Organisationsvermögen als zentrale Risikofaktoren. Was sind Informationswerte? Beispiele
In diesem Abschnitt ist es notwendig, ein Diagramm der allgemeinen Organisations- und Funktionsstruktur des Unternehmens vorzustellen, das den Inhalt des Verwaltungsapparats und des Verwaltungsgegenstands im Unternehmen sowie die wichtigsten Verwaltungs- und Funktionsbereiche des Unternehmens widerspiegelt. Das Schema muss ganzheitlich sein.
Die Organisationsstruktur muss eine logische Darstellung der Positionen und Abteilungen gewährleisten. Auf der zweiten Unterordnungsebene werden beispielsweise entweder die Positionen der Führungskräfte oder die Namen der Abteilungen angegeben.
Abb. 1 Organisations- und Funktionsstruktur des Unternehmens
1.2. Analyse des Informationssicherheitsrisikos.
Die Bestimmungen des aktuellen Regulierungsrahmens im Bereich der Informationssicherheit (internationale Standards, GOSTs) verlangen von der Organisation, eine systematische Methode und einen systematischen Ansatz zur Risikobewertung zu identifizieren und anzuwenden Risiko - eine Kombination aus der Wahrscheinlichkeit eines Ereignisses und seinen Folgen.(Mit anderen Worten, Risiko ist die mathematische Erwartung eines Schadens an den Informationsressourcen des Unternehmens).
Das Ergebnis der Risikobewertung kann jedoch sowohl in Form eines quantitativen Indikators (in Tausend Rubel) als auch in Form eines qualitativen Indikators dargestellt werden: akzeptabel Risiko bzw inakzeptabel Risiko
Es ist wichtig, dass das Informationssicherheitsrisiko im gesamten Unternehmen klar und konsistent verwaltet wird.
Das Risikomanagement kann jedoch unterschiedliche Ansätze zur Risikobewertung und -verwaltung sowie unterschiedliche Detaillierungsebenen verwenden, um den Anforderungen der Organisation gerecht zu werden.
Welcher Risikobewertungsansatz gewählt wird, liegt ganz bei der Organisation.
Welche Entscheidung eine Organisation auch immer trifft, es ist wichtig, dass der Ansatz zum Risikomanagement angemessen ist und alle Anforderungen der Organisation erfüllt.
Vor der direkten Durchführung der Absätze 1.2.1.-1.2.5. Begründen Sie die Notwendigkeit einer Risikoanalyse für die Organisation und geben Sie Folgendes an:
Wer entscheidet über die Durchführung einer Risikoanalyse?
Wer führt die Risikoanalyse in welcher Häufigkeit durch?
In welcher Form wird die Gefährdungsbeurteilung dargestellt?
Wenn diese Analyse aus welchen Gründen nicht durchgeführt wird?
1.2.1. Identifizierung und Bewertung von Informationsressourcen
Ein Informationswert ist eine Komponente oder ein Teil eines Gesamtsystems, in das die Organisation direkt investiert und der dementsprechend Schutz durch die Organisation erfordert. Bei der Identifizierung von Vermögenswerten ist zu berücksichtigen, dass jedes informationstechnische System nicht nur Informationen – Informationen, Daten, unabhängig von der Form ihrer Darstellung, sondern auch Hardware, Software usw. umfasst. Folgende Asset-Typen können vorhanden sein:
Informationen/Daten (zum Beispiel Dateien mit Zahlungs- oder Produktinformationen);
Hardware (z. B. Computer, Drucker);
Software, einschließlich Anwendungsprogramme (z. B. Textverarbeitungsprogramme, Spezialprogramme);
Kommunikationsgeräte (z. B. Telefone, Kupfer- und Glasfaserkabel);
Hardware und Software (z. B. Disketten, CD-ROMs, programmierbare ROMs);
Dokumente (zum Beispiel Verträge);
Gelder (z. B. an Geldautomaten);
Produkte der Organisation;
Dienstleistungen (z. B. Informationen, Computerdienste);
Vertraulichkeit und Vertrauen bei der Erbringung von Dienstleistungen (z. B. Zahlungsdienstleistungen);
Ausrüstung, die die notwendigen Arbeitsbedingungen bietet;
Organisationspersonal;
Prestige (Image) der Organisation.
In diesem Absatz ist die Zusammensetzung und, wenn möglich, der Inhalt der im Unternehmen zirkulierenden und schutzpflichtigen Informationen festzulegen. Ordnen Sie dann die Vermögenswerte nach ihrer Bedeutung für das Unternehmen. Da es sich bei der Informationssicherheit um eine Maßnahme zur Verhinderung des Verlusts geschützter Informationen sowie unbefugter und unbeabsichtigter Auswirkungen auf geschützte Informationen handelt, sollten die Ergebnisse der Analyse im Hinblick auf Verfügbarkeit, Integrität und Vertraulichkeit formuliert werden.
Wenn eine Organisation beispielsweise im Vertrieb tätig ist, sind Informationen über die erbrachten Dienstleistungen und Preise sowie deren Relevanz von Bedeutung Verfügbarkeit maximale Anzahl potenzieller Käufer. Für eine Organisation, die für die Pflege kritischer Datenbanken verantwortlich ist, sollte dies oberste Priorität haben Integrität Daten. Die Organisation des Regimes wird sich in erster Linie darum kümmern Privatsphäre Informationen, also deren Schutz vor unbefugtem Zugriff.
Das Ergebnis der Rangfolge der Informationswerte muss dem in der Einleitung formulierten Ziel des Diplomentwurfs entsprechen. Beispielsweise ist es bei der Auswahl eines Themas im Zusammenhang mit dem kryptografischen Datenschutz nicht akzeptabel, den in Papierform erfassten Informationen Vorrang einzuräumen oder, wenn es um den Schutz eines bestimmten Vermögenswerts (personenbezogener Daten) geht, diesem Vermögenswert eine niedrigere Priorität einzuräumen im Vergleich zu anderen Vermögenswerten, vorbehaltlich einer Bewertung.
Der Artikel muss enthalten:
a) Begründung für die Auswahl der zu bewertenden Vermögenswerte, d. h. Es muss argumentiert werden, warum diese Vermögenswerte einem obligatorischen Schutz unterliegen sollten.
B) Liste der Aktivitäten Organisationen (definiert in Abschnitt 1.1.1) sowie Name und eine kurze Beschreibung der für jeden Typ verwendeten (erstellten) Informationsressourcen, Präsentationsform Vermögenswert (Papierdokument, Informationen auf elektronischen Medien, materieller Gegenstand);
V) Liste der Vermögenseigentümer, in Absätzen definiert (B). Der Begriff „Eigentümer“ bezieht sich auf eine Person oder Organisation mit vom Management genehmigter Verantwortung für die Überwachung der Produktion, Entwicklung, Wartung, Nutzung und Sicherheit von Vermögenswerten. Daher sollte die Erstellung dieser Liste auf der Grundlage der in Abschnitt 1.1.2 dargelegten Informationen erfolgen;
d) Ergebnisse der Vermögensbewertung. Die folgenden Richtlinien sollten als Leitfaden für Ihre Beurteilung verwendet werden.
Der jedem Vermögenswert zugewiesene Wert muss in einer bestimmten Weise ausgedrückt werden der beste Weg entsprechend dem gegebenen Vermögenswert und juristische Person Durchführung geschäftlicher Aktivitäten.
Die Verantwortung für die Wertermittlung von Vermögenswerten muss bei deren Eigentümern liegen.
Um eine vollständige Buchhaltung der Vermögenswerte sicherzustellen (besprochen in Diplomarbeit) wird empfohlen, sie nach Typ zu gruppieren, z. B. Informationsressourcen, Vermögenswerte Software, physische Vermögenswerte und Dienstleistungen.
Muss bestimmt werden Kriterien Bestimmung des spezifischen Wertes von Vermögenswerten. Die Kriterien, die als Grundlage für die Bewertung des Wertes jedes Vermögenswerts dienen, müssen in eindeutigen Worten ausgedrückt werden. Folgende Kriterien zur Ermittlung des Wertes von Vermögenswerten sind möglich:
die ursprünglichen Anschaffungskosten des Vermögenswerts,
die Kosten für die Aktualisierung oder Neuerstellung.
Der Wert eines Vermögenswerts kann auch immaterieller Natur sein, beispielsweise der Preis guter Name oder der Ruf des Unternehmens.
Ein weiterer Ansatz zur Vermögensbewertung besteht darin, mögliche Kosten zu berücksichtigen
Verlust der Vertraulichkeit;
Integritätsverletzungen;
Verlust der Verfügbarkeit.
Muss bestimmt werden Dimension der Beurteilung, die produziert werden muss. Einige Vermögenswerte können monetär bewertet werden, während andere Vermögenswerte möglicherweise qualitativ bewertet werden.
Beispielsweise wird für eine quantitative Skala die Dimension verwendet Tausend Rubel . Für die qualitative Skala werden folgende Begriffe verwendet: „vernachlässigbar“, „sehr gering“, „klein“, „mittel“, „hoch“, „sehr hoch“, „von kritischer Bedeutung“.
Für denselben ausgewählten Vermögenswert müssen Werte für beide Bewertungsarten definiert werden.
Informationen in Unterabsatz ( A) kann in beliebiger Testform vorgelegt werden. Es empfiehlt sich, die Ergebnisse eines internen Informationssicherheitsaudits bereitzustellen. Bei Bedarf besteht die Möglichkeit, statistische Daten aus externen Quellen zu nutzen.
Informationen zu Unterpunkten Gott sollten in Tabelle 2 zusammengefasst werden
|
Art der Aktivität |
Asset-Name |
Präsentationsform |
Vermögenseigentümer |
Kostenermittlungskriterien |
Dimension der Bewertung |
|
|
Quantitative Bewertung (Einheit) |
Gute Qualität |
|||||
|
Informationsressourcen |
||||||
|
Software-Assets |
||||||
|
Physische Vermögenswerte |
||||||
Tabelle 2
Bewertung von Unternehmensinformationsressourcen
Abhängig von der Problemstellung sind einige Abschnitte der Tabelle möglicherweise nicht ausgefüllt
e) eine Liste der Informationsbestände, deren verbindliche Zugangsbeschränkungen durch die geltenden Rechtsvorschriften der Russischen Föderation geregelt sind, zusammengefasst in Tabelle 3.
Tisch 3
Scrollen
vertrauliche Informationen von Inform-Alliance LLC
|
№ p/p |
Name der Information |
Vertraulichkeitsstempel |
Zulassungsdokument, Details, Artikel-Nr. |
|
Informationen, die die Merkmale der Mittel zum Schutz von Unternehmens-LAN-Informationen vor unbefugtem Zugriff offenbaren. | |||
|
Anforderungen zur Gewährleistung der Wahrung von Amtsgeheimnissen durch Mitarbeiter des Unternehmens. |
Bürgerliches Gesetzbuch der Russischen Föderation Art.XX |
||
|
Persönliche Daten von Mitarbeitern |
Bundesgesetz XX-FZ |
f) das Ergebnis der Rangfolge der Vermögenswerte. Das Ranking-Ergebnis sollte eine integrierte Einschätzung der Bedeutung des Vermögenswerts für das Unternehmen sein, die auf einer fünfstufigen Skala erfolgt und in Tabelle 4 enthalten ist.
Es sind die Vermögenswerte mit dem größten Wert (Rang), die später als Schutzobjekt betrachtet werden sollten. Die Anzahl solcher Vermögenswerte hängt in der Regel von der Ausrichtung der Unternehmenstätigkeit ab, in der Abschlussarbeit empfiehlt es sich jedoch, 5-9 Vermögenswerte zu berücksichtigen.
Tabelle 4
Ergebnisse des Asset-Rankings
|
Asset-Name |
Vermögenswert (Rang) |
|
Informationsvermögen Nr. 1 | |
|
Physischer Vermögenswert Nr. 3 | |
|
Informationsvermögen Nr. 3 | |
|
Software-Asset Nr. 2 | |
|
Physischer Vermögenswert Nr. 4 |
Vermögenswerte mit dem größten Wert:
In dieser Phase müssen wir die Informationsressourcen identifizieren, die in den Umfang der Bewertung einbezogen werden.
1) Bestimmen Sie den Wert dieser Vermögenswerte
2) Bestimmen Sie die Liste der Bedrohungen und die Wahrscheinlichkeit ihrer Umsetzung
3) Bewerten und ordnen Sie Risiken ein
Ein Informationswert ist jede Information, unabhängig von der Art ihrer Präsentation, die für die Organisation einen Wert hat und ihr zur Verfügung steht.
Arten von Vermögenswerten des Handelshauses LFZ LLC:
· Informationen (Buchhaltungsdatenbank – enthält Informationen über alle Mitarbeiter des Unternehmens, Finanztransaktionen, die sowohl innerhalb als auch außerhalb des Unternehmens stattfinden, sowie Informationen über abgeschlossene Transaktionen und deren Status)
· Dokumente (Vereinbarungen, Verträge, Memos)
· Software, einschließlich Anwendungsprogramme
· Hardware (Personalcomputer – notwendig für die Arbeit der Mitarbeiter). Datenbankserver, Telefone, Kupfer- und Glasfaserkabel, Switches, Drucker, Mailserver.
LLC „Handelshaus LFZ“ ist kommerzielle Organisation Ihr Hauptziel besteht darin, mit den angebotenen Dienstleistungen Gewinne zu erzielen.
Die Hauptfunktionen des Marktes sind der Verkauf von Produkten aus dem St. Petersburger Werk „Kaiserliche Porzellanfabrik“ auf dem Moskauer Markt.
Daten zur Bewertung von Informationsressourcen sind in Tabelle 1.2.1.1 zusammengefasst. Die Ergebnisse des Rankings der Vermögenswerte sind in Tabelle 1.2.1.3 dargestellt.
Tabelle 1.2.1.1
Bewertung der Informationsressourcen des LLC Trading House LFZ.
| Asset-Name | Präsentationsform | Vermögenseigentümer | Dimension der Bewertung | ||
| Gute Qualität | |||||
| Informationsressourcen | |||||
| Buchhaltungsdatenbank | Elektronisch | Buchhaltung | Grad der Wichtigkeit | - | |
| Lieferantendatenbank | Elektronisch | Direktor | Grad der Wichtigkeit | - | Kritisch |
| Elektronisch | Personalabteilung | Grad der Wichtigkeit | - | Hoch | |
| Besetzungstabelle und Personalakten | Papierdokument, elektronisches Dokument | Personalabteilung | Kosten für die Aktualisierung oder Neuerstellung | - | kritisch hoch |
Fortsetzung der Tabelle 1.2.1.1
| Asset-Name | Präsentationsform | Vermögenseigentümer | Kostenermittlungskriterien | Dimension der Bewertung | |
| Quantifizierung(Einheit.) | Gute Qualität | ||||
| Hardware-Assets | |||||
| Drucker | Materielles Objekt | IT Abteilung | Anschaffungskosten | - | Klein |
| Kommunikationsausrüstung | Materielles Objekt | IT Abteilung | Anschaffungskosten | - | Durchschnitt |
| Datenbankserver | Materielles Objekt | IT Abteilung | Anschaffungskosten | - | Kritisch |
| Mail-Server | Materielles Objekt | IT Abteilung | Anschaffungskosten | - | Kritisch |
| Persönlicher Computer | Materielles Objekt | Berater, Rohstoffexperten, Verwaltung. | Anschaffungskosten | - | Durchschnitt |
| Datenbankbestellung (MySQL) | Materielles Objekt | IT Abteilung | Anschaffungskosten | Hoch | |
Fortsetzung der Tabelle 1.2.1.1
| Asset-Name | Präsentationsform | Vermögenseigentümer | Kostenermittlungskriterien | Dimension der Bewertung | |
| Quantitative Bewertung (Einheit) | Gute Qualität | ||||
| Software-Assets | |||||
| Abrechnungssystem | Elektronisch | Erneuerung und Erholung | - | Hoch | |
| Gezielte Programme | Elektronisch | Direktion für Software-Support und -Entwicklung | Erneuerung und Erholung | - | Hoch |
| Windows 7 Ultimate | Elektronisch | Direktion für technischen Support | Anschaffungskosten | - | Klein |
| MS Office 2010 | Elektronisch | Direktion für technischen Support | Anschaffungskosten | - | Klein |
Das Ranking-Ergebnis ist eine integrierte Einschätzung der Bedeutung des Vermögenswerts für das Unternehmen auf einer fünfstufigen Skala (Tabelle 1.2.1.1). Das wertvollste Informationsgut hat den Rang 5, das am wenigsten wertvolle den Rang 1.
Vermögenswerte mit dem höchsten Wert (Rang) gelten anschließend als Schutzgegenstand. Die Anzahl dieser Vermögenswerte hängt in der Regel von der Ausrichtung des Unternehmens ab. Im Rahmen der Aufgabe, eine Sicherheitsrichtlinie zum Schutz personenbezogener Daten zu entwickeln, werden wir die wertvollsten Informationsressourcen (diejenigen mit dem höchsten Rang) hervorheben.
Tabelle 1.2.1.3
Ergebnisse des Rankings der Vermögenswerte von Trading House LFZ LLC
Basierend auf den Ranking-Ergebnissen (Tabelle 1.2.1.3) werden wir die Vermögenswerte hervorheben, die den größten Wert haben (Rang 5 und 4):
1. Buchhaltungsdatenbank;
2. Mailserver;
3. Lieferantendatenbank;
4. Datenbankserver;
5. Persönliche Daten über Mitarbeiter;
6. Kommunikationsausrüstung;
7. Buchhaltungssystem;
Die Liste der Informationsbestände, deren verbindliche Zugangsbeschränkungen durch die geltende Gesetzgebung der Russischen Föderation geregelt sind, ist in Tabelle 1.2.1.2 aufgeführt.
Tabelle 1.2.1.2
Liste der vertraulichen Informationen der LLC „Handelshaus LFZ“
| NEIN. | Name der Information | Vertraulichkeitsstempel | Zulassungsdokument, Details, Artikel-Nr. |
| 1. | Informationen, die die Merkmale von Mitteln zum Schutz von Unternehmens-LAN-Informationen vor unbefugtem Zugriff offenlegen | – | |
| 2. | Anforderungen zur Gewährleistung der Wahrung von Amtsgeheimnissen durch Mitarbeiter des Unternehmens | Eingeschränkte Informationen | Kunst. 139, 857 Bürgerliches Gesetzbuch der Russischen Föderation |
| 3. | Persönliche Daten von Mitarbeitern | Eingeschränkte Informationen; Offenlegung mit Zustimmung des Arbeitnehmers vorbehalten | Bundesgesetz Nr. 152-FZ; Kapitel 14 Arbeitsgesetzbuch RF |
| 4. | Wissenschaftliche, technische, technologische, produktionstechnische, finanzielle, wirtschaftliche oder sonstige Informationen (einschließlich Bestandteile von Produktionsgeheimnissen (Know-how), die tatsächlich oder potenziell vorhanden sind Handelswert aufgrund der Unbekanntheit für Dritte). | Offenlegung unterliegt nur einer Entscheidung des Unternehmens | das Bundesgesetz Russische Föderation vom 29. Juli 2004 N 98-FZ Über Geschäftsgeheimnisse |
Bewertung der Anfälligkeit von Vermögenswerten.
Die Verwundbarkeit von Informationsressourcen ist die eine oder andere Schwachstelle, die es möglich macht, dass eine Ressource durch Angreifer, unqualifiziertes Personal oder bösartigen Code (z. B. Viren oder Spyware) beeinträchtigt wird.
Eine Sicherheitslücke ist ein Ereignis, das als Folge einer solchen Kombination von Umständen entsteht, wenn die in geschützten Datenverarbeitungssystemen verwendeten Schutzmaßnahmen aus irgendeinem Grund nicht in der Lage sind, der Manifestation destabilisierender Faktoren und deren unerwünschten Auswirkungen auf die geschützten Personen ausreichend entgegenzuwirken Information.
In der Computersicherheit wird der Begriff „Schwachstelle“ verwendet, um einen Fehler in einem System zu bezeichnen, der, wenn er ausgenutzt wird, dessen Integrität gefährden und zu Fehlfunktionen führen kann. Sicherheitslücken können das Ergebnis von Programmierfehlern, Fehlern im Systemdesign, schwachen Passwörtern, Viren und anderer Malware, Skript-Injektionen und SQL-Injections sein. Einige Schwachstellen sind nur theoretisch bekannt, während andere aktiv genutzt werden und bekannte Exploits aufweisen.
Schwachstellen Informationssystem Unternehmen können auf verschiedene Arten definiert werden. Sie können von einem Mitarbeiter des Unternehmens (Systemadministrator oder Informationssicherheitsspezialist) anhand seiner eigenen Erfahrung beschrieben werden (vielleicht als Hinweis für die meisten). Gesamte Beschreibung Gruppen von Schwachstellen in Informationssystemen mithilfe von Schwachstellenklassifizierungen). Darüber hinaus können externe Spezialisten hinzugezogen werden, um eine technologische Prüfung des Informationssystems durchzuführen und dessen Schwachstellen zu identifizieren.
Die Grundlage für die Durchführung einer Schwachstellenbewertung besteht darin, die Kritikalität von Informationsressourcen zu bewerten und die Angemessenheit der ergriffenen Sicherheitsmaßnahmen im Verhältnis zu ihrer Bedeutung zu bestimmen.
Indikatoren für die Verwundbarkeit eines Vermögenswerts und seiner besonders wichtigen Bereiche sind der Grad der Verwundbarkeit in einer ordinalen Bewertungsskala (Beispiel für Grade: hoch, mittel, niedrig).
Nach der Schwachstellenbewertung wird ein Bericht erstellt, der eine Beschreibung der Schwachstellen und anfälligen Systeme enthalten sollte. Schwachstellen sollten zuerst nach Schweregrad und dann nach Server/Dienst sortiert werden. Schwachstellen sollten am Anfang des Berichts aufgeführt und in absteigender Reihenfolge ihrer Kritikalität angeordnet werden, d. h. kritische Schwachstellen zuerst, dann hohe Schwachstellen, dann mittlere und niedrige Schwachstellen.
Die Ergebnisse der Vermögensanfälligkeitsbewertung werden in dargestellt Tisch 3.
| Persönliche Daten über Mitarbeiter | Personalbuchhaltung | Persönliche Computer | Datenbankserver | Mail-Server | Abrechnungssystem | Windows 7 | ||
| 1. Umwelt und Infrastruktur | ||||||||
| Mangelnder physischer Schutz von Gebäuden, Türen und Fenstern | Durchschnitt | Durchschnitt | Durchschnitt | Durchschnitt | ||||
| Instabiler Betrieb des Stromnetzes | Durchschnitt | Niedrig | Niedrig | Niedrig | ||||
| 2. Hardware | ||||||||
| Fehlende regelmäßige Ersatzprogramme | Durchschnitt | Durchschnitt | Durchschnitt | Durchschnitt | ||||
| Belastung durch Feuchtigkeit, Staub, Verschmutzung | Hoch | Hoch | Hoch | Durchschnitt | ||||
| Mangelnde Kontrolle über wirksame Konfigurationsänderungen | Durchschnitt | Niedrig | Niedrig | |||||
| 3. Software | ||||||||
| Fehlende oder unzureichende Tests der Software | Hoch | Hoch | ||||||
| Komplexe Benutzeroberfläche | Durchschnitt | Durchschnitt | ||||||
| Schlechte Passwortverwaltung | Durchschnitt | Durchschnitt | Durchschnitt | Hoch | Hoch |
| Schwachstellengruppe Inhalt der Schwachstelle | Persönliche Daten über Mitarbeiter | Personalbuchhaltung | Persönliche Computer | Datenbankserver | Mail-Server | Kommunikationsausrüstung | Abrechnungssystem | Windows 7 |
| 4. Kommunikation | ||||||||
| Durchschnitt | Niedrig | Durchschnitt | Hoch | Hoch | ||||
| Durchschnitt | Durchschnitt | Durchschnitt | Durchschnitt | Durchschnitt | ||||
| Mangelnde Identifizierung und Authentifizierung von Absender und Empfänger | Durchschnitt | Niedrig | Durchschnitt | Hoch | Hoch | |||
| 5. Dokumente (Workflow) | ||||||||
| Lagerung an ungeschützten Orten | Durchschnitt | Durchschnitt | ||||||
| Unkontrolliertes Kopieren | Hoch | Durchschnitt | ||||||
| 7. Häufige Schwachstellen | ||||||||
| Systemausfall aufgrund des Ausfalls eines der Elemente | Durchschnitt | Durchschnitt | Hoch | |||||
| Unzureichende Ergebnisse Wartung | Durchschnitt | Niedrig | Niedrig | Durchschnitt |
| Schwachstellengruppe Inhalt der Schwachstelle | Persönliche Daten über Mitarbeiter | Personalbuchhaltung | Persönliche Computer | Datenbankserver | Mail-Server | Kommunikationsausrüstung | Abrechnungssystem | Windows 7 |
| 4. Kommunikation | ||||||||
| Mangelnde Identifizierung und Authentifizierung von Absender und Empfänger | Durchschnitt | Niedrig | Durchschnitt | Hoch | Hoch | |||
| Ungesicherte Verbindungen zu Netzwerken allgemeiner Gebrauch | Durchschnitt | Durchschnitt | Durchschnitt | Durchschnitt | Durchschnitt | |||
| Mangelnde Identifizierung und Authentifizierung von Absender und Empfänger | Durchschnitt | Niedrig | Durchschnitt | Hoch | Hoch |
Beurteilung von Vermögensgefährdungen.
Eine Bedrohung (die Möglichkeit einer nachteiligen Auswirkung) kann Schäden am System verursachen Informationstechnologien und seine Vermögenswerte. Wenn diese Bedrohung eintritt, kann sie mit dem System interagieren und unerwünschte Vorfälle verursachen, die sich negativ auf das System auswirken. Bedrohungen können sowohl auf natürlichen als auch auf menschlichen Faktoren beruhen; Sie können versehentlich oder absichtlich implementiert werden. Es müssen die Quellen unbeabsichtigter und vorsätzlicher Bedrohungen identifiziert und die Wahrscheinlichkeit ihrer Umsetzung beurteilt werden. Es ist wichtig, mögliche Bedrohungen nicht aus den Augen zu verlieren, da dies zu Funktionsstörungen oder der Entstehung von Schwachstellen im Sicherheitssystem der Informationstechnologie führen kann.
Letztlich führen rechtswidrige Handlungen mit Informationen zu einer Verletzung ihrer Vertraulichkeit, Vollständigkeit, Zuverlässigkeit und Zugänglichkeit, was wiederum zu einer Verletzung sowohl des Managementregimes als auch seiner Qualität bei falschen oder unvollständigen Informationen führt. Abbildung 2 zeigt die wichtigsten Arten von Bedrohungen.
Abbildung 2. Haupttypen von Bedrohungen für die Informationssicherheit.
Input für Bedrohungsbewertungen sollte von Anlageneigentümern oder -benutzern, Personalmitarbeitern, Hardwareentwicklungs- und Infsowie denjenigen eingeholt werden, die für die Umsetzung von Schutzmaßnahmen in der Organisation verantwortlich sind. Andere Organisationen, z.B. Bundesregierung und lokale Behörden können auch bei der Durchführung von Bedrohungsbewertungen behilflich sein, beispielsweise durch die Bereitstellung notwendiger Statistiken.
Nachfolgend sind einige der häufigsten Bedrohungsvarianten aufgeführt:
Fehler und Auslassungen;
- Betrug und Diebstahl;
- Fälle von Sabotage durch Personal;
- Verschlechterung des Zustands des materiellen Teils und der Infrastruktur;
- Hacker-Software, die beispielsweise die Aktionen eines legitimen Benutzers simuliert;
Software, die den normalen Betrieb des Systems stört;
Industriespionage.
Bedenken Sie bei der Verwendung von Bedrohungskatalogen oder früheren Bedrohungsbewertungen, dass sich Bedrohungen ständig ändern, insbesondere wenn ein Unternehmen seinen Geschäftsschwerpunkt oder seine Informationstechnologie ändert. Zum Beispiel, Computer Virus Die 90er Jahre stellen eine weitaus größere Bedrohung dar als die Computerviren der 80er Jahre. Es ist auch zu beachten, dass die Folge der Einführung von Schutzmaßnahmen wie Antivirenprogramme Dies ist wahrscheinlich auf das ständige Auftauchen neuer Viren zurückzuführen, die von vorhandenen Antivirenprogrammen nicht erkannt werden können.
Nachdem die Quelle der Bedrohung (wer und was verursacht die Bedrohung) und das Ziel der Bedrohung (welches Element des Systems möglicherweise von der Bedrohung betroffen ist) identifiziert wurde, muss die Wahrscheinlichkeit des Auftretens der Bedrohung beurteilt werden.
Folgendes sollte berücksichtigt werden:
- Häufigkeit des Auftretens der Bedrohung (wie oft sie laut statistischen, experimentellen und anderen Daten auftreten kann), sofern relevante statistische und andere Materialien verfügbar sind;
- Motivation, Fähigkeiten und Ressourcen, die für einen potenziellen Täter erforderlich sind und ihm möglicherweise zur Verfügung stehen; der Grad der Attraktivität und Verwundbarkeit der Vermögenswerte des Informationstechnologiesystems aus der Sicht eines möglichen Eindringlings und der Quelle einer vorsätzlichen Bedrohung;
- geografische Faktoren – wie die Anwesenheit von Chemie- oder Ölraffinerien in der Nähe, die Möglichkeit extremer Ereignisse Wetterverhältnisse, sowie Faktoren, die zu Fehlern beim Personal, zum Ausfall von Geräten und zur Umsetzung einer versehentlichen Bedrohung führen können.
Die Klassifizierung von Möglichkeiten zur Umsetzung von Bedrohungen (Angriffen) ist eine Reihe möglicher Handlungsoptionen einer Bedrohungsquelle unter Verwendung bestimmter Umsetzungsmethoden unter Ausnutzung von Schwachstellen, die zur Umsetzung von Angriffszielen führen. Der Zweck des Angriffs darf nicht mit dem Zweck der Umsetzung der Bedrohung übereinstimmen und darauf abzielen, ein Zwischenergebnis zu erzielen, das für die weitere Umsetzung der Bedrohung erforderlich ist. Im Falle einer solchen Diskrepanz wird der Angriff als Vorbereitungsphase für die Ergreifung von Maßnahmen zur Umsetzung der Bedrohung betrachtet, d. h. als „Vorbereitung zur Begehung“ einer rechtswidrigen Handlung. Das Ergebnis eines Angriffs sind die Konsequenzen, die zur Umsetzung der Bedrohung führen und/oder zu dieser Umsetzung beitragen.
Die Ergebnisse der Bewertung der Bedrohung von Vermögenswerten sind in Tabelle 4 dargestellt.
| Schwachstellengruppe Inhalt der Schwachstelle | Persönliche Daten über Mitarbeiter | Personalbuchhaltung | Persönliche Computer | Datenbankserver | Mail-Server | Kommunikationsausrüstung | Abrechnungssystem | Windows 7 |
| 1. Bedrohungen durch vorsätzliche Handlungen | ||||||||
| Informationsdiebstahl | Durchschnitt | Durchschnitt | Durchschnitt | |||||
| Schädliche Software | Hoch | Durchschnitt | Durchschnitt | Durchschnitt | ||||
| Das System hacken | Durchschnitt | Durchschnitt | Hoch | Durchschnitt | ||||
| 2. Bedrohungen durch zufällige Aktionen | ||||||||
| Benutzerfehler | Durchschnitt | Durchschnitt | Durchschnitt | |||||
| Softwarefehler | Durchschnitt | Durchschnitt | Durchschnitt | |||||
| Störung in der Klimaanlage | Niedrig | Niedrig | Niedrig | |||||
| 3. Bedrohungen aufgrund natürlicher Ursachen (natürliche, vom Menschen verursachte Faktoren) | ||||||||
| Spannungsschwankungen | Durchschnitt | Niedrig | Niedrig | |||||
| Staubbelastung | Hoch | Durchschnitt | Durchschnitt | Durchschnitt | ||||
| Feuer | Hoch | Niedrig | Niedrig | Durchschnitt |
1.2.4 Bewertung bestehender und geplanter Schutzmaßnahmen.
Unter Informationsschutz – eine Reihe organisatorischer, rechtlicher und technischer Maßnahmen verstehen, um Bedrohungen der Informationssicherheit zu verhindern und deren Folgen zu beseitigen.
Die Organisation der Informationssicherheit in einer Organisation ist einer der wichtigsten Punkte, die niemals übersehen werden sollten. Der Verlust von Datenbanken, analytischen Forschungsergebnissen, Quellcodes und Softwareprodukten wird schwerwiegende Folgen haben. Wenn die Informationssicherheit schlecht organisiert ist, ist dies möglich, was zu einem recht problematischen weiteren Geschäftsverhalten und in bestimmten Fällen sogar zu einer Unmöglichkeit führen wird.
Dem Informationstechnologiedienst werden Aufgaben des Informationsschutzes übertragen.
Organisatorische Struktur Dienstleistungen im Bereich Informationstechnologie:
1. Die Struktur und das Personal des Informationstechnologiedienstes sowie deren Änderungen werden vom Generaldirektor auf Vorschlag des Stellvertreters genehmigt Generaldirektor in der Informationstechnologie.
2. Der Dienst besteht aus einer Abteilung unter der Leitung des stellvertretenden Generaldirektors für Informationstechnologie.
Funktionen des Informationstechnologiedienstes:
1. Analyse und Untersuchung von Wartungsproblemen automatisierte Systeme Leitung des Unternehmens und seiner Geschäftsbereiche;
2. Überwachung des Status und der Sicherheit des Netzwerks und Netzwerkausrüstung;
3. Zuweisen von Zugriffsrechten an Netzwerkbenutzer;
4. Sicherstellung des unterbrechungsfreien Funktionierens des Systems und der Geräte und Ergreifen umgehender Maßnahmen zur Beseitigung von Verstößen, die während des Betriebs auftreten;
5. Installation, Konfiguration und Verwaltung der Software- und Hardwaresysteme der Organisation;
6. Vorbereitung von Plänen für den Entwurf und die Implementierung automatisierter Managementsysteme des Unternehmens und Überwachung ihrer Implementierung;
7. Koordination technischer Spezifikationen für die Entwicklung und Implementierung neuer Software in der Industrie, um die Netzwerk- und Systeminteraktion sicherzustellen;
8. Unterstützung von Internet-Technologien in der Branche, Bereitstellung des Zugangs zu Internetdiensten;
9. Sicherstellung der korrekten Übertragung der Quelldaten auf Computermedien;
10. überwacht die Entwicklung und Nutzung von Informations- und Kommunikationstechnologien und erstellt auf der Grundlage seiner Ergebnisse Analyse- und Berichtsmaterialien;
11. Wartung von System, Netzwerk und zugehöriger Software.
Unser Leben wird in allen Bereichen immer komplizierter. Es entstehen neue und bisher nicht dagewesene Ansätze, Technologien und Vermögenswerte. Für moderne Großunternehmen große Rolle Informationsressourcen spielen. Was sind Sie?
allgemeine Informationen
Bevor wir zum Hauptthema übergehen, gehen wir zunächst auf das notwendige theoretische Minimum ein. Sprechen wir nämlich über Informationen. Es ist eines der wichtigsten Produktionsanlagen, von dem die Effizienz des Unternehmens und seine Rentabilität maßgeblich abhängen. Dabei kann es sich entweder um das Geheimnis der Herstellung eines bestimmten Produkts oder um interne Finanzdaten handeln. Jede mehr oder weniger große Organisation verfügt über eigene Informationsbestände, die höchstwahrscheinlich nicht in die Hände Dritter gelangen. Daher sind Lagerungs- und Sicherheitsprobleme akut.
Über allgemeine Konzepte
Um alle präsentierten Daten erfolgreich zu verstehen, müssen Sie einige Dinge wissen:
- Informationsvermögenswert. Hierbei handelt es sich um Daten mit Einzelheiten, die eine Identifizierung zulassen. Sie sind für eine bestimmte Organisation von Wert und stehen ihr zur Verfügung. Präsentiert auf einem beliebigen materiellen Medium in einer Form, die eine Verarbeitung, Speicherung oder Übertragung ermöglicht.
- Klassifizierung von Informationsressourcen. Hierbei handelt es sich um die Einteilung der vorhandenen Daten der Organisation in Typen, die der Schwere der Folgen entsprechen, die sich aus dem Verlust ihrer wichtigen Eigenschaften ergeben.
Wie Sie verstehen, sind nicht nur einzelne Nummern und deren Erklärungen wichtig, sondern auch die schnelle Nutzung, der Schutz vor unbefugtem Zugriff und eine Reihe weiterer Punkte. Wenn die Informationsbestände eines Unternehmens identifiziert und zusammengestellt werden, stellt sich die Frage nach ihrer korrekten Klassifizierung und anschließenden Sicherheitsvorkehrung. Warum ist das so? Tatsache ist, dass es mit Hilfe der Klassifizierung möglich ist, Schlüsselmetriken für die verwendeten Informationen zu formalisieren – ihren Wert, die Einflusskraft auf das Unternehmen, Anforderungen an Bereitstellung/Wartung/Schutz und dergleichen. Dies bestimmt maßgeblich, wie die Daten verarbeitet und geschützt werden. Darüber hinaus gibt es eine Reihe regulatorischer Standards, die eine obligatorische Bestandsaufnahme der Informationsbestände einer Organisation vorsehen. Allerdings gibt es hierfür kein einheitliches Verfahren.
Ein wenig über die Klassifizierung für Unternehmen
Der Umgang mit Daten hängt von den Bedingungen und dem, womit wir es zu tun haben, ab. Betrachten wir Informationswerte am Beispiel eines Privatunternehmens. Die Klassifizierung wird durchgeführt, um einen differenzierten Umgang mit Daten unter Berücksichtigung des Grades ihrer Kritikalität zu ermöglichen, die sich auf Aktivitäten, Reputation, Geschäftspartner, Mitarbeiter und Kunden auswirkt. Dadurch ist es möglich, die wirtschaftliche Machbarkeit und Priorität verschiedener Maßnahmen zur Entwicklung der Informationssicherheit eines Unternehmens zu ermitteln. Gemäß der Gesetzgebung der Russischen Föderation gibt es:
- Öffentlich verfügbare (offene) Informationen.
- Persönliche Angaben.
- Informationen, die Informationen enthalten, die unter das Bankgeheimnis fallen.
- Daten, die sich auf Geschäftsgeheimnisse beziehen.
Wie ist ihre Bedeutung einzuschätzen? Zu diesem Zweck werden spezielle Modelle verwendet. Schauen wir sie uns genauer an.
Klassifizierungsmodelle
Die häufigsten zwei davon sind:
- Ein-Faktor-Klassifizierung. Basierend auf dem Grad des Schadens. Hier ist es einfach. Schauen wir uns ein kleines Beispiel an. Die Vermögenswerte des Informationssystems werden je nach Grad des wahrscheinlichen Schadens im Falle eines Datenlecks in vier Blöcke unterteilt. Als Beispiel – minimal, dann mittel, hoch und schließlich – kritisch. Wenn ein unbestimmter Personenkreis weiß, wen der Direktor heute in seinem Büro empfängt, dann kann dies als klassifiziert werden minimalistischer Look Schaden. Wenn jedoch Informationen über die Bestechung eines Regierungsbeamten an die Staatsanwaltschaft gelangen, ist dies eine kritische Situation.
- Multifaktor-Klassifizierungsmodell. Basierend auf drei klassischen Parametern. IN in diesem Fall Alle Informationen sind unter dem Gesichtspunkt der Vertraulichkeit, Verfügbarkeit und Integrität von Interesse. Für jede Position werden die Anforderungen separat festgelegt – hoch, mittel, niedrig. Zusammengenommen werden sie beispielsweise als kritisch oder grundlegend wichtig eingestuft.
Über Klassen
Um sicherzustellen, dass die Bewertung von Informationsressourcen möglichst effektiv ist und von Quantität zu Qualität übergeht, können Klassen eingeführt werden, die den Wert der Daten und die Höhe der Anforderungen an sie widerspiegeln. In solchen Fällen unterscheiden sie normalerweise:
- Offene Klasse. In diesem Fall gibt es keine Einschränkungen bei der Verbreitung und Nutzung und es entsteht kein finanzieller Schaden durch Bekanntheit.
- Für administrative Zwecke. Zur Verwendung innerhalb einer Organisation. Es entsteht kein finanzieller Schaden. Aber auch andere Arten von Verlusten können für Mitarbeiter der Organisation oder der gesamten Struktur entstehen.
- Vertraulich. Zur Verwendung innerhalb der Organisation bei der Zusammenarbeit mit Kunden und Gegenparteien bestimmt. Eine Offenlegung würde finanziellen Schaden verursachen.
Über vertrauliche Daten
Solche Informationen können in mehrere Kategorien unterteilt werden. Die ersten beiden werden in gewerblichen Strukturen eingesetzt, der Rest in der Regel ausschließlich vom Staat:
- Mit eingeschränktem Zugang. Zur Nutzung durch einen bestimmten Mitarbeiterkreis der Organisation vorgesehen. Der finanzielle Schaden wird üblicherweise auf bis zu einer Million Rubel geschätzt.
- Geheimnis. Steht ausschließlich zur Nutzung durch bestimmte Mitglieder des Managementteams der Organisation zur Verfügung. Der finanzielle Schaden beginnt normalerweise bei einer Million Rubel.
- Streng geheim. Hierbei handelt es sich um Daten aus den Bereichen Militär, Wirtschaft, Außenpolitik, Geheimdienst, Wissenschaft und Technik sowie operative Geheimdienstaktivitäten, deren Offenlegung dem Ministerium oder dem Wirtschaftssektor in einem oder mehreren dieser Bereiche Schaden zufügen könnte.
- Von besonderer Bedeutung. Hierbei handelt es sich um Daten aus den Bereichen Militär, Wirtschaft, Außenpolitik, Geheimdienst, Wissenschaft und Technik sowie operative Geheimdienstaktivitäten, deren Offenlegung der Russischen Föderation in einem oder mehreren dieser Bereiche erheblichen Schaden zufügen könnte.
Wie werden Informationsbestände verarbeitet?
Schauen wir uns einen der möglichen Algorithmen an:
- Es werden Informationsbestände identifiziert, die in jeglicher Form (elektronische und Papierdokumente, Datenströme, Flash-Laufwerke usw.) vorliegen und zwischen den Abteilungen der Organisation zirkulieren. All dies wird gesammelt, geklärt und ein großes Diagramm erstellt, in dem alles dargestellt wird.
- Wir machen das Gleiche, aber in Bezug auf jede einzelne Abteilung.
- Informationswerte sind an die Infrastruktur gebunden, in der sie gespeichert sind, es wird vermerkt, über welche Kanäle sie übertragen werden, wo und in welchen Systemen sie enthalten sind und Ähnliches. Hier ist einer wichtiger Punkt! Dieser Absatz sieht die Arbeit mit jedem einzelnen Informationsbestand vor. Für ihn wird der gesamte Lebensraum gezeichnet (je detaillierter, desto besser, denn so lassen sich Bedrohungen leichter erkennen). Sie müssen Übertragungsports, Kanäle usw. anzeigen.
- Wir nehmen alle Entwicklungen auf und klassifizieren sie anhand von Merkmalen wie Vertraulichkeit, Verfügbarkeit, Integrität neu.
Lebenszyklus
Dies ist der Weg, den dieses wertvolle Gut durchläuft, bevor es klassifiziert wird. Glauben Sie mir, Informationssicherheit spielt eine wichtige Rolle und sollte nicht vernachlässigt werden. Dabei muss dem Lebenszyklus besondere Aufmerksamkeit gewidmet werden. Was ist das? Lebenszyklus- Hierbei handelt es sich um eine Reihe bestimmter Zeiträume, nach denen die Bedeutung eines Objekts in der Regel abnimmt. Grob lassen sich folgende Phasen unterscheiden:
- Die Informationen werden operativ genutzt. Das bedeutet, dass sie mitmacht Produktionszyklus und ist ständig gefragt.
- Die Informationen werden im Archivmodus verwendet. Dies bedeutet, dass es nicht direkt am Produktionszyklus beteiligt ist, obwohl es regelmäßig zur Durchführung analytischer oder anderer Tätigkeiten erforderlich ist.
- Informationen werden im Archivmodus gespeichert.
Das ist wahrscheinlich alles. Welche Daten gespeichert werden – eine Asset-Informationsdatenbank oder etwas anderes – ist nicht wichtig. Dabei geht es vor allem darum, Vertraulichkeit, Verfügbarkeit und Integrität zu gewährleisten. Dann müssen Sie sich keine Sorgen um Ihren Ruf machen und Verluste verzeichnen.
Das Material setzt die begonnene Artikelserie fort, in der die Informationssicherheit unter dem Gesichtspunkt ihrer wirtschaftlichen Komponente betrachtet wird. In dieser Veröffentlichung werden wir uns mit den Fragen der Definition von Informationen als wertvollem Vermögenswert eines Unternehmens befassen und uns auch mit der Methodik zur Schätzung ihres Wertes befassen. Laut dem Autor ermöglicht diese Technik die objektivste Messung von Informationsressourcen und stellt die Verbindung zwischen Informationssicherheit als angewandtem Tätigkeitsbereich und seiner finanziellen und wirtschaftlichen Basis her.
Einführung
Neben klassischen Produktionsfaktoren wie Arbeit, Land, Kapital werden Informationen zu einer der wichtigsten Ressourcen, die die Aktivitäten des Unternehmens unterstützen. Darüber hinaus sind Informationen oft selbst ein Rohstoff oder ein Produktionsergebnis – ein Produkt, das dem Endverbraucher angeboten wird. Von dieser Position aus werden Informationen zu einem Vermögenswert des Unternehmens, der einer Messung, Abrechnung und Darstellung in allgemein anerkannten quantitativen Indikatoren bedarf.
Im Gegensatz zu anderen grundlegenden Ressourcen wurde der theoretischen und praktischen Betrachtung viel Aufmerksamkeit geschenkt wissenschaftliche Arbeiten Informationsressourcen sind eine Art Phänomen moderne Gesellschaft. Deshalb ist es so lange Zeit Es gab keine Tools für ihre Bewertung und Aufzeichnung. Mittlerweile sind Informationswerte auch ein messbares Ergebnis der Unternehmensaktivitäten bestimmten Zeitraum Zeit. Anwendung von Fortschritten in der Informationstechnologie und Erfahrung Buchhaltung Der Autor wird versuchen, einen neuen Standpunkt zu folgenden Themen darzulegen:
Wie wertvoll ist ein Informationsgut für den Eigentümer? Welchen Schaden könnte das Unternehmen erleiden, wenn es kompromittiert wird? Wie lässt sich der Wert von Informationen in allgemein anerkannten quantitativen Parametern (monetären Begriffen) ausdrücken?
Informationen als eigenständiges Gut
Unabhängig von der Eigentumsform und der Art der Tätigkeit der Institution sind Informationen die Grundlage für das Wesentliche Managemententscheidungen, zum Beispiel Festlegung von Marktverhaltensstrategien, Pläne zur Weiterentwicklung, Investition in ein Projekt, Abschluss von Transaktionen. Einer der Hauptlieferanten solcher Informationen für die Unternehmensführung ist die Buchhaltung. Das Hauptproblem besteht darin, dass sich die Schlussbilanz in der Regel auf wesentliche Bestandteile konzentriert – Immobilien, Umlaufvermögen, Verbindlichkeiten, Forderungen usw Abbrechnungsverbindlichkeiten und immateriellen Vermögenswerten wird kaum Beachtung geschenkt.
Mittlerweile können Informationen vielleicht der wertvollste Faktor sein, der Gewinn generiert. Diese Situation lässt sich am Beispiel von Brokerage-Diensten veranschaulichen, die Wertpan internationalen Börsen erbringen. Jede Information, selbst unglaubwürdige Gerüchte, kann das Bild des Marktgeschehens sofort verändern. Was können wir sagen, wenn beispielsweise Informationen über einen Deal oder einen Versuch durchsickern oder Insiderinformationen über neue Produkte durchsickern, dann werden die Aktien sofort einbrechen oder in die Höhe schnellen. Oder Softwareentwicklungsunternehmen, für die Informationen sowohl Arbeitsmaterial als auch Endprodukt sind. Neue Technologien, innovative Ideen, Produktions-Know-how, Quellcode eines Softwareprodukts – das alles sind Informationen, deren Nutzung als Ressource einen erheblichen Einfluss auf die endgültigen Betriebsergebnisse hat. Folglich sind Informationen nicht mehr nur Informationen, sie werden wertvoll. Informationsvermögen Firmen. Und um die Interessen des Eigentümers solcher Informationen zu schützen, gibt es solche Bundesgesetz vom 29. Juli 2004 N 98-FZ „Über Geschäftsgeheimnisse“ , Ermöglichung rechtlicher Methoden zum Schutz eines Teils dieser Vermögenswerte im Regime Geschäftsgeheimnis.
Da alle Informationen mittels Informationstechnologie verarbeitet werden, sind sie untrennbar mit der Computertechnologie und den sie nutzenden Mitarbeitern verbunden. Also, unter Informationsvermögen der Organisation Wir werden verstehen alle wertvollen Informationsressourcen des Eigentümers, die ihm bringen können wirtschaftlicher Vorteil, in dem das Wissen, die Fähigkeiten und Fertigkeiten des Personals gesammelt und mithilfe moderner Informationstechnologien umgesetzt werden. Mit anderen Worten, Informationsvermögen müssen als untrennbare Gesamtheit der Informationen selbst, der Mittel zu ihrer Verarbeitung und des Personals betrachtet werden, das Zugriff darauf hat und sie direkt nutzt. Und dementsprechend werden die Gesamtkosten aller oben beschriebenen Komponenten auch die endgültigen Kosten der Informationsressourcen bilden.
Und da es Informationsressourcen gibt, ist es notwendig, über Mechanismen zur Bewertung und Bilanzierung dieser Vermögenswerte zu verfügen. Aufgrund seiner Besonderheit wird diese Funktion häufig auf den Informationssicherheitsdienst übertragen, wo der Abrechnungs- und Bewertungsprozess stattfindet Bestandteil Risikomanagement, obwohl dieses Thema längst über den reinen Leistungsumfang hinausgeht. Korrekt bilanzierte und bewertete Vermögenswerte ermöglichen es erstens, bestehende Vorteile effektiv zu verwalten und deren zukünftige Nutzungsmöglichkeiten einzuschätzen, und zweitens diese Parameter in der Endbilanz zu berücksichtigen, die die Indikatoren und Indizes erheblich beeinflussen können der Gesamtbonität, Investitionsattraktivität, finanzielle Stabilität Firmen.
Probleme bei der Schätzung des Wertes von Informationsressourcen
Informationsressourcen sind immateriell und daher besteht das erste Problem in ihrer Bildung als Objekt. Isolierung wertvoller und kommerziell nützlicher Informationen aus dem gesamten Informationsspektrum, das an den Geschäftsprozessen des Unternehmens beteiligt ist. Das Problem wird durch die Bildung einer Expertenkommission gelöst, der direkt die Teilnehmer des Geschäftsprozesses angehören – Führungskräfte, hochqualifizierte Spezialisten, die in der Lage sind, zu bestimmen, in welcher Phase der Produktion welche Informationen als wertvolle Ressource verwendet werden. Die Qualität und Verlässlichkeit der erzielten Ergebnisse hängt unmittelbar von der Kompetenz und Berufserfahrung der Kommission ab. Eine allgemeine Liste möglicher vertraulicher Informationen finden Sie in Anhang N. Bei der Erstellung einer solchen Liste ist jedoch zu berücksichtigen, dass nicht alle Informationen als Geschäftsgeheimnis geschützt werden können. Beschränkungen werden durch Art. festgelegt. 5 98-FZ „Über Geschäftsgeheimnisse“.
Eine andere, komplexere und globales Problem, besteht darin, den Wert eines Informationsvermögens zu bestimmen und ihn objektiv in einem allgemein anerkannten quantitativen Indikator – monetär – auszudrücken. Das Problem ist schlecht formalisierbar, daher sind alle als Ergebnis der Schätzung erhaltenen Werte Näherungswerte. Nur der Eigentümer eines Informationsvermögens oder eine andere Person, die damit einen Gewinn erzielt, kann seinen Geldwert objektiv ausdrücken.
Um den Wert eines Vermögenswerts zu ermitteln, kommen verschiedene Methoden zum Einsatz. Am einfachsten ist es, die Kosten durch die Berechnung der Arbeitskosten pro Produktionseinheit zu ermitteln wertvolle Information. Zum Beispiel das Produkt aus dem durchschnittlichen Stundensatz eines Mitarbeiters und der Zeit, die er für die Beschaffung dieser Informationen aufgewendet hat. Eine Bewertung vorhandener oder auf andere Weise erworbener Vermögenswerte ist mit dieser Methode jedoch nicht möglich. Wie wir bereits zuvor entschieden haben, handelt es sich bei einem Informationswert nicht nur um wertvolle Informationen, sondern es muss als eine untrennbare Kombination der oben genannten Elemente betrachtet werden. Daher beinhaltet ein fortschrittlicherer Ansatz eine kombinierte Kostenbewertung unter Berücksichtigung vieler Faktoren, darunter beispielsweise die Kosten für die Beschaffung von Informationen, deren Verarbeitung und Speicherung mithilfe von Computertechnologie sowie die Kosten für menschliche Arbeit.
Ein weiteres Problem besteht darin, dass Informationsressourcen im Vergleich zu anderen Objekten, beispielsweise dem Anlagevermögen einer Organisation, eine sehr dynamische Struktur darstellen wohltuender Nutzen die aufgrund des schnellen Relevanzverlusts von Informationen äußerst unsicher sind und deren Kosten sich zudem in sehr kurzen Zeiträumen erheblich ändern können. Dies erfordert ihre regelmäßige Neubewertung. Darüber hinaus spiegelt die Bewertung anhand des Reservewerts, die zu Beginn und am Ende des Jahres vorgenommen wird, nicht das tatsächliche Bild wider; eine wirksame Option ist die Bewertungsmethode, die auf dem Durchschnittswert aller Tage des Berichtsjahres basiert.
Aufgrund seiner Spezifität führt der Besitz wertvoller Informationen auch nicht immer zu einer direkten Gewinnsteigerung, beispielsweise sehr wichtig kann eine Imageposition für das Unternehmen haben (Englisch)Wohlwollen) . In diesem Fall können wir vereinfachend sagen, dass manchmal wirtschaftlich ungerechtfertigte Handlungen dem Unternehmen gewisse Vorteile bringen. Dies kommt beispielsweise am häufigsten vor asiatische Länder, wo Tribut an Respekt und Bewahrung von Traditionen viel sinnvoller ist als rein wirtschaftliche Vorteile. Ein solcher Imageindikator wie eine Bewertung ist sehr schwer zu messen und seinen Wert in Geld auszudrücken. Allerdings in bestimmter Moment Es sind diese Kriterien, die einen erheblichen Einfluss darauf haben können, den Status des Unternehmens zu erhöhen, eine größere Transaktion mit einem Partnerunternehmen durchzuführen usw.
Kostenschätzungsmethodik
Der erste Schritt besteht darin, Informationsbestände als Gegenstand der Rechnungslegung und Bewertung zu bilden. Der Algorithmus zur Bewertung vorhandener Unternehmensinformationsbestände umfasst deren Beschreibung in den folgenden Kategorien:
- Personalwesen;
- Informationsressourcen (offene und vertrauliche Informationen);
- Softwareressourcen (Softwareprodukte, Datenbanken, Unternehmensdienste, z. B. 1C, Bank-Client usw. sowie abhängige Hardware);
- physische Ressourcen (Server, Workstations, Netzwerk- und Telekommunikationsgeräte, einschließlich mobiler Geräte);
- Serviceressourcen ( E-Mail, Webressourcen, Online-Speicher, Datenübertragungskanäle usw.);
- Räumlichkeiten (in denen Informationen verarbeitet und gespeichert werden).
Anschließend führt die im Auftrag des Direktors gebildete Expertenkommission, bestehend aus hochqualifizierten Spezialisten – Experten, eine detaillierte Kategorisierung der verfügbaren Unternehmensinformationen durch, d.h. Auswahl geschützter Informationen aus dem gesamten Umfang der Informationsbestände und dann aus der Kategorie der geschützten Informationsbestände – Auswahl speziell auf Kosten vertraulicher Informationen (siehe Anhang 1).
Durch die Kategorisierung soll der Grad des Informationswerts und seine Kritikalität bestimmt werden. Unter kritisch versteht den Einfluss von Informationen auf die Effizienz der Geschäftsprozesse des Unternehmens. Verschiedene Optionen Kategorisierungsmethoden sind in der internationalen Norm ISO/IEC TR 13335 angegeben, deren inländisches Analogon GOST R ISO/IEC TO 13335-x ist.
Beispielsweise kann die Bestimmung des Informationswerts anhand der oben genannten Parameter in Tabelle 1 widergespiegelt werden, wobei die Summe der Punkte am Schnittpunkt der Spalten und Zeilen der Tabelle den Wert der Informationen als Ganzes für die Organisation angibt, einschließlich die Art der Informationen im Hinblick auf den eingeschränkten Zugriff darauf und die Wichtigkeit der Informationen für das Unternehmen.
Tabelle 1. Bestimmung des Informationswerts
| Parameterwert | Kritikalität von Informationen | ||
| Der Wert einer Art von Information | Kritisch (3 Punkte) |
Essentiell (2 Punkte) |
Unerheblich (1 Punkt) |
| Streng vertraulich (4 Punkte) | 7 | 6 | 5 |
| Vertraulich (3 Punkte) | 6 | 5 | 4 |
| Für den internen Gebrauch (2 Punkte) | 5 | 4 | 3 |
| Offen (1 Punkt) | 4 | 3 | 2 |
Sie können einen branchendifferenzierten Ansatz verwenden: Weisen Sie dem Parameter Informationswert ein bestimmtes Gewicht zu, um den Grad der Bedeutung der Ressource im Hinblick auf ihre Beteiligung an den Aktivitäten des Unternehmens zu bestimmen. Sie können beispielsweise den Wertkoeffizienten der verschiedenen in Tabelle 2 aufgeführten Informationskategorien bestimmen.
Tabelle 2. Informationswertkoeffizient
| Informationskategorie | Offene Informationen | Vertrauliche Informationen | |||
| Management, kaufmännisch | Technologisch | Finanzbuchhalter. | Persönliche Angaben | ||
| Wertfaktor | 1 | 1,4 | 1,3 | 1,2 | 1,1 |
Es gibt auch einen anderen Ansatz zur Bestimmung des Informationswerts (aufgrund der Möglichkeit, Verluste bei Eintreten von Bedrohungen auszugleichen) im Verhältnis zur Eintrittswahrscheinlichkeit von Bedrohungen (Tabelle 3).
Tabelle 3. Ermittlung von Verlusten und Eintrittswahrscheinlichkeit von Bedrohungen
| Verluste | Wahrscheinlichkeiten, dass Bedrohungen realisiert werden | ||
| Irrelevant, <1% |
Essentiell, von 1 % bis 10 % |
hoch, über 10% |
|
| Geringfügig (weniger als 1 % des Unternehmenswerts) | 1 | 2 | 2 |
| Signifikant (von 1 % bis 10 %) | 2 | 2 | 2 |
| Kritischer Höchstwert (über 10 %) | 2 | 3a* | 3b* |
Als Ergebnis wird die Gesamtbedeutung von Informationen und angewandten Informationstechnologien für die Tätigkeit einer Wirtschaftseinheit beurteilt. Der Indikator kann eine ungefähre qualitative Bewertung haben – „sehr signifikant“, „erheblich signifikant“, „wenig signifikant“, „nicht signifikant“. Sowie eine ungefähre quantitative Bewertung – Prozentsatz (wie stark hängen die Aktivitäten der Organisation von den verwendeten Informationen ab) oder in Rubeläquivalent (welcher Teil der Gesamtkapitalisierung der Organisation sind Informationen in Rubel).
Sachverständigenmethoden berechnen mithilfe mathematischer Methoden auch die „subjektive“ und „objektive“ Wahrscheinlichkeit einer bestimmten Bedrohung, deren resultierender Gesamtwert bei der Erstellung der Tabelle berücksichtigt wird (Tabelle 3.1).
Tabelle 3.1. Umrechnung der Wahrscheinlichkeit einer Bedrohung in die jährliche Häufigkeit (Vu)
| Frequenz (Vu) | Wahrscheinlichkeit, dass eine Bedrohung über einen bestimmten Zeitraum auftritt | Wahrscheinlichkeitsniveau |
| 0,05 | Die Bedrohung wird fast nie erkannt | sehr niedriges Niveau |
| 0,6 | etwa 2-3 Mal alle fünf Jahre | sehr niedriges Niveau |
| 1 | etwa einmal pro Jahr oder weniger (180<У>366 (Tage)) | niedriges Niveau |
| 2 | etwa alle sechs Monate (90<У<180 (дней)) | niedriges Niveau |
| 4 | etwa alle 3 Monate (60<У<90 (дней)) | Durchschnittsniveau |
| 6 | etwa alle 2 Monate (30<У<60 (дней)) | Durchschnittsniveau |
| 12 | etwa einmal im Monat (15<У<30 (дней)) | hohes Niveau |
| 24 | etwa 2 mal im Monat (7<У<15 (дней)) | hohes Niveau |
| 52 | ca. 1 Mal pro Woche (1<У<7 (дней)) | sehr hohes Niveau |
| 365 | täglich (1<У<24 (часов)) | sehr hohes Niveau |
Für den monetären Wertausdruck erscheint es angemessen, den Wert von Informationsressourcen sowohl im Hinblick auf die damit verbundenen möglichen finanziellen Verluste (ausgedrückt in Rubeläquivalent) als auch im Hinblick auf die Reputationsschädigung der Organisation zu betrachten (indirekte finanzielle Verluste), Unterbrechung seiner Aktivitäten, immaterieller Schaden durch die Offenlegung vertraulicher Informationen. Informationen usw. So wird der Wert eines Vermögenswerts von Experten ermittelt, indem das Ausmaß des möglichen Schadens für die Organisation beurteilt wird, wenn die betreffenden Informationen missbräuchlich verwendet werden (d. h. wenn ihre Vertraulichkeit, Integrität oder Verfügbarkeit verletzt wird).
Um eine übermäßige Schadensummierung (mit anderen Worten die Kosten für die Beseitigung der Folgen) zu vermeiden, ist es notwendig, die Möglichkeit der Umsetzung von Sicherheitsbedrohungen nach Art der Informationsressourcen der Organisation zu analysieren. Für Experten Einschätzung möglicher Schäden Aus der Umsetzung von Bedrohungen werden folgende Kategorien verwendet: Kosten für die Wiederherstellung und Reparatur von Computergeräten, Netzwerken und anderen Geräten; entgangener (potenzieller) Gewinn; Rechtskosten; Verlust der Arbeitsproduktivität, Verluste im Zusammenhang mit Ausfallzeiten und Geräteausfällen.
Im Informawird die Expected-Loss-Methode zur Schätzung der Informationskosten verwendet. (ALE – Annualisierte Verlusterwartung), Aufzeigen der möglichen Verluste der Organisation aufgrund unangemessener Informationssicherheitsmaßnahmen. Das Risikoniveau wird berechnet, d. h. Indikator für mögliche Verluste (Schäden) – weiter Usch Dabei werden Aspekte wie die Wahrscheinlichkeit und Häufigkeit des Auftretens einer bestimmten Bedrohung im Laufe des Jahres, mögliche Schäden durch ihre Umsetzung und der Grad der Gefährdung von Informationen berücksichtigt.
Wenn wir alle oben genannten Punkte zusammenfassen, stellen wir fest, dass der Gesamtbetrag des wirtschaftlichen Schadens in mehrere Kategorien unterteilt ist:
1) entgangener Gewinn (unveröffentlichte Prognose, gescheiterter Deal usw.) – diese Kategorie ist für einen großen Teil des wirtschaftlichen Schadens verantwortlich. Bei kleinen Unternehmen machen entgangene Gewinne etwa 50 % des gesamten wirtschaftlichen Schadens aus, bei großen Unternehmen etwa 80 %;
2) Kosten für Ersatz, Wiederherstellung und Reparatur Computertechnologie, Netzwerke und andere Geräte sind für etwa 20 % des wirtschaftlichen Schadens in kleinen Unternehmen und 8 % in großen Unternehmen verantwortlich;
3) Produktivitätsverlust (Ausfallzeit) – Schäden in dieser Kategorie betragen bei kleinen Unternehmen etwa 30 % und bei großen Unternehmen 12 %.
Basierend auf den Ergebnissen der Studie wird eine Schlussfolgerung gezogen, die das Gesamtniveau der Sicherheit der Informationsbestände der Organisation zum aktuellen Zeitpunkt (in qualitativen Indikatoren), den Reifegrad der Organisation in Fragen der Informationssicherheit und die allgemeine Psychologie charakterisiert Es wird die Bereitschaft der Organisation zur Umsetzung eines Schutzregimes ermittelt (ein Maß für die Wirksamkeit und Geschwindigkeit der Rückkehr von Schutzmaßnahmen).
Aktuelle Studien zeigen, dass die meisten Unternehmen 2–5 % ihres IT-Budgets für den Schutz von Informationsressourcen ausgeben; andere Organisationen geben in Situationen, in denen die Leistung von Informationssystemen, Datenintegrität und Informationsvertraulichkeit äußerst wichtig sind, 10–20 % des Gesamtbetrags aus Angesichts ihres Budgets für die IT geben einige Organisationen etwa 40 % für die Wartung der Infrastruktur (einschließlich Informationssicherheit) aus ( Jet Info Nr. 10(125)/2003, Informationssicherheit: wirtschaftliche Aspekte).
Die Kosten für Schutzmaßnahmen können für verschiedene Organisationen erheblich variieren, sie hängen von vielen Umständen ab, einschließlich der Größe und Art der Aktivität, dem regulatorischen Rahmen, dem aktuellen Betriebsumfeld, dem Grad der Abhängigkeit von Informations- und Telekommunikationstechnologien, der Beteiligung an elektronischen geschäftliche, berufliche und persönliche Qualitäten des Personals usw. Tabelle 3.14 zeigt die Verteilung des Budgets für Informationstechnologie und spiegelt die Kosten der Informationssicherheit in diesen Kategorien wider (A. Levakov. Anatomy of US Information Security, 7. Oktober 2002).
Tabelle 3.3. Budgetzuweisung für Informationstechnologie und Informationssicherheit (
Informationsressourcen
„...Informationsressourcen: oder Mittel zur Verarbeitung der Informationen einer Organisation …“
Quelle:
(genehmigt durch die Verordnung von Rostekhregulirovaniya vom 27. Dezember 2007 N 514-st)
Offizielle Terminologie. Akademik.ru. 2012.
Sehen Sie, was „Informationsressourcen“ in anderen Wörterbüchern sind:
Informationsvermögen- 3.35 Informationsvermögen: Informationsressourcen oder Mittel zur Informationsverarbeitung einer Organisation. Quelle: GOST R ISO/TO 13569 2007: Finanzdienstleistungen. Empfehlungen zur Informationssicherheit 3.35 Informationsressourcen... ...
Vermögenswerte der Organisation- Alles, was für die Organisation im Interesse der Erreichung ihrer Ziele von Wert ist und ihr zur Verfügung steht. Hinweis Zu den Vermögenswerten einer Organisation können Folgendes gehören: Informationsressourcen, einschließlich verschiedener Arten von Informationen, die in... ... zirkulieren.
Vermögenswerte- 2.2 Vermögenswerte: Alles, was für die Organisation von Wert ist. Quelle … Wörterbuch-Nachschlagewerk mit Begriffen der normativen und technischen Dokumentation
Vermögenswerte der Organisation- 3.1.6 Vermögenswerte der Organisation: Alles, was für die Organisation im Interesse der Erreichung der Ziele ihrer Tätigkeit von Wert ist und ihr zur Verfügung steht. Hinweis Zu den Vermögenswerten einer Organisation können Folgendes gehören: Informationsressourcen, einschließlich verschiedener Arten... ... Wörterbuch-Nachschlagewerk mit Begriffen der normativen und technischen Dokumentation
Vermögenswerte der Organisation des Bankensystems der Russischen Föderation- 3.2. Vermögenswerte der Organisation des Bankensystems der Russischen Föderation: alles, was für die Organisation des Bankensystems der Russischen Föderation von Wert ist und ihr zur Verfügung steht. Notiz. Zu den Vermögenswerten einer RF BS-Organisation können gehören: Bankgeschäfte… … Wörterbuch-Nachschlagewerk mit Begriffen der normativen und technischen Dokumentation
3.22. Vermögenswert: Alles, was für die Organisation des Bankensystems der Russischen Föderation von Wert ist und ihm zur Verfügung steht. Notiz. Zu den Vermögenswerten der Organisation des Bankensystems der Russischen Föderation können gehören: Mitarbeiter (Personal),... ... Offizielle Terminologie
Geschäftsvermögen von Michail Prochorow- Nachfolgend finden Sie Hintergrundinformationen zu Prochorows Vermögen. Im Ranking der reichsten Geschäftsleute 2012 des russischen Magazins Forbes belegt Michail Prochorow mit 13,2 Milliarden US-Dollar den siebten Platz. Michail Prochorows Hauptvermögen konzentriert sich auf... ... Enzyklopädie der Nachrichtenmacher
geistige Vermögenswerte- Beziehen Sie gesammelte Informationen und Kenntnisse der Mitarbeiter ein. Themen Informationstechnologie im Allgemeinen EN geistige Vermögenswerte ... Leitfaden für technische Übersetzer
GOST R ISO/TO 13569-2007: Finanzdienstleistungen. Empfehlungen zur Informationssicherheit- Terminologie GOST R ISO/TO 13569 2007: Finanzdienstleistungen. Richtlinien zur Informationssicherheit: 3.4 Vermögenswerte: Alles, was für die Organisation von Wert ist. Definitionen des Begriffs aus verschiedenen Dokumenten: Vermögenswerte 3.58 Risikoanalyse (Risiko... ... Wörterbuch-Nachschlagewerk mit Begriffen der normativen und technischen Dokumentation
