры в соответствии с упомянутой классификацией.

Таблица активов:

Классификационный признак

Вид актива

Пример актива

По скорости оборота
  • Внеоборотные
  • Оборотные (мобильные активы в балансе – это раздел II)
  • Здания, сооружения, оборудование к установке, НМА, транспорт, объекты для передачи по лизинговым сделкам
  • Сырье, топливо, материалы, инструменты, произведенные товары, закупленная продукция, деньги на счетах и в кассе, дебиторка

По ликвидности
  • А1 – высоколиквидные
  • А2 – быстрореализуемые
  • А3 – медленно реализуемые
  • А4 – труднореализуемые
  • Денежные средства на банковских счетах и депозитах, наличные в кассе, ценные бумаги
  • Краткосрочные дебиторские обязательства (меньше 12 мес.)
  • Сырье и другие запасы
  • Оборудование, недвижимость, дебиторская задолженность долгосрочного характера (больше 12 мес.)

По материальности
  • Вещественные
  • Невещественные
  • Финансовые
  • Реальные или физические активы – это все основные средства, материалы, товары, запасы, сырье и т.д.
  • Патенты, торговые марки и знаки, гудвилл, деловая репутация
  • Денежные резервы в любой валюте, страховые полисы, ценные бумаги, паи, путевые расчетные листки

По правовому характеру владения
  • Собственные
  • Арендованные
  • Полученные безвозмездно
  • Все основные активы, приобретенные за средства компании
  • Полученные по договорам аренды
  • Переданные безвозмездно, к примеру, вклады участников в уставник общества

По источникам формирования
  • Суммарные активы
  • Чистые
  • Совокупные активы в балансе по строке 1600
  • Рассчитанные по специальной формуле

По привлечению заемных денег
  • Инвестиционные активы
  • Здание, приобретенное за счет кредита банка

По степени важности для предприятия
  • Прочие активы – это те, которые не играют главной роли в деятельности компании
  • Оборудование к монтажу и установке, вложения во внеоборотные объекты, расходы будущих периодов

Редкие виды активов:

  • Проблемные активы – то есть те, которые реализовать крайне трудно по причине различных юридических и финансовых обременений. К примеру, проблемные активы – это имущество под арестом, в залоге; денежные долги компаний, отказывающихся исполнять обязательств; объекты с оспариваемым титулом и пр.
  • Резервные активы – те, которые находятся в юрисдикции прямого контроля государства. Акции крупных компаний, международные счета в банках, монетарное золото, СДР (специальные права заимствования) и пр., - это все резервные активы.
  • Информационные активы – невещественные объекты, имеющие важное значение для предприятия. К примеру, информационный актив – это базы данных компании, имидж бизнеса и пр.
  • Экономические активы – это те объекты, индивидуальное или совместное владение которыми приносит собственникам определенную экономическую выгоду.

Наша жизнь постоянно усложняется во всех сферах. Возникают новые и невиданные ранее подходы, технологии, активы. Для современных крупных предприятий большую роль играют информационные активы. Что они собой представляют?

Общая информация

Прежде чем приступать к основной теме, давайте затронем необходимый теоретический минимум. А именно, поговорим об информации. Она является одним из наиболее важных производственных активов, от которого в значительной мере зависит эффективность деятельности предприятия и его жизнеспособность. Это может быть как секрет создания определенного товара, так и внутренние финансовые данные. Любая более-менее крупная организация имеет свои информационные активы, относительно которых очень нежелательно, чтобы они попали в сторонние руки. Поэтому остро стоят вопросы хранения и безопасности.

Об общих понятиях

Чтобы успешно разобраться со всеми представленными данными, необходимо знать несколько моментов:

  1. Информационный актив. Это данные с реквизитами, которые позволяют провести идентификацию. Имеют ценность для определенной организации и находятся в ее распоряжении. Представлены на любом материальном носителе в форме, которая позволяет обрабатывать ее, хранить, или передавать.
  2. Классификация информационных активов. Это разделение имеющихся данных организации по типам, которые соответствуют степени тяжести возникающих последствий как результат потери их важных свойств.

Как можно понять, важны не только отдельные цифры и их пояснения, но и возможность оперативно использовать, защита от несанкционированного доступа и ряд других моментов. Когда выделены и сформированы информационные активы предприятия, остро встает вопрос их правильной классификации с последующим обеспечением безопасности. Почему именно так? Дело в том, что с помощью классификации можно оформить ключевые метрики для используемой информации - ее ценность, сила влияния на предприятие, требования к обеспечению/сопровождению/защите и тому подобное. Во многом от этого зависит, как данные будут обрабатываться и защищаться. Кроме этого, существует ряд нормативных стандартов, которые предусматривают проведение обязательной инвентаризации информационных активов организации. Хотя единой процедуры для этого и не существует.

Немного о классификации для предприятий

Подход к данным зависит от того, в каких условиях и с чем мы имеем дело. Рассмотрим информационные активы на примере частного предприятия. Классификация проводится с целью обеспечить дифференцированный подход к данным с учетом уровня их критичности, что влияют на деятельность, репутацию, деловых партнеров, работников и клиентов. Это позволяет определить экономическую целесообразность и приоритетность различных мероприятий по формированию информационной безопасности предприятия. В соответствии с законодательством Российской Федерации выделяют:

  1. Общедоступную (открытую) информацию.
  2. Персональные данные.
  3. Информацию, содержащую сведения, что составляют банковскую тайну.
  4. Данные, что относятся к коммерческим секретам.

Как оценить их важность? Для этого используют специальные модели. Давайте рассмотрим их более внимательно.

Классификационные модели

Чаще всего встречаются две из них:

  1. Однофакторная классификация. Базируется на степени ущерба. Здесь во просто. Рассмотрим небольшой пример. Активы информационной системы распределяются на четыре блока в зависимости от степени вероятного нанесения ущерба при утечке данных. Как пример - минимальный, затем - средний, высокий и напоследок - критический. Если неопределенному кругу лиц будет известно, кого директор принимает сегодня в своем кабинете, то это можно классифицировать как минимальный вид ущерба. Но вот если информация о подкупе государственного чиновника утечет в прокуратуру, это критическое положение.
  2. Многофакторная модель классификации. Базируется на трех классических параметрах. В данном случае вся информация представляет интерес с точки зрения конфиденциальности, доступности и целостности. По каждой позиции требования проставляются отдельно - высокие, средние, низкие. По совокупности они оцениваются, к примеру, как критической или базовой важности.

О классах

Чтобы оценка информационных активов была максимально эффективной и сдвинутой от количества к качеству, можно ввести классы, что будут отражать ценность данных и уровень требований к ним. В таких случаях обычно выделяют:

  1. Открытый класс. В данном случае не предусмотрены ограничения на распространение и использование, финансовый ущерб от известности отсутствует.
  2. Для служебного пользования. Для использования внутри организации. Финансовый ущерб отсутствует. Но могут возникнуть иные виды убытков для работников организации или всей структуры.
  3. Конфиденциальная. Предусмотрено использование внутри организации, при работе с клиентами и контрагентами. Разглашение принесет финансовый ущерб.

О конфиденциальных данных

Такую информацию условно можно разделить на несколько категорий. Первые две используются в коммерческих структурах, остальные, как правило, исключительно государством:

  1. С ограниченным доступом. Предусматривает использование определенным кругом сотрудников организации. Финансовый ущерб обычно оценивается в сумму до миллиона рублей.
  2. Секретная. Предусматривает использование исключительно определенными членами руководящего состава организации. Финансовый ущерб обычно начинается от значений в миллион рублей.
  3. Совершенно секретная. Это данные из военной, экономической, внешнеполитической, разведывательной, научно-технической сфер, оперативно-разыскной деятельности, разглашение которых может нанести ущерб министерству или отрасли экономики в одной или нескольких перечисленных областях.
  4. Особой важности. Это данные из военной, экономической, внешнеполитической, разведывательной, научно-технической сфер, оперативно-разыскной деятельности, разглашение которых может нанести существенный ущерб Российской Федерации в одной или нескольких перечисленных областях.

Как же обрабатываются информационные активы?

Давайте рассмотрим один из возможных алгоритмов:

  1. Выявляются информационные активы, существующие в любом виде (электронные и бумажные документы, потоки данных, флешки и тому подобное), что циркулируют между подразделениями в организации. Все это собирается, уточняется, и строится большая схема, на которой все отображено.
  2. Делаем все то же, но уже по отношению к каждому отдельному подразделению.
  3. Информационные активы привязываются к инфраструктуре, в которой хранятся, отмечается, по каким каналам передаются, где и в каких системах содержатся и тому подобное. Здесь есть один важный момент! Этот пункт предусматривает работу с каждым отдельным информационным активом. Для него рисуется вся среда обитания (чем более детализовано, тем лучше, ведь легче будет выявить угрозы). Нужно отобразить порты передачи, каналы и прочее.
  4. Берем все наработки и повторно классифицируем их, используя такие характеристики, как конфиденциальность, доступность, целостность.

Жизненный цикл

Вот такой путь проходит перед своей классификацией этот ценный актив. Информационная безопасность, поверьте, играет немалую роль, и не нужно пренебрегать ею. При этом значительное внимание необходимо уделять жизненному циклу. Что это такое? Жизненный цикл - это набор определенных периодов, по истечении которых важность объекта, как правило, понижается. Условно можно выделить такие стадии:

  1. Информация используется в операционном режиме. Это значит, что она принимает участие в производственном цикле и востребована постоянно.
  2. Информация используется в архивном режиме. Это значит, что она не принимает непосредственного участия в производственном цикле, хотя периодически требуется для совершения аналитической или иной деятельности.
  3. Информация хранится в архивном режиме.

Вот, пожалуй, и все. Какие данные хранятся - информационная база активов или что-то другое - это не важно. Главное - обеспечить конфиденциальность, доступность, целостность. Тогда не придется переживать за репутацию и считать убытки.

Цель.

Анализ информационных ресурсов, используемых компанией, и выработка концептуальных основ деятельности по обеспечению корпоративной информационной безопасности.

Задачи.

1. Установить номенклатуру информационных ресурсов и оценить их значимость для компании в целом и ее структурных подразделений.

2. Выявить виды и разновидности тайн, которые используются в деятельности компании.

3. Оценить риски информационной безопасности.

Порядок оформления.

1. Шрифт Arial 10. Интервал 1. Поля стандартные. Страницы работы должны быть пронумерованы сверху. Формат документа - MS Office

2. Работы в электронном виде отправляются на электронную почту преподавателя:
[email protected].
Тема письма «Практикум ИБ/ФИО студента - группа». В теле письма необходимо продублировать ФИО и группу.

3. Крайний срок сдачи лабораторного практикума: 2 ноября . Практикумы, сданные после этого срока, не засчитываются. При выявлении работ, текст которых совпадает, не засчитывается ни одна из них

Задание 1.

Описание компании и ее структурных подразделений

1. Укажите наименование компании и адрес ее корпоративного сайта.

2. Дайте описание деятельности компании, её направлений и бизнес-целей.

3. Опишите основные показатели деятельности компании, характеризующие её масштабы (5-6 показателей), и приведите их числовые значения за какой-то период или дату;

4. В MS Visio или другом графическом редакторе составьте функциональную блок-схему компании в выбранном варианте. Детализацию производить до уровня отделов.

5. Постройте схему, характеризующую архитектуру ИТ-сети компании, ее программные и аппаратные компоненты.

Если Вы испытываете трудности с выбором компании для анализа, воспользуйтесь перечнем компании з Приложения 1 в конце файла.

Описание компании не должно занимать более 1 страницы.

Задание 2.

Определение номенклатуры информационных активов

a. Определите базовые уязвимости и угрозы в сфере информационной безопасности для деятельности компании.

b. Для каждого структурного подразделения определите информационные активы. Заполните Таблицу 1 .

Таблица 1

Для выполнения данного пункта необходимо внимательно ознакомиться с пунктом 5 стандарта ГОСТ Р ИСО/МЭК 17799-2005 (Приложение 2). Не менее трех активов.


Задание 3.

Определение номенклатуры видов и разновидностей тайн

a. Определите перечень сведений, которые используются в деятельности компании и образуют тайны различных видов и разновидностей.

b. Для каждого вида (разновидности) тайны заполните Таблицу 2 . В первой строке таблицы приведен условный пример.

Таблица 2

Вид (разновидность) тайны Содержание сведений, составляющих тайну В состав какого информационного актива входят соответствующие данные Численность пользователей (П), рабочих мест (РМ), филиалов (Ф), вовлеченных в обработку КИ Наиболее значимые ДФ для каждого пункта (по мере убывания важности) На каких носителях распространяются соответствующие данные
Персональные данные Сведения о сотрудниках База данных 1С Отдел кадров - 2П, 2РМ Бухгалтерия - 2П, 1 РМ

Должны быть указаны минимум ТРИ тайны. Для каждой тайны следует указать КОНКРЕТНЫЕ ДФ и носители

Задание 4.

Для информационных активов определите:

· условия разведывательного контакта (укажите конкретные условия);

· методы доступа к добываемой информации (определите конкретные методы);

· способы дистанционного добывания информации (перечислите конкретные способы);

· зону, в которой должен находиться актив (укажите конкретную зону).

Заполните Таблицу 3 .

Таблица 3


Задание 5

Определите наиболее опасные каналы утечки информации, способы и средства противодействия утечке. Заполните Таблицу 4 . Укажите конкретные каналы, способы и средства. Абстрактные рекомендации (быть внимательными, осторожными, осмотрительными и т.п.) не засчитываются.

Таблица 4

Начисление баллов:

· за правильно и полно заполненную Таблицу 1 - 7 баллов;

· за правильно и полно заполненную Таблицу 2 - 8 баллов;

· за правильно и полно заполненную Таблицу 3 - 12 баллов;

· за правильно и полно заполненную Таблицу 4 - 11 баллов;

· за выполненное Задание 1 - 2 балла (начисляются, если заполнены минимум две таблицы).


Приложение 1

Варианты компаний:


1. Московский финансово-промышленный университет «Синергия».

2. Компания занимается розничной торговлей мультимедийной продукцией

3. Компания занимается оказанием логистических услуг

4. Компания занимается учебной деятельностью

5. Компания занимается производством мебели

6. Компания является туроператором

7. Компания занимается оказанием услуг в сфере здравоохранения деятельностью

8. Компания разрабатывает средства защиты информации

9. Компания занимается изготовлением полиграфической продукции

10. Компания оказывает услуги по инкассации торговых объектов

11. Компания занимается разработкой и сопровождением отраслевого программного обеспечения

12. Компания занимается кинопрокатом фильмов

13. Компания занимается книгоизданием

14. Компания занимается выпуском журналов (Издательский дом)

15. Компания осуществляет подключение к сети Интернет и IP телефонии

16. Компания занимается разработкой и администрованием веб-сайтов

17. Компания занимается изготовлением POS-терминалов

18. Компания занимается бронированием гостиниц по России

19. Компания занимается бронированием и доставкой железнодорожных и авиабилетов.

20. Компания занимается локализацией программных продуктов

21. Компания занимается тиражированием оптических дисков


Приложение 2

Классификация активов, связанных с информационными системами

Описание активов дает уверенность в том, что обеспечивается эффективная защита активов, и оно может также потребоваться для целей обеспечения безопасности труда, страхования или решения финансовых вопросов (управление активами). Процесс составления описи активов - важный аспект управления риском. Организация должна быть в состоянии идентифицировать свои активы с учетом их относительной ценности и важности. Основываясь на этой информации, организация может обеспечивать заданные уровни защиты, соответствующие ценности и важности активов. Описи следует составлять и поддерживать для важных активов, связанных с каждой информационной системой. Каждый актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности, его владельцы должны быть авторизованы, а данные о них документированы. Кроме того, должно быть указано фактическое местоположение актива (это важно в случае восстановления активов при потере или повреждении). Примерами активов, связанных с информационными системами, являются:

Информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы по обеспечению непрерывности функционирования информационного обеспечения, процедуры действий при сбоях, архивированная информация;

Активы программного обеспечения: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты;

Физические активы: компьютерное оборудование (процессоры, мониторы, переносные компьютеры, модемы), оборудование связи (маршрутизаторы, частные автоматические телефонные станции с выходом в сеть общего пользования, факсы, автоответчики), магнитные носители (ленты и диски), другое техническое оборудование (электропитание, кондиционеры), мебель, помещения;

Услуги: вычислительные услуги и услуги связи, основные коммунальные услуги, например, отопление, освещение, электроэнергия, кондиционирование.

На данном этапе мы должны идентифицировать информационные активы, входящие в область оценки.

1) Определить ценность этих активов

2) Определить перечень угроз и вероятность их реализации

3) Произвести оценивание и ранжирование рисков

Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении.

Типы активов ООО «Торговый Дом ЛФЗ»:

· Информация (база данных бухгалтерии – содержит информацию обо всех сотрудниках компании, финансовых операциях которые происходят как внутри, так и вне компании, а так же информацию о проведенных транзакциях и их статусе)

· Документы (договора, контракты, служебные записки)

· Программное обеспечение, включая прикладные программы

· Аппаратные средства (персональные компьютеры – необходимые для работы сотрудников). Сервер баз данных, телефоны, медные и оптоволоконные кабели, коммутаторы, принтеры, почтовый сервер.


ООО «Торговый Дом ЛФЗ» - является коммерческой организацией основной ее целью является получение прибыли за счет предоставляемых ею услуг.

Основными рыночными функциями является реализация продукции Петербургского завода «Императорский Фарфоровый Завод» на Московском рынке.

Данные по оценке информационных активов сведена в таблицу 1.2.1.1. Результаты ранжирования активов представлены в таблице 1.2.1.3.

Таблица 1.2.1.1

Оценка информационных активов ООО «Торговый Дом ЛФЗ».

Наименование актива Форма представления Владелец актива Размерность оценки
Качественная
Информационные активы
База данных бухгалтерии Электронная Бухгалтерия Степень важности -
База данных поставщиков Электронная Директор Степень важности - Имеющая критическое значение
Электронная Кадровый отдел Степень важности - Высокая
Штатное расписание и кадровый учет Бумажный документ, электронный документ Кадровый отдел стоимость обновления или воссоздания - критически высокая

Продолжение Таблицы 1.2.1.1

Наименование актива Форма представления Владелец актива Критерии определения стоимости Размерность оценки
Количественная оценка (ед.изм.) Качественная
Активы аппаратных средств
Принтеры Материальный объект IT-отдел Первоначальная стоимость - Малая
Оборудование для обеспечения связи Материальный объект IT-отдел Первоначальная стоимость - Средняя
Сервер баз данных Материальный объект IT-отдел Первоначальная стоимость - Имеющая критическое значение
Почтовый сервер Материальный объект IT-отдел Первоначальная стоимость - Имеющая критическое значение
Персональный компьютер Материальный объект Консультанты, товароведы, администрация. Первоначальная стоимость - Средняя
База данных заказав (MySQL) Материальный объект IT-отдел Первоначальная стоимость Высокая

Продолжение Таблицы 1.2.1.1

Наименование актива Форма представления Владелец актива Критерии определения стоимости Размерность оценки
Количественная оценка (ед.изм.) Качественная
Активы программного обеспечения
Учетная Система Электронная Обновление и воссоздание - Высокое
Программы целевого назначения Электронная Дирекция программного сопровождения и разработки Обновление и воссоздание - Высокое
Windows 7 Ultimate Электронная Дирекция технического сопровождения Первоначальная стоимость - Малая
MS Office 2010 Электронная Дирекция технического сопровождения Первоначальная стоимость - Малая

Результат ранжирования представляет собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале (Таблица 1.2.1.1). Самый ценный информационный актив имеет ранг 5, наименее ценный – ранг 1.

Активы, имеющие наибольшую ценность (ранг) в последующем рассматриваются в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия. В рамках поставленной задачи разработки политики безопасности по защите персональных данных выделим наиболее ценные информационные активы (имеющие максимальный ранг).

Таблица 1.2.1.3

Результаты ранжирования активов ООО «Торговый Дом ЛФЗ»


По результатам ранжирования (Таблица1.2.1.3) выделим активы, имеющие наибольшую ценность (имеющие ранг 5 и 4):

1. База данных бухгалтерии;

2. Почтовый сервер;

3. База данных поставщиков;

4. Сервер баз данных;

5. Персональные данные о сотрудниках;

6. Оборудование для обеспечения связи;

7. Учетная Система;


Перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, представлены в таблице 1.2.1.2.

Таблица 1.2.1.2

Перечень сведений конфиденциального характера ООО «Торговый Дом ЛФЗ»

№ п/п Наименование сведений Гриф конфиденциальности Нормативный документ, реквизиты, №№ статей
1. Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа
2. Требования по обеспечению сохранения служебной тайны сотрудниками предприятия Информация ограниченного доступа ст. 139, 857 ГК РФ
3. Персональные данные сотрудников Информация ограниченного доступа; подлежат разглашению с согласия сотрудника Федеральный закон №152-ФЗ; Глава 14 Трудового кодекса РФ
4. Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам). подлежит разглашению только по решению предприятия Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне

Оценка уязвимостей активов.

Уязвимость информационных активов - тот или иной недостаток, из-за которого становится возможным нежелательное воздействие на актив со стороны злоумышленников, неквалифицированного персонала или вредоносного кода (например, вирусов или программ-шпионов).

Уязвимость – есть событие, возникающее как результат такого стечения обстоятельств, когда в силу каких-то причин используемые в защищаемых системах обработки данных средства защиты не в состоянии оказать достаточного противодействия проявлению дестабилизирующих факторам и нежелательного их воздействия на защищаемую информацию.

В компьютерной безопасности, термин уязвимость используется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.

Уязвимости информационной системы компании можно определить несколькими способами. Их может описать сотрудник компании (системный администратор или специалист службы информационной безопасности) на основании собственного опыта (возможно, в качестве подсказки для наиболее полного описания множества уязвимостей информационной системы используя классификации уязвимостей). Кроме того, могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей.

Основанием для проведения оценки уязвимости является оценка критичности информационных активов и определения адекватности предпринимаемых мер безопасности по отношению к их значимости.


Показателями уязвимости актива и его особо важных зон являются степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая).

После проведения оценки уязвимости предоставляется отчет, который должен в себя включать описание уязвимостей и уязвимых систем. Уязвимости должны быть отсортированы сначала по степени важности, а затем по серверам/сервисам. Уязвимости должны быть расположены в начале отчёта и расставлены в порядке убывания критичности, то есть сначала критические уязвимости, затем с высоким уровнем важности, потом со средним и низким.

Результаты оценки уязвимости активов представлены в таблице 3 .


Персональные данные о сотрудниках Кадровый учет Персональные компьютеры Сервера баз данных Почтовый сервер Учетная Система Windows 7
1. Среда и инфраструктура
Отсутствие физической защиты зданий, дверей и окон Средняя Средняя Средняя Средняя
Нестабильная работа электросети Средняя Низкая Низкая Низкая
2. Аппаратное обеспечение
Отсутствие схем периодической замены Средняя Средняя Средняя Средняя
Подверженности воздействию влаги, пыли, загрязнения Высокая Высокая Высокая Средняя
Отсутствие контроля за эффективным изменением конфигурации Средняя Низкая Низкая
3. Программное обеспечение
Отсутствие тестирования или недостаточное тестирование программного обеспечения Высокая Высокая
Сложный пользовательский интерфейс Средняя Средняя
Плохое управление паролями Среднее Среднее Среднее Высокая Высокая

Группа уязвимостей Содержание уязвимости Персональные данные о сотрудниках Кадровый учет Персональные компьютеры Сервера баз данных Почтовый сервер Коммуникационное оборудование Учетная Система Windows 7
4. Коммуникации
Средняя Низкая Средняя Высокая Высокая
Средняя Средняя Средняя Средняя Средняя
Отсутствие идентификации и аутентификации отправителя и получателя Средняя Низкая Средняя Высокая Высокая
5. Документы (документооборот)
Хранение в незащищенных местах Среднее Среднее
Бесконтрольное копирование Высокая Среднее
7. Общие уязвимые места
Отказ системы вследствие отказа одного из элементов Средняя Средняя Высокая
Неадекватные результаты проведения технического обслуживания Средняя Низкая Низкая Средняя

Группа уязвимостей Содержание уязвимости Персональные данные о сотрудниках Кадровый учет Персональные компьютеры Сервера баз данных Почтовый сервер Коммуникационное оборудование Учетная Система Windows 7
4. Коммуникации
Отсутствие идентификации и аутентификации отправителя и получателя Средняя Низкая Средняя Высокая Высокая
Незащищенные подключения к сетям общего пользования Средняя Средняя Средняя Средняя Средняя
Отсутствие идентификации и аутентификации отправителя и получателя Средняя Низкая Средняя Высокая Высокая

Оценка угроз активам.

Угроза (потенциальная возможность неблагоприятного воздействия) обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему. В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно. Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению, как режима управления, так и его качества в условиях ложной или неполной информации. На рисунке 2 представлены основные виды угроз.

Рисунок 2. Основные виды угроз информационной безопасности.


Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.

Ниже приведены некоторые наиболее часто встречающиеся варианты угроз:

Ошибки и упущения;
- мошенничество и кража;
- случаи вредительства со стороны персонала;
- ухудшение состояния материальной части и инфраструктуры;
- программное обеспечение хакеров, например имитация действий законного пользователя;

Программное обеспечение, нарушающее нормальную работу системы;

Промышленный шпионаж.

При использовании материалов каталогов угроз или результатов ранее проводившихся оценок угроз следует иметь в виду, что угрозы постоянно меняются, особенно в случае смены организацией деловой направленности или информационных технологий. Например, компьютерные вирусы 90-х годов представляют гораздо более серьезную угрозу, чем компьютерные вирусы 80-х. Нужно также отметить, что следствием внедрения таких мер защиты, как антивирусные программы, вероятно, является постоянное появление новых вирусов, не поддающихся воздействию действующих антивирусных программ.

После идентификации источника угроз (кто и что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы.

При этом следует учитывать:
- частоту появления угрозы (как часто она может возникать согласно статистическим, опытным и другим данным), если имеются соответствующие статистические и другие материалы;
- мотивацию, возможности и ресурсы, необходимые потенциальному нарушителю и, возможно, имеющиеся в его распоряжении; степень привлекательности и уязвимости активов системы информационных технологий с точки зрения возможного нарушителя и источника умышленной угрозы;
- географические факторы - такие как наличие поблизости химических или нефтеперерабатывающих предприятий, возможность возникновения экстремальных погодных условий, а также факторов, которые могут вызвать ошибки у персонала, выход из строя оборудования и послужить причиной реализации случайной угрозы.

Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Результаты оценки угроз активам представлена в таблице 4.

Группа уязвимостей Содержание уязвимости Персональные данные о сотрудниках Кадровый учет Персональные компьютеры Сервера баз данных Почтовый сервер Коммуникационное оборудование Учетная Система Windows 7
1. Угрозы, обусловленные преднамеренными действиями
Похищение информации Средняя Средняя Средняя
Вредоносное программное обеспечение Высокая Средняя Средняя Средняя
Взлом системы Средняя Средняя Высокая Средняя
2. Угрозы, обусловленные случайными действиями
Ошибки пользователей Средняя Средняя Средняя
Программные сбои Средняя Средняя Средняя
Неисправность в системе кондиционирова ния воздуха Низкая Низкая Низкая
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)
Колебания напряжения Средняя Низкая Низкая
Воздействие пыли Высокая Средняя Средняя Средняя
Пожар Высокая Низкая Низкая Средняя

1.2.4 Оценка существующих и планируемых средств защиты.

Под защитой информации понимают комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.

Организация защиты информации в организации – это один из важнейших моментов, который ни в коем случае нельзя упускать из вида. Последствия будут очень серьезными, если произойдет утрата баз данных, результатов аналитических исследований, исходных кодов, программных продуктов. При плохой организации защиты информации это возможно, что приведет к достаточно проблематичному дальнейшему ведению бизнеса, а в определенных случаях невозможным вообще.

Задачи по защите информации возлагаются на службу информационных технологий.

Организационная структура службы информационных технологий:

1. Структуру и штаты Службы информационных технологий, а также их изменения утверждает Генеральный директор по представлению заместителя генерального директора по информационным технологиям.

2. Служба состоит из одного подразделения, возглавляемого заместителем генерального директора по информационным технологиям.

Функции службы информационных технологий:

1. Анализ и изучение проблем обслуживания автоматизированных систем управления Компанией и ее подразделений;

2. Контроль состояния и безопасности сети и сетевого оборудования;

3. Назначение пользователям сети прав доступа;

4. Обеспечение бесперебойного функционирования системы и оборудования и принятие оперативных мер по устранению возникающих в процессе работы нарушений;

5. Установка, настройка и управление программными и аппаратными системами Организации;

6. Подготовка планов проектирования и внедрения автоматизированных систем управления Компанией и контроль за их выполнением;

7. Согласование технических заданий на разработку и внедрения нового программного обеспечения в отрасли на предмет обеспечения сетевого и системного взаимодействия;

8. Поддержка Internet-технологий в отрасли, обеспечение доступа к Internet-услугам;

9. Обеспечение правильности переноса исходных данных на машинные носители;

10. Проводит мониторинг развития и использования информационно-коммуникационных технологий и подготавливает по его результатам аналитические и отчетные материалы;

11. Сопровождение системного, сетевого и сопутствующего программного обеспечения.

Похожие публикации
© 2024 Моя спина. Здоровье и суставы