Введение. 1.2.Дополнительная информация

Содержание

Введение. 3

1.Постановка задачи. 5

1.1.Описание ситуации. 5

1.2.Дополнительная информация. 9

1.3.Основные активы филиала банка. 9

2.Организация проведение деловой игры.. 11

2.1.Этапы игры и методика их выполнения. 11

2.2. Распределение ролей. 16

2.3.Варианты заданий. 16

Литература. 24

Введение

Защита информационных активов[1] организации сегодня является одним из важных составляющих успешности бизнеса. Главная цель защиты информации направлена на обеспечение эффективности и непрерывности бизнеса. Это достигается введением обоснованных механизмов защиты информации на основе сбалансированных требований по конфиденциальности, целостности, доступности и других показателей.

Сегодня в этой сфере разработано достаточное количество Федеральных законов, государственных и отраслевых стандартов, определяющих методологию построения системы защиты информации хозяйствующего субъекта (ХС). Сложность же практической реализации требований этих руководящих документов заключается в том, что не существует единого подхода к организации защиты информации в различных хозяйствующих субъектах даже одной отрасли. Построение системы защиты информации ХС основано на анализе технологий ведения бизнес-процессов, оценке финансовых возможностей ХС, оценке уровня понимания Руководством ХС необходимости защиты информационных ресурсов организации, рекомендаций стандартов по лучшим мировым практикам организации защиты информации и учете ряда других факторов. Для каждой организации это, безусловно, разные решения. Очень важно, что в организации защиты информации принимают участие все сотрудники ХС.

При организации защиты учитываются все возможные каналы утечки информации, а также используются сертифицированные программные средства, оборудование, вычислительные средства, средства связи и телекоммуникаций, средства криптографической защиты (допускаются только отечественного производства). Доверие к этим системам обеспечивается за счет аттестации рабочих мест после проведения специальных исследований.

В стандарте [2] приведены практические правила управления информационной безопасностью, которые включают в себя более 100 рекомендаций по следующим направлениям обеспечения информационной безопасности:

1. Разработка политики информационной безопасности.

2. Решение организационных вопросов безопасности.

3. Классификация и управление активами.

4. Вопросы безопасности, связанные с персоналом. Учет вопросов безопасности в должностных обязанностях и при найме персонала.

5. Физическая защита и защита от воздействий окружающей среды.

6. Управление передачей данных и операционной деятельностью.

7. Контроль доступа.

8. Разработка и обслуживание систем.

9. Управление непрерывностью бизнеса.

Этот стандарт имеет большое значение при организации защиты информации в бизнесе и по существу может использоваться при защите любой информации. Особенность концепции защиты в этом стандарте заключается в определении политики безопасности, которая создается совместно с руководством организации и в определении ценности информационных активов, в отношении которых и планируется защита. Недостаток этого стандарта – отсутствие методик управления рисками информационной безопасности и построения эффективных систем защиты.

Другие подходы к модели организации защиты информации основаны на создании системы ее обеспечения, включающей правовое, организационное, инженерно-техническое, материальное, криптографическое, кадровое, финансовое и др. Такой подход может быть в условиях, когда информационная система уже существует и не предполагается каких-либо ее радикальных изменений. Поэтому концепция «обеспечения системы информационной безопасности» вместо рассмотрения самой системы является весьма консервативной. Более того, сама система информационной безопасности связана с уровнем развития организации или бизнеса. Представления о том, какой должна быть система информационной безопасности постоянно пересматриваются по принципу «разумной достаточности». Это означает, что при определенных существенных изменениях в бизнесе должны происходить адекватные изменения и в системе безопасности.

Более перспективным подходом к построению системы информационной безопасности можно считать процессный подход, изложенный в стандарте по менеджменту информационной безопасности [3] и основанный на цикле Деминга-Шухарта (PDCA):

1. Plan - планирование

2. Do - воплощение, реализация

3. (Check) - измерение, проверка

4. Act - улучшение.

На стадии планирования устанавливают политики информационной безопасности, цели, задачи, процессы и процедуры, адекватные потребностям в менеджменте риска информационной безопасности для достижения результатов в соответствии с политиками и целями организации.

На стадии реализации осуществляются внедрение и поддержка политики информационной безопасности (организации, средств управления (защитных мер), регламентов, процессов и процедур системы защиты информации.

На стадии проверки осуществляются оценка и, если необходимо, измерение эффективности процессов управления информационной безопасностью организации на соответствие требованиям политики информационной безопасности, целям и установленным практикам, обеспечивается отчетность высшему руководству о результатах для проведения соответствующего анализа.

На стадии совершенствования осуществляются выработка и принятие корректирующих и превентивных действий, основанных на результатах анализа, для достижения непрерывного усовершенствования СМИБ организации.

К сожалению, более глубокие методологические подходы к построению систем информационной безопасности, основанные на принципах адаптивного управления, эмерджентности и гомеостаза сегодня в теории информационной безопасности не рассматриваются. Есть и другие интересные подходы к организации системы защиты информации, которые высказываются на уровне идей без соответствующей научной и методической их проработки. Наиболее интересной идеей к построению системы информационной безопасности является объектно-ориентированный подход, широко используемый при создании современных информационных систем. Сущность этого подхода основана на создании принципиально любых систем, способных к эволюционному развитию. Этот подход основан на простой идее: любая система должна строиться таким образом, чтобы дальнейшее развитие не отвергало предыдущие формы ее реализации. Автором этого взгляда на новую методологию создания информационных системе является Гради Буч. Элементы этого подхода реализованы в одном из самых перспективных сегодня стандартов [7], содержащий совершенно новую концепцию защиты информационных технологий, но, к сожалению, слабо используемый сегодня в системах защиты информации.

Предлагаемая деловая игра имеет цель обучить методам и технологиям организации защиты информации на ХС. Особенность заключается в том, что в информационной системе организации присутствуют различные формы документов (электронные и бумажные) с различной степенью их конфиденциальности. Это требует внимательного и тщательного подхода к изучению исходной информации и руководящих документов по организации защиты информации. Методология организации защиты информации основывалась на концепции учета приоритетов ценностей информационных активов организации, наиболее применимой для бизнеса и изложенной в ГОСТ ИСО/МЭК 17799-2006. Организационные вопросы создания режимов банковской и коммерческой тайны не рассматривались. Политика безопасности разрабатывалась в соответствие с рекомендациями ЦБ РФ [3]. Обоснование предложений по защите информации проводилось с использованием требований стандарта [2] по многофакторной модели рисков, изложенной в учебном пособии [6].

Деловая игра проходит в несколько этапов. По каждому этапу каждым участником игры представляется соответствующая отчетность на сайте (адрес сайта указывается преподавателем) в доступном для них разделе деловых игр. Необходимые справочные материалы и нормативная информация: стандарты, положения и другие материалы представлены также на этом же портале.