Разработка инструмента по оценки соответствия информационной безопасности организаций

TOC \o "1-3" \h \z \u 1. Задание на курсовую работу PAGEREF _Toc501194518 \h 32. Выполнение работы PAGEREF _Toc501194519 \h 52.1 Поиск нормативных источников, относящихся к МУП PAGEREF _Toc501194520 \h 52.2. Выбор критериев оценки на основании анализа найденных источников PAGEREF _Toc501194521 \h 62.3. Выявление наличия и качественная оценка выполнения критериев в выбранных Источниках PAGEREF _Toc501194522 \h 132.4 Формирование качественных вопросов, отражающих выполнение необходимых положений критерия PAGEREF _Toc501194523 \h 162.5 Автоматизация оценки соответствия ИБ организации PAGEREF _Toc501194524 \h 202.6 Разработка рекомендации по использованию созданной программы PAGEREF _Toc501194525 \h 233. Проведение апробации разработанного инструмента по оценкесоответствия PAGEREF _Toc501194526 \h 24Заключение PAGEREF _Toc501194527 \h 25

1 Задание на курсовую работуКурсовая работа «Разработка инструмента по оценки соответствия информационной безопасности организаций отраслевым требованиям» выполняется в рамках дисциплины «Методология оценки безопасности информационных технологий», студентами заочного обучения (с применением дистанционных технологий).
Для достижения цели нам необходимо решить следующие задачи:
сбор и анализ актуальных нормативных документов из открытых источников в соответствии с заданием;
осуществление выбора критериев для степени соответствия сформированным актуальным требованиям по обеспечению информационной безопасности организации (далее просто соответствия);
разработка опросных листов для оценки соответствия;
разработка процедуры оценки соответствия;
разработка программы, реализующей оценку соответствия;
разработка рекомендаций по работе с программой.
В рамках работы необходимо разработать программный инструмент, позволяющий оценить соответствие в организациях заданного профиля и предложить вариант её интерпретации.
Индивидуальные варианты размещены в приложении А.
Итоговый балл по курсовой работе будет определяться уровнем выполняемой работы на основании:
- качества выполненного обзора источников (нормативные документы);
- качеством сформулированных критериев оценки (структурированность, количество, правильность составления вопросов (правила русского языка), полнота требований и другое);
- сложностью реализации процедуры оценки соответствия организации требованиям по ИБ (язык программирования, оригинальность математического аппарата);
- наличием и качеством материала, сопровождающего программную реализацию (инструкция пользователя, пояснения по интерпретации результатов).
2 Выполнение работы2.1 Поиск нормативных источников, относящихся к торговой сети
«Ростелеком» — крупнейший в России интегрированный провайдер цифровых услуг и решений, признанный технологический лидер в инновационных решениях в области электронного правительства, кибербезопасности, дата-центров и облачных вычислений, биометрии, здравоохранения, образования, жилищно-коммунальных услуг.
Компания оказывает современные телекоммуникационные услуги для комфортной жизни граждан на территории Новосибирской области. 
Введение в действие требований информационной безопасности поддерживается комплексом нормативных документов и процедур по защите информации. В этих документах содержится более подробная информация о конкретных процессах и процедурах, предназначенных для защиты информации Унитарного предприятия.
Данные требования к информационной безопасности разработаны в соответствии с требованиями следующих документов:
Федерального закона от 01.01.2001 «О коммерческой тайне».
Федерального закона от 01.01.2001 «Об информации, информационных технологиях и защите информации».
Гражданского кодекса Российской Федерации (Раздел VII).
Национального стандарта РФ ГОСТ ИСО/МЭК 17799 – 2005 «Информационная технология. Практические правила управления информационной безопасностью».
Перечень угроз ISO/IEC PDTR 13335.
ГОСТ Р ИСО/МЭК 27001-2006. Методы обеспечения информационной безопасности. Системы управления информационной безопасностью. Требования.
СТ РК ИСО/МЭК 27002-2009. Информационные технологии. Средства обеспечения. Свод правил по управлению защитой информации.
ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения Критерии оценки безопасности информационных технологий безопасности.
ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью.
«Перечень сведений, составляющих конфиденциальную информацию» (необходимо включить в перечень и персональные данные подлежащие защите согласно требованиям закона РФ ).
«Положение об организации работы по обеспечению защиты конфиденциальной информации».
«Положение о постоянной действующей комиссии по вопросам защиты конфиденциальной информации».
· «Положение о постоянной экспертной комиссии».
· «Положение о пропускном и внутриобъектовом режиме».
· «Положение об организации документооборота».
· «Положение об организации электронного документооборота».
· «Инструкции по резервному копированию информационных массивов».
· «Инструкция по антивирусной и парольной защите».
· Трудовой договор, различного рода обязательства не противоречащие Российскому законодательству.
· «Положение о проведении дисциплинарного расследования».
Далее необходимо оценить данные стандарты и законодательные акты и выделить наиболее важные и значительные из них – критерии, по которым можно будет оценить степень влияния на информационную безопасность компании ОАО «Ростелеком».
2.2 Выбор критериев оценки на основании анализа найденных источниковОрганизации, их информационные системы и сети все чаще сталкиваются с различными угрозами безопасности, такими как компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары или наводнения. Такие источники ущерба, как компьютерные вирусы, компьютерный взлом и атаки типа отказа в обслуживании, становятся более распространенными, более агрессивными и все более изощренными.
Для обеспечения информационной безопасности ОАО «Ростелеком» необходимо рассмотреть перечень угроз ISO/IEC PDTR 13335, проанализировать ситуации, в случае их возникновения, выявить, на сколько опасны угрозы и последствия для деятельности предприятия. Описание каждой угрозы необходимо анализировать с помощью модели угроз, включающую:
нападения пригодные для реализации угрозы (возможность, методы, уязвимости);
объекты нападений;
тип потери (конфиденциальность, целостность, доступность и т. д.);
масштаб ущерба;
источники угрозы.
Для источников угроз – людей модель нарушителя должна включать:
1. указание их опыта,
2. указание знаний,
3. указание доступных ресурсов, необходимых для реализации угрозы,
4. возможную мотивацию их действий.
Список угроз из части № 3 технического отчета Международной организации стандартизации ISO/IEC PDTR 13335. Этот перечень выглядит следующим образом: землетрясение, наводнение, ураган, молния, промышленная деятельность, бомбовая атака, использование оружия, пожар (огонь), преднамеренное повреждение, авария источника мощности, авария в подаче воды, авария воздушного кондиционирования, неисправности аппаратных средств, колебание мощности, экстремальные значения температуры и влажности, пыль, электромагнитное излучение, кража, неавторизованное использование среды хранения, износ среды хранения, операционная ошибка персонала, ошибка технического обслуживания, авария программного обеспечения, использование программного обеспечения неавторизованными пользователями, использование программного обеспечения неавторизованным способом, подделка идентификатора пользователя, нелегальное использование программного обеспечения, вредоносное программное обеспечение, нелегальный импорт/экспорт программного обеспечения, доступ к сети неавторизованных пользователей, ошибка операционного персонала, ошибка технического обслуживания, техническая неисправность компонентов сети, ошибки при передаче, повреждения в линиях связи, перегрузка трафика, перехват, проникновение в коммуникации, ошибочная маршрутизация сообщений, повторная маршрутизация сообщений, отрицание, неисправность услуг связи (услуг сети), ошибки пользователя, неправильное использование ресурсов, дефицит персонала.
ГОСТ Р ИСО/МЭК 27001-2006. Методы обеспечения информационной безопасности. Системы управления информационной безопасностью. Требования.
Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени. Предполагается также, что СМИБ будет изменяться пропорционально потребностям организации, т.е. для простой ситуации потребуется простое решение по реализации СМИБ.
СТ РК ИСО/МЭК 27002-2009. Информационные технологии. Средства обеспечения. Свод правил по управлению защитой информации.
Настоящий стандарт идентичен международному стандарту ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management (Информационные технологии. Средства обеспечения. Свод правил по управлению защитой информации)
Описание: Настоящий стандарт устанавливает свод правил по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации. Указанные в настоящем стандарте задачи задают направление для достижения общепринятых целей управления информационной безопасностью.
ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения Критерии оценки безопасности информационных технологий безопасности.
Проблема обеспечения безопасности информационных технологий занимает все более значительное место в реализации компьютерных систем и сетей по мере того, как возрастает их роль в информатизации общества. Обеспечение безопасности информационных технологий (ИТ) представляет собой комплексную проблему, которая решается в направлениях совершенствования правового регулирования применения ИТ.
ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью.
Настоящий стандарт устанавливает рекомендации по управлению ин-формационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях
Далее определим критерии эталона для анализа соответствия информационной безопасности ОАО «Ростелеком» отраслевым критериям. Рассмотрим перечень угроз ISO/IEC PDTR 13335.
Принципы безопасности
М1. Менеджмент риска — активы должны быть защищены путем принятия соответствующих мер. Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения.
М2. Обязательства — важны обязательства организации в области безопасности ИТТ и в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности ИТТ.
М3. Служебные обязанности и ответственность — руководство организации несет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью ИТТ, должны быть определены и доведены до сведения персонала.
М4. Цели, стратегии и политика — управление рисками, связанными с безопасностью ИТТ, должно осуществляться с учетом целей, стратегий и политики организации.
М5. Управление жизненным циклом — управление безопасностью ИТТ должно быть непрерывным в течение всего их жизненного цикла.
Активы
М6. Правильное управление активами является важнейшим фактором успешной деятельности организации и основной обязанностью всех уровней руководства. Активы организации могут рассматриваться как ценности организации, которые должны иметь гарантированную защиту.
М7. Идентификация активов.
М8. Ценность, чувствительность активов, и имеющиеся защитные меры.
М9. Внешние условия, социальная и правовая среда, в которых организация осуществляет свою деятельность.
М10. Основываясь на определении угроз и уязвимостей и их комбинации, можно оценить риск и выбрать защитные меры и, тем самым, повысить безопасность активов. Далее необходимо оценивать остаточный риск для того, чтобы определить, адекватно ли защищены активы.
Угрозы
М11. Активы подвержены многим видам угроз. Угроза обладает способностью наносить ущерб активам и, следовательно, организации в целом.
М12. ущерб может возникать из-за атаки на информацию, обрабатываемую ИТТ, на саму систему или иные ресурсы, приводя, например, к их неавторизованному разрушению, раскрытию, модификации, порче, недоступности или потере.
М13. Угрозы могут быть также направлены на отдельные специфические части организации, например, на разрушение вычислительных средств.
М14. Некоторые угрозы могут поражать не один вид актива. В этом случае угрозы могут наносить вред в зависимости от того, какие именно активы повреждены. Например, программный вирус на автономной персональной вычислительной машине может нанести ограниченный или локальный вред. Однако тот же программный вирус может оказать на сетевой сервер обширное воздействие.
М15. Окружающие условия и социальная среда, в которых функционирует организация, могут иметь большое значение и существенно влиять на отношение к угрозам и активам. Некоторые угрозы в организациях могут вообще не рассматриваться. Когда речь идет об угрозах, необходимо учитывать влияние внешней среды.
Уязвимости
М16. Слабость актива или нескольких видов активов, которые могут быть использованы одной или более угрозами, трактуется как уязвимость.
М17. Связанные с активами уязвимости включают в себя слабости физического носителя, организации, процедур, персонала, управления, администрирования, аппаратного/программного обеспечения или информации.
М18. Угрозы могут использовать уязвимости для нанесения ущерба ИТТ или целям бизнеса. Уязвимость может существовать и в отсутствие угрозы. Уязвимость сама по себе не причиняет ущерб, но это является только условием или набором условий, позволяющим угрозе воздействовать на активы.
М19. Следует рассматривать уязвимости, возникающие из различных источников, например внутренних и внешних по отношению к конкретному активу. Уязвимость может сохраняться, пока сам актив не изменится так, чтобы уязвимость уже не смогла проявиться. Уязвимость необходимо оценивать индивидуально и в совокупности, чтобы рассмотреть сложившуюся ситуацию в целом.
М20. В конкретных системе или организации не все уязвимости соответствуют угрозам. В первую очередь следует сосредоточиться на уязвимостях, которым соответствуют угрозы. Но в силу того, что окружающая среда может непредсказуемо меняться, необходимо вести мониторинг всех уязвимостей для того, чтобы вовремя выявлять те из них, которые могут использовать вновь появляющиеся угрозы.
Защитные меры
М21. Защитные меры — это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов.
М22. Эффективная безопасность обычно требует комбинации различных защитных мер для обеспечения заданных уровней безопасности при защите активов.
М23. Порядок выбора защитных мер очень важен для правильного планирования и реализации программы информационной безопасности.
М24. Некоторые защитные меры могут характеризовать позицию организации в области информационной безопасности. В связи с этим важно выбирать специфические защитные меры, не причиняющие ущерба культурной и социальной среде, в которой функционирует организация.
М25. Обычно ограничения устанавливает или признает руководство организации, а также определяет среда, в которой действует организация.
2.3 Выявление наличия и качественная оценка выполнения критериев в выбранных ИсточникахОпределим критерии оценки для основных нормативных документов в области информационной безопасности ОАО «Ростелеком». Проведем качественную оценку эталона, выделим критерии.
Определим критерии оценки для каждого нормативного документа
Создадим модель оценки информационной безопасности ОАО «Ростелеком». Для каждого значения от М1.1 до М1.5 будет соответствовать общий критерий, на основании которого составляется 5 вопросов по информационной безопасности. Тогда для каждого критерия М1-М25 составим 5 вопросов, причем каждый из вопросов будет принадлежать определенной группе вопросов, которая будет составляться на основе стандарта - эталона. Итого получится 25 вопросов по информационной безопасности (по критериям) и 25 групп вопросов (всего получится 5*25=125 вопросов) всего для полной оценки информационной безопасности ОАО «Ростелеком». Разобьем все критерии по степени значимости, вносимых в общую модель оценки безопасности информационных систем. Сумма критериев составит единицу, так как суммарный вес всех вопросов в сумме не должен превышать 100%.
М1. Менеджмент риска — активы должны быть защищены путем принятия соответствующих мер. Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организации, угроз, уязвимостей и раз-личных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения.
М1.1 Организация и функционирование службы ИБ ОАО «Ростелеком»
М1.2 Определение/коррекция области действия ОАО «Ростелеком»
М1.3 Выбор/коррекция подхода к оценке рисков нарушения ИБ и проведение оценки рисков нарушения ИБ
М1.4 Разработка планов обработки рисков нарушения ИБ
М1.5 Разработка/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ
М2. Обязательства — важны обязательства организации в области безопасности ИТТ и в управлении рисками. Для формирования обяза-тельств следует разъяснить преимущества от реализации безопасности ИТТ.
М2.1 Защита учетных записей на рабочих местах ОАО «Ростелеком»
М2.2 Защита данных и конфиденциальность персональной информации на рабочих местах
М2.3 Регулирование использования средств криптографической защиты
М2.4 Пересмотр политики безопасности и техническое соответствие требованиям безопасности компании, специализирующейся на защите информации
М2.5 Соответствие политикам и стандартам безопасности настоящего стандарта
М3. Служебные обязанности и ответственность — руководство организации несет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью ИТТ, должны быть определены и доведены до сведения персонала.
М3.1 Руководители должны обеспечить правильное выполнение всех процедур безопасности в пределах их сферы ответственности для достижения соответствия с политиками и стандартами безопасности.
М3.2 Информационные системы следует регулярно проверять на соответствие стандартам обеспечения безопасности
М3.3 Требования и действия аудита, включающие проверки систем операционной среды, необходимо тщательно планировать и согласовывать, чтобы сводить к минимуму риск для бизнес-процессов.
М3.4 Заключение по результатам аудита ИБ ОАО «Ростелеком» (внешний и внутренний)
М3.5 Выводы по результатам аудита ИБ ОАО «Ростелеком»
М4. Цели, стратегии и политика — управление рисками, связанными с безопасностью ИТТ, должно осуществляться с учетом целей, стратегий и политики организации.
М4.1 Градация услуг связи по степени качества обслуживания.
М4.2 Выделение критериев информационной безопасности у крупной торговой сети ОАО «Ростелеком»
М4.3 Регламентация деятельности крупной торговой сети оказания услуг населению в случае утечки информации. Защита от НСД на компьютерах крупной торговой сети ОАО «Ростелеком»
М4.4 Выполнение рекомендаций настоящего стандарта в области защиты информации, выполнение методических указаний и общих критериев.
М4.5 Определён потенциальный ущерб в случае нарушения целостности критической информации.
М5. Управление жизненным циклом — управление безопасностью ИТТ должно быть непрерывным в течение всего их жизненного цикла.
М5.1 Классификация рисков утечки информации по степени нанесению ущерба организации.
М5.2 Возможные финансовые потери, в случае утечки информации определены и закреплены документально. Анализ возможных потерь.
М5.3 Существует группа лиц в обязанности, которых входит рассмотрение и обработка рисков. Обработка рисков.
М5.4 Методика анализа рисков нарушения информационной безопасностью,
М5.5 Выполнение рекомендаций настоящего стандарта в области защиты информации, выполнение методических указаний и общих критериев.

2.4 Формирование качественных вопросов, отражающих выполнение необходимых положений критерияТаблица 1– Формирование таблицы вопросов для оценки соответствия ИБ по критериям M1-М25 (ISO/IEC PDTR 13335)
№ воп. Вопросы к критерию М1 Обязательность (да/нет) Коэф. значимости модуль по Х.805
1 М1. Менеджмент риска — активы должны быть защищены путем принятия соответствующих мер. Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения. да 0,03 нет
2 М2. Обязательства — важны обязательства организации в области безопасности ИТТ и в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности ИТТ. да 0,02 нет
3 М3. Служебные обязанности и ответственность — руководство организации несет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью ИТТ, должны быть определены и доведены до сведения персонала. нет 0,04 нет
4 М4. Цели, стратегии и политика — управление рисками, связанными с безопасностью ИТТ, должно осуществляться с учетом целей, стратегий и политики организации. да 0,05 нет
5 М5. Управление жизненным циклом — управление безопасностью ИТТ должно быть непрерывным в течение всего их жизненного цикла. да 0,05 нет
6 М6. Правильное управление активами является важнейшим фактором успешной деятельности организации и основной обязанностью всех уровней руководства. Активы организации могут рассматриваться как ценности организации, которые должны иметь гарантированную защиту. да 0,03 нет
7 М7. Идентификация активов. да 0,05 нет
8 М8. Ценность, чувствительность активов, и имеющиеся защитные меры. нет 0,04 нет
9 М9. Внешние условия, социальная и правовая среда, в которых организация осуществляет свою деятельность. да 0,04 нет
10 М10. Основываясь на определении угроз и уязвимостей и их комбинации, можно оценить риск и выбрать защитные меры и, тем самым, повысить безопасность активов. Далее необходимо оценивать остаточный риск для того, чтобы определить, адекватно ли защищены активы. нет 0,04 нет
11 М11. Активы подвержены многим видам угроз. Угроза обладает способностью наносить ущерб активам и, следовательно, организации в целом. да 0,06 нет
12 М12. ущерб может возникать из-за атаки на информацию, обрабатываемую ИТТ, на саму систему или иные ресурсы, приводя, например, к их неавторизованному разрушению, раскрытию, модификации, порче, недоступности или потере. да 0,04 нет
13 М13. Угрозы могут быть также направлены на отдельные специфические части организации, например, на разрушение вычислительных средств. да 0,05 нет
14 М14. Некоторые угрозы могут поражать не один вид актива. В этом случае угрозы могут наносить вред в зависимости от того, какие именно активы повреждены. Например, программный вирус на автономной персональной вычислительной машине может нанести ограниченный или локальный вред. Однако тот же программный вирус может оказать на сетевой сервер обширное воздействие. нет 0,06 нет
15 М15. Окружающие условия и социальная среда, в которых функционирует организация, могут иметь большое значение и существенно влиять на отношение к угрозам и активам. Некоторые угрозы в организациях могут вообще не рассматриваться. Когда речь идет об угрозах, необходимо учитывать влияние внешней среды. нет 0,06  нет
16 М16. Слабость актива или нескольких видов активов, которые могут быть использованы одной или более угрозами, трактуется как уязвимость. да 0,06 нет
17 М17. Связанные с активами уязвимости включают в себя слабости физического носителя, организации, процедур, персонала, управления, администрирования, аппаратного/программного обеспечения или информации. да 0,05 нет
18 М18. Угрозы могут использовать уязвимости для нанесения ущерба ИТТ или целям бизнеса. Уязвимость может существовать и в отсутствие угрозы. Уязвимость сама по себе не причиняет ущерб, но это является только условием или набором условий, позволяющим угрозе воздействовать на активы. да 0,03 нет
19 М19. Следует рассматривать уязвимости, возникающие из различных источников, например внутренних и внешних по отношению к конкретному активу. Уязвимость может сохраняться, пока сам актив не изменится так, чтобы уязвимость уже не смогла проявиться. Уязвимость необходимо оценивать индивидуально и в совокупности, чтобы рассмотреть сложившуюся ситуацию в целом. нет 0,07 нет
20 М20. В конкретных системе или организации не все уязвимости соответствуют угрозам. В первую очередь следует сосредоточиться на уязвимостях, которым соответствуют угрозы. Но в силу того, что окружающая среда может непредсказуемо меняться, необходимо вести мониторинг всех уязвимостей для того, чтобы вовремя выявлять те из них, которые могут использовать вновь появляющиеся угрозы. да 0,02 нет
21 М21. Защитные меры — это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов. нет 0,04 нет
22 М22. Эффективная безопасность обычно требует комбинации различных защитных мер для обеспечения заданных уровней безопасности при защите активов. да 0,01 нет
23 М23. Порядок выбора защитных мер очень важен для правильного планирования и реализации программы информационной безопасности. нет 0,02 нет
24 М24. Некоторые защитные меры могут характеризовать позицию организации в области информационной безопасности. В связи с этим важно выбирать специфические защитные меры, не причиняющие ущерба культурной и социальной среде, в которой функционирует организация. нет 0,03 нет
25 М25. Обычно ограничения устанавливает или признает руководство организации, а также определяет среда, в которой действует организация. да 0,07 нет
Сумма - 1,00 -
2.5 Автоматизация оценки соответствия ИБ организации№ вопроса Вопрос к критерию M1
Организация и функционирование службы ИБ ОАО «Ростелеком» Ответ на вопрос в вероятностной форме Kоэф.значимости Пере нормированный коэффициент значимости Вычисленноезначение
0 0,25 0,5 0,75 1 Н/О 1 Организация и функционирование службы ИБ ОАО «Ростелеком»       1     0,03 0,03 0,0225
2 Определение/коррекция области действия ОАО «Ростелеком»     1       0,03 0,03 0,015
3 Выбор/коррекция подхода к оценке рисков нарушения ИБ и проведение оценки рисков нарушения ИБ       1     0,03 0,03 0,0225
4 Разработка планов обработки рисков нарушения ИБ 1           0,03 0,03 0
5 Разработка/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ         1   0,03 0,03 0,03
Итоговая оценка критерия M1 0,36
Таблица 2 – Таблица для ввода ответов на вопросы критерия M1 и вывод значения оценки соответствия критерия M1.
Присутствует список вопросов для данного критерия (п.2.4) ответ на вопросы производится в виде выставления «1» в ячейку с соответствующей вероятностью выполнения положения. Так же есть возможность оставить вопрос без ответа, выставив «1» в столбец «Н/О».
Таблица 3 – Отображение формул при ответе на вопросы критерия M1

После заполнения таблицы одного критерия ответами, появляется итоговая оценка данного критерия. Выставление оценок критериев строится на формулах Microsoft Excel. Формулы данной методики можно увидеть в таблице 3.
После заполнения таблицы одного критерия ответами, появляется итоговая оценка данного критерия. Выставление оценок критериев соответствия строится на формулах, отображение которых можно настроить в Microsoft Excel. формулы данной методики можно увидеть в таблице 4.
Таблица 4 – Таблица объединения критериев в логические группы, с выводом значения оценки соответствия по этим группам и итоговой оценки.

Итоговые оценки всех критериев формируются в итоговую таблицу (табл.2.6) в отдельном разделе программы, в которой происходит объединение критериев в логические группы и вывод итоговой оценки соответствия ИБ крупной торговой сети ОАО «Ростелеком». Сверяем сначала по таблице соответствия результат оценки риска нарушения ИБ отраслевым критериям крупной торговой сети ОАО «Ростелеком», затем смотрим результат по итоговой таблице.
Таблица 5 - Объединение критериев в логические группы, с выводом значения оценки соответствия ИБ по этим группам и итоговой оценки в формате отображения формул.

Таблица 6 – Вывод значения оценки соответствия по этим группам и итоговой оценки.
Уровень риска нарушения ИБ Итоговая оценка риска нарушения ИБ ОАО «Ростелеком»
0,91-1,00 Требования частного показателя ИБ не установлены во внутренних нормативных документах проверяемой торговой сети и не выполняются
0,81-0,90 Требования частного показателя ИБ частично установлены в нормативных документах проверяемой торговой сети но не выполняются
0,71-0,80 Требования частного показателя ИБ полностью установлены в нормативных документах проверяемой торговой сети но не выполняются
0,61-0,70 Требования частного показателя ИБ не установлены во внутренних нормативных документах проверяемой торговой сети и выполняются в неполном объеме
0,51-0,60 Требования частного показателя ИБ частично установлены во внутренних нормативных документах проверяемой торговой сети и выполняются в неполном объеме
0,41-0,50 Требования частного показателя ИБ полностью установлены во внутренних нормативных документах проверяемой торговой сети и выполняются в неполном объеме
0,21-0,40 Требования частного показателя ИБ не установлены во внутренних нормативных документах проверяемой торговой сети, но выполняются в полном объеме
0,11-0,20 Требования частного показателя ИБ частично установлены во внутренних нормативных документах проверяемой торговой сети, но выполняются в полном объеме
0-0,10 Требования частного показателя ИБ полностью установлены во внутренних нормативных документах проверяемой торговой сети и выполняются в полном объеме
2.6 Разработка рекомендации по использованию созданной программыДля оценки защищенности системы вычислительной техники на рабочих мест крупной торговой сети ОАО «Ростелеком» необходимо пройти тестирование, где поставить логическое значение «1» в таблице вероятностей там, где считаете вопрос наиболее точно соответствует вашей системе ИБ на рабочем месте.
После завершения тестирования, переходим на вкладку «Сводная таблица». Смотрим сколько получилось баллов и сравниваем результат с значением из вкладки «Итоговый результат». Уровень угрозы учитываем при выборе стратегии вмешательства в систему ИБ и ее реконструированию. То есть в графе итоги по риску нарушения ИБ вашего муниципального унитарного предприятия будет выставлена оценка в вероятностной шкале. (Вероятность нарушения ИБ в вашем главке.

3 Проведение апробации разработанного инструмента по оценке соответствияДля проведение апробации разработанного инструмента по оценке соответствия было выбрано муниципальное унитарное предприятие ОАО «Ростелеком».
В результате предложенного тестирования были получены следующие результаты по степени защищенности информационных систем.
Был получен итоговый балл 0,10, который соответствует следующему результату: Требования частного показателя ИБ полностью установлены во внутренних нормативных документах проверяемой крупной торговой сети и выполняются в полном объеме. В связи с этим, необходимо предусмотреть внутреннюю документацию, регламентирующую вопросы информационной безопасности в крупной торговой сети ОАО «Ростелеком» в соответствии с действующим законодательством в этой области, а так же стандартами, определенными законами РФ, нормативными актами и внутренними положениями крупной торговой сети ОАО «Ростелеком». Отслеживать ситуацию поможет отдел ИБ, который предотвратит возможные угрозы и утечки информации.
Основной документ, закрепляющий общие положения по информационной безопасности крупной торговой сети ОАО «Ростелеком»:
Перечень угроз ISO/IEC PDTR 13335.

ЗАКЛЮЧЕНИЕВ ходе выполнения контрольной работы была составлена модель соответствия информационной безопасности ОАО «Ростелеком» отраслевым критериям информационной безопасности, которые самостоятельно выделили из эталона по оценке информационной безопасности.
В качестве эталона по оценке информационной безопасности крупной торговой сети был выбран документ перечень угроз ISO/IEC PDTR 13335. Согласно этому документу, выделили 25 общих критериев оценки информационной безопасности крупной торговой сети. К каждому критерию М1-М25 были составлены пять уточняющих вопросов, чтобы оценить информационную безопасность ОАО «Ростелеком».
Которые в свою очередь дают представление о рисках нарушения крупной торговой сети ОАО «Ростелеком» и уменьшить его в соответствии с вопросами качественных критериев оценки ИБ на предприятии.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫФедеральный закон от 01.01.2001 «О коммерческой тайне».
Федеральный закон от 01.01.2001 «Об информации, информационных технологиях и защите информации».
Гражданский кодекс Российской Федерации (Раздел VII).
Национальный стандарт РФ ГОСТ ИСО/МЭК 17799 – 2005 «Информационная технология. Практические правила управления информационной безопасностью». Интернет-ресурс: https://files.stroyinf.ru/Data2/1/4293823/4293823447.pdf (Дата обращения: 25.08.21 г)
Перечень угроз ISO/IEC PDTR 13335. Интернет-ресурс: https://www.altell.ru/legislation/standards/13335-3.pdf (Дата обращения: 25.08.21 г)
ГОСТ Р ИСО/МЭК 27001-2006. Методы обеспечения информационной безопасности. Системы управления информационной безопасностью. Требования. Интернет-ресурс: http://docs.cntd.ru/document/gost-r-iso-mek-27001-2006 (Дата обращения: 25.08.21 г)
СТ РК ИСО/МЭК 27002-2009. Информационные технологии. Средства обеспечения. Свод правил по управлению защитой информации. Интернет-ресурс: https://online.zakon.kz/Document/?doc_id=31458716 (Дата обращения: 25.08.21 г)
ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения Критерии оценки безопасности информационных технологий безопасности.
ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью.