Иванов К.В. специалист по защите информации ГОУ ВПО «Череповецкий государственный университет» Кафедра Математических методов и информационных технологий в экономике

В риск-менеджменте принято выделять несколько ключевых этапов: 1.выявление риска и оценка вероятности его реализации и масштаба последствий, определение максимально- возможного убытка; 2.выбор методов и инструментов управления выявленным риском; 3.разработка риск-стратегии с целью снижения вероятности реализации риска и минимизации возможных негативных последствий; 4.реализация риск-стратегии; 5.оценка достигнутых результатов и корректировка риск- стратегии.

Оценка риска проходит в несколько этапов, среди которых можно выделить: –определение ценности ресурсов; –построение списка угроз, возможных для исследуемой информационной системы; –расчет вероятности реализации угроз и построение списка актуальных угроз; –оценка потенциального ущерба от воздействий злоумышленников.

Определение ценности защищаемых ресурсов проводится путем анализа и оценки потенциального ущерба от изменений основных защищаемых свойств данного ресурса (конфиденциальности, целостности или доступности). С точки зрения защиты персональных данных указанный этап затрудняется тем, что оператор ПДн оценивает ресурсы субъекта ПДн. Определение ценности = классификация ИСПДн согласно Приказу 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» + уточнения по результатам построения модели угроз.

В любой методике необходимо идентифицировать риски, как вариант - их составляющие (угрозы и уязвимости). Естественным при этом является требование полноты списка, при этом необходимо в первую очередь учитывать только наиболее существенные из них. Методы идентификации рисков: - Выявление рисков на основе экспертной оценки. - Выявление рисков на основе существующего базового перечня угроз. - Выявление рисков на основе проведенного опроса. - Выявление рисков на основе существующей статистики.

Краткое описание инцидента Дата происшес твия Исполнитель по реализации контрмер Описание последствий инцидента Дата ликвидаци и последств ий инцидента Краткий перечень принятых контрмер Вирусное заражение Сервера 1 вредоносной программой Virus.Win32.Sality.aa Системный администрат ор Иванов Иван Иванович - повреждение части исполняемых файлов; - отключение диспетчера задач и редактора реестра; - отказ в обслуживании БД 1С, что привело к простою Бухгалтерии до момента ликвидации инцидента Отключение сервера от локальной сети для предотвращения распространения вируса. - Удаление вируса из системы «Антивирусом». - Ликвидация последствий работы вируса, восстановление функционала ОС. - Восстановление поврежденных файлов из резервной копии. - Поиск источника заражения, отключение работы съемных носителей на всем серверном оборудовании.

При оценивании рисков рекомендуется рассматривать следующие аспекты: –шкалы и критерии, по которым можно измерять риски; –оценку вероятностей событий; –технологии измерения рисков. Шкалы и критерии, оценка реализуемости и актуальности = Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена директором ФСТЭК от )

При оценивании рисков рекомендуется рассматривать следующие аспекты: –отказ от чрезмерно рисковой деятельности (метод отказа). –профилактика или диверсификация (метод снижения). –аутсорсинг затратных рисковых функций (метод передачи). –формирование резервов или запасов (метод принятия). Метод снижения = приказ директора ФСТЭК от «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» + меры ПП РФ от меры ПП РФ от меры на основе модели угроз.

Требования законодательства к СЗПДн Рекомендации к СЗПДн с точки зрения Модели угроз Внедренные решения Подсистема управления доступом Идентификация и аутентификация: - Идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не менее шести буквенно- цифровых символов. Идентификация и аутентификация: - Идентификация и аутентификация пользователя при входе в операционную систему, а так же при подключении к разделяемым информационным ресурсам по паролю условно-постоянного действия не менее 6 буквенно- цифровых символов, соответствующий существующей парольной политике. - Либо двухфакторная аутентификация по сертификату и PIN-коду к соответствующему ключевому носителю. Несертифицированные ФСТЭК средства: ОС семейства Windows, осуществляющая: - контроль по паролю на уровне учетных записей ОС при входе пользователя в систему, соответствующий существующей парольной политике. Сертифицированные ФСТЭК средства: СУБД 1С, осуществляющая: - управление и разграничение доступа пользователей по паролю, согласно существующей парольной политике

В План включаются следующие категории мероприятий: – организационные (административные); – физические; – технические (аппаратные и программные); – контролирующие. В План включена следующая информация: – Название мероприятия. – Периодичность мероприятия (разовое/периодическое). – Исполнитель мероприятия/ответственный за исполнение.

МероприятиеПериодичность Исполнитель/ Ответственный ИСПДн Работников Учреждения Организационные мероприятия Внедрение должностной инструкции Пользователя ИСПДн. Разовое срок до г. Внедрение должностной инструкции пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций. Разовое срок до г. Внедрение должностной инструкции пользователя участвующего в неавтоматизированной обработке персональных данных. Разовое срок до г. Внедрение должностной инструкции администратора ИСПДн. Разовое срок до г.