Анализ состояния защиты данных в информационных системах

Скачать 1.18 Mb.

Название	Анализ состояния защиты данных в информационных системах
страница	2/8
Тип	Анализ

rykovodstvo.ru > Руководство эксплуатация > Анализ

1 2 3 4 5 6 7 8

Вопросы для контроля

Какие элементы данных могут быть включены в список защищаемых ?
Каковы цели инвентаризации элементов информационной системы ?
Какие способы инвентаризации элементов информационной системы можно использовать ?
В каком виде оформляются результаты инвентаризации ?

КЛАССИФИКАЦИЯ ЭЛЕМЕНТОВ ИНФОРМАЦИОННОЙ СИСТЕМЫ

2.1 Аспекты информационной безопасности

Современное понимание информационной безопасности включает три аспекта: «Доступность», «Целостность», «Конфиденциальность» [1]. Доступность – авторизация доступа со стороны лиц, имеющих соответствующие полномочия в санкционированных местах, на технических средствах, в нужное время. Иначе, доступность это свойство данных, обеспечивающее возможность их своевременного использования при решении задачи («в нужное время, в нужном месте, в приемлемом виде»). Целостность - возможность внесения изменений в данные только лицами, имеющими соответствующие полномочия. Иначе, целостность это свойство данных сохранять своё исходное состояние в период актуальности. Полномочия – право пользователя технических средств или любого другого элемента ИС осуществлять те или иные процедуры над защищаемыми данными.

Конфиденциальность - статус, представленный данным и определяющий степень их защиты от раскрытия. Учитывается ценность сведений, содержащихся в данных, возможный вред лицам, заинтересованным в её нераспространении, или лицам, неосведомлённым о том, что существует информация, получение которой тем или иным лицам способно привести к причинению этими лицами ущерба. Например, уровни государственной секретности: «особой важности», «совершенно секретно», «секретно». Оценивается тяжесть ущерба, который может быть нанесён государственной безопасности вследствие распространения сведений.

Вредоносные воздействия на ИС может заключаться в целенаправленном или случайном влиянии на какой-либо аспект безопасности (возможно под влиянием могут оказаться два и даже все аспекты).

Целью классификации объектов ИС является выявление элементов, в обязательном порядке требующих защиты. При классификации анализируется предполагаемый (при наиболее неблагоприятных стечениях обстоятельств вредоносного воздействия) ущерб. При построении ИС нужно руководствоваться принципом экономичности механизма : на защиту информации можно потратить средств не свыше «Риска» (суммы риска):

РИСК = Вероятность происшествия * ПРЕДПОЛАГАЕМЫЙ УЩЕРБ . ( 1 )
Для определения «Предполагаемого ущерба» суммируются прогнозируемые (или ранее определенные на практике) затраты на устранение последствий негативного воздействия:

Затраты на устранение последствий от задержки или невозможности решения задачи (штрафные санкции, утраченная выгода, дополнительные затраты на диагностику и поиск причин, дополнительные затраты, связанные с временным изменением условий решения задачи), нарушение Доступности;
Затраты на восстановление работоспособности системы (ремонт технических средств, восстановление баз данных и документов) – восстановление Доступности;
Затраты на устранение последствий использования недостоверных данных (поддельных, утративших актуальность, подвергшихся несанкционированной модификации или случайному воздействию) - нарушение Целостности;
Затраты на ликвидацию последствий от нарушения Целостности: операции «отката», повторные замеры, повторные просчеты, проверка адекватности данных. Восстановление Целостности;
Затраты на устранение последствий разглашения конфиденциальных данных: штрафные санкции (судебные издержки), утраченная выгода, возмещение морального ущерба, страхование рисков. Нарушение Конфиденциальности.

2.2 Классификация элементов данных
Классификация предполагает назначение для каждого элемента (табл.2) значений уровней по Доступности, Целостности, Конфиденциальности (ДЦК). Назначение уровня производится по результатам прогнозирования вида и размера предполагаемого ущерба, реакции ИС.

Уровни аспектов безопасности.

ДОСТУПНОСТЬ – (Д) - Реакция на отсутствие объектов при решении задачи):

Д0- КРИТИЧЕСКАЯ ДОСТУПНОСТЬ – Решение задачи (работа ИС) не возможно ни при каких действиях. Время для решения безвозвратно будет потеряно. Возобновление решения не возможно;
Д1- ОЧЕНЬ ВАЖНАЯ - Решение (работа) возможно в коротком промежутке времени (дежурный вариант, некачественное решение),

восстановление возможно после дополнительных затрат (временных, финансовых, материальных);

Д2- ВАЖНАЯ - Решение (работа) возможно в регламентном промежутке времени (рабочий вариант), неминуема остановка, восстановление возможно после дополнительных затрат (временных, финансовых, материальных);
Д3- ПОЛЕЗНАЯ - Решение (работа) возможно в рабочем варианте,

эффективность снижена, восстановление возможно после

дополнительных затрат (временных, финансовых, материальных);

Д4- НЕСУЩЕСТВЕННАЯ - не влияет на работоспособность;
Д5- ВРЕДНАЯ - снижает работоспособность, замедляет реакцию и т.п.

ЦЕЛОСТНОСТЬ - Ц (Реакция на несанкционированную модификацию):

Ц0- КРИТИЧЕСКАЯ - Решение, работа не возможны ни при каких действиях, т.к. приводят к аварийным или трагическим последствиям.

Первоначальное состояние данных восстановить невозможно, возобновление решения не возможно;

Ц1- ОЧЕНЬ ВАЖНАЯ - Решение (работа) возможно в коротком промежутке времени (дежурный вариант, некачественное решение),

более длительное использование приведет к необратимым, негативным

последствиям, возможно разрушение ИС;

Ц2- ВАЖНАЯ - Решение (работа) возможно в регламентном промежутке времени (рабочий вариант), неминуема остановка,

если целостность не будет восстановлена;

Ц3- ЗНАЧИМАЯ - Решение (работа) возможно в рабочем варианте,

эффективность снижена, восстановление возможно после восстановления целостности

Ц4- НЕЗНАЧИМАЯ - не влияет на работоспособность.

КОНФИДЕНЦИАЛЬНОСТЬ - К (Реакция на разглашение, раскрытие):

К0- КРИТИЧЕСКАЯ - Решение, работа не возможны ни при каких действиях, т.к. приводят к разрушению системы, трагическим последствиям (см. УК РФ ст.183 ч.4.);
К1- ОЧЕНЬ ВАЖНАЯ - Разглашение приведет к очень значительным материальным потерям ;
К2- ВАЖНАЯ - Разглашение приведет к некоторым материальным потерям, возможен значительный моральный ущерб;
К3- ЗНАЧИМАЯ - Разглашение приведет к заметному моральному ущербу;
К4- МАЛО-ЗНАЧИМАЯ - Разглашение возможно приведет к моральному ущербу;
К5- НЕЗНАЧИМАЯ - не влияет на работоспособность.

Для рассмотренного примера в п.1 проведена классификация элементов, результаты приведены в таблице 3. Для организации защиты рассматриваются элементы, у которых по какому-либо аспекту зафиксирован уровень КРИТИЧЕСКМЙ, ОЧЕНЬ ВАЖНЫЙ, ВАЖНЫЙ (Д0, Д1, Д2, Ц0, Ц1, Ц2, К0, К1, К2). Существенные для дальнейшего анализа элементы и результаты классификации отмечены полужирным шрифтом с подчерком. В таблице 4 представлен перечень информационных элементов, подлежащие обязательной защите. Практически каждый информационный элемент имеет аспект информационной безопасности, позволяющий требовать организации защиты.

Следующим шагом анализа в Расчетно-графической работе должно быть выявление реально существующих и потенциальных угроз.
Таблица 3- Классификация по признакам Доступность(Д), Целостность(Ц), Конфиденциальность (К)

Элемент ИС	ДОСТУПНОСТЬ(Д)	ЦЕЛОСТНОСТЬ(Ц)	КОНФИДЕЦИАЛЬНОСТЬ(К)
Чертеж	Д3- ПОЛЕЗНАЯ - Решение (работа) возможно в рабочем варианте, эффективность снижена, восстановление возможно после доп. затрат (T,$,R)	Ц3- ЗНАЧИМАЯ - Решение (работа) возможно в рабочем варианте, эффективность снижена, восстановление возможно после восстановления целостности	К1- ОЧ.ВАЖНАЯ - Разглашение приведет к оч. значит. материальным потерям,

Вид изделия, размеры и личные предпочтения заказчика	Д2- ВАЖНАЯ - Решение (работа) возможно в промежутке времени (рабочий вариант), неминуемо остановка, восстановление возможно после доп. затрат (T,$,R)	Ц3- ЗНАЧИМАЯ - Решение (работа) возможно в рабочем варианте, эффективность снижена, восстановление возможно после восстановления целостности	К2- ВАЖНАЯ - Разглашение приведет к некоторым материальным потерям, возможен значительный моральный ущерб
Калькуляция	Д1- ОЧ.ВАЖНАЯ - Решение (работа) возможно в коротком промежутке времени (дежурный вариант, некачественное решение), восстановление возможно после доп. затрат (T,$,R)	Ц1- ОЧ.ВАЖНАЯ - Решение (работа) возможно в коротком промежутке времени (дежурный вариант, некачественное решение), Более длительное использование приведет к необратимым, негативным последствиям.	К2- ВАЖНАЯ - Разглашение приведет к некоторым материальным потерям, возможен значительный моральный ущерб

Таблица 3 – Продолжение 1

Эскиз и калькуляция	Д2- ВАЖНАЯ - Решение (работа) возможно в промежутке времени (рабочий вариант), неминуемо остановка, восстановление возможно после доп. затрат (T,$,R)	Ц3- ЗНАЧИМАЯ - Решение (работа) возможно в рабочем варианте, эффективность снижена, восстановление возможно после восстановления целостности	К1- ОЧ.ВАЖНАЯ - Разглашение приведет к оч. значит. материальным Потерям
Стоимость материалов (прайс-листы)	Д1- ОЧ.ВАЖНАЯ - Решение (работа) возможно в коротком промежутке времени (дежурный вариант, некачественное решение), восстановление возможно после доп. затрат (T,$,R)	Ц3- ЗНАЧИМАЯ - Решение (работа) возможно в рабочем варианте, эффективность снижена, восстановление возможно после восстановления целостности	5- НЕЗНАЧИМАЯ - не влияет на работоспособность
Нормативы по трудовым и мат-м затратам, нормативы по накладным расходам	Д1- ОЧ.ВАЖНАЯ - Решение (работа) возможно в коротком промежутке времени (дежурный вариант, некачественное решение), восстановление возможно после доп. затрат (T,$,R)	Ц3- ЗНАЧИМАЯ - Решение (работа) возможно в рабочем варианте, эффективность снижена, восстановление возможно после восстановления целостности	К1- ОЧ.ВАЖНАЯ - Разглашение приведет к оч. значит. материальным Потерям
Номенклатура материалов, изделий и работ	Д2- ВАЖНАЯ - Решение (работа) возможно в промежутке времени (рабочий вариант), неминуемо остановка, восстановление возможно после доп. Затрат (T,$,R)	Ц3- ЗНАЧИМАЯ - Решение возможно в рабочем варианте, эффективность снижена, восстановление возможно после восстановления целостности	К1- ОЧ.ВАЖНАЯ - Разглашение приведет к оч. значит. материальным потерям,

Таблица 3 – Продолжение 2

БД с использованием СУБД Access	Д1- ОЧ.ВАЖНАЯ - Решение (работа) возможно в коротком промежутке времени (дежурный вариант, некачественное решение), восстановление возможно после доп. затрат (T,$,R)	Ц1- ОЧ.ВАЖНОЕ - Решение возможно в коротком промежутке времени (дежурный вариант, некачественное решение), более длительное использование приведет к необратимым, негативным последствиям, возможно разрушение инф.системы.	К1- ОЧ.ВАЖНАЯ - Разглашение приведет к оч. значит. материальным потерям,
Конструкторская спецификация	Д1- ОЧ.ВАЖНАЯ - Решение (работа) возможно в коротком промежутке времени (дежурный вариант, некачественное решение), восстановление возможно после доп. затрат (T,$,R)	Ц2- ВАЖНАЯ - Решение (работа) возможно в промежутке времени (рабочий вариант), неминуемо остановка, если целостность не будет восстановлена.	К1- ОЧ.ВАЖНАЯ - Разглашение приведет к оч. значит. материальным Потерям
Счет на оплату	Д4- НЕСУЩЕСТВЕННАЯ - не влияет на работоспособность	Ц4- НЕЗНАЧИМАЯ - не влияет на работоспособность	4- МАЛО-ЗНАЧИМАЯ - Разглашение ВОЗМОЖНО приведет к моральному ущербу
Рисунок – эскиз	Д4- НЕСУЩЕСТВЕННАЯ - не влияет на работоспособность	Ц4- НЕЗНАЧИМАЯ - не влияет на работоспособность	К3- ЗНАЧИМАЯ- Разглашение приведет к моральному ущербу

Таблица 3 – Продолжение 3

Рисунок - Файл в формате .xls	Д2- ВАЖНАЯ - Решение возможно в промежутке времени , неминуемо остановка, восстановление возможно после доп. затрат (T	Ц2- ВАЖНАЯ - Решение возможно в промежутке времени , неминуема остановка	К1- ОЧ.ВАЖНАЯ - Разглашение приведет к оч. значит. материальным потерям
Архив zip/rar	Д3- ПОЛЕЗНАЯ - Решение (работа) возможно в рабочем варианте, эффективность снижена, восстановление возможно после доп. затрат (T,$,R)	Ц3 ЗНАЧИМАЯ - Решение (работа) возможно в рабочем варианте, эффективность снижена, восстановление возможно после восстановления целостности	К1- ОЧ.ВАЖНАЯ - Разглашение приведет к оч. значит. материальным Потерям
Матрица полномочий	Д2 ВАЖНАЯ - Решение (работа) возможно в промежутке времени (рабочий вариант), неминуемо остановка, восстановление возможно после доп. затрат (T,$,R)	Ц1- ОЧЕНЬ ВАЖНАЯ- Решение (работа) возможно в коротком промежутке времени	К1- ОЧ.ВАЖНАЯ - Разглашение приведет к оч. значит. материальным Потерям

Таблица 4 – Результаты классификации: перечень информационных элементов, подлежащих защите

Идентификатор	Наименование	Носитель
ИЭ1	Чертеж	Электронный
ИЭ2	Чертеж	Бумажный
ИЭ3	Вид изделия, размеры и личные предпочтения заказчика	Бумажный
ИЭ4	Калькуляция	Электронный
ИЭ5	Калькуляция	Бумажный
ИЭ6	Эскиз и калькуляция	Электронный
ИЭ7	Стоимость материалов (прайс-листы)	Электронный
ИЭ8	Нормативы по трудовым и мат-м затратам, нормативы по накладным расходам	Электронный
ИЭ9	Номенклатура материалов, изделий и работ	Электронный
ИЭ10	БД с использованием СУБД Access	Электронный
ИЭ11	Конструкторская спецификация	Электронный
ИЭ12	Рисунок - Файл в формате .xls	Электронный
ИЭ13	Архив zip/rar	Электронный
ИЭ14	Матрица полномочий	Электронный

1 2 3 4 5 6 7 8

	Инструкция по организации антивирусной защиты информационных систем... «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных...		Методические рекомендации по обеспечению информационной безопасности... По обеспечению информационной безопасности в государственных информационных системах и защиты персональных данных в государственных...
	Овсянниковского сельского поселения распоряжени е Российской федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных...		Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных...
	Об организации и проведении работ по обеспечению безопасности персональных... Х обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской...		Инструкция пользователей и технология обработки персональных данных... Настоящая Инструкция определяет требования, права, обязанности, а так же порядок реализации задач и функций пользователей информационных...
	Методические рекомендации исполнительным органам государственной... Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных...		Приказ 30 декабря 2010 года №217 Об утверждении Инструкции по работе... В целях защиты персональных данных, используемых в министерстве финансов и налоговой политики Новосибирской области и реализации...
	Инструкция по организации антивирусной защиты в информационных системах... ПО, и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих информационные системы...		Руководство пользователя по обеспечению безопасности информационной... Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке...
	Инструкция по защите персональных данных, содержащихся в автоматизированных... Настоящая инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних...		Приказ о назначении должностного лица, ответственного за организацию... О назначении должностного лица, ответственного за организацию обработки персональных данных в информационных системах
	Мероприятия и документы по защите персональных данных Фз «О персональных данных» и Постановления Правительства Российской Федерации от 17. 11. 2007 №781 «Об утверждении Положения об обеспечении...		Администрация Егорлыкского района Ростовской области постановление Фз «О персональных данных», постановлением Правительства РФ от 01. 11. 2012 №119 «Об утверждении требований к защите персональных...
	Обработке в информационных системах персональных данных В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет		Муниципальное бюджетное общеобразовательное учреждение В целях соблюдения требований безопасности при обработке персональных данных в информационных системах персональных данных лицея

Анализ состояния защиты данных в информационных системах

Вопросы для контроля

КЛАССИФИКАЦИЯ ЭЛЕМЕНТОВ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Похожие: