Этап 4. Формирование требований к обеспечению информационной безопасности, исходя из видов и критичности обрабатываемой информации, а также нормативных и законодательных документов. Этап 5. Инвентаризация технических ресурсов — составляется список всех, находящихся в подразделении серверов, автоматизированных рабочих мест, телекоммуникационного оборудования. Уточняются места их размещения, состав и характеристики технических средств, определяются решаемые подразделением с их использованием функциональные задачи, состав программного обеспечения, связи с другими подсистемами и серверами сети. Этап 6. Составление для каждой подсистемы перечня решаемых с ее помощью функциональных задач, а также формирование информационных потоков подсистемы; при этом информационные потоки характеризуются мерами критичности по доступности, целостности и конфиденциальности. Специалистами из экспертной группы для каждой задачи выявляются используемые при ее решении программные и информационные ресурсы. Этап 7. Проведение анализа текущих мер защиты в информационной системе и всех компонентов се подсистем; при этом учитываются следующие характеристики обеспечения системы информационной безопасности: • организационные (характеристики службы системы информационной безопасности, иерархия системы информационной безопасности, разгранимение полномочий в системе информационной безопасности); • нормативно’правовые (имеющиеся нормативные документы, политика безопасности, порядок пересмочра нормативных документов, актуализация внутренних локальных документов, порядок обучения и контроля положений системы информационной безопасности, порядок действия в нештатных ситуациях, порядок конфиденциального делопроизводства); • технические (порядок доступа в помещения и физической защиты средств вычислительной техники, порядок разработки, устанонки и 66 |
экспертов и наличие четких методик проведения анализа рисков. Рассмотрим основные этапы проведения качественного анализа рисков. Этап 1. Определение границ информационной системы, риски в которой оцениваются. Необходимо четко ограничить границы системы, т.е. выделить список наиболее критичных подсистем, на которых следует сосредоточиться при проведении работ. В противном случае процесс оценки рисков может быть или слишком долгим и дорогим, или неэффективным. Этап 2. Формирование экспертной группы. В экспертную группу должны входить специалисты бизнес-подразделений, сотрудники 1Тподразделепий, службы безопасности, а также внешние эксперты в случае привлечения к анализу рисков консалтинговых компаний. Этап 3. Присвоение обрабатываемой информации категорий с учетом ее конфиденциальности, доступности и целостности. Эта классификация в дальнейшем используется при оценке меры ущерба от реализации угроз. Этап 4. Формирование требований к обеспечению информационной безопасности, исходя из видов и критичности обрабатываемой информации, а также нормативных и законодательных документов. Этап 5. Инвентаризация технических ресурсов составляется список всех, находящихся в подразделении серверов, автоматизированное рабочее место (АРМ), телекоммуникационного оборудования. Уточняются места их размещения, состав и характеристики технических средств, определяются решаемые подразделением с их использованием функциональные задачи, состав программного обеспечения, связи с другими подсистемами и серверами сети. Этап 6. Составление для каждой подсистемы перечня решаемых с се помощью функциональных задач, а также формирование информационных потоков подсистемы; при этом информационные потоки характеризуются мерами критичности по доступности, целостности и конфиденциальности. 53 Специалистами из экспертной группы для каждой задачи выявляются используемые при ее решении программные и информационные ресурсы. Этап 7. Проведение анализа текущих мер защиты в информационной системе и всех компонентов се подсистем; при этом учитываются следующие характеристики обеспечения безопасности информации (ОБИ): • организационные (характеристики службы ОБИ, иерархия ОБИ, разграничение полномочий по ОБИ); • нормативно-правовые (имеющиеся нормативные документы, политика безопасности, порядок пересмотра нормативных документов, порядок обучения и контроля положений ОБИ, порядок действия в нештатных ситуациях, порядок конфиденциального делопроизводства); • технические (порядок доступа в помещения и физической защиты средств вычислительной техники, порядок разработки, установки и сопровождения программного обеспечения и аппаратных средств, порядок предоставления привилегий в ИС, порядок работы с внешними и мобильными пользователями, порядок аудита, обеспечение целостности, криптографическая защита данных, порядок парольной и антивирусной защиты, средства обеспечения надежности и резервирования, методы управления и мониторинга средств защиты информации) Этап 8. Определение характеристик угроз ИС: физическое повреждение ресурсов, перебои в электропитании, кража ресурсов, отказы оборудования (потеря связи), случайные ошибки персонала, ошибки в программном обеспечении (аппаратной реализации), нарушение целостности ресурсов, наличие нсдекларированных возможностей в ресурсе, вирусы, несанкционированное получение привилегий пользователя, несанкционированное получение административных привилегий, злоупотребление персонала (несанкционированный доступ (НСД), просмотр 54 |