Обеспечение функционирования СОИБ ХС

Обеспечение функционирования СОИБ ХС

Все должностные лица ХС должны знать об ответственности за разглашение коммерческой тайны. К этим знаниям относятся требования статей Уголовного кодекса, Гражданского кодекса и Кодекса законов о труде, а также те условия, при которых эти требования к сотруднику могут быть применимы.

Организация функционирования СОИБ невозможна без определения перечня источников конфиденциальной информации, к которым можно отнести:

-людей (сотрудников, клиентов, посетителей, обслуживающий персонал);

-документы самого различного характера и назначения;

-публикации: доклады, статьи, интервью, проспекты, книги;

-технические средства носителей информации и их обработки;

-выпускаемая ХС продукция;

-производственные и промышленные отходы ХС и другие.

Организация функционирования СОИБ ХС невозможна без применения комплекса инженерно-технических мер защиты.

Обеспечение функционирования СОИБ ХС непременно связано с введением в хозяйствующем субъекте комплекса ограничительных (режимных) мероприятий

Перечень режимных мероприятий для обеспечения ИБ….:

-физическая защита сотрудников, являющимися потенциальными носителями конфиденциальной информации

-постоянный контроль и проверка персонала с целью недопустить мошеничество, сговор и передачу информации заинтересованным лицам

-ограничение прав доступа сотрудников к информации

-налаженная и постоянно действующая система внутреннего контроля предприятия включает плановые, внезапные и контрольные проверки

-проведение предупредительной активной политики аудита ИБ организации.

Эффективная ЗИ на предприятии возможна только тогда когда будет обеспечена комплексное применение всех мер по ее защите

 

 

Классификация и анализ угроз ИБ

Под угрозой ИБ понимается потенциально возможное случайное или преднамеренное событие, процесс или явление, приводящее к нарушению конфиденциальности, целостности и доступности информации или поддерживающей ее инфраструктуры, которое наносит ущерб владельцу или пользователю информации.

Анализ источников угроз информационной безопасности ХС.

По сфере воздействия на информационную систему ХС источники угроз ИБ можно разделить на внутренние и внешние.

По мотивации воздействия на информационные ресурсы и системы, источники угроз ИБ можно разделить на преднамеренные и случайные.

Преднамеренные (умышленные) угрозы связаны с корыстными стремлениями людей (злоумышленников).

Случайные (неумышленные) угрозы вызваны ошибками в проектировании элементов информационных систем, в программном обеспечении, в действиях сотрудников и т. п.

Классификация источников угроз информационной безопасности для информационной системы ХС представлена на рис

При анализе угроз информационной безопасности рассматриваются все виды угроз, обусловленных различными факторами, среди которых выделим четыре основных класса:

- угрозы, возникновение которых обусловлено человеческим фактором;

- угрозы, связанные с техническими средствами, используемыми при разработке и эксплуатации информационных систем;

- угрозы, связанные с программными средствами, используемыми при разработке и эксплуатации информационной системы;

- техногенные угрозы, возникающие вследствие форс-мажорных обстоятельств.

 

Подготовка кадров

Основными способами воздействия на сотрудников компании являются нормативные документы, устанавливающие ответственность сотрудника за выполняемые действия, и информирование сотрудников по вопросам ИБ. С целью повышения осведомленности сотрудников компании в области ИБ проводятся различные виды тренингов и обучения.

Обучение сотрудников можно выполнять в форме очных и заочных курсов с последующим тестированием.

Обучая своих сотрудников основным правилам в области ИБ, компания может значительно снизить риск нарушения ИБ (ISO 27001).

Формы подготовки специалистов по вопросам обеспечения ИБ:

- система высшего профессионального образования;

- система переподготовки на новые специальности;

- система повышения квалификации.

 

ТСО

Выделяют 2 категории затрат:

-Прямые. Расходы на приобретение оборудования; расходы на управление СОИБ; расходы на услуги связи; расходы на разработку программного обеспечения и так далее

-Косвенные

Первая группа – «Неработоспособность системы». СОИБ некачественно спроектирована, медленно работает, в следствии чего мероприятие терпит убытки в следствии того, что происходит непроизводительное расходование времени у пользователей

Вторая группа – «Непроизводительные усилия конечного пользователя». В следствии ненадлежащей подготовки сотрудников ИБ, конечные пользователи вынуждены сами изучать работу системы, что уменьшает производительное время работы.

TCO = Пр + Кр1 + Кр2

 

ROI

ROI = Эф/И

Эф – величина эффекта от внедрения СОИБ

И – инвестиции в СОИБ

Метод оценки отдачи активов

К = СдСоиб/ СдАльт

СдСоиб – Ставка доходности СОИБ

СдАльт – Ставка альтернативной доходности

 

Оценка «Цены» акционера

ЭФакц = ЭФ / (Q1акц – Q0акц)

ЭФакц – Эффективность инвестиций в информационную инфраструктуру ХС в расчете на привлечение одного акционера

ЭФ – эффект от внедрения СОИБ

Q1акц – Количество акционеров ХС до внедрения СОИБ

Q0акц – Количество акционеров ХС после внедрения СОИБ

 

 

Оптимизация затрат на ИБ ХС

Под оптимизацией понимается процесс определения такого состояния исследуемой системы, при которой обеспечивается достижение экстремального (максимального или минимального) значения одним или несколькими показателями ее функционирования.

Основные подходы к оптимизации затрат на обеспечение ИБ ХС покажем с использованием методов математического моделирования.

Параметрами модели оптимизации затрат являются следующие:

- риск ИБ, R;

- стоимость средств защиты информационных ресурсов ХС, S;

- вероятность нанесения ХС ущерба вследствие наличия уязвимостей СОИБ, P;

- размер возникающего ущерба, U.

…

Практические рекомендации по оптимизации затрат на системы обеспечения ИБ:

1)Если система компании обладает достаточными характеристиками безопасности, целесообразно добиваться снижения затрат на системы, без снижения соответствующего уровня. Если же данные характеристики не удовлетворительны то целесообразно отказаться от оптимизации.

2)стоимость системы обеспечения ИБ можно существенно снизить при использовании инструмента страхования возможного ущерба.

3)оптимальная по затратам система обеспечения ИБ. Целесообразно для экономически самостоятельных компаний, которые в своей деятельности вынуждены соблюдать баланс между затратами на ИБ и возможным ущербом.

Оценка экономически оптимальных параметров должна являться основой формирования конкретного технического облика систем обеспечения ИБ.

 

Практика

Обеспечение функционирования СОИБ ХС

Все должностные лица ХС должны знать об ответственности за разглашение коммерческой тайны. К этим знаниям относятся требования статей Уголовного кодекса, Гражданского кодекса и Кодекса законов о труде, а также те условия, при которых эти требования к сотруднику могут быть применимы.

Организация функционирования СОИБ невозможна без определения перечня источников конфиденциальной информации, к которым можно отнести:

-людей (сотрудников, клиентов, посетителей, обслуживающий персонал);

-документы самого различного характера и назначения;

-публикации: доклады, статьи, интервью, проспекты, книги;

-технические средства носителей информации и их обработки;

-выпускаемая ХС продукция;

-производственные и промышленные отходы ХС и другие.

Организация функционирования СОИБ ХС невозможна без применения комплекса инженерно-технических мер защиты.

Обеспечение функционирования СОИБ ХС непременно связано с введением в хозяйствующем субъекте комплекса ограничительных (режимных) мероприятий

Перечень режимных мероприятий для обеспечения ИБ….:

-физическая защита сотрудников, являющимися потенциальными носителями конфиденциальной информации

-постоянный контроль и проверка персонала с целью недопустить мошеничество, сговор и передачу информации заинтересованным лицам

-ограничение прав доступа сотрудников к информации

-налаженная и постоянно действующая система внутреннего контроля предприятия включает плановые, внезапные и контрольные проверки

-проведение предупредительной активной политики аудита ИБ организации.

Эффективная ЗИ на предприятии возможна только тогда когда будет обеспечена комплексное применение всех мер по ее защите