Разработка методики классификации объектов защиты в корпоративных информационных системах

Разработка методики классификации объектов защиты в корпоративных информационных системах

СОДЕРЖАНИЕ

Введение

1. Анализ подходов к классификации объектов защиты в корпоративных информационных системах

.1 Показатели для оценки подходов к классификации объектов защиты

.2 Анализ подходов к классификации объектов защиты, описанных в российских и международных стандартах и стандартах

.2.1 Анализ подхода к классификации объектов защиты в соответствии с ГОСТ Р ИСО/МЭК 17799-2005

.2.2 Анализ подхода к классификации объектов защиты в соответствии со стандартами NIST

.2.3 Анализ подхода к классификации объектов защиты в соответствии со стандартами СТО БР ИББС

.2.4 Анализ подхода к классификации объектов защиты в соответствии с библиотекой ITIL v3

.3 Анализ подходов к классификации объектов защиты в организациях

.3.1 Анализ подхода к классификации объектов защиты компании «Инфосистемы Джет»

.3.2 Анализ подхода к классификации объектов защиты компании «Microsoft»

.3.3 Анализ подхода к классификации объектов защиты в университете штата Массачусетс, США

.4 Сравнительный анализ подходов к классификации объектов защиты

2. Разработка методики классификации объектов защиты

.1 Определение целей, задач и области действия процесса классификации объектов защиты

.1.1 Цель и задачи процесса классификации объектов защиты

.1.2 Область действия процесса классификации объектов защиты

.1.3 Роли, выделяемые в рамках процесса классификации объектов защиты

.1.4 Модель взаимодействия подсистемы классификации объектов защиты с подсистемами управления информационной безопасностью

.1.5 Структура процесса классификации объектов защиты

.2 Внедрение процесса классификации объектов защиты

.2.1 Разработка организационно-распорядительной документации по классификации объектов защиты

.2.2 Инициирование процесса классификации объектов защиты

.2.3 Внедрение средств автоматизации процесса классификации объектов защиты

.2.4 Обучение работников предприятия методологии классификации объектов защиты

.2.5 Формирование порядковой шкалы уровней критичности объектов защиты

.3 Функционирование процесса классификации объектов защиты

.3.1 Планирование деятельности по классификации объектов защиты

.3.2 Идентификация объектов защиты

.3.3 Определение уровня критичности объектов защиты

.3.4 Организация учета объектов защиты

.4 Анализ эффективности и модернизация процесса классификации объектов защиты

3. Выработка требований к программному обеспечению подсистемы классификации объектов защиты

.1 Требования к архитектуре программного обеспечения подсистемы классификации объектов защиты

.2 Требования к регистрации и учету объектов защиты

.3 Требования к определению уровня критичности объектов защиты

.4 Требования к актуализации результатов классификации объектов защиты

.5 Требования к конструированию отчетных форм и формированию отчетов

4. Безопасность жизнедеятельности

.1 Общие положения

.2 Охрана окружающей среды

.2.1 Современные методы утилизации и переработки ТБО

.2.2 Канализация и сточные воды

.2.3 Очистка бытовых сточных вод

.3 Охрана труда и производственной безопасности

.3.1 .Микроклимат рабочего помещения

.3.2 Вентиляция, отопление

.3.3 Освещенность рабочего места

.3.4 Расчет искусственного освещения

.3.5 Уровень шума

.3.6 Защита от электромагнитных излучений

.3.7 Электробезопасность

.3.8 Эргономические условия организации рабочего места

.3.9 Пожарная безопасность

5. Экономика защиты информации

.1 Стоимостные характеристики проектов по обеспечению информационной безопасности

.2 Расчет затрат на реализацию процесса классификации объектов защиты

.2.1 Общее описание системы

.2.2 Расчет единовременных затрат

.2.3 Расчет постоянных затрат

.2.4 Расчет совокупной стоимости владения подсистемой классификации объектов защиты

.2.5 Оценка экономической эффективности

ЗАКЛЮЧЕНИЕ

Список использованной литературы

СПИСОК используемых сокращений

ИБ - Информационная безопасность

ИС - Информационная система

ИТ - Информационные технологии

КИС - Корпоративная информационная система

ОРД - Организационно-распорядительная документация

ПО - Программное обеспечение

СТО БР ИББС - Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации

ITIL - InformatioN Technology Infrastructure Library- The National Institute of Standards and Technology

АННОТАЦИЯ

Проект состоит из: 145 страниц, 20 рисунков, 27 таблиц, 16 источников.

Ключевые слова:

объекты защиты, информационные активы, классификация объектов защиты, идентификация объектов защиты, категорирование информации, подсистема классификации объектов защиты.

Данный проект посвящен разработке методики классификации объектов защиты, определяющей порядок организации деятельности по классификации объектов защиты, в том числе порядок внедрения процесса классификации объектов защиты, проведения классификации объектов защиты, а также порядок анализа эффективности и модернизации процесса классификации объектов защиты. В данном проекте проведен анализ подходов к классификации объектов защиты, описанных в национальных и зарубежных стандартах, а также подходов, применяемых негосударственными учреждениями для категорирования объектов защиты. Сформулированы общие требования к программному обеспечению подсистемы классификации объектов защиты.

ВВЕДЕНИЕ

Согласно известной аксиоме, достичь абсолютного уровня защищенности достичь невозможно, вне зависимости от того, сколько средств будет затрачено на обеспечение ИБ. В то же время, в современном, быстро развивающемся мире, все компании стремятся сократить свои издержки и получить максимальную отдачу от своих вложений. Именно поэтому риск-ориентированный подход к обеспечению ИБ является на сегодняшней день единственной альтернативой в развитии систем защиты информации и систем управления ИБ.

Классификация объектов защиты является фундаментальным процессом в рамках системы управления ИБ, необходимым для анализа рисков ИБ, управления инцидентами ИБ и других подсистем управления ИБ. Процесс классификации объектов защиты позволяет:

провести инвентаризацию активов компании;

выявить активы предприятия и выделить наиболее важные из них с точки зрения требований бизнеса, обеспечения его непрерывности и безопасности;

определить роль ИС в реализации бизнес-процессов компании;

выявить информационные потоки внутри КИС компании и во внешние организации;

организовать учет объектов защиты компании;

получить актуальную картину прав доступа пользователей к компонентам КИС.

Сведения о степени важности активов компании, получаемые по результатам их классификации, являются основой для определения приоритетов в построении систем защиты информации. Организация деятельности по классификации объектов защиты позволяет построить максимально эффективные системы защиты информации, направленные на обеспечение непрерывности реализации бизнес-процессов компании.

Организация деятельности по классификации объектов защиты позволяет решить такие проблемы, как:

чрезмерные затраты на обеспечение информационной безопасности объектов защиты, не играющих существенной роли в рамках реализации ключевых бизнес-процессов компании;

сложность экономического обоснования необходимости внедрения средств защиты информации;

снижение экономической эффективности затрат на обеспечение ИБ КИС;

недостаточная защищенность ключевых активов компании.

Целью дипломного проекта является повышение эффективности системы управления ИБ в КИС за счет внедрения методики классификации объектов защиты.

Для достижения поставленной цели необходимо решить следующие задачи:

провести анализ существующих подходов к классификации объектов защиты;

разработать структуру процесса классификации объектов защиты и составляющих его процедур;

разработать методику классификации объектов защиты в КИС, определить порядок проведения классификации объектов защиты;

сформировать требования к ПО подсистемы классификации объектов защиты.

1. АНАЛИЗ ПОДХОДОВ К КЛАССИФИКАЦИИ ОБЪЕКТОВ ЗАЩИТЫ В КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

В данном разделе приводится описание подходов к классификации объектов защиты, описанных в международных и национальных стандартах в области информационной безопасности, а также подходов к классификации объектов защиты, применяемых коммерческими организациями. Проводится сравнительный анализ рассматриваемых подходов по выбранным критериям.

1.1 Показатели для оценки подходов к классификации объектов защиты

Классификация объектов защиты КИС коммерческих организаций - это процесс, направленный на:

выявление активов, представляющих ценность для организации, и их последующая защита;

сокращение расходов на обеспечение информационной безопасности и их перераспределение в пользу более ценных;

оценку возможного ущерба от нарушения ИБ объектов защиты для последующей оценки рисков ИБ;

определение приоритетности защиты объектов защиты для последующего обеспечения непрерывности бизнеса за счет резервирования объектов защиты, критичных с точки зрения реализации бизнес-процессов.

Исходя из описанных выше целей, для оценки рассматриваемых подходов к классификации объектов защиты, будем использовать следующие качественные показатели:

полнота описания процесса и составляющих его процедур - деятельность по классификации объектов защиты должна рассматриваться в качестве единого процесса с выделенными процедурами, должны быть предъявлены требования к реализации процесса и составляющих его процедур;

полнота используемой терминологии - используемая терминология должна быть конкретизирована и иметь однозначное толкование;

однозначность используемого классификационного признака (критериев классификации объектов защиты) - в подходе должны быть явно определены классификационные признаки, используемые при категорировании объектов защиты;

однозначность выделенных классов объектов защиты - в подходе должен быть однозначно определен перечень классов объектов защиты или описан порядок и принципы его формирования в соответствии с используемым классификационным признаком, должны быть определены виды информации, наиболее вероятно принадлежащие тому или иному классу;

гибкость подхода - должна допускаться адаптация методологии с учетом специфики бизнеса конкретной организации;

простота реализации процесса - подход к классификации объектов защиты должен быть легко реализуем на практике процедуры, реализуемые в рамках процесса, не должны быть чрезмерно сложными и содержать большое количество действий.

Для качественной субъективной оценки подходов к классификации объектов защиты по описанным выше показателям, введем уровни:

высокий;

средний;

низкий.

Проведем анализ основных подходов к классификации объектов защиты.

1.2 Анализ подходов к классификации объектов защиты, описанных в российских и международных стандартах и стандартах

Национальные и зарубежные стандарты по информационной безопасности являются основой для организации защиты информации в коммерческих организациях, так как данные стандарты реализуют требования законодательства и вбирают лучшие мировые и национальные практики в области информационной безопасности.

Рассмотрим подходы к классификации объектов защиты, описанные в следующих стандартах:

ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»;

NIST SP 800-30 «Guide for Conducting Risk Assessments»;SP 800-60 «Guide to Mapping Types of Informatio№Systems to Security»;

СТО БР ИББС 1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»;v3.

1.2.1 Анализ подхода к классификации объектов защиты в соответствии с ГОСТ Р ИСО/МЭК 17799-2005

Российский стандарт ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» предназначен для [1] обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации. Стандарт содержит рекомендации по проектированию систем управления ИБ, в том числе по организации процесса классификации объектов защиты.

Терминология. В качестве объекта защиты в стандарте рассматриваются активы предприятия, в том числе информация (информационные активы). В соответствии со стандартом, информация - это актив, который, подобно другим активам организации имеет ценность, и, следовательно, должен быть защищен.

Требования к организации процесса. В соответствии со стандартом, в процессе классификации объектов защиты выделяются процедуры:

инвентаризации и учета активов;

классификации и маркировки активов.

Целью процедуры инвентаризации и учета информационных активов является обеспечение соответствующей защиты активов организации.

Инвентаризация и учет активов осуществляется в соответствии со следующими принципами:

учету подлежат все информационные активы;

для всех информационных активов должен быть идентифицирован и документально закреплен владелец;

активы рассматриваются неразрывно с информационными системами, в состав которых они входят;

в качестве активов выступают информационные активы (базы данных, файлы и др.), активы ПО (прикладное ПО, системное ПО и др.), физические активы (оборудование, носители информации и др.), а также услуги (в т.ч. услуги связи, электроснабжение, освещение и др.).

Целью процедуры классификации и маркировки активов является обеспечение уверенности в том, что информационные активы защищены надлежащим образом. Классификация активов предполагает оценку его критичности, то есть потенциального ущерба в случае нарушения требований конфиденциальности, целостности и доступности информации.

Классификация и маркировка активов осуществляется в соответствии со следующими принципами:

классификация объектов защиты должна быть основана на требованиях бизнеса;

результаты классификации должны регулярно пересматриваться;

ответственность за определение категории информации лежит на ее создателе, владельце или собственнике.

Анализ подхода к классификации объектов защиты. В результате проведенного анализа была дана следующая характеристика подхода к классификации объектов защиты:

полнота описания процесса и составляющих его процедур: высокая;

полнота используемой терминологии: недостаточная (используется общеупотребительная терминология);

однозначность используемых классификационных признаков: высокая;

однозначность выделенных классов объектов защиты: недостаточная (не описаны пороговые значения, позволяющие однозначно определить класс объекта защиты);

гибкость подхода: высокая;

простота реализации процесса: высокая.

1.1.2     Анализ подхода к классификации объектов защиты в соответствии со стандартами NIST

Стандарты «Национального института стандартов и технологий» («The National Institute of Standards and Technology») разрабатываются для применения организациями, составляющими государственный сектор США. В то же время, рекомендации, описанные в стандартах, находят применение и в коммерческих организациях, в том числе за пределами Соединенных Штатов.

Процесс классификации объектов защиты описан в стандартах NIST:

NIST SP 800-30 «Guide for Conducting Risk Assessments» («Руководство по управлению рисками»);SP 800-60 «Guide to Mapping Types of Informatio№Systems to Security Categories» («Руководство по категорированию различной информации с точки зрения безопасности»).

Терминология. В стандарте используется понятие «сведения, относящиеся к информационным системам», таким образом, в качестве объектов защиты рассматриваются информационные активы, ПО, оборудование, объекты физического окружения и персонал.

Требования к организации процесса. В рамках процесса классификации объектов защиты, процедуры идентификации и категорирования информационных ресурсов не выделены.

Требования к инвентаризации объектов защиты описаны в стандарте NIST SP 800-30. Для сбора информации, предлагается использовать методы [2]:

интервьюирование;

анкетирование;

анализ документов;

использование средств автоматизации (программных сканеров).

Предполагается, что на этапе инвентаризации информационных ресурсов уже известна их критичность, а также требования конфиденциальности, целостности и доступности, накладываемые действующим законодательством и политикой компании.

Требования к категорированию объектов защиты описаны в стандарте NIST SP 800-60. В стандарте описаны около 60 типов информации; [3] проведено категорирования каждого типа информации по требованиям конфиденциальности, целостности и доступности, при этом в стандарте допускаются и описаны частные случаи.

Таким образом, для категорирования информационного ресурса необходимо идентифицировать его тип и определить категорию, к которой он принадлежит, в соответствии со спецификой деятельности предприятия.

Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты:

полнота описания процесса и составляющих его процедур: низкая (процесс классификации не выделен, процедуры не выделены);

полнота используемой терминологии: недостаточная (используется общеупотребительная терминология);

однозначность используемых классификационных признаков: высокая;

однозначность выделенных классов объектов защиты: высокая;

гибкость подхода: низкая (не допускается актуализация типов информации);

простота реализации процесса: низкая (категорирование объектов защиты усложнено за счет необходимости определения типа информации и последующего анализа объекта защиты для его категорирования).

1.1.3     Анализ подхода к классификации объектов защиты в соответствии со стандартами СТО БР ИББС

Стандарты СТО БР ИББС описывают подходы и предъявляют требования к проектированию систем обеспечения информационной безопасности, включающие:

системы информационной безопасности;

системы менеджмента информационной безопасности.

Требования, предъявляемые в стандартах СТО БР ИББС, обязательны для исполнения в организациях банковской сферы Российской Федерации.

Терминология. В стандартах СТО БР ИББС используется развернутая терминология. К классификации объектов защиты имеют отношение следующие термины [4]:

информация (сведения независимо от формы их представления);

документ (зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать);

информационный актив (документ, имеющий ценность для организации, находящийся в ее распоряжении, представленный на любом материальном носителе в пригодной для обработки, хранения и передачи форме);

объект среды информационного актива (материальный объект среды использования и/или эксплуатации информационного актива);

актив (все, что имеет ценность для организации, включая персонал, финансовые средства, оборудование, информацию, банковские процессы, а также банковские продукты и услуги).

Требования к организации процесса. В соответствии со стандартами СТО БР ИББС, системы менеджмента информационной безопасности представляют собой совокупность процессов, реализуемых в виде циклической модели Деминга: «планирование - реализация - проверка - совершенствование». Указанная модель предполагает непрерывную модернизацию процессов управления информационной безопасности, направленную на повышение их эффективности.

Областью действия систем обеспечения информационной безопасности (систем информационной безопасности и систем менеджмента информационной безопасности) являются защищаемые информационные активы, а также соответствующие им объекты среды, то есть оборудование, ПО и автоматизированные банковские системы.

Стандартом СТО БР ИББС 1.0 определяется необходимость составления описи структурированных по классам защищаемых информационных активов. При составлении описи устанавливаются связи между объектами защиты, в частности, связь между активами банковскими процессами (технологическими, платежными) и автоматизированными банковскими системами, используемыми для их автоматизации.

Все защищаемые информационные активы должны быть проклассифицированы по типам в соответствии со степенью тяжести последствии от потери их значимых свойств информационной безопасности (конфиденциальности, целостности и доступности). При этом в организации должен быть определен и поддерживаться в актуальном состоянии перечень типов информационных активов.

Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты:

полнота описания процесса и составляющих его процедур: низкая (процесс классификации не выделен, процедуры в рамках процесса не выделены);

полнота используемой терминологии: высокая;

однозначность используемого классификационного признака: недостаточная (не описаны пороговые значения, позволяющие отнести объект защиты к одному из выделенных классов);

однозначность выделенных классов объектов защиты: низкая;

гибкость подхода: высокая;

простота реализации процесса: высокая.

1.1.4     Анализ подхода к классификации объектов защиты в соответствии с библиотекой ITIL v3

Библиотека ITIL v3 описывает лучшие из применяемых на практике способов организации деятельности подразделений, предоставляющих услуги в сфере информационных технологий (ИТ-услуг).

В отличие от стандартов, рассмотренных выше, в библиотеке ITIL v3 деятельность по идентификации и классификации объектов защиты является совокупностью ИТ-процессов, то есть процессов, целью которых является не обеспечение информационной безопасности, а эффективное управление ресурсами предприятия. Этим объясняются различия в описываемых подходах и получаемых результатах.

Терминология. В библиотеке ITIL понятию «Объект защиты» соответствует понятие «Актив», включающее, в том числе, информацию и объекты инфраструктуры.

Требования к организации процесса. ИТ-процесс управления информационными активами описан в книге «Проектирование услуг» («Service Design»). В рамках данного процесса выделяются следующие процедуры, связанные с процессом классификации объектов защиты [5]:

идентификация информационных активов;

оценка ценности информационных активов;

классификация информационных активов.

В рамках процедуры идентификации информационных активов осуществляется:

идентификация источников информации;

опись информационных активов;

определение лиц, ответственных за управление информационными активами (владельцев информационных активов);

выявление дубликатов информационных активов;

выявление факторов, препятствующих получению информационных активов;

формализация правил хранения информационных активов.

В рамках процедуры оценки стоимости информационных активов осуществляется:

оценка критичности информационных активов в случае нарушения его доступности;

оценка критичности информационных активов в случае их уничтожения или потери;

оценка изменения ценности информационных активов на различных этапах жизненного цикла.

В рамках процедуры классификации информационных активов осуществляется:

классификация информационных активов по периоду их использования (краткосрочные, среднесрочные, долгосрочные);

классификация информационных активов по требования обеспечения информационной безопасности;

классификация информационных активов по уровню представления (уровень организации, уровень бизнес-функции, уровень ИТ-услуги).

Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты:

полнота описания процесса и составляющих его процедур: высокая;

полнота используемой терминологии: высокая;

однозначность используемого классификационного признака: недостаточная (не определены пороговые значения, позволяющие отнести объект защиты к одному из выделенных классов);

однозначность выделенных классов объектов защиты: недостаточная (не выделены классы информационных ресурсов по требованиям информационной безопасности);

гибкость подхода: недостаточная (не допускается актуализация выделенных классов по некоторым признакам);

простота реализации процесса: низкая (классификация осуществляется по большому числу признаков, при этом не описан порядок определения).

1.2 Анализ подходов к классификации объектов защиты в организациях

Часто подходы в области информационной безопасности, применяемые негосударственными учреждениям, в отличие от подходов, описанных в стандартах, имеют четкую практическую направленность, они лучше продуманы и подробнее описаны.

Рассмотрим подходы к классификации объектов защиты следующих организаций:

«Инфосистемы Джет»;

«Microsoft»;

Университет штата Массачусетс, США.

1.3.1 Анализ подхода к классификации объектов защиты компании «Инфосистемы Джет»

Описание методологии классификации объектов защиты. Методология классификации объектов защиты компании «Инфосистемы Джет» удовлетворяет требованиям стандарта ГОСТ Р ИСО/МЭК 17799-2005.

В соответствии с методологией классификации объектов защиты, разработанной компанией «Инфосистемы Джет», [6] присвоение категорий безопасности информации и информационными системам производится на основе оценки ущерба, который может быть нанесен нарушениями безопасности.

Размер потенциального ущерба оценивается отдельно по трем основным аспектам информационной безопасности (конфиденциальность, целостность, доступность) с последующим расчетом интегральной оценки.

Размер ущерба оценивается по трехуровневой шкале:

высокий - потеря свойств ИБ информационных активов оказывает тяжелое или катастрофическое вредоносное воздействие на деятельность организации, ее активы и персонал;

умеренный - потеря свойств ИБ информационных активов оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал;

низкий - потеря свойств ИБ информационных активов оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал.

Для каждого уровня определены виды информации, вероятно относящиеся к нему. Дана развернутая характеристика уровней критичности, облегчающая задачу категорирования объектов защиты.

Стоит отметить, что методика компании «Инфосистемы Джет» предписывает классифицировать не только так называемую «пользовательскую» информацию (т.е. информационные активы, используемые при выполнении сотрудниками своих производственных задач), но также и системную (файлы конфигураций, системные файлы). К информационным активам при этом относятся как электронные документы, так и документы, закрепленные на материальном носителе.

Категорирование информационных систем осуществляется в соответствии с критичностью обрабатываемых и/или хранимых информационных активов, при этом информационной системе присваивается максимальный из уровней критичности информационных активов.

В соответствии с уровень критичности информационной системы, к ней применяются так называемые «регуляторы безопасности», представляющие собой набор требований по обеспечению информационной безопасности.

Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты:

полнота описания процесса и составляющих его процедур: недостаточная (процедура идентификации объектов защиты не описана);

полнота используемой терминологии: недостаточная (используется общеупотребительная терминология);

однозначность используемого классификационного признака: высокая;

однозначность выделенных классов объектов защиты: высокая;

гибкость подхода: высокая;

простота реализации процесса: недостаточная (не описан в полной мере порядок классификации объектов защиты).

1.2.2     Анализ подхода к классификации объектов защиты компании «Microsoft»

Описание методологии классификации объектов защиты. Подход к классификации объектов защиты компании «Microsoft» описан в документе «Руководство по управлению рисками информационной безопасности» («The Security Risk Management Guide»).

В соответствии с данным подходом, процесс классификации объектов защиты включает процедуры идентификации активов и их последующего категорирования. Под активами Microsoft понимает все, что имеет ценность для компании с точки зрения бизнеса (бизнес-активы). В это понятие включаются [7]:

нематериальные активы (электронные документы, репутация компании);

материальные активы (бумажные документы, объекты физической инфраструктуры);

ИТ-сервисы, как совокупность материальных и нематериальных активов.

Идентификация активов осуществляется в привязке с решаемыми бизнес-задачами, при этом электронные активы идентифицируются в составе прикладных информационных систем.

Категорирования активов осуществляется их владельцами, сведения о которых должны быть получены на этапе их идентификации. Для категорирования активов, они объединяются в группы, состоящие из однородных элементов, в соответствии с реализуемыми бизнес-функциями (например, проведение онлайн-платежей, разработка программного обеспечения).

В соответствии с методикой компании Microsoft, классификационным признаком является ценность актива для организации (его роль для бизнеса). Ценность актива для организации определяется качественной шкалой:

высокая;

средняя;

низкая.

Для каждого из классов в методике определяется примерный перечень относящихся к нему видов информационных активов, который должен быть актуализирован в соответствии со спецификой бизнеса организации.

Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты:

полнота описания процесса и составляющих его процедур: недостаточная (процедура категорирования активов описана не в полной мере);

полнота используемой терминологии: недостаточная (используется общеупотребительная терминология);

однозначность используемого классификационного признака: низкая (не описаны методы оценки активов по выделенным классификационным признакам);

однозначность выделенных классов объектов защиты: низкая (не описаны пороговые значения, позволяющие отнести актив к одному из выделенных классов);

гибкость подхода: высокая;

простота реализации процесса: высокая.

1.2.3     Анализ подхода к классификации объектов защиты в университете штата Массачусетс, США

Описание методологии классификации объектов защиты. Методика классификации объектов защиты университета штата Массачусетс разработана в соответствии с требованиями законодательства США и штата Массачусетс. Методика применяется для классификации информационных ресурсов, находящихся в собственности и/или ведении университета и служит для повышения уровня информационной безопасности.

В методике, принятой в университете штата Массачусетс, США, классификационными признаками являются [8]:

конфиденциальность информационного ресурса;

ценность информационного ресурса.

Выделяются следующие категории информационных ресурсов:

несекретные (широко доступная информация);

только для оперативного использования (данные, потеря, порча или несанкционированное разглашение которых может привести к любому коммерческому, финансовому или юридическому убытку; данные, предоставляемые с санкции владельца);

частные (данные, потеря, порча или несанкционированное разглашение которых может привести к любому коммерческому, финансовому или юридическому убытку; данные, связанные с вопросами личного доверия, репутации и другими вопросами неприкосновенности частной жизни);

ограниченного пользования (данные, потеря, порча или несанкционированное разглашение которых может привести к нанесению ущерба коммерческим или исследовательским функциям Университета);

конфиденциальные (данные, потеря, порча или несанкционированное разглашение которых может привести к нарушению федеральных законов/положений, законов/положений штата или университетских контрактов).

При этом, совокупности данных (например, базы данных) должны классифицироваться на уровне самого высокого уровня защиты, а информационные ресурсы, содержащиеся в одной системе, должны быть отнесены к самым конфиденциальным данным в системе.

Анализ подхода к классификации объектов защиты. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты:

полнота описания процесса и составляющих его процедур: низкая (процедуры в рамках процесса не выделены, методология идентификации активов не описана);

полнота используемой терминологии: недостаточная (используется общеупотребительная терминология);

однозначность используемого классификационного признака: недостаточная (не все признаки имеют однозначное толкование);

однозначность выделенных классов объектов защиты: высокая;

гибкость подхода: низкая (выделенные классы применимы только для образовательных учреждений);

простота реализации процесса: недостаточная.

1.3 Сравнительный анализ подходов к классификации объектов защиты

По результатам анализа подходов к классификации объектов защиты по критериям, описанным в данной главе, проведем сравнительный анализ рассмотренных подходов (Таблица 1.1).

По результатам проведенного сравнительного анализа можно сделать вывод о том, что для разработки методики классификации объектов защиты КИС коммерческих организаций будем использовать в качестве методологической основы следующие подходы к классификации объектов защиты:

ГОСТ ИСО/МЭК 17799-2005 в части требований к организации деятельности по классификации объектов защиты;

«Инфосистемы Джет» в части формирования набора классификационных признаков и порядка категорирования объектов защиты.

Выводы:

В данной главе дипломного проекта был проведен сравнительный анализ подходов к классификации объектов защиты по различным качественным показателям.

Результаты сравнительного анализа представлены в таблице (Таблица 1.1).

По результатам сравнительного анализа был сделан вывод о том, что выбранным показателям в наибольшей степени отвечают подходы:

подход к классификации объектов защиты в соответствии с ГОСТ Р ИСО/МЭК 17799-2005«Информационная технология. Практические правила управления информационной безопасностью»;

подход к классификации объектов защиты компании «Инфосистемы Джет».

Данные подходы будут являться основой для разработки методики классификации объектов защиты в КИС.

Таблица 1.1

Результаты сравнительного анализа подходов к классификации объектов защиты

2  РАЗРАБОТКА МЕТОДИКИ КЛАССИФИКАЦИИ ОБЪЕКТОВ ЗАЩИТЫ

В данном разделе определяются цели и задачи процесса классификации объектов защиты, приводится описание методики классификации объектов защиты, включающей порядок организации деятельности по классификации объектов защиты:

-  порядок внедрения процесса классификации объектов защиты;

-       порядок функционирования процесса классификации объектов защиты;

-       порядок анализа эффективности и модернизации процесса классификации объектов защиты.

2.1 Определение целей, задач и области действия процесса классификации объектов защиты

2.1.1  Цель и задачи процесса классификации объектов защиты

Целью классификации объектов зашиты является обеспечение дифференцированного подхода к организации их защиты в КИС с учетом уровня критичности, определяемого тяжестью возможных последствий нарушения ИБ.

Классификация объектов защиты необходима для:

выявления всех объектов защиты предприятия, участвующих в реализации его бизнес-процессов;

определения важности объектов защиты для реализации бизнес-процессов предприятия;

установления, применения и исполнения требований ИБ, предъявляемых к объектам защиты в составе ИС предприятия.

Основными задачами процесса классификации объектов защиты являются:

идентификация и учет объектов защиты;

выявление взаимосвязей между объектами защиты в КИС;

определение уровня критичности объектов защиты и ИС, в состав которых они входят.

Успешная реализация процесса классификации объектов защиты позволит:

обеспечить лучшую защиту объектов защиты, наиболее критичных с точки зрения реализации бизнес-процессов предприятия;

достичь набольшей эффективности затрат на обеспечение ИБ ИС;

создать основу для последующего внедрения подсистем управления информационной безопасности, в том числе подсистем управления инцидентами ИБ, анализа и оценки рисков ИБ, управления конфигурациями и изменениями и других.

2.1.2     Область действия процесса классификацииобъектов защиты

Деятельность любого коммерческого предприятия представляет собой совокупность бизнес-процессов. При этом любой бизнес-процесс обладает следующими свойствами:

имеет свои границы (состоит из определенного неизменяющегося или редко изменяющегося числа бизнес-функций);

выполняется с определенной периодичностью или непрерывно;

имеет конечного потребителя (другой бизнес-процесс, структурные подразделения предприятия или контрагенты предприятия);

имеет своих исполнителей - подразделения предприятия;

имеет своего владельца - подразделение, ответственное за результат реализации бизнес-процесса.

Любой бизнес-процесс состоит из бизнес-функций, при этом любая бизнес-функция обладает следующими свойствами:

имеет определенные входы и выходы, то есть перечень информации поступающей на вход бизнес-функции и перечень информации, формируемой на выходе;

имеет определенного исполнителя - одного или нескольких работников бизнес-подразделений компании.

Таким образом, и бизнес-процессы, и составляющие их бизнес-функции можно рассматривать в упрощенной модели как последовательность действий по преобразованию информации, а точнее - информационных активов, поскольку именно информационные активы на материальном носителе (бумажные документы) или в электронном виде поступают на вход и формируются на выходе бизнес-функций и бизнес-процессов.

Таким образом, все информационные активы можно подразделить на 2 группы:

электронные информационные активы;

материальные информационные активы.

К электронным информационным активам будем относить:

сведения, содержащиеся в базах данных, представляемые посредством рабочих форм прикладного ПО ИС (далее - рабочие формы ИС);

базы данных ИС;

файлы, размещенные на съемных носителях информации, а также устройствах хранения данных рабочих станций и серверов.

К материальным информационным активам будем относить только бумажные документы. Носители информации не относятся к материальным информационным активам, поскольку сами по себе они не представляют ценность для организации и не участвуют в реализации ее бизнес-процессов.

Учитывая возможное большое число информационных активов (как печатных, так и электронных), а также тот факт, что в процессе деятельности предприятия число информационных активов постоянно изменяется, для эффективной реализации процесса классификации объектов защиты целесообразно группировать однородные информационные активы, обрабатываемые в пределах одной бизнес-функции. Можно выделить следующие группы информационных активов:

файловые каталоги (директория файлов, содержащая однородные файлы, например: «Квартальные отчеты»);

шаблоны рабочих форм (например: «Форма заказа товара» в ИС «SAPR3»);

группы одноименных печатных документов.

В настоящее время большинство бизнес-процессов реализуется с использованием средств автоматизации, объединенных по функциональному назначению в ИС. В состав ИС входят:

информационные активы;

прикладное ПО, используемое для непосредственной обработки информационных активов;

средства вычислительной техники (серверы, рабочие места и периферийное оборудование, на которых выполняется такая обработка).

Взаимодействие ИС, в том числе передача данных между ними, осуществляется посредством инфраструктурных служб. Под инфраструктурной службой в данном случае понимается ИТ-сервис общего назначения, реализующий определенную информационную технологию. К инфраструктурным службам относятся, в частности, сервис локальной вычислительной сети, сервис антивирусной защиты, сервис сетевой печати, сервис электронной почты и другие ИТ-сервисы, в том числе реализующие функции защиты информации. При этом, одна инфраструктурная служба поддерживает функционирование сразу нескольких ИС, и, наоборот, работу ИС обеспечивает сразу несколько инфраструктурных служб.

ПО, входящее в состав инфраструктурных служб, можно подразделить на следующие виды:

системное ПО (ПО, обеспечивающее функционирование прикладного ПО в составе ИС или установленное на рабочих местах пользователей КИС, а также управление оборудованием КИС, например: операционные системы, системные утилиты и др.);

инструментальное ПО (ПО, используемое в ходе разработки, корректировки или сопровождении других программ, например: редакторы, компиляторы, отладчики и др.).

К оборудованию, входящему в состав инфраструктурных служб, относится:

средства вычислительной техники (серверы);

сетевое оборудование (маршрутизаторы, коммутаторы и др.);

коммутационное оборудование (сетевые кабели, патч-панели и др.).

Обобщая изложенные выше рассуждения, сформируем общий перечень объектов защиты (Таблица 2.1).

Таблица 2.1

Перечень объектов защиты

2.1.3     Роли, выделяемые в рамках процесса классификации объектов защиты

В связи с тем, что процесс классификации объектов защиты является обширной, непрерывной деятельностью в рамках всего предприятия, всех лиц, участвующих в данном процессе можно подразделить на 2 группы:

лица, осуществляющие деятельность по классификации объектов защиты (группа классификации объектов защиты);

лица, принимающие участие в классификации объектов защиты.

Среди лиц, осуществляющих деятельность по классификации объектов защиты, целесообразно выделить следующие функциональные роли:

руководитель процесса классификации объектов защиты (далее - руководитель процесса) - организует деятельность по классификации объектов защиты, несет ответственность за внедрение, реализацию, анализ эффективности и модернизацию процесса классификации объектов защиты;

комиссия по классификации объектов защиты (далее - Комиссия) - определяет правила и принципы классификации объектов защиты, осуществляет оценку уровней критичности информационных активов, несет ответственность за выбор критериев классификации объектов защиты; Председателем Комиссии назначается один из руководителей компании; помощь в организации деятельности Комиссии Председателю оказывает секретарь Комиссии;

специалисты по классификации объектов защиты - осуществляют работы по классификации объектов защиты, в том числе - идентификацию объектов защиты, выявление взаимосвязей между ними, расчет уровня критичности объектов защиты и учет объектов защиты;

администраторы ИС - осуществляют идентификацию объектов защиты в составе ИС предприятия; взаимодействуют с руководителем процесса классификации объектов защиты через руководителя подразделения ИТ.

В реализации процесса классификации объектов защиты участие также принимают:

руководство компании - назначает сотрудников, ответственных за реализацию процесса классификации объектов защиты, принимает и утверждает документы, формируемые в рамках процесса классификации объектов защиты;

руководители бизнес-подразделений - организуют опрос работников подразделения с целью идентификации объектов защиты;

работники бизнес-подразделений (пользователи объектов защиты) - идентифицируют информационные активы компании.

Изобразим схему подчинения лиц в рамках процесса классификации объектов защиты (Рисунок 2.1):

Конкретный список сотрудников, ответственных за реализацию тех или иных функциональных ролей, определяется для каждого предприятия индивидуально исходя из специфики бизнеса компании, при этом можно сформулировать следующие рекомендации:

в качестве руководителя процесса классификации объектов защиты назначить руководителя подразделения информационной безопасности;

в состав Комиссии включить руководителей ключевых бизнес-подразделений, подразделений информационной безопасности, информационных технологий, маркетинга, а также юристов, специалиста по работе с персоналом и других ключевых для компании сотрудников;

в качестве специалистов по классификации объектов защиты назначить работников подразделения информационной безопасности;

в качестве администраторов ИС назначить работников подразделения информационных технологий.

Рис. 2.1 Схема подчинения лиц в рамках процесса классификации объектов защиты

2.1.4     Модель взаимодействия подсистемы классификации объектов защиты с подсистемами управления информационной безопасностью

В развитых системах управления ИБ могут быть выделены несколько подсистем, включающих, помимо подсистемы классификации объектов защиты, следующие подсистемы:

управления рисками ИБ;

управления инцидентами ИБ;

управления конфигурациями и изменениями.

Изобразим модель взаимодействия подсистемы классификации объектов защиты с другими подсистемами в рамках системы управления ИБ в виде схемы (Рисунок 2.2).

Рис. 2.2 Модель взаимодействия подсистемы классификации объектов защиты с подсистемами управления ИБ

Таким образом, сведения о критичности объектов защиты в рамках системы управления ИБ могут быть использованы для:

анализа рисков ИБ в рамках подсистему управления рисками ИБ;

оценки критичности инцидентов ИБ в рамках подсистему управления инцидентами ИБ;

определения порядка внесения изменений в КИС и конфигурации оборудования в рамках подсистемы управления конфигурациями и изменениями.

В свою очередь, сведения об изменения в КИС, конфигурациях ИС, инфраструктурных служб и оборудования должны быть использованы в при учету объектов защиты в рамках подсистемы классификации объектов защиты.

2.1.5     Структура процесса классификации объектов защиты

Структуру процесса классификации объектов защиты представим в виде жизненного цикла, включающего следующие этапы:

внедрение процесса - на данном этапе выполняется комплекс мероприятий по инициированию процесса классификации объектов защиты, в том числе разработка ОРД, обучение сотрудников, внедрение средств автоматизации процесса классификации объектов защиты;

функционирование процесса (проведение классификации объектов защиты) - на данном этапе выполняются мероприятия по идентификации, классификации и учету объектов защиты;

анализа эффективности процесса - на данном этапе осуществляется расчет показателей качества реализации процесса, анализ полученных результатов;

модернизация (корректировка) процесса - на данном этапе осуществляется выработка рекомендаций по корректировке процесса классификации объектов защиты и корректировка процесса классификации объектов защиты в соответствии с выработанными рекомендациями.

Жизненный цикл процесса классификации объектов защиты целесообразно изобразить в виде цикла Деминга, известного также как модель PDCA («Plan-Do-Check-Act»).

Общая функциональная модель организации деятельности по классификации объектов защиты показана на рисунке 2.3.

.2 Внедрение процесса классификации объектов защиты

Внедрение процесса классификации объектов защиты в коммерческих организациях осуществляется путем выполнения следующих основных процедур:

разработка организационно-распорядительной и методологической документации по классификации объектов защиты;

инициирование процесса классификации объектов защиты;

внедрение средств автоматизации процесса классификации объектов защиты;

Рис. 2.3 Общая функциональная схема организации деятельности по классификации объектов защиты

Рис. 2.4 Подробная функциональная схема организации деятельности по классификации объектов защиты

Рис. 2.5 Подробная функциональная схема внедрения процесса классификации объектов защиты

Рис. 2.6 Подробная функциональная схема процедуры обучения работников предприятия

Рис. 2.7 Подробная функциональная схема процедуры формирования порядковой шкалы уровней критичности

Рис. 2.8 Подробная функциональная схема проведения классификации объектов защиты

Рис. 2.9 Подробная функциональная схема процедуры идентификации объектов защиты

Рис. 2.10 Подробная функциональная схема процедуры определения уровня критичности объектов защиты

обучение работников предприятия методологии классификации объектов защиты;

формирование порядковой шкалы уровней критичности объектов защиты.

2.2.1 Разработка организационно-распорядительной документации по классификации объектов защиты

Любая деятельность на предприятии должна быть регламентирована:

должны быть определены лица, ответственные за реализацию деятельности;

должен быть определен порядок выполнения мероприятий в рамках деятельности по классификации объектов защиты;

должен быть закреплен порядок взаимодействия ответственных лиц в рамках деятельности по классификации объектов защиты.

Таким образом, необходимо разработать ОРД, регламентирующую деятельность по классификации объектов защиты в компании.

Целью процедуры разработки ОРД является формирование нормативной базы, регламентирующей реализацию процесса классификации объектов защиты.

В рамках процедуры разработки ОРД по классификации объектов защиты решаются следующие задачи:

разработка внутренних нормативных документов, инициирующих процесс классификации объектов защиты;

разработка внутренних нормативных документов, регламентирующих реализацию деятельности по классификации объектов защиты.

Состав ОРД по классификации объектов защиты формируется каждым предприятием индивидуально с учетом специфики его деятельности и уже существующей ОРД. ОРД по классификации объектов защиты может включать:

шаблон приказа «О классификации объектов защиты;

Регламент классификации объектов защиты;

Положение о Комиссии по классификации объектов защиты.

Шаблон приказа «О классификации объектов защиты» необходим для:

ввода в действия внутренней нормативной документации по классификации объектов защиты;

назначение лиц, ответственных за реализацию деятельности по классификации объектов защиты;

создания Комиссии по классификации объектов защиты.

Регламент классификации объектов защиты необходим для:

определения порядка выполнения процедур в рамках деятельности по классификации объектов защиты;

определения порядка формирования отчетных документов в рамках деятельности по классификации объектов защиты;

определения лиц, ответственных за выполнение работ по классификации объектов защиты.

Положение о Комиссии по классификации объектов защиты необходимо для:

определения целей, задач и функций Комиссии по классификации объектов защиты в рамках деятельности по классификации объектов защиты;

определения состава Комиссии по классификации объектов защиты;

определения порядка работы Комиссии по классификации объектов защиты в рамках деятельности по классификации объектов защиты.

2.2.2     Инициирование процесса классификации объектов защиты

Целью процедуры инициирования процесса классификации объектов защиты является выполнение мероприятий, необходимых для внедрения процесса классификации объектов защиты и обеспечения его эффективного функционирования.

В рамках процедуры инициирования процесса классификации объектов защиты решаются следующие задачи:

ввод в действие нормативных документов, регламентирующих Процесс классификации объектов защиты компании;

назначение лиц, ответственных за внедрение, реализацию, анализ эффективности и корректировку процесса классификации объектов защиты;

создание Комиссии по классификации объектов защиты.

Для инициирования процесса классификации объектов защиты руководство организации издается Приказ «О проведении классификации объектов защиты», в соответствии с которым осуществляется:

ввод в действие ОРД, регламентирующей реализацию процесса классификации объектов защиты;

формирование Комиссии по классификации объектов защиты, утверждение ее состава и назначение Председателя Комиссии по классификации объектов защиты;

устанавливаются порядок и сроки выполнения процедур в рамках внедрения процесса классификации объектов защиты, в том числе внедрения средств автоматизации процесса классификации объектов защиты, проведения обучения работников предприятия и других процедур.

2.2.3     Внедрение средств автоматизации процесса классификации объектов защиты

Для успешной реализации процесса классификации объектов защиты необходимо внедрение средств автоматизации (ПО подсистемы классификации объектов защиты), упрощающих выполнение различных процедур в рамках деятельности по классификации объектов защиты.

В рамках процедуры внедрения средств автоматизации процесса классификации объектов защиты решаются следующие задачи:

ввод в эксплуатацию средств автоматизации процесса классификации объектов защиты;

первичная настройка и подготовка к работе средств автоматизации процесса классификации объектов защиты.

Процедура внедрения средств автоматизации процесса классификации объектов защиты осуществляется в следующем порядке:

)   осуществляется ввод в эксплуатацию технических и программных средств, входящих в комплекс средств автоматизации процесса классификации объектов защиты; ввод в эксплуатацию осуществляется в порядке, предусмотренным действующими стандартами Российской Федерации;

2)      осуществляется создание электронной базы данных объектов защиты; ввод первичных сведений, относящихся к организационной структуре предприятия и сформированного набора классификационных признаков и категорий объектов защиты;

)        осуществляется наделение лиц, ответственных за эксплуатацию средств автоматизации правами, необходимыми и достаточными для реализации своих функций правами.

Блок-схема порядка внедрения средств автоматизации процесса классификации объектов защиты показана на рисунке (Рисунок 2.11).

Рис. 2.11 Блок-схема порядка внедрения средств автоматизации процесса классификации объектов защиты

2.2.4     Обучение работников предприятия методологии классификации объектов защиты

Любой процесс, внедряемый на предприятии, является комплексом организационных мер, предписывающих проведение работниками предприятия определенной деятельности.

Целью процедуры обучения работников предприятия методологии классификации объектов защиты является обеспечение эффективного выполнения работниками предприятия их функций в рамках деятельности по классификации объектов защиты.

В рамках процедуры обучения работников предприятия методологии классификации объектов защиты решаются следующие задачи:

доведение до сотрудников компании из роли, задач и обязанностей в рамках процесса классификации объектов защиты;

проведение аттестации сотрудников компании.

Разработка методики обучения не является предметом данной работы, так как процесс обучения сотрудников непосредственно не связан с проведением классификации объектов защиты и требует более детальной проработки.

Реализация процедуры обучения сотрудников компании методологии классификации объектов защиты должна выполняться под руководством и контролем руководителя процесса классификации объектов защиты и при участии специалистов по классификации объектов защиты. При этом допускается, что в рамках процедуры обучения сотрудников компании могут быть выделены отдельные роли, функциональные обязанности которых могут выполняться различным должностными лицами. Состав ролей, определение порядка обучения сотрудников компании методологии классификации объектов защиты целесообразно проводить с учетом специфики бизнеса компании, ее масштабов, а также территориальной и организационной структуры.

Выделим основные этапы в рамках процедуры обучения сотрудников компании методологии классификации объектов защиты.

Этап 1: разработка методических материалов и программы обучения и аттестации сотрудников компании. В рамках данного этапа на основе методики классификации объектов защиты формируется комплект методических материалов, предназначенных для различных групп сотрудников компании в соответствии с их функциональной ролью в рамках процесса классификации объектов защиты. Разрабатывается и утверждается программа обучения и аттестации сотрудников.

Этап 2: разработка плана обучения и аттестации сотрудников компании. На данном этапе определяются и утверждаются сроки проведения обучения и аттестации сотрудников компании, а также перечень ответственных лиц.

Этап 3: проведение обучения и аттестации сотрудников компании. По результатам аттестации формируется отчет руководству компании о результатах аттестации сотрудников компании методологии классификации объектов защиты.

2.2.5     Формирование порядковой шкалы уровней критичности объектов защиты

Прежде, чем проводить работы по классификации объектов защиты, на предприятии должна быть разработана и утверждена шкала, по которой будет определяться уровень критичности для того или иного объекта в соответствии с возможным ущербом от нарушения его ИБ.

Целью процедуры формирования порядковой шкалы уровней критичности объектов защиты является установление соответствия уровней критичности объектов защиты качественным величинам возможного ущерба от нарушения ИБ объектов защиты.

В рамках процедуры формирования порядковой шкалы уровней критичности решаются следующие задачи:

определение видов ущерба, наступление которого критично для организации;

установление градации ущерба для каждого уровня критичности.

Формирование порядковой шкалы уровней критичности является ключевым методологическим аспектом внедрения процесса классификации объектов защиты. От правильного выбора пороговых значений ущерба для каждого уровня критичности зависит эффективность всей деятельности по классификации объектов защиты.

Процедура формирования порядковой шкалы уровней критичности реализуется следующим образом.

Весь ущерб, который может быть нанесен компании вследствие нарушения ИБ объектов защиты, подразделяется на виды, например:

нарушение требований законодательства;

прямой финансовый и материальный ущерб;

косвенный финансовый ущерб (неполученная прибыль);

репутационные потери;

кадровые потери;

ущерб интеллектуальной собственности.

Выделим основные этапы в рамках процедуры формирования порядковой шкалы уровней критичности.

Этап 1: определение пороговых значений ущерба от нарушения ИБ объектов защиты. Для каждого из видов ущерба определяются пороговые значения, соответствующие максимальному, среднему и минимальному уровню критичности, при этом выбор пороговых значений осуществляется в соответствии со следующими принципами:

максимальному уровню критичности должен соответствовать такой ущерб, наступление которого несет катастрофические последствия для организации, делает невозможным реализацию всех ее ключевых бизнес-процессов, парализует деятельность компании на длительный срок или приводит к прекращению ее существования;

среднему уровню критичности соответствует ущерб, наступление которого приводит к тяжелым, но не катастрофическим последствиям, то есть к таким последствиям, которые значительны для организации, но не приводят к парализации или прекращению ее деятельности;

минимальному уровню критичности соответствует ущерб, наступление которого незначительно для организации или к таким последствиям, которые могут быть ликвидированы имеющими ресурсами без нарушения функционирования ключевых бизнес-процессов компании.

Определение пороговых значений ущерба от нарушения ИБ объектов защиты осуществляется членами Комиссии. Пороговые значения ущерба определяются методом экспертных оценок, когда соответствие возможного ущерба различным уровням критичности устанавливается несколькими сотрудниками, входящими в состав Комиссии, в соответствии со своей компетенцией. Перечень сотрудников, ответственных за определение пороговых значений ущерба для различных уровней критичности, устанавливается Председателем Комиссии совместно с руководителем процесса классификации объектов защиты. Так, например, пороговые значения ущерба вследствие нарушения требований законодательства могут быть определены руководителями ключевых бизнес-подразделений совместно с юристами.

Определение перечня лиц, ответственных за формирование пороговых значений по каждому из видов ущерба осуществляется председателем Комиссии единолично. Для определения пороговых значений ущерба организуется совещание Комиссии. В случае принципиального расхождения позиций экспертов при определении пороговых значений ущерба, решение принимается Председателем Комиссии.

Этап 2: формирование и утверждение порядковой шкалы уровней критичности. Порядковая шкала формируется секретарем Комиссии и утверждается ее Председателем. Пример порядковой шкалы уровней критичности приведен в Таблице 2.2

1) Таблица 2.2

Пример порядковой шкалы уровней критичности

Таким образом, процедура формирования порядковой шкалы уровней критичности состоит из следующих шагов:

1) Председатель Комиссии определяет перечень членов Комиссии (далее - экспертов), ответственных за определение пороговых значений ущерба от нарушения ИБ объектов защиты для каждого из видов ущерба;

2)      эксперты определяют пороговые значения ущерба для максимального, среднего и минимального уровня критичности по каждому из видов ущерба;

)        секретарь Комиссии аккумулирует результаты определения пороговых значений ущерба, фиксируя те виды ущерба, по которым у экспертов возникли принципиальные расхождения;

)        секретарь Комиссии формирует проект документа «Порядковая шкала уровней критичности» и представляет его Председателю Комиссии;

)        Председатель Комиссии принимает решение по спорным вопросам, связанным с определением пороговых значений уровня критичности;

)        Председатель Комиссии корректирует пороговые значения ущерба по различным уровням критичности;

)        секретарь Комиссии вносит правки в проект документа «Порядковая шакала уровней критичности» в соответствии с корректировками Председателя Комиссии, после чего передает ему финальную версию документа на согласование;

)        руководитель компании утверждает проект документа «Порядковая шкала уровней критичности», после чего процедура является выполненной.

Блок-схема порядка формирования порядковой шкалы уровней критичности показана на рисунке (Рисунок 2.12).

2.3 Функционирование процесса классификации объектов защиты

Реализация процесса классификации объектов защиты предполагает выполнение мероприятий, направленных на идентификацию всех объектов защиты компании и определение их критичности.

Рис. 2.12 Блок-схема порядка формирования порядковой шкалы уровней критичности

В рамках реализации процесса классификации объектов защиты выделяются следующие процедуры:

планирование деятельности по классификации объектов защиты;

идентификация объектов защиты;

определение уровня критичности объектов защиты;

организация учета объектов защиты.

2.3.1     Планирование деятельности по классификации объектов защиты

Целью классификации объектов защиты идентификация объектов защиты и определение уровня их критичности для последующего определение требований ИБ, предъявляемых к ИС компании, оценки рисков ИБ и выполнения других мероприятий, направленных на реструктуризацию системы информационной безопасности компании в соответствии с уровнем критичности ее объектов защиты.

Очевидно, что с течением времени уровень критичности объектов защиты изменяется. Это может быть связано с:

устареванием информационных активов и снижением их ценности для организации;

изменением приоритетов бизнеса компании;

внесением изменений в порядок реализации бизнес-процессов компании;

другими подобными изменениями, связанными с неминуемым развитием бизнес-модели любой компании.

Таким образом, принципиально важно заключить деятельность по классификации объектов защиты в определенные временные рамки, даже несмотря на то, что данная деятельность априори является непрерывной. В связи с этим, на этапе реализации процесса классификации объектов защиты, предшествующем анализу его эффективности, должны быть идентифицированы и проклассифицированы все объекты защиты компании. Добиться этого возможно лишь за счет эффективного планирования деятельности по классификации объектов защиты.

Целью процедуры планирования классификации объектов защиты является определение порядка и сроков выполнения работ по классификации объектов защиты в компании, а также определение перечня лиц, ответственных за выполнение указанных работ и формирование отчетных документов.

В рамках процедуры планирования классификации объектов защиты формируется План классификации объектов защиты, который включает:

область классификации объектов защиты;

этапы и сроки классификации объектов защиты;

сроки идентификации объектов защиты в подразделениях Общества;

перечень отчетных документов, формируемых по результатам классификации объектов защиты, и сроки их предоставления.

Понятие «область классификации объектов защиты» является собирательным, и включает в себя:

бизнес-процессы компании как структурированную согласованную деятельность ее подразделений;

бизнес-подразделения компании, реализующие ее бизнес-процессы (например, отдел закупок);

подразделения компании, выполняющие вспомогательные функции по поддержке их функционирования (например, бухгалтерия, юридический отдел, отдел информационных технологий);

ИС компании, автоматизирующие деятельность бизнес-подразделений компании и подразделений, выполняющих вспомогательные функции по поддержке их функционирования.

В случае, если вся деятельность организации формализована в виде бизнес-процессов, определены подразделения, участвующие в реализации бизнес-процессов, а также ИС, участвующие в их реализации, область классификации объектов защиты задается как совокупность таких бизнес-процессов, а также подразделений и ИС, участвующих и поддерживающих их реализацию.

В случае, если в компании бизнес-процессы в полной мере не формализованы, но существует актуальный перечень ИС с формализованными описаниями решаемых ими задач, область классификации объектов защиты задается как совокупность таких ИС, а также подразделений компании, непосредственно пользующихся данными ИС.

В других случаях, область классификации объектов защиты задается как перечень ее подразделений, а также ключевых объектов информатизации, реализующих бизнес-деятельность компании.

После определения области классификации объектов защиты, необходимо определить и документально зафиксировать перечень составляющих ее подразделений. Перечень подразделений, составляющих область классификации объектов защиты, определяется на основании:

формализованных описаний бизнес-процессов компании;

формализованных описаний ИС компании.

Сформированный перечень подразделений, составляющих область классификации объектов защиты, является основой для определения сроков идентификации информационных активов в подразделениях компании. Идентификация информационных активов и выявление связей между ними является первым этапом деятельности по классификации объектов защиты. Сроки идентификации объектов защиты определяются исходя из:

количества сотрудников подразделения (для опроса большего числа людей требуется большее время);

специфики деятельности подразделений (например, целесообразно не проводить работы по идентификации информационных активов в бухгалтерии в конце отчетного периода);

Сроки идентификации объектов защиты в подразделениях компании согласуются с их руководителями, а те, в свою очередь, доводят сведения о запланированных работах в рамках деятельности по классификации объектов защиты до сотрудников своих подразделений. Руководители подразделений определяют порядок опроса работников своих подразделений специалистами по классификации объектов защиты.

Вторым этапом деятельности по классификации объектов защиты является идентификация объектов защиты в составе ИС компании и выявлением связей между ними. На этапе планирования определяются сроки идентификации объектов защиты, а также перечень лиц, ответственных за реализацию данного этапа и формирование отчетных документов.

По результатам идентификации всех объектов защиты и связей между ними, осуществляется оценка уровней критичности информационных активов в рамках третьего этапа деятельности по классификации объектов защиты. На этапе планирования определяются сроки, отведенные на осуществление оценки.

Четвертым и заключительным этапом классификации объектов защиты является расчет уровня критичности объектов защиты и организация их учета. В рамках планирования деятельности по классификации объектов защиты определяется перечень лиц, ответственных за реализацию данной деятельности, и сроки ее реализации.

Таким образом, процедура планирования деятельности по классификации объектов защиты состоит из следующих шагов:

1) на основании Приказа о классификации объектов защиты используя имеющиеся в компании формализованные описания бизнес-процессов и ИС, руководитель процесса классификации объектов зашиты определяет область классификации объектов защиты, а также порядок и сроки выполнения работ по классификации объектов защиты;

2)      в соответствии с областью классификации объектов защиты, руководитель процесса классификации объектов защиты определяет перечень подразделений, входящих в область классификации объектов защиты;

)        руководитель процесса классификации объектов защиты определяет сроки проведения работ по классификации объектов защиты и согласует их с Председателем Комиссии;

)        руководитель процесса классификации объектов защиты определяет сроки идентификации объектов защиты в подразделениях компании, согласует их с руководителями подразделений, а в случае, если это невозможно или затруднительно, устанавливает сроки идентификации информационных активов лично;

)        руководитель процесса классификации объектов защиты определяет перечень формируемых в рамках деятельности по классификации объектов защиты отчетных документов;

)        руководитель процесса классификации объектов защиты определяет перечень лиц, ответственных за выполнение работ по идентификации и классификации объектов защиты (специалистов по классификации объектов защиты);

)        руководитель процесса классификации объектов защиты формирует проект документа «План классификации объектов защиты»;

)        руководитель компании утверждает проект документа «План классификации объектов защиты».

Рис. 2.13 Блок-схема порядка планирования деятельности по классификации объектов защиты

2.3.2     Идентификация объектов защиты

В рамках процедуры идентификации объектов защиты компании решаются следующие задачи:

идентификация информационных активов, необходимых и достаточных для выполнения бизнес-подразделениями компании своих бизнес-функций, а также (в случае, если в компании бизнес-процессы не формализованы), идентификация таких бизнес-функций и определение бизнес-процессов, в рамках которых они выполняется;

идентификация взаимосвязей между информационными активами;

идентификация и сбор сведений об ИС компании, используемых для автоматизации выполнения бизнес-функций;

идентификация ПО и оборудования, используемых для хранения, обработки и передачи информационных активов.

Идентификация объектов защиты осуществляется в порядке и в сроки, предусмотренные Планом классификации объектов защиты.

Выделим основные этапы в рамках процедуры идентификации объектов защиты.

Этап 1: опрос сотрудников подразделений. На данном этапе проводится интервьюирование сотрудников бизнес-подразделений компании с использованием опросных листов с целью выявления информационных активов, используемых или формируемых сотрудниками в процессе выполнения своих бизнес функций.

От результатов опроса сотрудников подразделений компании зависит результат классификации объектов защиты в целом, так как принципиально важно на этапе опроса выявить все информационные активы компании. Для того, чтобы сократить возможные ошибки и неточности предоставляемых сотрудниками подразделений сведений, перед проведением опроса для формируются документы:

Перечень ИС подразделения;

Перечень бизнес-функций подразделения.

При формирования перечней ИС подразделений, сведения об ИС запрашиваются от администраторов ИС. Администраторы ИС предоставляются сведения о том, к каким ИС имеют доступ сотрудники того или иного подразделения.

При формировании перечней бизнес-функций подразделения используются формализованные описания бизнес-процессов компании, если таковые в компании были разработаны.

При опросе сотрудников бизнес-подразделения выявляются:

бизнес-функции сотрудников (в случае, если бизнес-процессы компании не формализованы);

коммуникационное и периферийное оборудование, необходимое для выполнения бизнес-функции;

информационные активы в составе ИС компании, поступающие на вход, и формируемые на выходе бизнес-функций (взаимосвязь между информационными активами, а также между информационными активами и ИС, в состав которых они входят);

необходимость использования сервиса электронной почты для получения информационных активов;

дополнительное ПО, не входящее в состав ИС, используемое для обработки информационных активов.

При опросе сотрудников бизнес-подразделений используются опросные листы, шаблон которых показан в Таблице 2.3.

Таблица 2.3

Шаблон опросного листа для идентификации объектов защиты

Заполненные опросные листы используются при формировании Перечней объектов защиты подразделений, формируемыми для каждого бизнес-подразделения компании и утверждаемыми их руководителями.

Этап 2: выявление объектов защиты в составе ИС. На данном этапе администраторами ИС на основе перечней объектов защиты выявляются объекты защиты в составе ИС компании:

определяются БД, сведения из которых используются при формировании рабочих форм ПО;

определяется перечень прикладного ПО и оборудования, входящего в состав ИС;

определяется перечень инфраструктурных служб, поддерживающих функционирование ИС компании;

определяется перечень системного ПО и оборудования, входящего в состав инфраструктурных служб.

Таким образом, на данном этапе выявляются все объекты защиты компании, а также устанавливается взаимосвязь между ИС и инфраструктурными службами, поддерживающими их функционирование.

По результатам выявления объектов защиты в составе ИС компании формируется Перечень объектов защиты.

Таким образом, процедура идентификации объектов защиты состоит из следующих шагов:

1) на основании формализованных описаний бизнес-процессов в соответствии с областью классификации объектов защиты специалисты по классификации объектов защиты формируют Перечень бизнес-функций, выполняемых работниками каждого из бизнес-подразделений компании, входящих в область классификации объектов защиты;

2)      специалисты по классификации объектов защиты запрашивают от администраторов ИС перечень ИС, используемых каждым из бизнес-подразделений компании;

)        специалисты по классификации объектов защиты проводят опрос работников бизнес-подразделения компании в порядке и сроки, предусмотренные Планом классификации объектов защиты;

)        по завершении опроса работников каждого из бизнес-подразделений компании специалисты по классификации объектов защиты на основании заполненных опросных листов формируют Перечень объектов защиты подразделения; при необходимости, специалисты по классификации объектов защиты по электронной почте или по телефону запрашивают от работников структурного подразделения дополнительные сведения об объектах защиты;

)        по завершению опроса работников каждого из бизнес-подразделений специалисты по классификации объектов защиты согласовывают Перечень объектов защиты подразделения с руководителем подразделения, при этом руководитель подразделения уточняет сведения об объектах защиты и выполняемых работниками бизнес-функций;

)        специалисты по классификации объектов защиты по результатам идентификации объектов защиты в подразделениях компании запрашивают от администраторов ИС сведения об ИС и поддерживающих их инфраструктурных службах;

)        специалисты по классификации объектов защиты формируют Перечень объектов защиты компании, а также заносят сведения об идентифицированных объектах защиты в электронную базу данных объектов защиты;

)        перечень объектов защиты утверждается руководителем процесса классификации объектов защиты.

Блок-схема порядка идентификации объектов защиты (Рисунок 2.14).

Рис. 2.14 Блок-схема порядка идентификации объектов защиты

2.3.3     Определение уровня критичности объектов защиты

Целью процедуры определения уровня критичности объектов защиты компании является оценка важности обеспечения их ИБ для бизнеса.

В рамках процедуры определения уровня критичности объектов защиты компании решаются следующие задачи:

оценка ущерба от нарушения требований конфиденциальности, целостности и доступности информационных активов компании;

расчет и определение уровня критичности объектов защиты компании с учетом взаимосвязей между ними.

Выделим основные этапы в рамках процедуры определения уровня критичности объектов защиты.

Этап 1: оценка ущерба от нарушения ИБ информационных активов. На данном этапе Комиссия по классификации объектов защиты проводит оценку возможного ущерба от нарушения основных свойств ИБ информационных активов: конфиденциальности, целостности и доступности. При этом в компании могут быть выделены дополнительные свойства ИБ (например, свойство неотказуемости), нарушение которых существенно для компании. По каждому из свойств ИБ оценка ущерба осуществляется отдельно.

Дать объективную оценку возможного ущерба от нарушения ИБ информационных активов в целом сложно, поэтому оценка возможного ущерба от нарушения свойств ИБ информационных активов осуществляется по каждому из видов ущерба отдельно.

Оценка возможного ущерба от нарушения ИБ информационных активов осуществляется методом экспертных оценок. Всем членам комиссии предоставляется комплект опросных листов и копия перечня объектов защиты, при этом опросном листе перечислены все объекты защиты компании в том же порядке, в котором они расположены в Перечне объектов защиты. Каждый член комиссии осуществляет оценку возможного ущерба от нарушения ИБ объектов защиты по каждому из видов ущерба руководствуясь сведениями, содержащимися в Перечне объектов защиты. Оценка возможного ущерба дается в виде цифры, означающий ту или иную степени критичности, в соответствии с Порядковой шкалой уровней критичности (1-максимальная степень критичности, 2 - средняя, 3 - минимальная). В случае, если участник Комиссии затрудняется дать оценку возможного ущерба от нарушения ИБ объектов защиты, в соответствующем поле он ставит прочерк.

Фрагмент заполненного опросного листа, формируемого каждым членом Комиссии, показан в таблице 2.4.

Таблица 2.4

Фрагмент заполненного опросного листа для оценки возможного ущерба от нарушения ИБ информационных активов

По результатам оценки возможного ущерба от нарушения уровня критичности объектов защиты, специалисты по классификации объектов защиты формируют проект документа «Результаты оценки ущерба от нарушения ИБ информационных активов», в котором отражаются итоговые оценки возможного ущерба. При этом в случае расхождения оценок на один порядок, итоговая степень ущерба берется максимальной. Если же разница в оценках составляет 2 порядка, итоговую оценку степени возможного ущерба от нарушения данного свойства ИБ осуществляется Председатель Комиссии.

Этап 2: определение уровня критичности объектов защиты. На данном этапе на основании проведенной оценки возможного ущерба от нарушения ИБ информационных активов осуществляется расчет следующих величин.

Уровень критичности информационных активов (промежуточный) рассчитывается как максимальный из степеней критичности данного информационного актива по всем видам ущерба. В таблице 2.5показан фрагмент перечня информационных активов с результатами оценки возможного ущерба от нарушения их ИБ. В последнем столбце таблицы указан уровень критичности информационного актива.

Таблица 2.5

Определение уровня критичности информационных активов

Отметим, что на данном шаге определяется промежуточный уровень критичности информационных активов, который будет пересмотрен в дальнейшем с учетом уровня критичности бизнес-функций.

Уровень критичности бизнес-функций устанавливается как максимальный из уровней критичности информационных активов, формируемых на выходе бизнес-функции. В таблице 2.6 показан пример расчета уровня критичности бизнес функций:

Таблица 2.6

Определение уровня критичности бизнес-функций

Уровень критичности информационных активов (итоговый) получается из промежуточного уровня критичности с учетом взаимосвязей между информационными активами. В данном случае, взаимосвязь между информационными активами определяется их использованием при выполнении бизнес-функций: если при выполнении определенной бизнес-функции на ее вход поступают информационные активы, уровень критичности которых ниже уровня критичности бизнес-функции, то уровень критичности информационных активов, поступающих на вход бизнес-функции должен быть повышен до уровня критичности самой бизнес-функции.

Действительно, если, например, выходом бизнес-функции является отчет максимального уровня критичности, а для его формирования требуются сведения из базы данных среднего уровня критичности, то уровень критичности базы данных должен быть увеличен до максимального, иначе в случае нарушения доступности бизнес-функция не сможет быть выполнена.

Уровень критичности коммуникационного и периферийного оборудования определяется как максимальный из уровней критичности бизнес-функций, при выполнении которых используется данное оборудование. Пример расчета уровня критичности коммуникационного и периферийного оборудования приведен в таблице 2.7.

Таблица 2.7

Определение уровня критичности коммуникационного и периферийного оборудования

Уровень критичности ИС определяется как максимальный из уровней критичности бизнес-функций, выполняемых с применением данных ИС компании. Пример расчета уровня критичности ИС приведен в таблице 2.8.

Таблица 2.8

Определение уровня критичности ИС.

Уровень критичности инфраструктурных служб определяется как максимальный из уровней критичности ИС, функционирование которых поддерживается данными инфраструктурными службами. Пример расчета уровня критичности инфраструктурных служб приведен в таблице 2.9.

Таблица 2.9

Определение уровня критичности инфраструктурных служб.

Уровень критичности ПО и оборудования определяется аналогично как максимальный из уровней критичности ИС и инфраструктурных служб, в состав которых они входят.

Отметим, что при расчете уровня критичности всех объектов защиты учитываются все взаимосвязи между ними; полученный уровень критичности объектов защиты адекватно отражает степень его значимости для бизнеса компании и должен быть использован в качестве основного показателя при предъявлении требований к обеспечению ИБ объектов защиты.

Таким образом, процедура определения уровня критичности объектов защиты состоит из следующих шагов:

)   специалистами по классификации объектов защиты на основании Перечня объектов защиты и Порядковой шкалы уровней критичности подготавливаются опросные листы для членов Комиссии для оценки возможного ущерба от нарушения ИБ информационных активов;

2)      члены Комиссии осуществляют оценку возможного ущерба от нарушения ИБ информационных активов;

)        специалисты по классификации объектов защиты анализируют полученные оценки, рассчитывают итоговые оценки и предоставляют их Председателю Комиссии на согласование;

)        Председатель Комиссии определяет итоговые оценки по тем информационным активам, где оценки экспертов различались на 2 порядка и утверждает Результаты оценки ущерба от нарушения ИБ информационных активов;

)        специалисты по классификации объектов защиты рассчитывают уровень критичности:

информационных активов; бизнес-функций;

коммуникационного и периферийного оборудования;

ИС и инфраструктурных служб;

ПО и оборудования в составе ИС и инфраструктурных служб.

6) специалисты по классификации объектов защиты формируют итоговый перечень объектов защиты компании с группировкой объектов защиты по ИС или инфраструктурным службам, при этом одни и те же информационные активы, ПО и оборудование могут входить в состав нескольких ИС и инфраструктурных служб;

7)      специалисты по классификации объектов защиты формируют проект Акта классификации объектов защиты;

)        руководитель компании утверждает Акт классификации объектов защиты; Специалисты по классификации объектов защиты вносят сведения об уровне критичности объектов защиты в электронную базу данных объектов защиты.

Блок-схема порядка идентификации объектов защиты (Рисунок 2.15).

Рис. 2.15 Блок-схема порядка определения уровня критичности объектов защиты

2.3.4     Организация учета объектов защиты

Бизнес любой компании постоянно развивается, вследствие чего должен быть организован учет объектов защиты компании.

Для регистрации событий, связанных с объектами защиты для каждой ИС и инфраструктурной службы компании создаются Журналы учета объектов защиты. Все журналы ведутся в электронном виде, а для ИС и инфраструктурных служб максимального уровня критичности Журналы учета ведутся также в печатном виде. Все Журналы учета объектов защиты ведутся администраторами ИС.

В процессе деятельности компании в Журналах учета объектов защиты регистрируются все критичные действия нал объектами защиты, в том числе:

факты создания, передачи, дублирования и уничтожения информационных активов в составе ИС (баз данных ИС);

факты приобретения, ввода в эксплуатацию и снятия с эксплуатации ПО и оборудования в составе ИС и инфраструктурных служб компании.

Сведения о событиях, связанных с объектами защиты, предоставляются руководителями подразделений компании, инициирующих соответствующие события. Действия над объектами критичности максимального уровня критичности, при этом, должны быть одобрены руководителем компании.

В случае существенного изменения перечня объектов защиты в составе ИС и инфраструктурных служб, администраторы ИС формируют и передают в Комиссию заявку на пересмотр результатов классификации объектов защиты в составе данных ИС и инфраструктурных служб.

2.4 Анализ эффективности и модернизация процесса классификации объектов защиты

В компании периодически не реже одного раза в год, а также в случае необходимости (например, по результатам классификации объектов защиты) должна проводиться оценка эффективности функционирования процесса классификации объектов защиты.

Анализ эффективности процесса классификации объектов защиты осуществляется руководителем процесса классификации объектов защиты при участии специалистов по классификации объектов защиты.

Для оценки эффективности функционирования процесса классификации объектов защиты компании рассчитываются следующие показатели:

количество проклассифицированных объектов защиты за определенный период времени;

процентное распределение объектов защиты по уровням критичности;

число информационных активов, при оценке возможного ущерба от нарушения ИБ которых разница в оценке различных экспертов составила 2 порядка;

количество подразделений компании, в которых завершены работы по идентификации объектов защиты;

доля бизнес-процессов, объекты защиты которых не были проклассифицированы, от общего числа бизнес-процессов, объекты защиты которых должны были быть проклассифицированы в соответствии с Планом классификации объектов защиты за определенный период времени;

доля подразделений компании, объекты защиты которых не были проклассифицированы, от общего числа подразделений компании, объекты защиты которых должны были быть проклассифицированы в соответствии с Планом классификации объектов защиты за определенный период времени;

количество неучтенных объектов защиты, выявленных по результатам аудита.

Конкретные значения показателей, описанных выше, при которых результаты функционирования процесса классификации объектов защиты можно считать успешными, определяются для каждой компании индивидуально. Выделим общие правила, позволяющие оценить эффективность функционирования процесса классификации объектов защиты:

А. Превышение доли объектов защиты максимального уровня критичности над долей объектов защиты среднего и минимального уровня критичности может свидетельствовать о неверно определенными пороговыми значениями ущерба, соответствующих максимальному, среднему и минимальному уровню критичности.

В качестве корректирующих мер в этом случае могут быть предложены:

изменение состава Комиссии;

корректировка пороговых значений ущерба, соответствующих различным уровням критичности.

Б.Большое (больше 20%) число информационных активов, при оценке возможного ущерба от нарушения ИБ которых разница в оценках различных экспертов составило 2 порядка может свидетельствовать:

о некомпетентности членов Комиссии;

недостаточно конкретном описании пороговых значений ущерба в Порядковой шкале уровней критичности.

В качестве корректирующих мер в этом случае могут быть предложены:

уточнение пороговых значений ущерба в Порядковой шкале уровней критичности;

изменение состава Комиссии.

В. Нарушение сроков идентификации объектов защиты в подразделениях компании может свидетельствовать:

о недостаточном уровней знаний работников бизнес-подразделений компании, и как следствие, о неэффективности проведенного обучения;

о некомпетентности Специалистов по классификации объектов защиты.

В качестве корректирующих мер в этом случае могут быть предложены:

пересмотр методически материалов, программы обучения и проведения повторного обучения сотрудников компании методологии классификации объектов защиты;

о назначении в качестве Специалистов по классификации объектов защиты более компетентных сотрудников компании.

По результатам анализа эффективности функционирования процесса классификации объектов защиты Руководителем процесса выявляются недостатки процесса классификации объектов защиты и разрабатываются предложения по его модернизации.

Руководитель компании, в случае целесообразности предложенных мероприятий по модернизации процесса классификации объектов защиты, издает приказ о проведении соответствующих мероприятий.

Выводы:

Процесс классификации объектов защиты представляет собой непрерывную деятельность, целью которой является идентификация всех объектов защиты компании и их категорирование с точки зрения важности для бизнеса. Организация деятельности по классификации объектов защиты разбивается на 4 этапа: этап внедрения, функционирования, анализа эффективности и модернизации процесса классификации объектов защиты.

Деятельность по классификации объектов защиты реализуются группой лиц, руководство которой осуществляется Руководителем процесса классификации объектов защиты. Ключевые решения для компании в рамках процесса классификации объектов защиты принимаются создаваемой Комиссией по классификации объектов защиты.

Для повышения эффективности реализации процесса классификации объектов защиты и снижения трудозатрат сотрудников компании рекомендуется разработать или приобрести лицензии на ПО подсистемы классификации объектов защиты, позволяющего автоматизировать решение основных задач в рамках процесса классификации объектов защиты.

3  ВЫРАБОТКА ТРЕБОВАНИЙ К ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ ПОДСИСТЕМЫ КЛАССИФИКАЦИИ ОБЪЕКТОВ ЗАЩИТЫ

В данном разделе определены цели и задачи внедрения ПО подсистемы классификации объектов защиты, приведено его описание, а также сформулированы общие требования к ПО и выполняемым им функциям.

3.1 Требования к архитектуре программного обеспечения подсистемы классификации объектов защиты

Целью внедрения ПО подсистемы классификации объектов защиты является автоматизация задач, выполняемых в рамках деятельности по классификации объектов защиты.

ПО подсистемы классификации объектов защиты должно автоматизировать следующие основные функции в рамках процесса классификации объектов защиты:

регистрация и учет объектов защиты;

автоматическое определение уровня критичности объектов защиты;

актуализация результатов классификации объектов защиты;

конструирование отчетных форм и формирование отчетов.

Внедрение ПО подсистемы классификации объектов защиты позволит:

существенно сократить время на проведение мероприятий в рамках процесса классификации объектов защиты;

сократить объем работ, выполняемых специалистами по классификации объектов защиты, за счет их передачи администраторам ИС и секретарю Комиссии; корпоративный информационный безопасность защита

значительно снизить трудозатраты на организацию учета объектов защиты и проведение повторной классификации объектов защиты.

ПО подсистемы классификации объектов защиты должно иметь клиент-серверную архитектуру и включать следующие компоненты:

электронную базу данных объектов защиты;

серверное ПО, реализующее основные функции подсистемы классификации объектов защиты;

клиентское ПО, предоставляющее доступ пользователей к функциям подсистемы классификации объектов защиты в соответствии с функциональной ролью пользователей.

ВПО подсистемы классификации объектов защиты выделяются следующие роли, в соответствии с которым формируются права доступа пользователей:

администратор подсистемы классификации объектов защиты;

специалист по классификации объектов защиты;

секретарь Комиссии;

администратор ИС;

внешний специалист.

Администратор подсистемы классификации объектов защиты имеет полный доступ к функциям подсистемы и осуществляет назначение прав доступа пользователей к подсистеме. Администратором подсистемы классификации объектов защиты является Руководитель процесса классификации объектов защиты.

Специалист по классификации объектов защиты имеет доступ ко всем основным функциям подсистемы. Он осуществляет редактирование сведений об объектах защиты, ввод сведений о результатах оценки возможного ущерба от нарушения ИБ информационных активов, конструирование и формирование отчетов.

Секретарь Комиссии осуществляет ввод сведений о результатах оценки возможного ущерба от нарушения ИБ информационных активов.

Администратор ИС осуществляет ввод сведений об объектах защиты в составе ИС и инфраструктурных служб, а также регистрирует события над объектами защиты в Журналах учета объектов защиты.

Внешний специалист формирует различные отчеты. Внешними специалистами могут быть сотрудники подразделения информационной безопасности, руководство компании или руководители других подсистем информационной безопасности.

Таким образом, архитектуру ПО подсистемы классификации объектов защиты можно изобразить следующим образом (Рисунок 3.1.):

3.2 Требования к регистрации и учету объектов защиты

В электронной базе данных объектов защиты регистрируются все объекты защиты компании:

информационные системы;

инфраструктурные службы;

коммуникационное и периферийное оборудование;

информационные активы;

ПО и технические средства.

Кроме того, в электронной базе данных объектов защиты регистрируются такие сведения, как:

подразделения компании;

сотрудники подразделений компании;

бизнес-процессы и бизнес-функции компании.

Для всех идентифицированных объектов защиты указывается:

наименование подразделения - владельца информационного актива;

наименование бизнес-функции;

наименование бизнес-процесса, для реализации которых используются объекты защиты.

При регистрации объектов защиты в электронной базе данных объектов защиты специалисту по классификации объектов защиты предлагается на выбор перечень бизнес-функций, реализуемых подразделением, при выборе одной из которых ей автоматически сопоставляется наименование соответствующего ей бизнес-процесса. Специалистам по классификации объектов защиты при этом предоставляется возможность вручную ввести наименование бизнес-функции и бизнес-процесса в случае, если такой бизнес-процесс или бизнес-функция не формализованы.

Для всех информационных активов регистрируются наименование информационного актива и его тип (файловый ресурс, рабочая форма ИС, база данных или печатный документ), а также:

для файловых ресурсов указывается размещение (сетевое имя сервера или рабочей станции, а также полный путь к файловому ресурсу);

для рабочих форм указывается наименование ИС (предлагается на выбор перечень ИС);

для баз данных указывается размещение и наименование ИС (предлагается на выбор перечень ИС).

Для коммуникационного и периферийного оборудования в электронной базе данных объектов защиты указывается наименование, тип, сетевое имя, инвентарный номер, местоположение и Ф.И.О., должность ответственного за поддержку.

корпоративный информационный безопасность защита

3.3 Требования к определению уровня критичности объектов защиты

Уровень критичности объектов защиты определяется на основании результатов оценки возможного ущерба от нарушения ИБ информационных активов, выполняемой Комиссией по классификации объектов защиты.

Результаты оценки возможного ущерба от нарушения ИБ информационных активов, при этом, регистрируются в подсистеме классификации объектов защиты секретарем Комиссии или специалистом по классификации объектов защиты. По завершении ввода результатов оценки Секретарь Комиссии в ПО подсистемы классификации объектов защиты формирует отчет в виде опросного листа, в который включается перечень информационных активов, при оценке ущерба от нарушения ИБ которых разница в оценке составила 2 порядка. После заполнения опросного листа секретарь комиссии регистрирует в подсистеме классификации объектов защиты результаты его заполнения, завершив, таким образом, ввод сведений в подсистему результатов классификации объектов защиты.

После того, как результаты оценки ущерба от нарушения ИБ информационных активов зарегистрированы, ПО подсистемы классификации объектов защиты, должно автоматически рассчитывать:

уровень критичности информационных активов;

уровень критичности бизнес-функций;

уровень критичности ИС;

уровень критичности инфраструктурных служб;

уровень критичности ПО;

уровень критичности оборудования.

Уровень критичности активного сетевого оборудования определяется администраторами данного оборудования исходя из степени важности оборудования для обеспечения непрерывности функционирования и взаимодействия ИС. Уровень критичности активного сетевого оборудования регистрируется специалистами по классификации объектов защиты или администраторами ИС в электронной базе данных объектов защиты вручную.

Уровень критичности рабочих станций устанавливается по умолчанию как минимальный, но может быть изменен специалистами по классификации объектов защиты вручную в случае необходимости (например, если нарушение функционирования рабочей станции пользователя может привести к невозможности или затруднению выполнения бизнес-функции).

3.4 Требования к актуализации результатов классификации объектов защиты

По завершении классификации объектов защиты, перечень идентифицированных объектов защиты в электронной базе данных объектов защиты поддерживается в актуальном состоянии.

В рамках данной процедуры осуществляется:

регистрация новых объектов защиты и присвоение им временного уровня критичности;

регистрация фактов передачи, снятия с эксплуатации или уничтожения объектов защиты.

Регистрация нового объекта защиты и определение временного уровня критичности нового объекта защиты осуществляется руководителем подразделения. Руководителю подразделения предлагается определить уровень критичности нового объектов защиты равным уровню критичности ИС, в состав которого он входит. При этом руководитель подразделения имеет возможность самостоятельно установить временный уровень критичности.

В случае, если временный уровень критичности нового объекта защиты будет выше, чем уровень критичности ИС, в состав которой он входит, ПО подсистемы классификации объектов защиты, должно автоматически повысить уровень критичности ИС, поддерживающих инфраструктурных служб, а также ПО и оборудования, входящих в их состав, при этом новый уровень критичности данных объектов защиты будет считаться временным до проведения повторной классификации объектов защиты.

Периодически в компании должна проводиться повторная классификация объектов защиты. В рамках повторной классификации объектов защиты осуществляется:

уточнение сведений об объектах защиты;

определение итогового уровня критичности новых и связанных с ним объектов защиты.

3.5 Требования к конструированию отчетных форм и формированию отчетов

В соответствии с методикой классификации объектов защиты и введенным в действие комплектом организационно-распорядительной документации по классификации объектов защиты, в рамках подсистемы классификации объектов защиты должна быть реализована возможность формирования и печати следующих основных отчетов:

«Перечень объектов защиты»;

«Результаты оценки возможного ущерба от нарушения ИБ информационных активов»;

«Акт классификации объектов защиты».

В ПО подсистемы классификации объектов защиты, должен быть предусмотрен конструктор отчетов, позволяющий:

редактировать внешний вид формируемых отчетов

изменять состав сведений, содержащихся в отчетах;

конструировать новые отчетные формы.

ПО подсистемы классификации объектов защиты должно позволять осуществлять мониторинг эффективности процесса классификации объектов защиты и осуществлять расчет следующих показателей:

количество проклассифицированных объектов защиты за определенный период времени;

процентное распределение объектов защиты по уровням критичности;

число информационных активов, при оценке возможного ущерба от нарушения ИБ которых разница в оценке различных экспертов составила 2 порядка.

Одной из основных функций подсистемы классификации объектов защиты является формирование дерева объектов защиты, визуализирующего все взаимосвязи между объектами защиты, а также бизнес-функциями и бизнес-процессами, при выполнении которых они применяются:

связи информационных активов, коммуникационного и периферийного оборудования с бизнес-функциями;

взаимосвязи между информационными активами в рамках бизнес-функций;

взаимосвязи ИС и бизнес-функций;

взаимосвязи инфраструктурных служб и ИС.

На рисунке 3.2 показан пример дерева объектов защиты.

Рисунок 3.2 Фрагмент дерева объектов защиты

Выводы:

В данном разделе были предъявлены общие требования к программному обеспечению подсистемы классификации объектов защиты, в том числе к архитектуре программного обеспечения и функциональным возможностям программного обеспечения в рамках деятельности по классификации объектов защиты.

Предъявленные требования к программному обеспечению были сформированы в соответствии с методикой классификации объектов защиты в КИС, что является необходимым для эффективной деятельности по классификации объектов защиты и актуализации результатов данной деятельности.

Сформированные требования к программному обеспечению подсистемы классификации объектов защиты могут быть использованы при разработке программного обеспечения.

4. БЕЗОПАСНОСТЬ ЖИЗНЕДЕЯТЕЛЬНОСТИ

4.1 Общие положения

Рассмотрим опасные и вредные факторы, действующие на инженера информационной безопасности, работающего в офисном помещении с компьютерной техникой.

Так как рабочее место находится в офисном помещении, рассматривается такие факторы, как освещенность, вентиляция, отопление и возможность возникновения пожара.

Итак, рабочее место находится в офисе компании ООО «Ай Ти Девелопмент». Оно представляет собой помещение с 2 окнами и рассчитано на 4 человек. Размеры помещения составляют 5х5х2,7 м, где площадь 25 м², а объем 67,5 м³. Система освещения данного помещения - общее, имеется 8 светильников и располагаются они в верхней зоне помещения, закреплены к потолку. Таким образом, создается равномерная освещенность во всем помещении.

В данном офисном помещении тепло, воздух зимой подогрет, однако суховат - практически никак не увлажняется. А летом помещение охлаждается только за счет общей вентиляции. Температура в офисном помещении составляет примерно 25-28⁰С в осенне-зимний период. Влажность воздуха составляет примерно 30%.

Если характеризировать зрительную деятельность, то в течение всего дня просматривается около 30-40 тыс. знаков. Это составляет примерно 5-часовую работу перед компьютером. Поэтому необходимо рассмотреть способы защиты от шума, рассмотреть их влияние на человека.

В связи с этим, необходимо упомянуть следующее. Зрительная работа инженера относится к 3 виду зрительской работы (по СП 52.13330.2011 «Естественное и искусственное освещение»), где работа связана с [9] восприятием информации с экрана. Разряд выполняемой зрительской работы относится к 5 разряду, где выполняемая зрительная работа характеризуется малой точностью, где наименьший размер объекта различения составляет свыше 1 мм, так как связана с работой на ЭВМ.

Конструкция рабочего стола обеспечивает удобное расположение, что также достигается и за счет регулирования высоты сиденья кресла. У кресла упругая спинка анатомической формы, которая уменьшит нагрузку на позвоночник; оно также имеет подлокотники и имеет возможность поворота.

Монитор компьютера расположен на расстоянии вытянутой руки. Монитор располагается на рабочем столе прямо, и удален от глаз где-то на 50-60 см. Работа осуществляется на плоскоэкранном мониторе с диагональю 20 дюймов. Клавиатура располагается от края стола примерно на 10 см. Пространство под столом также является удобным, о чем свидетельствует комфортное разгибание и сгибание коленей.

Проанализировав факторы, действующие на рабочем месте, поочередно рассмотрим весь перечень факторов, определим их количественные характеристик, источники воздействия, воздействие на человека, их нормы и способы защиты.

4.2 Охрана окружающей среды

4.2.1     Современные методы утилизации и переработки ТБО

На рабочем месте инженера вырабатываются твердые бытовые отходы (ТБО). Они включают в себя различные отходы пищевого, органического и минерального происхождения, в т.ч. бумагу, пластмассы, пищевые и растительные отходы и т.д. Проблема полного уничтожения или частичной утилизации твердых бытовых отходов (ТБО) является крайне актуальной в настоящее время.

Прежде всего, актуальность заключается в отрицательном воздействии ТБО на окружающую среду. Мусор является благоприятной средой для развития микроорганизмов, вызывающих некоторые инфекционные заболевания [10].

Для любого общественного здания проблема удаления или обезвреживания ТБО в первую очередь является проблемой экологической. Очень важно, чтобы процессы утилизации ТБО не нарушали экологическую безопасность окружающей среды нормального его функционирования.

Подавляющая масса ТБО в мире пока складируется на мусорных свалках, стихийных или специально организованных. Однако это самый неэффективный способ борьбы с ТБО. Кроме того, мусорные свалки являются источником загрязнения как поверхностных, так и подземных вод.

В настоящее время существует ряд способов хранения и переработки твердых бытовых отходов [11], а именно:

предварительная сортировка;

санитарная земляная засыпка;

сжигание;

биотермическое компостирование;

низкотемпературный пиролиз;

высокотемпературный пиролиз.

Предварительная сортировка - это технологический процесс, предусматривающий сортировку ТБО на мусороперерабатывающих заводах вручную или с помощью автоматизированных конвейеров. Здесь происходит процесс уменьшения размеров мусорных компонентов, а также извлечение более или менее крупных металлических предметов. Подобный отбор предшествует дальнейшей утилизации ТБО (например, сжиганию). Поскольку сортировка ТБО - одна из составных частей утилизации мусора, то имеются специальные заводы для решения этой задачи.

Санитарная земляная засыпка. Такой технологический подход к обезвреживанию твердых бытовых отходов связан с получением биогаза и последующим использованием его в качестве топлива. С этой целью бытовой мусор засыпают по определенной технологии слоем грунта толщиной 0,6-0,8 м в уплотненном виде.

Сжигание - это широко распространенный способ уничтожения твердых бытовых отходов, который широко применяется с конца XIX в. В связи с этим сжигание до сих пор остается наиболее распространенным способом первичной обработки бытовых отходов.

Сжигание бытового мусора, помимо снижения объема и массы, позволяет получать дополнительные энергетические ресурсы, которые могут быть использованы для централизованного отопления и производства электроэнергии. К числу недостатков этого способа относится выделение в атмосферу вредных веществ, а также уничтожение ценных органических и других компонентов, содержащихся в составе бытового мусора.

Биотермическое компостирование - этот способ утилизации твердых бытовых отходов основан на естественных, но ускоренных реакциях трансформации мусора при доступе кислорода в виде горячего воздуха при температуре порядка 60°С. Биомасса ТБО в результате данных реакций в биотермической установке (барабане) превращается в компост. Однако для реализации этой технологической схемы исходный мусор должен быть очищен от крупногабаритных предметов, а также металлов, стекла, керамики, пластмассы, резины.

Пиролиз. Этот способ утилизации бытовых отходов используется достаточно мало из-за своей дороговизны. Он может стать дешевым и не отравляющим окружающую среду приемом обеззараживания отходов. Технология пиролиза заключается в необратимом химическом изменении мусора под действием температуры без доступа кислорода. С помощью пиролиза можно перерабатывать составляющие отходов, трудно поддающиеся утилизации, такие как автопокрышки, пластмасса, отработанные масла, отстойные вещества. После пиролиза не остается биологически активных веществ, поэтому подземное складирование пиролизных отходов не наносит вреда природной среде.

Для защиты окружающей среды от ТБО рекомендуется использовать высокотемпературный пиролиз, который является одним из самых перспективных направлений переработки твердых бытовых отходов с точки зрения как экологической безопасности, так и получения вторичных полезных продуктов синтез-газа, шлака, металлов и других материалов.

4.2.2     Канализация и сточные воды

Канализация является одним из видов инженерного оборудования и благоустройства населенных пунктов, жилых, офисных и производственных зданий, обеспечивающих необходимые санитарно-гигиенические условия и высокий уровень удобств для труда, быта и отдыха населения.

Под канализацией понимается комплекс оборудования, сетей и сооружений, предназначенных для организованного приема и удаления по трубопроводам за пределы населенных пунктов или промышленных предприятий загрязненных сточных вод, а также для их очистки и обезвреживания перед утилизацией или сбросом в водоем.

Внутренняя канализация служит для приема сточных вод в местах их образования и для отведения за пределы здания в наружную канализационную сеть. Наружная канализация предназначена для транспортирования сточных вод за пределы населенных пунктов или промышленных предприятий на очистные сооружения, которые служат для обезвреживания сточных вод, выпуска очищенных вод в водоем без нарушения его естественного состояния и обработки осадка в целях дальнейшей его утилизации.

Сточными называются воды, использованные на бытовые, производственные или другие нужды и загрязненные при этом дополнительными примесями, изменившими их первоначальный химический состав и физические свойства, а также воды, стекающие с территории населенных пунктов и промышленных предприятий в результате выпадения атмосферных осадков или поливки улиц.

В зависимости от происхождения, вида и качественной характернее тики примесей сточные воды подразделяют на три основные категории:

бытовые (хозяйственно-фекальные);

производственные (промышленные);

дождевые (атмосферные).

К бытовым относятся воды от кухонь, туалетных комнат, душевых, бань, прачечных, столовых, больниц, а также хозяйственные воды, образующиеся при мытье помещений. Они поступают как от жилых и общественных зданий, так и от бытовых помещений промышленных предприятий. По природе загрязнений они могут быть фекальные, загрязненные в основном физиологическими отбросами, и хозяйственные, загрязненные всякого рода хозяйственными отходами.

К производственным сточным водам относятся воды, использованные в технологическом процессе, не отвечающие более требованиям, которые предъявляются к их качеству, и подлежащие удалению с территории предприятий. Сюда относятся также воды, откачиваемые на поверхность земли при добыче полезных ископаемых (угля, нефти, руды и др.).

Дождевые воды образуются в результате выпадения атмосферных осадков. Их подразделяют на дождевые и талые, получающиеся от таяния льда и снега. Отличительной особенностью дождевого стока являются его эпизодичность и резкая неравномерность.

Объем сточных вод, отнесенный к единице времени, называют расходом, выражаемым в м³/сутки, м³/ч, м³/с, л/с.

Сточные воды загрязнены всевозможными примесями органического и минерального происхождения, которые могут находиться в них в виде раствора, коллоидов, суспензии и нерастворимых веществ. Степень загрязнения сточных вод оценивается концентрацией, т. е. массой примесей в единице объема в мг/л или г/м³.

Бытовые сточные воды кроме органических и минеральных примесей содержат биологические примеси, состоящие из бактерий, в том числе и болезнетворных, а поэтому они потенциально опасны.

4.2.3     Очистка бытовых сточных вод

Для очисти бытовых сточных вод, образующихся в том числе и в офисных помещениях, применяются следующие основные методы:

механические;

химические;

физико-химические;

биологические.

Когда же перечисленные выше методы применяются вместе, то метод очистки и обезвреживания сточных вод называется комбинированным. Применение того или иного метода в каждом конкретном случае определяется характером загрязнения и степенью вредности примесей.

Сущность механического метода состоит в том, что из сточных вод путем отстаивания и фильтрации удаляются механические примеси. Грубодисперсные частицы в зависимости от размеров улавливаются решетками, ситами, песколовками, септиками, навозоуловителями различных конструкций, а поверхностные загрязнения - нефтеловушками, бензомаслоуловителями, отстойниками и др. Механическая очистка позволяет выделять из бытовых сточных вод до 60-75% нерастворимых примесей.

Химический метод заключается в том, что в сточные воды добавляют различные химические реагенты, которые вступают в реакцию с загрязнителями и осаждают их в виде нерастворимых осадков. Химической очисткой достигается уменьшение нерастворимых примесей до 95% и растворимых до 25%.

При физико-химическом методе обработки из сточных вод удаляются тонко дисперсные и растворенные неорганические примеси и разрушаются органические и плохо окисляемые вещества, чаще всего из физико-химических методов применяется коагуляция, окисление, сорбция, экстракция и т.д.

Загрязненные сточные воды очищают также с помощью ультразвука, озона, ионообменных смол и высокого давления, хорошо зарекомендовала себя очистка путем хлорирования.

Среди методов очистки сточных вод большую роль должен сыграть биологический метод, основанный на использовании закономерностей биохимического и физиологического самоочищения рек и других водоемов. Есть несколько типов биологических устройств по очистке сточных вод:

биофильтры;

биологические пруды;

аэротенки.

В биофильтрах сточные воды пропускаются через слой крупнозернистого материала, покрытого тонкой бактериальной пленкой. Благодаря этой пленке интенсивно протекают процессы биологического окисления. Именно она служит действующим началом в биофильтрах.

Аэротенки- огромные резервуары из железобетона. Здесь очищающее начало - активный ил из бактерий и микроскопических животных. Все эти живые существа бурно развиваются в аэротенках, чему способствуют органические вещества сточных вод и избыток кислорода, поступающего в сооружение потоком подаваемого воздуха. Бактерии склеиваются в хлопья и выделяют ферменты, минерализующие органические загрязнения. Ил с хлопьями быстро оседает, отделяясь от очищенной воды. Инфузории, жгутиковые, амебы, коловратки и другие мельчайшие животные, пожирая бактерии, неслипающиеся в хлопья, омолаживают бактериальную массу ила.

Биологический метод дает большие результаты при очистке бытовых стоков.

Системы водоотведения, включающие внутреннюю канализацию (в пределах здания), наружные канализационные сети, очистные сооружения и установки, насосное и воздуходувное оборудование, должны отвечать следующим требованиям:

обеспечивать отвод расчетного количества сточных вод;

гарантировать сохранность строительных конструкций зданий, исключая возможность затопления и длительного увлажнения;

обеспечивать качество очистки сточных вод при сбросе их в водоем;

обладать долговечностью не менее расчетного срока службы.

Требования к сети канализации, проектированию водоотводов и систем очистки сточных вод, расход сточных вод осуществляются в соответствии с действующим законодательством, в том числе со следующими документами:

Санитарные правила и нормы СанПиН 2.1.5.980-00 «Водоотведение населенных мест, санитарная охрана водных объектов. Гигиенические требования к охране поверхностных вод»;

СП 40-102-2000 «Проектирование и монтаж трубопроводов систем водоснабжения и канализации из полимерных материалов»;

СТО 02494733 5.2-01-2006 «Внутренний водопровод и канализация зданий».

4.3 Охрана труда и производственной безопасности

Проанализировав факторы, действующие на окружающую среду поочередно рассмотрим весь перечень факторов, воздействующих на инженера в рамках его деятельности, определим их количественные характеристик, источники воздействия, нормы и способы защиты.

4.3.1     Микроклимат рабочего помещения

Создание микроклимата в офисном помещении очень важно для хорошего самочувствия, здоровья и, в частности, для осуществления производственной деятельности. При описании параметров микроклимата будем учитывать такие характеристики, как температура помещения, влажность, воздухообмен, скорость перемещения воздуха.

Основной целью нормирования микроклимата в офисном помещении является создание оптимальных условий для теплообмена тела человека с окружающей средой.

Как уже говорилось выше, температура в данном помещении составляет в среднем 25⁰С. Также большое влияние на микроклимат в офисном помещении оказывают источники теплоты, находящиеся в помещении: компьютеры, вспомогательное оборудование, приборы освещения. Компьютер и вспомогательное оборудование выделяют наибольшее количество теплоты. Количество теплоты от других работников в данном помещении незначительно. Поэтому высокая температура воздуха способствует быстрому утомлению, может привести к перегреву организма, тепловому удару или профессиональному заболеванию.

На рабочем месте инженера относительная влажность воздуха составляет 55-60%. Данные условия являются благоприятными для комфортной работы. Однако при увеличении этого фактора (более 80%), влажность затрудняет испарение влаги с поверхности кожи. Это может привести к ухудшению состояния и снижению работоспособности человека. Пониженная влажность (менее 18%) вызывает ощущение сухости слизистых оболочек верхних дыхательных путей, ухудшает самочувствие и снижает работоспособность. При влажности воздуха до 40% выходит из строя изоляция проводов, возникает статическое электричество при движении носителей информации в компьютере. При относительной влажности воздуха более 75-80% снижается сопротивление изоляции, изменяются рабочие характеристики элементов компьютеров, возрастает интенсивность отказов элементов вычислительных систем.

Скорость движения воздуха влияет на функциональную деятельность человека и работу высокоскоростных устройств печати. В данном помещении скорость движения воздуха составляет примерно 0,1 м/с.

Поскольку компьютер является источником существенных тепловыделений и может привести к повышению температуры и снижению относительной влажности, в помещениях, где установлены компьютеры, должны соблюдаться определенные параметры микроклимата. В санитарных нормах СанПиН 2.2.4.548-96 («Гигиенические требования к микроклимату производственных помещений») и в СанПиН 2.2.4.1294-03 («Гигиенические требования к аэроионному составу воздуха производственных общественных помещений»)установлены величины параметров микроклимата, создающие комфортные условия. Эти нормы устанавливаются в зависимости от времени года, вида трудовой деятельности и характера производственного помещения (Таблица 4.1).

Согласно СанПиН 2.2.2/2.4.1340-03, [11] напряженность работы инженера относится ко второй категории тяжести, по уровню нагрузки за рабочую смену - к группе Б.

Итак, опишем необходимые требования к микроклимату для обеспечения комфорта в условиях деятельности.

Таблица 4.1

Параметры микроклимата для помещений, где установлены компьютеры

Для обеспечения комфортных условий используются как организационные методы (рациональная организация проведения работ в зависимости от времени года и суток, чередование труда и отдыха), так и технические средства (вентиляция, кондиционирование воздуха, отопительная система).

Далее приведем возможные последствия при отклонении от установленных норм (Таблица 4.2):

Таблица 4.2

Возможные последствия при отклонении от норм

Обеспечение требуемых параметров микроклимата способствует комфортной работе сотрудников на рабочих местах.

4.3.2     Вентиляция, отопление

Вентиляция - это удаление воздуха из помещения и замена его свежим, в необходимых случаях, обработанным воздухом. Вентиляция создаёт условия воздушной среды, благоприятные для здоровья и самочувствия человека. Для нормального теплового самочувствия человек должен сохранять постоянную температуру тела.

В данном помещении имеет место общеобменная вентиляция, где на всей площади офисного помещения располагаются вентиляционные вытяжки и тепло распространяется равномерно.

В офисном помещении, количество приточного воздуха соответствует количеству удаляемого (вытяжки).

Система вентиляции не вызывает переохлаждения или перегрева работающих, также не создает шума на рабочих местах.

Объем помещений, в которых размещены работники с компьютерами, не должны быть меньше 19,5м³/человека (или 78м³ на 4 человека) с учетом числа одновременно работающих. Однако в данном помещении на одного человека приходится 16,7 м^3.Нормы подачи свежего воздуха в помещения, где расположены компьютеры, приведены в Таблице 4.3.

Таблица 4.3

Нормы подачи свежего воздуха в помещения, где расположены компьютеры

Рекомендуется поддерживать температуру и влажность воздуха постоянными.

За счет равномерного распределения вытяжек и приточных систем все нормы в помещении учтены. В свою очередь, система вентиляции не должна создавать шум на рабочих местах, превышающий предельно допустимые уровни.

Однако в данном помещении не учтен тот момент, что окна в течение всего дня выходят на солнечную сторону, и летом помещение будет перегреваться. Поэтому, рекомендуется установить в данном помещении кондиционеры.

Также может порекомендоваться и уменьшение количества работающих в данном помещении до 3 человек.

Необходимо иметь в виду и то, что система вентиляции должна быть электро-, пожаро- и взрывобезопасна, проста по устройству, надежна в эксплуатации и эффективна.

4.3.3     Освещенность рабочего места

В данном офисном помещении обладает как искусственное, так и равномерное, т.к. недостаточность освещения приводит к напряжению зрения, ослабляет внимание, приводит к наступлению преждевременной утомленности. Чрезмерно яркое освещение вызывает ослепление, раздражение и резь в глазах. Все эти причины могут привести к несчастному случаю или профзаболеваниям.

Степень освещенности помещения и яркость экрана компьютера примерно одинаковы, т.к. несоблюдение этого правила яркий свет в районе периферийного зрения значительно увеличит напряженность глаз и, как следствие, приведет к их быстрой утомляемости. Именно поэтому, естественное освещение слабое, на рабочем месте должно использоваться совмещенное освещение.

Искусственное освещение в данном помещении - общее (все производственные помещения освещаются однотипными светильниками, равномерно расположенными над освещаемой поверхностью и снабженными лампами одинаковой мощности).

В данном помещении, как уже упоминалось выше, освещение является общим. Никаких местных светильников не предусмотрено. Светильники, в количестве 8 штук, расположенные параллельно друг другу - люминесцентные. Их эффективность - 80-100 Люмен/Ват. В связи с выполняемой зрительской работой, определим разряд работы и перечислим нормы, которые должны при этом выполняться: освещенность при системе общего освещения должен составлять 200 лк, а естественное освещение при комбинированном освещении 3%.

Искусственное освещение должно и осуществляется системой общего равномерного освещения. В качестве источников света при искусственном освещении должны применяться преимущественно лампы накаливания либо люминесцентные лампы с повышенной частотой мерцания. Яркость светильников в зоне углов излучения от 50° до 90° с вертикалью в продольной и поперечной плоскостях должна составлять не более 200 кд/м², защитный угол светильников должен быть не менее 40° Освещенность на поверхности стола в зоне размещения рабочего документа должна быть 300-500 лк, причем яркость документа на рабочем месте должна быть не менее 85 кд/м².

Яркость светящихся поверхностей (окна, светильники и др.), находящихся в поле зрения, должна быть [12] не более 200 кд/м², яркость бликов на экране ПК не должна превышать 40 кд/м² и яркость потолка при применении системы отраженного освещения не должна превышать 200 кд/м².

Таким образом, следует придерживаться вышеперечисленных рекомендаций.

4.3.4     Расчет искусственного освещения

Искусственная система освещения представляет собой систему комбинированного освещения (общее освещение - газоразрядные лампы, местные - лампы накаливания). Характеристика зрительной работы - работы малой точности, где наименьший объект различения от 1,0 - 5,0 мм, разряд зрительной работы - V, контраст объекта с фоном - малый, характеристика фона - темный [9]. Поэтому освещенность при системе комбинированного освещения составляет 400 лк.

)   Разобьем нормативную освещенность на общую и местную:

Е _н. = Е _н.об. + Е _н.м., где 400=300+100 лк

)   Рассчитаем общее освещение:

Размеры офисного помещения: (S)- 25 м², длина(A) - 5 м, ширина (B) - 5 м, высота подвеса (H) - 2,7 м. Количество газоразрядных ламп(N) - 8, параллельно расположенных.

Определим световой поток одной лампы:

Ф_л =,

где:

-  К (коэффициент запаса) = 1,5;

-       Z (коэффициент неравномерного освещения) = 1,1;

-       Е_н = Е _н.об. = 300 лк.

Найдем h (коэффициент использования), - выражается отношением светового потока, падающего на расчетную поверхность, к суммарному потоку всех ламп и исчисляется в долях единицы; зависит от характеристик светильника, размеров помещения, окраски стен и потолка, характеризуемых коэффициентами отражения от стен (Р_с) и потолка (Р_п), значение коэффициентов Р_с и Р_п принимаю равными: Р_с = 30%, Р_п = 50%. Значение h определим по таблице коэффициентов использования различных светильников. Коэффициент h найдем по величине i - индекс помещения, где:

Зная индекс помещения находим h, где он будет равен 38.

Теперь определим световой поток:

Ближайшая лампа со световым потоком 4070 лм - АД-80, имеющая светоотдачу 50,87 лм/Вт.

)   Рассчитываем местное освещение:

Определим световой поток лампы:

, лм

Здесь Е _н.м. = 100 лк.

Зададим Н = 0,7 м; a = 20⁰.

Ближайшая лампа, имеющая световой поток 563 лм - Б 220-230-60, имеющая мощность 60 Вт.

Таким образом, рассчитали местное и общее освещение, и выяснили соответствующим этим требованиям названия ламп, используемые при работе на рабочем месте.

4.3.5     Уровень шума

Шум - является одним из важных факторов при анализе опасных и вредных показателей, действующих на рабочем месте.

Для защиты в помещении поставлены стеклопакеты, оборудование вентиляции помещены в подвесном потолке. Сечения воздуховодов и вентиляционных решеток, как правило, рассчитываются таким образом, чтобы скорость воздуха не превышала 2,5-3 м/с.

В данном офисном помещении, где находится рабочее помещение, уровень общего шума низкий (до 50 дБ). И источниками шумовых помех являются вентиляционные установки и принтеры.

Шум ухудшает условия труда, оказывая вредное действие на организм человека. Люди, работающие в условиях длительного шумового воздействия, как правило, испытывают раздражительность, головные боли, головокружение, снижение памяти, снижение концентрации внимания, повышенную утомляемость, понижение аппетита, боли в ушах и т. д. Такие нарушения в работе ряда органов и систем организма человека могут вызвать негативные изменения в эмоциональном состоянии человека вплоть до стрессовых. Это снижает работоспособность человека и его производительность, качество и безопасность труда. Длительное воздействие интенсивного шума [выше 80 дБ] на слух человека приводит к его частичной или полной потере.

В таблице 4.4 согласно СанПиН 2.2.2/2.4.1340-03 указаны предельные уровни звука в зависимости от категории тяжести и напряженности труда, являющиеся безопасными в отношении сохранения здоровья и работоспособности.

Таблица 4.4

Предельные уровни звука, дБ, на рабочих местах

Уровень шума на рабочем месте программистов не должен превышать 60дБ. Для снижения уровня шума стены и потолок помещений могут быть облицованы звукопоглощающими материалами. Уровень вибрации в помещениях вычислительных центров может быть снижен путем установки оборудования на специальных виброизоляторах.

Источниками вибрации являются различные машины и оборудование, в данном случае - это вычислительные системы.

Вибрация прямым путем мешать выполнению рабочих операций или косвенно отрицательно влиять на работоспособность человека.

В зависимости от того, на какие части тела человека распространяются механические колебания, различают местную и общую вибрацию. Местную вибрацию можно наблюдать при печатании документов или соприкосновении с мышкой. Общая вибрация распространяется на все тело и происходит, как правило, от вибрации поверхности, на которой находится рабочий.

При воздействии вестибулярных раздражителей, к которым относится вибрация, нарушаются восприятие и оценка времени, снижается скорость переработки информации.

Длительное влияние вибрации приводит к стойким патологическим нарушениям в организме работающих. Как следствие у человека может развиться вибрационная болезнь.

К основным проявлениям вибрационной болезни относятся нейрососудистые расстройства. Они проявляются раньше всего на руках и сопровождаются интенсивными болями после работы и по ночам, снижением всех видов кожной чувствительности, слабостью в кистях рук.

Для человека в положении лежа резонансная частота находится в пределах 3-3,5 Гц, для сидящего - на частотах 4-6 Гц, а для стоящего на вибрирующей площадке имеется два резонансных пика - на частотах 5-7 и 17-25 Гц.

Вибрации оказывают определенное влияние на организм также через органы зрения и слуха.

С целью профилактики вибрационной болезни устраняется вибрационные машины, оборудования и инструментов путем уравновешивания сил, вызывающих колебания; принимаются меры по уменьшению передачи вибрации при помощи упругих элементов и виброгашения; внедряются рациональные режимы труда и отдыха.

Проанализировав показатели шума в офисном помещении и соответствующие этому фактору нормы, пришли к выводу, что исследуемый фактор соответствует требованиям безопасности.

4.3.6     Защита от электромагнитных излучений

Электромагнитное излучение, в частности при работе с компьютерами, оказывает воздействие на человека.

Проблема электромагнитного излучения, исходящего от компьютера, актуально в виду следующих причин:

компьютер имеет сразу 2 источника излучения (монитор и системный блок);

пользователь ПК практически лишен возможности работать на расстоянии;

очень длительное время воздействия.

Последствием продолжительной работы за компьютером может стать утомление инженера, стать более раздражительным, часто отвечать на вопросы однозначными ответами.

Максимальный уровень рентгеновского излучения на рабочем месте инженера компьютера обычно не превышает 10мкбэр/ч, а интенсивность ультрафиолетового и инфракрасного излучений от экрана монитора лежит в пределах 10-100мВт/м².

Допустимые значения параметров неионизирующих электромагнитных излучений от монитора компьютера в соответствии с СанПиН 2.2.2/2.4.1340-03 представлены в таблице 4.5.

Таблица 4.5

Допустимые значения параметров неионизирующих электромагнитных излучений

Основные способы защиты от электромагнитных излучений:

создание охранных зон от источников электромагнитных излучений шириной от 15 до 30 м в зависимости от напряжения этих источников;

снижение уровней напряженности электромагнитных полей с помощью устройства различных экранов, в том числе и зеленных насаждений;

размещение источников электромагнитных излучений вдали от жилых территорий;

не устанавливать дополнительных источников электромагнитных полей, на территории, где эти источники уже существуют.

Электромагнитные волны изменяют аэроионную обстановку на рабочем месте, наполняя воздух положительно заряженными ионами. Такие ионы вредны для людей, поэтому помещение необходимо проветривать.

4.3.7     Электробезопасность

На рабочем месте инженера существует опасность поражения электрическим током.

На рабочем месте инженера к поражению человека электрическим током могут привести:

прикосновение к металлическим нетоковедущим частям (корпусу, периферии компьютера), которые могут оказаться под напряжением в результате повреждения изоляции;

статическое электричество;

нерегламентированное использование электрических приборов;

отсутствие инструктажа сотрудников по правилам электробезопасности.

В течение работы на корпусе компьютера накапливается статическое электричество. Кроме того, при неисправности какого-либо из блоков компьютера корпус может оказаться под током, что может привести к поражению электрическим током и травме. Поэтому необходимо обеспечить подсоединение металлических корпусов оборудования к заземляющей жиле.

В данном помещении применены следующие технические средства и способы обеспечения электробезопасности, как защитное заземление, произведена изоляция токоведущих частей при помощи розеток, прохождением токоведущих частей через внутреннюю конструкцию помещения, а также защитное отключение.

Для предотвращения травматизма электрическим током важную роль играет правильная организация рабочих мест. Для предотвращения таких травм необходимо периодически проверять исправность электрооборудования, наличие защитного заземления деталей, которые могут оказаться под напряжением. Электробезопасность на рабочем месте обеспечивается в соответствии с ГОСТ 12.1.019-2001 «Электробезопасность. Общие требования и номенклатура видов защиты» и предполагает применение [13] технических способов и средств защиты, а так же регулярное проведение организационных и технических мероприятий.

К известным техническим способам и средствам обеспечения электробезопасности относятся:

защитное заземление, зануление;

малое напряжение;

электрическое разделение сетей;

изоляция токоведущих частей;

защитное отключение;

оградительные устройства;

знаки безопасности.

Защита от статического электричества обеспечивается с помощью:

увеличения проводимости диэлектриков;

увлажнения, ионизации воздуха.

Организация первой доврачебной помощи при поражении электрическим током:

освобождение пострадавшего от действия электрического тока;

оказание медицинской помощи (меры доврачебной помощи зависят от состояния пострадавшего: искусственное дыхание, непрямой массаж сердца, полный покой и т.д.).

При работе с компьютером, работник обязательно должен хорошо знать основы электробезопаности, основные требования промышленной санитарии, уметь пользоваться нормативной документацией по охране труда. Выполнение правил и норм по охране труда обеспечивает необходимую безопасность и комфортную среду на рабочих местах.

Проанализировав способы защиты помещения и соответствующие ему нормы, можно порекомендовать обеспечить электрическое разделение сетей, поставить оградительные устройства, знаки безопасности; регулярно проводить инструктажи по обеспечению электробезопасности в помещении.

4.3.8     Эргономические условия организации рабочего места

Рабочее место и взаимное расположение всех его элементов должно соответствовать антропометрическим, физическим и психологическим требованиям. В частности, при организации рабочего места инженера в сфере защиты информации должны быть соблюдены следующие основные условия: оптимальное размещение оборудования, входящего в состав рабочего места и достаточное рабочее пространство, позволяющее осуществлять все необходимые движения и перемещения.

Эргономическими аспектами проектирования рабочего места инженера, в частности, являются: высота рабочей поверхности, размеры пространства для ног, характеристики рабочего кресла, требования к поверхности рабочего стола, регулируемость элементов рабочего места.

Главными элементами рабочего места инженера являются стол и кресло. Основным рабочим положением является положение сидя.

Рабочая поза сидя вызывает минимальное утомление программиста. То, что требуется для выполнения работ чаще, расположено в зоне легкой досягаемости рабочего пространства. Кресло инженера удобное, с упругой спинкой.

Монитор компьютера расположен на расстоянии вытянутой руки. Монитор располагается на рабочем столе прямо, и удален от глаз примерно на [11] 50-60 см (СанПиН 2.2.2/2.4.1340-03 «Гигиенические требования к персональным электронно-вычислительным машинам и организации работы»). Работа осуществляется на плоскоэкранном мониторе с диагональю 20 дюймов. Клавиатура располагается от края стола где-то на 10 см.