 |
Перечень анкетных вопросов
|
|
|
|
ПРАКТИЧЕСКАЯ РАБОТА №1
ОЦЕНКА НЕОБХОДИМОСТИ ЗАЩИТЫ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Цель работы: Изучить методики оценки необходимости защиты информационной системы и определения ожидаемых затрат на защиту информации. Получить практические навыки по их применению.
КРАТКИЕ ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ
Информация может проявляться в различных формах, воздействующих на органы чувств и поведение человека. Руководителя организации из всех возможных форм существования информации должны интересовать в первую очередь такие, которые несут смысловую нагрузку. К ним могут быть отнесены речевая, документальная (рукописная, печатная, текстовая, цифровая, графическая), видовая (фото, телевизионная) и т.п. Каждая из этих форм может включать как общедоступные сведения, так и сведения, содержание которых предназначено для ограниченного круга лиц. Из всех форм наиболее доступной, распространенной и насыщенной содержанием является речевая информация. Через речевую форму информации практически проходит каждая из любых других форм. Представляется, что речевая информация, преобладая по объему над всеми остальными, несет наибольшую часть конфиденциальных сведений. В силу массовости, этот вид информации является трудно контролируемым по содержанию и трудно защищаемым в части конфиденциальности. Поэтому данному виду информации должно быть уделено максимальное внимание.
Высокая стоимость конфиденциальных сведений о деятельности конкурирующих структур показывает, что проблема ЗИ от перехвата ее техническими средствами и агентами конкурентов весьма актуальна как для государственного, так и негосударственного сектора. Особенно остро в настоящее время встает вопрос о необходимости защиты конфиденциальной информации негосударственного сектора. Это обусловлено тем, что государственный сектор давно серьезно занимался ЗИ и имеет в настоящее время солидный научно-технический потенциал, силы и технические средства для решения этих задач; негосударственный же сектор в вопросах ЗИ в стране делает первые шаги в отличие от государственного и частных фирм зарубежных стран, где этому вопросу уделяется большое внимание. Отсутствие подготовленных специалистов, научных проработок, опыта, знаний, необходимых документов и технических возможностей фирм у этого сектора в условиях конкуренции ставит их в затруднительное, неравное с предприятиями госсектора положение.
|
|
|
Задача создания простых методических материалов, позволяющих руководителям грамотно организовать ЗИ на своих предприятиях, весьма актуальна.
Решение о необходимости защиты принимается на основе оценок по двум направлениям:
1. Наличие конфиденциальной информации и опасность ее утечки;
2. Экономическая необходимость (целесообразность) защиты конфиденциальной информации.
Методика предназначена для проведения общей и частных оценок, позволяющих руководителю организации принять обоснованное решение о необходимости защиты конфиденциальной информации, циркулирующей внутри организации, от конкурентов с оценкой предстоящих расходов на защиту. Методика позволяет быстро и достаточно объективно провести экспресс-оценку необходимости защиты конфиденциальной информации и на ее основе оперативно принять соответствующее решение, т.е. она позволяет руководителю избежать больших коммерческих неудач и потерь прибыли из-за доступности информации конкурентам без длительного пути самоубеждения на собственных ошибках и потерях о необходимости защиты конфиденциальной информации.
|
|
|
Решение о необходимости защиты конфиденциальной информации, циркулирующей внутри организации, должно приниматься руководством организации и в первую очередь ее учредителем. Никто не заинтересован в такой мере в защите секретов организации, и никто так не знает всю совокупность циркулирующей на фирме информации, ее степень секретности, внутреннюю и внешнюю обстановку, как ее учредитель.
Методика состоит из двух взаимосвязанных частей. Первая часть позволяет на основе обработки результатов анкетного опроса принципиально ответить на вопрос, нужно или не нужно защищать информацию, циркулирующую на фирме, а вторая часть, в случае положительного решения первого вопроса, позволяет приближенно оценить затраты на предстоящую ЗИ.
Учитывая заинтересованность, компетентность и кругозор учредителя организации, предложена методика, которая максимально учитывает знания, опыт и мнение самого учредителя организации. В основу первой части методики положен метод анкетного опроса с последующей обработкой его результатов.
Для реализации данного метода разработан перечень анкетных вопросов для учредителя организации, охватывающий все стороны деятельности организации, связанные с циркулирующей на ней информацией.
Перечень анкетных вопросов
Вопросы анкеты сформулированы таким образом, что не требуют пространных ответов, а сводятся к односложным ответам «да», «нет». Заполнение анкеты не требует специальной подготовки в области ЗИ и не вызывает трудностей и больших временных затрат. Специальные знания по ЗИ учтены при разработке анкетных вопросов и при последующей обработке результатов опроса с участием специалистов по ЗИ.
Количественная оценка о состоянии и необходимости дополнительной защиты получается путем математической обработки ответов на анкетные вопросы. С этой целью каждому вопросу анкеты поставлена в соответствие весовая величина, численно выражающая долевой вклад содержания вопроса в общую систему защиты конфиденциальной информации. Значения весовых коэффициентов получены экспертным методом.
При обработке результатов анкетного опроса можно получить как общую оценку состояния защиты на фирме, так и ряд частных оценок по направлениям защиты. Совокупность всех оценок позволяет руководителю, в конечном счете, принять решение о необходимости организации защиты путем проведения режимных, организационных и технических мер.
|
|
|
На основе анализа оценок каждой составляющей защиты выявляются те ее звенья, где ЗИ не обеспечена и вероятность ее перехвата конкурентом (утечка) недопустимо высока. Проведя такой анализ, руководитель организации может целенаправленно проводить работы по устранению утечки информации по выявленным направлениям.
Порядок проведения оценок и существо первой части методики заключается в следующем.
На первом этапе заинтересованная в ЗИ сторона в лице учредителя руководителя организации заполняет анкету, отвечая на ее вопросы, приведенные в табл. 1. Ответы на вопросы анкеты в форме «да» или «нет» заносятся в графу 3 против соответствующих вопросов (см. табл. 2.)
На втором этапе с привлечением консультанта проводится анализ результатов опроса. Если ответ на вопрос соответствует увеличению опасности утечки информации, то в графе 4 табл. 3 проставляется знак «+», в противном случае проставляется знак «-».
Таблица 1
Перечень вопросов анкеты
| № п/п | Вопросы анкеты | Долевые коэффициенты для общих оценок | Долевые коэффициенты для частных оценок |
| Уровень конкуренции | |||
| 1) Конкурентоспособна ли Ваша продукция на внутреннем рынке? | 3,5 | ||
| 2) Конкурентоспособна ли Ваша продукция на внешнем рынке? | 5,0 | ||
| 3) Монопольна ли Ваша продукция на внутреннем рынке? | 1,5 | ||
| Степень конфиденциальности информации, циркулирующей на фирме | |||
| 1) Имеется ли информация, предназначенная только лицам верхнего звена управления, с грифом «строго конфиденциально»? | 11,0 | ||
| 2) Имеется ли информация, предназначенная ограниченному кругу лиц, выполняющих конкретные операции и задания, в части их касающаяся, с грифом «конфиденциально»? | 5,0 | ||
| 3) Имеется ли информация ограниченной доступности только работникам организации? | 4,0 | ||
| Время «старения» конфиденциальности информации | |||
| 1) Носит ли конфиденциальность долговременный характер (год и более)? | 5,0 | ||
| 2) Носит ли конфиденциальность кратковременный характер (месяц и более)? | 4,0 | ||
| 3) Носит ли конфиденциальность оперативный характер (до месяца)? | 1,0 | ||
| Режимные и организационные мероприятия | |||
| 1) Учитываются ли интересы сохранения тайны организации при кадровом отборе верхнего звена управления? | 3,8 | ||
| 2) То же при подборе лиц, допущенных к конфиденциальной информации? | 2,7 | ||
| 3) То же при кадровом отборе штатного персонала организации в целом? | 1,5 | ||
| 4) Налажен ли контроль за сохранением работниками организации коммерческой тайны? | 1,8 | ||
| 5) Обеспечена ли охрана организации и конфиденциальной документации, содержащей коммерческую тайну? | 2,2 | 7,4 | |
| 6) Возможен ли доступ «недопущенных» лиц к средствам размножения и обработки информации, отнесенной к указанным в пункте 2 категориям конфиденциальности? | 2,3 | 7,6 | |
| 7) Возможно ли, по Вашему мнению, проникновение агента конкурирующей организации в верхнее звено управления? | 6,0 | 19,7 | |
| 8) То же в среднее звено управления? | 3,7 | 12,3 | |
| 9) То же в обслуживающий технику персонал? | 2,3 | 7,6 | |
| 10) То же в персонал, выполняющий работы, прямо не связанные с конфиденциальной информацией? | 1,5 | ||
| 11) Выделено ли специальное помещение для совещаний и переговоров с деловыми партнерами? | 2,2 | 7,4 | |
| Оснащение служебных помещений техническими средствами | |||
| 1) Телефонными аппаратами? | 2,5 | 8,5 | |
| 2) Переговорными устройствами? | 1,5 | ||
| 3) Датчиками пожарной и охранной сигнализации? | 0,6 | ||
| 4) Электрическими и электронными часами? | 0,8 | 2,5 | |
| 5) Абонентскими громкоговорителями? | 0,9 | ||
| б) Телефонными аппаратами с автонабором и концентраторами, используемыми в системах связи? | 1,5 | ||
| 7) Установками прямой телефонной связи? | 1,3 | 4,5 | |
| 8) Радиоприемниками? | 1,5 | ||
| 9) Телевизорами? | 1,5 | ||
| 10) Магнитофонами? | 0,5 | 1,5 | |
| 11) Диктофонами? | 0,5 | 1,5 | |
| 12) Установкой оперативной (директорской) связи? | 1,5 | ||
| 13) Телефаксами? | 2,2 | 7,5 | |
| 14) Персональными ЭВМ? | |||
| 15) Видеомагнитофонами? | 0,9 | ||
| 16) Автоматической телефонной станцией? | |||
| 17) Радиотелефоном? | 1,5 | ||
| 18) Организована ли техническая защита на фирме? | 4,5 | 1,5 |
На третьем этапе производится суммирование долевых коэффициентов графы 5, соответствующих знаку «+» по всем вопросам анкеты. Результат суммирования является общей оценкой (G) для принятия решения о необходимости защиты конфиденциальной информации на фирме в Целом. При этом если общая оценка G равна или больше 50 (G>50), то защиту необходимо проводить по всем направлениям.
|
|
|
Таблица 2
|
|
|
Результаты анализа ответов на вопросы анкеты (пример)
| Анкеты | № вопроса по пунктам анкеты | Ответы на вопросы анкетируемого | Результаты анализа ответов | Долевые коэффициенты для обшей оценки | Долевые коэффициенты для частных оценок | Общая оценка | Частные оценки |
| да | + | 3.5 | |||||
| нет | - | ||||||
| нет | - | 1.5 | |||||
| да | + | ||||||
| да | + | ||||||
| да | + | ||||||
| да | + | ||||||
| да | + | ||||||
| нет | - | ||||||
| да | + | 3.8 | 49.6 | ||||
| да | + | 2.7 | |||||
| нет | - | 1.5 | |||||
| нет | - | 1.8 | |||||
| да | + | 2.2 | 7.4 | ||||
| да | + | 2.3 | 7.6 | ||||
| нет | - | 19.7 | |||||
| нет | - | 12.3 | |||||
| да | + | 2.3 | 7.6 | ||||
| Да | + | 1.5. | |||||
| нет | - | 2.2 | 7.4 | ||||
| да | + | 2.5 | 8.5 | ||||
| да | + | 1.5 | |||||
| да | + | 0.6 | |||||
| да | + | 0.8 | 2.5 | ||||
| нет | - | 0.9 | |||||
| да | + | ||||||
| нет | - | 1.3 | 4.5 | ||||
| да | + | 1.5 |
Если общая оценка G больше 20, но меньше 50 (50>G>20), то вероятность утечки информации достаточно велика, необходимо провести частные оценки, защита необходима по отдельным направлениям. Если общая оценка меньше 20 (G < 20), то вероятность утечки информации мала и дополнительную защиту информации можно не проводить.
На четвертом этапе проводится анализ с помощью частных оценок по всем 5 пунктам опросной анкеты. Для получения частных оценок проводят суммирование долевых коэффициентов графы 6 табл. 2, помеченных знаком «+» для каждого пункта отдельно. При этом получится пять частных оценок:
1) по пункту 1 — оценка конкурентоспособности продукции (услуг) —G1;
2) по пункту 2 — оценка степени конфиденциальности информации — G2;
3) по пункту 3 — оценка временных характеристик конфиденциальности информации — G3;
4) по пункту 4 — оценка ЗИ режимными и организационными методами — G4;
5) по пункту 5 — оценка возможности утечки информации через технические средства — G5.
Если частная оценка по каждому из пунктов 1-3 равна или больше 20 (G 1, 2, 3 > 20), то это подтверждает необходимость ЗИ.
Если частная оценка по каждому из пунктов 4, 5 равна или больше 20 (G 4, 5 > 20), то это указывает на необходимость проведения ЗИ режимными и организационными методами или с помощью технических средств защиты соответственно. В том случае, если частная оценка по одному из пунктов 1-3 меньше 20 (G 1, 2, 3 < 20), то ЗИ можно не проводить.
Таким образом, на основе проведенных оценок руководитель организации принимает решение о необходимости проведения работ по организации ЗИ.
Вполне естественно, что перед руководителем организации встает другой очень важный вопрос о предстоящих затратах на организацию ЗИ. Этот вопрос решается с помощью второй части методики.
Вторая часть методики предназначается для определения ориентировочной оценки ожидаемых затрат, связанных с защитой конфиденциальной информации. В общем случае затраты на ЗИ складываются из затрат на проведение организационно-режимных и технических мер. В свою очередь, затраты на техническую защиту складываются из затрат на проведение защиты речевой информации и на защиту других видов информации, в частности, дискретной, обрабатываемой на ПК, телеграфной, факсимильной и других видов, используемых в деятельности организации.
Затраты на режимные и организационные меры ЗИ определяются главным образом заработной платой работников режимных подразделеий (групп) обеспечивающих организацию и контроль режимных мер, повышающих безопасность информации. Расчет этих затрат полностью находится в ведении руководителя организации и затруднений не вызывает. Затраты на техническую ЗИ складываются из затрат на проведение исследований, позволяющих выявить каналы утечки информации, определить способы ее защиты и из ожидаемых затрат на реализацию технических решений защиты.
Расчет стоимости защитных мероприятий каждого из видов информации имеет некоторые особенности, но на этапе ориентировочных расчетов можно использовать методику защиты речевой информации как наиболее простой и общей. Такая методика, являющаяся второй составной частью общей методики оценки, разработана и представлена ниже. Учитывая, что методика предназначена для проведения экспресс-оценки стоимости ЗИ, позволяющей руководителю организации грубо оценить предстоящие затраты, она максимально упрощена и предусматривает проведение элементарных расчетов. С этой целью все техническое оборудование, которое может быть установлено на объекте (фирме) и через которое возможна утечка информации, условно разделено на три группы. Критерием такого деления выбрана доля (процент) затрат на защиту оборудования от стоимости самого оборудования (техники). Долевые коэффициенты (Kl, К2, КЗ) определены экспертным путем и приведены в табл. 3.
Таблица 3
Стоимость защиты оборудования
| Группа | Перечень оборудования | Доля (процент) затрат на защиту оборудования от утечки информации | Доля (процент) затрат на профилактический ежегодный контроль эффективности ЗИ |
| Телефонные аппараты, переговорные устройства, датчики пожарной и охранной сигнализации, электрические электронные часы, абонентские громкоговорители; | 
| 
| |
| Автонаборы и концентраторы, используемые в системах связи; установки прямой телефонной связи; радиоприемники; телевизоры; магнитофоны; диктофоны | 
| ||
| Пульты оперативной (директорской) связи до 100 номеров; персональная компьютерная техника, видеомагнитофоны; АТС на 100-1000 номеров | 
|
Перечень технического оборудования по группам с указанием значений долевых коэффициентов затрат на защитные мероприятия приведен в табл. 3. В таблице обозначено: С 1, 2, 3 — суммарная стоимость технического оборудования соответствующей группы, установленного на объекте. Значения стоимости образцов техники, находящихся в помещениях организации, определяются по каталогам действующих цен изготовителя данной техники. Стоимость технической защиты всего оборудования (Стз), состоящего из техники различных групп, определяется по формуле:
| (1) |
Примечание: в табл. 3. приводится расчет стоимости защиты оборудования, не предназначенного для передачи, обработки и хранения конфиденциальной информации. Стоимость защиты оборудования, предназначенного для обработки конфиденциальной информации, определяется индивидуально и может существенно превышать указанную в табл. 3.
Стоимость ежегодного профилактического контроля определяется по формуле:
| (2) |
где Кпроф=0,05-0,1 — коэффициент затрат на ежегодный профилактический контроль эффективности ЗИ, определенный опытным путем.
Таким образом, зная перечень и количество установленного на фирме технического оборудования и его стоимость, можно без труда рассчитать ожидаемые затраты на ЗИ техническими средствами:
| (3) |
где Собщ.з. - общие затраты на ЗИ; Сроз - затраты на режимные и организационные меры.
Получив такие оценки, руководитель организации принимает решение на проведение работ по защите информации.
ЗАДАНИЕ
1. Используя описание информационной системы ответить на вопросы анкеты (таблица 1);
2. Провести оценку защиты информационной системы в соответствии с методикой;
3. Оценить ожидаемые затраты на обеспечение безопасности информационной системы;
СОДЕРЖАНИЕ ОТЧЕТА
1. Цель работы.
2. Результаты выполнения задания.
3. Вывод по работе.
ПРАКТИЧЕСКАЯ РАБОТА №2
|
|
|
