Методика идентификации и оценки важности информационных активов организации

[pic 1]

РЕФЕРАТ

Отчет 89с., 13 рис., 25 табл., 25 источников.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, УГРОЗА, УЯЗВИМОСТЬ, ИНФОРМАЦИОННЫЙ АКТИВ, РИСК.

Объектом исследования является процесс идентификации и оценки важности информационных активов организации.

Цель работы – разработка методики идентификации и оценки важности информационных активов организации.

В ходе работы был проведен анализ стандартов и практик в области идентификации и оценки важности информационных активов организации. Были рассмотрены подходы и способы идентификации и оценки важности информационных активов организации при оценке рисков информационной безопасности. На основании полученных знаний была разработана методика идентификации и оценки важности информационных активов, которая определяет важность информационного актива на деятельность организации.

Также была выполнена проверка методики идентификации и оценки важности информационных активов.

СОДЕРЖАНИЕ

Введение        7

1.         Анализ        стандартов        и        практик        в        области        оценки        рисков ИБ, идентификации и оценки важности информационных активов        9

1. Общие сведения        9
2. Международный стандарт ISO/IEC 27005:2011        12
3. Международный стандарт ISO/IEC 27002:2013        13
4. Стандарт Банка России СТО БР ИББС-1.0-2014        14
5.         Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009        15
6.         Национальный        стандарт          Российской          Федерации ГОСТ Р ИСО/МЭК ТО 18044-2007        15
7.         Обзор        существующих методик и лучших практик в области идентификации и оценки важности информационных активов организации        16

1. Общие подходы в области идентификации и оценки важности информационных активов организации        16
2. Методика CRAMM        19
3. Методика FRAP        21
4. Методика ГРИФ        22
5. Методика RiskWatch        24

1. Рассмотрение подходов и способов идентификации и оценки важности информационных активов организации при оценке рисков ИБ        27

1. Идентификация и определение важности информационных активов        27
2. Анализ уязвимостей активов        37
3. Анализ и оценка угроз информационной безопасности        37
4. Оценивание рисков информационной безопасности        42

1.         Разработка        методики идентификации и оценки важности информационных активов        43
2. Процесс идентификации и оценки важности информационных активов        54
3. Выполнение проверки методики идентификации и оценки важности информационных активов организации        60

1.         Описание        бизнес-целей и бизнес-функций, основных  бизнес- процессов организации        60
2. Идентификация активов        62
3. Оценка важности информационных активов        63

Заключение        87

Список использованных источников        88

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

В настоящем отчете используются следующие термины с соответствующими определениями:

информационная безопасность – это состояние защищенности организации в условиях угроз в информационной сфере [1];

информационный актив – это все, что имеет ценность для организации и находится в ее распоряжении в информационной сфере [1];