Разработка методики анализа рисков информационной безопасности критической информационной инфраструктуры
Введение
Сегодня анализу рисков информационной безопасности уделяется все больше внимания. Этому способствуют несколько причин: безостановочный рост использования информационных технологий в процессе работы компании, увеличение ценности информации обрабатывающейся и генерирующейся во время деятельности организации.
Обеспечение безопасности информации является одной из важнейших задач, поскольку информационные риски и угрозы могут нанести непоправимый ущерб компании или государству.
Количество киберпреступлений неуклонно растет, возрастает и ущерб от них. Причем ущерб от компьютерных преступлений практически не уступает материальным потерям от обычных видов преступлений.
Каждый год появляется всё больше и больше различных методик анализа информационной безопасности, также как и появляется всё больше различных рисков для государственных структур и компаний.
1 января 2018 г. вступил в силу HYPERLINK "http://publication.pravo.gov.ru/Document/View/0001201707260023" \t "_blank"
Содержание
Введение 4
Глава 1. Анализ существующих методик анализа рисков информационной безопасности. 5
1.1 Киберпреступность в мире 6
1.2 Нормативное регулирование в области информационной безопасности 10
1.3 Нормативное регулирование в области риск-менеджмента 29
1.4 Программные комплексы анализа рисков 43
1.5 Перечень угроз информационной безопасности и их классификация. 49
1.6 Обобщенная модель угроз информационной безопасности объектов критической информационной инфраструктуры 55
1.7 Выводы к главе 1. 61
Глава 2. Обоснование математического представления кривой риска. 62
2.1 Затраты на содержание системы информационной безопасности 62
2.2 Информационные риски: понятие и классификация 70
2.3 Методические аспекты оценки и обработки информационных рисков 78
2.5 Выводы к главе 2. 87
Глава 3. Разработка методики анализа рисков информационной безопасности и сравнение характеристик оценки рисков с другими методиками. 88
3.1 Выявление и характеристика существенных рисков информационной безопасности 88
3.2 Оценка рисков информационной безопасности 95
3.3 Разработка методики анализа рисков информационной безопасности 101
3.4 Пример расчета рисков информационной безопасности информационной системы банка 104
3.5 Качественное сравнение существующих методик 122
3.6 Количественное сравнение разработанной методики и методики CRAMM 124
3.7 Выводы к главе 3. 128
Выводы: 129
Список литературы 130
Приложение А 133
Приложение Б 139
Приложение В 141
Список литературы
1.Федеральный закон №187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации»
2. Постановление правительства РФ от 08.02.2018г №127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений”
3. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 18.12.2018) "Об информации, информационных технологиях и о защите информации"
4. Федеральный закон Российской Федерации "О государственной тайне" от 21.07.1993 N 5485-1.
5. Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных».
6. Приказ ФСТЭК от 11 февраля 2013 г. N 17 “Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах”
7. Приказ Федеральной службы по техническому и экспортному контролю ФСТЭК России от 18 февраля 2013 г. N 21 г. Москва "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
8. Приказ ФСТЭК России от 14.03.2014 №31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
9. Приказ ФСТЭК России от 21.12.2017 N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования"
13. Федеральный закон от 26.07.2017 № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"»
14. Федеральный закон от 26.07.2017
Приказ ФСТЭК от 11 февраля 2013 г. N 17 “Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах”
ГИС [6] - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. МИС – это системы, созданные на основании решения органа местного самоуправления.
Государственная ИС может являться объектом КИИ. На вопрос от том, каким требованиям следовать – Закону о КИИ или приказу №17, ФСТЭК сообщает, что необходимо отвечать по максимальному из требований.
Требования 17 приказа являются обязательными при обработке информации ограниченного доступа в государственных информационных системах (ГИС) и в муниципальных информационных системах (МИС).
Приказ не действует на государственные информационные системы Администрации Президента, Совета Безопасности, Федерального Собрания, Правительства РФ, Конституционного, Верховного и Арбитражного судов РФ, а также ФСБ. Кроме того, приказ не распространяется на информационные системы, аттестованные по требованиям защиты информации