Размещено на http://www.allbest.ru/

Техническое задание

В дипломном проекте рассматривается проблема модернизации существующей системы защиты информации в локальной сети управления ОАО «Газпром нефтехим Салават».

Система защиты информации должна:

1. обеспечивать защиту информации внутри локальной сети от внутренних и внешних атак;

2. защищать от атак из глобальной сети Интернет;

3. осуществлять антивирусную защиту;

4. осуществлять резервное копирование;

5. обеспечивать требования класса защищенности 1Г согласно РД Гостехкомиссии России.

6. обеспечивать снижение уровня риска нарушения безопасности информации; значение относительного риска нарушения безопасности информациине должно превышать 10%;

Стоимость модернизации системы защиты информации не должна превышать 4 000 000 рублей.

Перечень принятых сокращений

АС - автоматизированная система

ГОСТ - государственный стандарт

ЗИ - защита информации

ИБ - информационная безопасность

ИР - информационные ресурсы

ОАО - открытое акционерное общество

СЗИ - система защиты информации

СУБД - система управления базой данных

РД - руководящий документ

РС - рабочая станция

Введение

На сегодняшний день автоматизированные системы (АС) играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование АС для хранения, обработки и передачи информации приводит к повышению актуальности проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям.

Практически любая АС может выступать в качестве объекта информационной атаки, которая может быть определена как совокупность действий злоумышленника, направленная на нарушение одного из трёх свойств информации - конфиденциальности, целостности или доступности. Свойство конфиденциальности позволяет не давать права на доступ к информации или не раскрывать ее неполномочным лицам, логическим объектам или процессам. Характерным примером нарушения конфиденциальности информации является кража из системы секретной информации с целью её дальнейшей перепродажи. Целостность информации подразумевает её способность не подвергаться изменению или уничтожению в результате несанкционированного доступа. В качестве примера нарушения этого свойства можно привести ситуацию, при которой злоумышленник преднамеренно искажает содержимое одного из электронных документов, хранящихся в системе. Доступность информации определяется, как её свойство быть доступной и используемой по запросу со стороны любого уполномоченного пользователя. Таким образом, в результате нарушения конфиденциальности, целостности или доступности информации злоумышленник тем самым может нарушить бизнес-процессы компании, которые базируются на информационных ресурсах, которые являлись объектом атаки.

Новые информационные технологии активно внедряются во все сферы народного хозяйства. Появление локальных и глобальных сетей передачи данных предоставило пользователям компьютеров новые возможности оперативного обмена информацией. Если до недавнего времени подобные сети создавались только в специфических и узконаправленных целях, то развитие Интернета и аналогичных систем привело к использованию глобальных сетей передачи данных в повседневной жизни практически каждого человека.

По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий.

Актуальность и важность проблемы обеспечения информационной безопасности обусловлена следующими факторами:

- современные уровни и темпы развития средств информационной безопасности значительно отстают от уровней и темпов развития информационных технологий;

- высокие темпы роста парка персональных компьютеров, применяемых в разнообразных сферах человеческой деятельности;

- резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;

- значительное увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;

- многочисленные уязвимости в программных и сетевых платформах;

- бурной развитие глобальной сети Интернет, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире;

- современные методы накопления, обработки и передачи информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям.

Поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития информационных технологий.

Целью данного дипломного проекта является модернизация системы защиты информации локальной сети управления ОАО “Газпром нефтехим Салават”.

1. Расчетно-проектная часть

1.1 Анализ существующих нормативных документов в области информационной безопасности

При построении системы защиты одну из важнейших ролей в конечном решении играют нормативные документы и государственные стандарты. Они необходимы для помощи при выборе средств защиты, при организации информационной безопасности, являясь практическим руководством специалиста.

Наиболее значимыми нормативными документами в области информационной безопасности, определяющими критерии для оценки защищенности АС, и требования, предъявляемые к механизмам защиты, являются:

1. ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».

2. ГОСТ Р ИСО/МЭК 17799 «Информационная технология. Практические правила управления информационной безопасностью».

3. ИСО/МЭК 13335 «Информационные технологии. Методы и средства обеспечения безопасности»

4. Руководящие документы (РД) Гостехкомиссии России.

5. ГОСТ Р ИСО/МЭК 15408 «Общие критерии оценки безопасности информационных технологий».

6. Стандарт достаточно объемен и сложен. Он состоит из трех частей общим объемом около 600 страниц.

Часть первая стандарта содержит методологию оценки безопасности информационных технологий, определяет виды требований безопасности (функциональных и доверия), основные конструкции (профиль защиты, задание по безопасности) представления требований безопасности в интересах трех категорий пользователей: потребителей, разработчиков и оценщиков продуктов и систем информационных технологий. Требования безопасности, предъявляемые к объекту оценки по методологии Общих критериев определяются исходя из целей безопасности, которые в свою очередь основываются на анализе защищаемых информационных ресурсов, назначения объекта оценки и условий среды его использования (угроз, предположений политики безопасности).

Часть вторая стандарта содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.

Часть третья стандарта содержит систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы информационных технологий для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям безопасности. В той же части содержатся оценочные уровни доверия, представляющие собой стандартизованные наборы требований, которые позволяют с возрастающей степенью полноты и строгости провести оценку проектной, тестовой и эксплуатационной документации, правильности функционирования комплекса средств безопасности, оценку уязвимостей продукта или системы информационных технологий, стойкости механизмов защиты.

ИСО/МЭК 17799 «Информационные технологии. Практические правила управления ИБ»

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799, принятом в 2000г. Данный стандарт является международной версией британского стандарта BS 7799 и содержит практические правила по управлению ИБ.

Стандарт может быть использован в качестве критериев оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

Общая структура стандарта представлена на рисунке 1.1.

Рисунок 1.1 - Структура стандарат ИСО/МЭК 17799

В стандарте выделяются 10 ключевых механизмов управления безопасностью, представленных на рисунке 1.2.

Рисунок 1.2 - Механизмы управления безопасностью

ИСО/МЭК 13335 «Информационные технологии. Методы и средства обеспечения безопасности»

Данный стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий на предприятии. Целью данного стандарта является формирование основных общепринятых понятий и модели управления безопасностью активов.

Структура стандарта ИСО/МЭК 13335 представлена на рисунке 1.3

Рисунок 1.3 - Структура стандарта ИСО/МЭК 13335

Рекомендации по выбору защитных мер представлены на рисунке 1.4.

Рисунок 1.4 - Рекомендации по выбору защитных мер

Защитные меры могут выполнять одну из нескольких функций: предотвращение, сдерживание, обнаружение, ограничение, исправление, восстановление, мониторинг, осведомление.

РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации»

Руководящий документ устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.

Требования к АС первой группы представлены в таблице 1.1

Таблица 1.1 - Требования к АС первой группы

Подсистемы и требования	Классы
	1Д	1Г	1В	1Б	1А
1	2	3	4	5	6
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему	+	+	+	+	+
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ	-	+	+	+	+
к программам	-	+	+	+	+
к томам, каталогам, файлам, записям, полям записей	-	+	+	+	+
1.2. Управление потоками информации	-	-	+	+	+
2. Подсистема регистрации и учета
2.1. Регистрация и учет: входа (выхода) субъектов доступа в (из) систему (узел сети)	+	+	+	+	+
выдачи печатных (графических) выходных документов	-	+	+	+	+
запуска (завершения) программ и процессов (заданий, задач)	-	+	+	+	+
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи	-	+	+	+	+
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей	-	+	+	+	+
изменения полномочий субъектов доступа	-	-	+	+	+
создаваемых защищаемых объектов доступа	-	-	+	+	+
2.2. Учет носителей информации	+	+	+	+	+
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ ивнешних накопителей	-	+	+	+	+
2.4. Сигнализация попыток нарушения защиты	-	-	+	+	+
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации	-	-	-	+	+
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах	-	-	-	-	+
3.3. Использование аттестованных (сертифицированных) криптографических средств	-	-	-	+	+
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации	+	+	+	+	+
4.2. Физическая охрана средств вычислительной техники и носителей информации	+	+	+	+	+
4.3. Наличие администратора (службы) защиты информации в АС	-	-	+	+	+
4.4. Периодическое тестирование СЗИ НСД	+	+	+	+	+
4.5. Наличие средств восстановления СЗИ НСД	+	+	+	+	+
4.6. Использование сертифицированных средств защиты	-	-	+	+	+

1.2 Предпроектное обследование объекта защиты

1.2.1 Описание топологии сети

В качестве физической среды передачи сигналов внутри локальной вычислительной сети управления ОАО «Газпром нефтехим Салават» используется неэкранированная витая пара utp категории 5e.

Коммутируемая ЛВС управления, поддерживающая технологию Gigabit Ethernet, построена на основе коммутаторов второго и третьего уровня фирм Cisco.

К сети управления подключены 121 рабочая станция с установленными лицензионными операционными системами Microsoft Windows XP Pro SP3

Информация компании обращается в 5 локальных сегментах. Информационные активы управления подразделяются на три уровня критичности: базовый, повышенный, высокий.

Сотрудники имеют регламентированный выход в Интернет, определяемый политикой безопасности организации. Упрощенный вид топологии ЛВС управления ОАО «Газпром нефтехим Салават» с указанием связи с другими сетями показан на рисунке 1.5.

Рисунок 1.5 - Топология ЛВС управления ОАО «Газпром нефтехим Салават»

1.2.2 Комплексный анализ информационных ресурсов

Острая необходимость защиты информационных активов в ЛВС управления обусловлена тем, что эффективное и непрерывное функционирование всего нефтехимического комплекса напрямую зависит от качества процессов управления.

Бизнес-процессы управлениян находятся в тесной зависимости с функционированием локальной сети, которая обеспечивает оперативную связь сотрудников предприятия между собой, а также их доступ к информации, хранящейся на серверах.

Подобные сведения необходимо защищать от возможности несанкционированного получения, использования посторонними лицами, а также их утечки через инсайдеров и других потенциальных угроз.

Организация комплексной и высокоэффективной СЗИ ЛВС является гарантом доступности, целостности и конфиденциальности важной корпоративной информации. Основными объектами ЗИ в управлении ОАО “ГПНХ Салават” являются объекты системы, такие как автоматизированные рабочие места и серверы компании, расположенные в специально оборудованных серверных.

Для представления сведений о ресурсах предприятия в систематизированном виде была разработана модель объекта защиты, которая представлена в таблице 1.2. Месторасположение ресурсов указано с учетом последующего сегментирования ЛВС.

Таблица 1.2 - Модель объекта защиты

№ ресурса	Тип ресурса
1	Средства вычислительной техники
№ элемента ресурса	Наиме-нование элемента ресурса	Встроенные сервисы безопасности	Поддерживаемые LAN-протоколы	Место расположение ресурса	Уровень физического доступа
1.1	Сервер 1С	Стандартные средства безопасности Windows Server 2003 (журнал безопасности, управление карантином доступа к сети NAQC, поддержка 802.1x и др.), средство идентификации и аутентификации администратора, ACL-списки контроля доступа	Ethernet, Fast Ethernet, Gigabit Ethernet	C2, серверная 2	Высокий - системные администраторы
1.2	Почтовый сервер, сервер антивирусной защиты внутреннего трафика	Стандартные средства безопасности Windows Server 2003 (журнал безопасности, управление карантином доступа к сети NAQC, поддержка 802.1x и др.), средство идентификации и аутентификации администратора, ACL-списки контроля доступа	Ethernet, Fast Ethernet, Gigabit Ethernet	С2, серверная 2	Высокий -системные администраторы
1.3	Внутренний web-сервер	Стандартные средства безопасности Windows Server 2003 (журнал безопасности, управление карантином доступа к сети NAQC, поддержка 802.1x и др.), средство идентификации и аутентификации администратора, ACL-списки контроля доступа	Ethernet, Fast Ethernet, Gigabit Ethernet	С2, серверная 2	Высокий - системные администраторы
1.4	Сервер технологических приложений, сервер БД	Стандартные средства безопасности Windows Server 2003 (журнал безопасности, управление карантином доступа к сети NAQC, поддержка 802.1x и др.), средство идентификации и аутентификации администратора, ACL-списки контроля доступа	Ethernet, Fast Ethernet, Gigabit Ethernet	С2, серверная 2	Высокий -системные администраторы
1.5	Сервер - контроллер домена	Стандартные средства безопасности Windows Server 2003 (журнал безопасности, управление карантином доступа к сети NAQC, поддержка 802.1x и др.), средство идентификации и аутентификации администратора, ACL-списки контроля доступа	Ethernet, Fast Ethernet, Gigabit Ethernet	Серверная 1, С1	Высокий -системные администраторы
1.6	DNS - сервер, сервер- антиспам, сервер антивирусной защиты внешнего почтового и HTTP- трафика, прокси-сервер, внешний web-сервер	Стандартные средства безопасности Windows Server 2003 (журнал безопасности, управление карантином доступа к сети NAQC, поддержка 802.1x и др.) - для внешнего web-сервера, средство идентификации и аутентификации администратора, ACL - списки контроля доступа	Ethernet, Fast Ethernet, Gigabit Ethernet	Серверная, С1	Высокий -системные администраторы
1.7	Рабочие станции сотрудников	Стандартные средства безопасности Windows XP SP3 (ACL-списки контроля доступа и др.), средство идентификации и аутентификации администратора	Ethernet, Fast Ethernet, Gigabit Ethernet	С2, С3, С4, С5	Базовый - доступ сотрудников к своим рабочим машинам

1.2.3 Анализ используемых сервисов безопасности

Основной целью функционирования коммерческого предприятия является получение прибыли. Извлечение максимальной прибыли возможно при условии обеспечения непрерывного производства и минимизации потерь, которые несет предприятие. В современном мире огромные убытки связываются, в первую очередь, с недостаточным вниманием к сфере информационной безопасности предприятия. Поэтому обеспечение ИБ должно стать ответственностью высшего руководства организации, разделяемой всеми ее членами.

Невозможно представить повседневный рабочий процесс современного предприятия без использования сетевой инфраструктуры.

Учитывая тот аспект, что объект обеспечивает управление нефтехимическим комплексом для его согласованной высокоэффективной работы и несет определенную ответственность за его функционирование, руководство компании уделяет огромное внимание построению современной и надежной СЗИ корпоративной системы передачи данных, в частности своей локальной сети.

Применительно к управлению ОАО “Газпром нефтехим Салават” основной задачей СОИБ является обеспечение конфиденциальности сведений, составляющих коммерческую тайну организации, доступности для санкционированных пользователей сведений, хранящихся на серверах и рабочих станциях компании, и целостности информационных активов в целях осуществления корректного управленческого процесса.

Объемы инвестиций в информационную безопасность - право выбора каждого руководителя. Однако эти вложения можно сократить до некоторого минимума при разумно спроектированной системе защиты.

На данный момент в компании существует некоторая система защиты информации ЛВС.

Для обеспечения контроля исходящих и входящих потоков информации на границе периметра в двух точках входа в ЛВС установлены межсетевые экраны Cisco PIX 515E, сертифицированные ФСТЭК РФ.

Подсистема обнаружения вирусов существующей СЗИ представляет собой антивирусные программные продукты компаний Dr.Web и Eset NOD32, имеющие сертификаты ФСТЭК РФ и установленные на рабочих станциях и серверах.

Для централизованного администрирования сетевыми объектами применяется служба каталогов Active Directory и инфраструктура доменов Windows, что упрощает процесс управления информационной безопасностью в ЛВС упрапвления. Все данные и настройки хранятся в централизованной базе данных.

1.2.4 Обоснование необходимости модернизации СЗИ

На сегодняшний день в ЛВС управления ОАО “Газпром нефтехим Салават” внедрена СЗИ. Меры защиты, представленные кластеризацией серверов и МЭ, антивирусным ПО на рабочих станциях и серверах и резервированием линий связи и некоторого сетевого оборудования, используются комплексно, и средства настроены согласно политике безопасности организации.

Сеть, построенная на оборудовании зарекомендовавших себя в сфере сетевых коммуникаций компаний Cisco, обеспечивает эффективную организацию рабочего процесса и необходимую связь с внешним миром.

Однако проблема внедрения и эксплуатации системы обеспечения информационной безопасности очевидна.

Во-первых, в связи с прогрессивным развитием ИТ методы проведения атак внешними злоумышленниками стали более изощренными, а следовательно, существенно возросли требования, предъявляемые к СЗИ.

Во-вторых, актуальность проблемы утечки конфиденциальной информации в результате случайных или умышленных действий сотрудников УК и лиц, проходящих практику в компании, требует введения соответствующих контрмер.

В-третьих, циркулирование внутри локального сегмента информации разного уровня критичности повышает риск нарушения её защищенности.

В-четвертых, существование единой точки сбоя в виде центрального коммутатора здания Cisco Catalyst 3560 вносит определенный риск нарушения доступности корпоративной информации.

Таким образом, детальный анализ исходного состояния объекта защиты показывает, что текущий уровень информационной безопасности УК не обеспечивает достаточной защиты информационных активов, вследствие чего возможна утечка конфиденциальной информации и несанкционированный доступ к ней.

Обобщая вышесказанное, можно заключить, что СЗИ ЛВС управления ОАО “Газпром нефтехим Салават” необходима модернизация. В результате модернизации должна быть построена комплексная система защиты информации локальной сети, которая позволит снизить риски экономических и иных видов потерь компании.

В целях модернизации СЗИ ЛВС УК должны быть решены следующие задачи:

1) провести анализ информационных потоков в организации на уровне ЛВС;

2) разработать перечень необходимых инженерно-технических мер и программно-аппаратных средств защиты;

3) провести сегментирование сети;

4) обеспечить резервирование центрального коммутатора здания;

5) дополнить имеющиеся средства защиты при необходимости новыми для обеспечения ответных мер на каждую возможную сетевую атаку, которые позволят отразить её или уменьшить потери от её проведения.

1.3 Модернизация существующей СЗИ

Заинтересованность некоторых субъектов и структур в ценной информации, касающейся деятельности нефтехимического комплекса и непосредственно управления, порождает необходимость построения надежной системы защиты корпоративных ресурсов, обрабатываемых в сети. В связи с существованием слабых мест в действующей СЗИ ЛВС, обозначенных в пункте 1.2.4 данного дипломного проекта, возникает необходимость модернизации системы защиты.

Таким образом, правильно спроектированный индивидуальный проект СЗИ дает следующие преимущества:

- минимизация инвестиционных вложений при условии достижения требуемых уровней защиты корпоративной информации от несанкционированного доступа, от утечки её в результате атак инсайдеров и других потенциально возможных угроз;

- возможность использования сотрудниками управления некоторых сетевых приложений, например, систем электронной коммерции, для организации более эффективного сотрудничества с поставщиками и партнерами предприятия, т.к. риски при работе с ними будут снижены до приемлемого уровня.

1.3.1 Разработка архитектуры СЗИ

К разрабатываемой СЗИ предъявляются следующие основные требования:

1. Непрерывность процесса защиты в пространстве и времени;

2. Целенаправленность;

3. Комплексность;

4. Совместимость существующей аппаратно-программной базы и внедряемых защитных средств;

5. Гибкость администрирования системы;

6. Удобство и простота применения защитных мер и средств.[16]

Одним из аспектов комплексности является использование различных средств защиты, функционирование которых должно быть согласованным.

Выбор состава подсистем был проведен после детального анализа возможных внешних и внутренних угроз в разных точках сети информационным активам, обрабатываемым в ЛВС управления ОАО «Газпром нефтехим Салават». Проектирование велось с учетом существующей базы средств защиты.

Т.к. рынок ИБ представлен обширным и разнообразным спектром средств от различных вендоров, невозможность детального рассмотрения всех продуктов очевидна.

Конечный вариант комплексных средств защиты информации определен с помощью научно-обоснованного метода линейной свертки. Таким образом, выбранный по данному методу конечный вариант системы будет обеспечивать требуемый уровень ИБ при минимизации инвестиционных вложений на покупку и внедрение системы. Средства сертифицированы ФСТЭК РФ по классу защищенности 1Г - 1Б [23].

Таблица 1.3 - Модель защиты

Функциональная подсистема	Элементарные альтернативы - средства защиты
Обнаружение виру сов по перимеиру	Symantec Web Security 3.0	Trend Micro Interscan Web (Messaging) Security Suite
Предотвращение атак	IBM Proventia Network IPS	StoneGate IPS	Форпост 1.1	Cisco IPS 4270-20
Межсетевое экранирование	Cisco PIX 515E
Контроль сетевого доступа (NAC)	StillSecure Safe Access 5.0	Symantec Network Access Control 10.0	Juniper Unified Access Control	Cisco NAC Appliance	McAfee NAC 2.5
Анализ защищенности	Internet Scanner 7.0	XSpider 7	Portable Penetrator 3.0
Разграничение доступа	Аккорд NT/2000 3.0	Dallas Lock 7.5	Secret Net 5.0 (сетевой)	Блокхост- сеть 2.0 (сетевой)	Страж NT 2.5
Обнаружение вирусов	Dr.Web 4.5	ESET NOD32 Business Edition v.3.0	Symantec Antivirus Enterprise Edition	STOKONA AntiVirus 3.1	Dr.Web v.4.5
Резервирование	Handy Backup Server 6.0	Paragon Drive Backup 10 Server	Acronis Backup&Recovery 10 Advanced Server
Защита от утечек информации	InfoWatch Traffic Monitor 3.3	Websense Data Security Suite 7.1
Шифрование информации при хранении	Secret Disk 4.0

Вышеобозначенные варианты защиты подвергаются анализу и оценке с помощью комплекса обоснованных критериев в целях осуществления выбора наиболее эффективного набора средств защиты.

1.3.2 Выбор критериев оценки

Для каждой функциональной подсистемы должны быть определены критерии, по которым будет произведено сравнение элементарных альтернатив (средств защиты), входящих в состав отдельных защитных подсистем.

В качестве критериев оценки межсетевых экранов были выбраны следующие свойства данных продуктов (таблица 1.4):

· Необходимый объем оперативной памяти;

· Число отслеживаемых систем обмена сообщениями

· Число отслеживаемых типов съемных устройств

· Режимы работы;

· Стоимость.

Таблица 1.4 - Критерии оценки подсистем защита от утечки информации

Альтернатива	Необходимый объем оператив-ной памяти, Гб	Число отслеживаемых систем обмена сообщениями	Число отслеживаемых типов съемных устройств	Режимы работы	Стоимость, руб.
InfoWatch Traffic Monitor 3.3	2	47	26	3	356 780
Websense Data Security Suite 7.1	4	26	8	5	448 000

В качестве критериев оценки подсистем контроля сетевого доступа (NAC) были выбраны следующие свойства данных продуктов (таблица 1.5):

· Производительность;

· Количество вариантов поддержки EAP

· Количество поддерживаемых операционных систем

· Количество поддерживаемых типов доступа;

· Стоимость.

Таблица 1.5 Критерии оценки подсистем контроля сетевого доступа (NAC)

Альтернатива	Производительность, Мб/с	Количество вариантов поддержки EAP	Количество поддержи-ваемых операционных систем	Количество поддерживаемых типов доступа	Стоимость, руб.
StillSecure Safe Ac-cess 5.0	250	5	3	8	380000
Symantec Network Access Control 10.0	350	2	3	8	480000
Juniper Unified Access Control	450	2	3	5	500 000
Cisco NAC Appliance	850	5	4	7	329 850
McAfee NAC 2.5	600	1	2	6	430 000

В качестве критериев оценки подсистем для анализа защищенности были выбраны следующие свойства данных продуктов (таблица 1.6):

· Скорость анализа;

· Необходимый объем оперативной памяти;

· Частота обновления баз

· Количество поддерживаемых ОС;

· Стоимость.

Таблица 1.6 - Критерии оценки подсистем для анализа защищенности

Альтернатива	Скорость анализа, Мб/с	Необходи-мый объем оператив-ной памяти, Мб	Частота обновления баз, дней	Количество поддерживаемых ОС	Стоимость, руб.
Internet Scanner 7.0	300	512	14	2	1914
XSpider 7	350	512	7	3	7850
Portable Penetrator 3.0	150	256	30	1	4530

В качестве критериев оценки подсистемы предотвращение атак были выбраны следующие свойства данных продуктов (таблица 1.7):

· Производительность;

· Количество методов выявления атак;

· Защищаемые сегменты

· Уровни обнаружения атак;

· Стоимость.

Таблица 1.7 - Критерии оценки подсистемы предотвращение атак

Альтернативы	Производительность, Мб/с	Коли-чество методов выявления атак	Защищаемые сегменты	Уровни обнаружения атак	Стоимость, руб.
IBM Proventia Network IPS GX 5008	400	4	4	4	784000
StoneGate IPS-1060	600	5	6	5	717000
Форпост 1.1	500	4	4	4	534400
Cisco IPS 4255	300	8	8	5	478800

В качестве критериев оценки подсистемы антивирусной защиты на периметре были выбраны следующие свойства данных продуктов (таблица 1.8):

· Необходимый объем оперативной памяти;

· Категории обнаруживаемых вредоносных программ;

· Режимы сканирования

· Возможности анализа событий безопаности;

· Стоимость.

Таблица 1.8 - Критерии оценки подсистем антивирусной защиты на периметре

Альтернативы	Необходимый объем оперативной памяти, Мб	Категории обнаруживаемых вредоносных программ	Режимы сканирования	Возможности анализа событий безопасности	Стоимость, руб.
InterScan Web Security Suite	2048	11	3	3	24258
Symantec Web Security	512	6	1	1	19359

В качестве критериев оценки подсистемы резервного копировани были выбраны следующие свойства данных продуктов (таблица 1.9):

· Степень сжатия информации при резервировании;

· Количество приложений, взаимодействующих со стратегией хранения;

· Время создания резервной копии данных объемом 20Гб;

· Стоимость.

Таблица 1.9 - Критерии оценки подсистем резервного копирования

Альтернативы	Степень сжатия информации при резервиро-вании, %	Количество приложений, взаимодействующих со стратегией хранения	Время создания резервной копии данных объемом 20Гб, мин	Стоимость, руб.
Handy Backup Server 6.0	63,5	4	20,43	2081
Acronis Back-up&Recovery11.0	58,9	5	11,23	3450
Paragon Drive Backup 10 Server	43,6	7	13,25	14100

В качестве критериев оценки cредств защиты информации от несанкционированного доступа были выбраны следующие свойства данных продуктов (таблица 1.10):

· Число поддерживаемых систем идентификации;

· Число поддерживаемых файловых систем;

· Количество сертификатов;

· Стоимость.

Таблица 1.10 - Критерии оценки cредств защиты информации от несанкционированного доступа

Альтернативы	Число поддерживаемых систем идентификации	Число поддерживаемых файловых систем	Количество сертификатов	Стоимость, руб.
Аккорд NT/2000 3.0	2	4	3	9177
Страж NT 2.5	2	3	1	6900
Secret Net 5.0 (сетевой)	4	2	3	6000
Dallas Lock 7.5	2	3	1	6000
Блокхост- сеть 2.0 (сетевой)	2	4	1	5650

1.3.3 Реализация метода линейной свертки для выбора средств защиты, результат выбора комплекса СЗИ

Согласно предлагаемому методу составим таблицы значений критериев в относительных единицах с соответствующими весами. Затем выберем ту альтернативу, у которой сумма значений критериев максимальна. Вид этой функции

где n - количество критериев;

- множество значений критериев;

- множество значений весов.

Критерии оценки подсистем защита от утечки информации в относительных единицах отображены в таблице 1.11

Таблица 1.11 - Критерии оценки подсистем защита от утечки информации в относительных единицах

Альтернатива	InfoWatch Traffic Monitor 3.3	Websense Data Security Suite 7.1	Вес коэффициента
Необходимый объем оперативной памяти, Гб	1	0.5	0.25
Число отслеживаемых систем обмена сообщениями	1	0.55	0.2
Число отслеживаемых типов съемных устройств	1	0.3	0.2
Режимы работы	0.6	1	0.1
Стоимость, руб.	1	0.8	0.25
Итого с учетом веса коэффи-циента	0.96	0.595

Выбрали средство InfoWatch Traffic Monitor 3.3 ( = 0.96)

Критерии оценки подсистем контроля сетевого доступа (NAC) в относительных единицах отображены в таблице 1.12

Таблица 1.12 - Критерии оценки подсистем контроля сетевого доступа (NAC) в относительных единицах

Альтернатива	StillSecure Safe Ac-cess 5.0	Symantec Network Access Control 10.0	Juniper Unified Access Control	Cisco NAC Appliance	McAfee NAC 2.5	Вес коэффициента
Производительность, Мб/с	0.25	0.41	0.52	1	0.7	0.1
Количество вариантов поддержки EAP	1	0.4	0.4	1	0.2	0.2
Количество поддерживаемых опнрационных систем	0.75	0.75	0.75	1	0.5	0.3
Количество поддерживаемых типов доступа	1	1	0.625	0.875	0.75	0.1
Стоимость, руб.	0.86	0.68	0.66	1	0.76	0.3
Итого с учетом веса коэффи-циента	0.861	0.69	0.66	0.9	0.61	-

Выбрали средство Cisco NAC Appliance ( = 0.9)

Критерии оценки подсистем для анализа защищенности в относительных единицах отображены в таблице 1.13

Таблица 1.13 - Критерии оценки подсистем для анализа защищенности в относительных единицах

Альтернатива	Internet Scanner 7.0	XSpider 7	Portable Penetrator 3.0	Вес коэффициента
Скорость анализа, Мб/с	0.86	1	0.43	0.25
Необходимый объем оператив-ной памяти, Мб	1	1	0.5	0.2
Частота обновления баз, дней	0.24	0.47	1	0.2
Количество поддерживаемых ОС	0.67	1	0.33	0.1
Стоимость, руб.	1	0.24	0.42	0.25
Итого с учетом веса коэффи-циента	0.78	0.7	0.55	-

Выбрали средство Internet Scanner 7.0 ( = 0.78)

Критерии оценки подсистемы предотвращение атак в относительных единицах отображены в таблице 1.14

Таблица 1.14 - Критерии оценки подсистемы предотвращение атак в относительных единицах

Альтернатива	IBM Proventia Network IPS GX 5008	StoneGate IPS-1060	Форпост 1.1	Cisco IPS 4255	Вес коэффициента
Производи-тельность, Мб/с	0.8	0.6	1	0.6	0.2
Количество методов выявле-ния атак	0.5	0.625	0.5	1	0.25
Защищаемые сегменты	0.5	0.75	0.5	1	0.2
Уровни обнаружения атак	0.667	1	0.667	0.834	0.25
Стоимость, руб.	0.61	0.668	0.896	1	0.1
Итого с учетом веса коэффи-циента	0.469	0.74	0.681	0.87	-

Выбрали средство Cisco IPS 4255 ( = 0.87)

Критерии оценки подсистем антивирусной защиты на периметре в относительных единицах отображены в таблице 1.15

Таблица 1.15 - Критерии оценки подсистем антивирусной защиты на периметре в относительных единицах

Альтернативы	InterScan Web Security Suite	Symantec Web Security	Вес коэффициента
Необходимый объем оперативной памяти, Мб	1	0.25	0.1
Категории обнаруживаемых вредоносных программ	1	0.54	0.2
Режимы сканирования	0.34	1	0.3
Возможности анализа событий безопасности	0.34	1	0.2
Стоимость, руб.	0.74	1	0.2
Итого с учетом веса коэффициента	0.618	0.833	-

Выбрали средство Symantec Web Security ( = 0.833)

Критерии оценки подсистем резервного копирования в относительных единицах отображены в таблице 1.16

Таблица 1.16 - Критерии оценки подсистем резервного копирования в относительных единицах

Альтернативы	Handy Backup Server 6.0	Acronis Back-up&Recovery11.0	Paragon Drive Backup 10 Server	Вес коэффициента
Степень сжатия информации при резервировании, %	1	0.93	0.69	0.25
Количество приложений, взаимодействующих со стратегией хранения	0.57	0.8	1	0.25
Время создания резервной копии данных объемом 20Гб, мин	0.54	1	0.65	0.2
Стоимость, руб.	1	0.6	0.15	0.3
Итого с учетом веса коэффи-циента	0.8	0.81	0.6	-

Выбрали средство Acronis Backup&Recovery 11.0 ( = 0.81)

Критерии оценки cредств защиты информации от несанкционированного доступа в относительных единицах отображены в таблице 1.17

Таблица 1.17 - Критерии оценки cредств защиты информации от несанкционированного доступа в относительных единицах

Альтернативы	Аккорд NT/2000 3.0	Страж NT 2.5	Secret Net 5.0 (сетевой)	Dallas Lock 7.5	Блокхостсеть	Вес коэффициента
Число поддерживаемых систем идентификации	0.5	0.5	1	0.5	0.5	0.25
Число поддерживаемых файловых систем	1	0.75	0.5	0.75	1	0.1
Количество сертификатов	1	0.334	1	0.334	0.334	0.3
Стоимость, руб.	0.61	0.81	0.94	0.94	1	0.35
Итого с учетом веса коэффициента	0.73	0.59	0.765	0.63	0.69	-

Выбрали средство Secret Net 5.0 ( = 0.765).

Результаты выбора рациональных вариантов построения СЗИ с учетом уровня критичности обрабатываемой информации представлены в таблице 1.18.

Таблица 1.18 - Результирующие варианты средств защиты

Место установки	Средства защиты	Необх. кол-во
Периметр сети	Trend Micro	Сisco PIX 515E	Cisco IPS 4270-20	2
Граница сегмента высокого уровня критич-ности	ФПСУ- IP 2.0	Cisco IPS 4270-20	Internet Scanner 7.0	Cisco NAC Appliance	2
Граница сегмента повышенного уровня критич-ности	ФПСУ- IP 2.0	Internet Scanner 7.0	Cisco NAC Appliance	4
Хост высокого уровня критич-ности	ESET NOD32 Business Edition	Acronis Backup & Recovery 10 Advanced Server	Secret Disk 4.1& Secret Disk Server NG 3.2	Secret Net 5.0-С (сетевой)	Cisco Desktop Security Agent 6.0	ФПСУ- IP/ Клиент 2.0	Infowatch Traffic Monitor 3.3	68
Хост повышенного уровня критич-ности	ESET NOD32 Business Edition	ФПСУ- IP/ Клиент 2.0	Secret Disk Server NG 3.2	Secret Net 5.0 -С (сетевой)	Acronis Backup Recovery 10 Advanced Server	51
Хост базового уровня критич-ности	Dr.Web	Secret Net 5.0 - С (сетевой)	Acronis Backup Recovery 10 Advanced Server	2

1.3.4 Анализ результатов модернизации СЗИ

Произведем расчет стоимости комплекса средств защиты и управления, входящих в состав спроектированной СЗИ, без учета затрат на внедрение, настройку и техническую поддержку.

На момент модернизации СЗИ в ЛВС уже были установлены и настроены некоторые средства защиты, такие как межсетевые экраны Cisco PIX 515E, антивирусное ПО ESET NOD32 Business Edition и Dr.Web. Данные средства сертифицированы ФСТЭК РФ и удовлетворяют требованиям технического задания, поэтому их замена не считается необходимой и, вследствие этого, не будет произведена.

Стоимость отдельных средств защиты и суммарная стоимость комплекса представлены в таблице 1.19 [29].

Таблица 1.19 - Список оборудования и программных средств для модернизации СЗИ

№ п/п	Наименование	Количество	Стоимость, руб.
1	InterScan Messaging Security Suite (26 лицензий-минимальное количество для приобретения)	1	24 258
2	Cisco IPS 4270-20	1	89 995
3	ФПСУ-IP 2.0	5	65 600
4	ФПСУ-IP/Клиент 2.0	119	2 891
5	Internet Scanner 7.0	119	1 914
6	Cisco NAC Appliance	1	329 850
7	Acronis Backup & Recovery 10 Advanced Server	6	33 956
9	Secret Disk 4.1 (установочный CD+лицензия+USB-ключ)	65	6 400
11	Secret Net 5.0-C (сетевой вариант):	6	88 500
12.1	Cisco Security Desktop Agent 6.0	65	1 950
13	Комплекс Infowatch Traffic Monitor 3.3:	1	356 780
Итоговая стоимость комплекса средств:	2 612 768

В результате была спроектирована комплексная система защиты информации, обеспечивающая класс защищенности АС не менее 1Г, что удовлетворяет требованию технического задания.

Сумма инвестиционных вложений в обновление СЗИ ЛВС управления ОАО «Газпром нефтехим Салават» составит 2 612 768 рублей 00 копеек, что является приемлемым в сравнении с ценностью корпоративных информационных активов и удовлетворяет требованию технического задания.

1.4 Специальная часть. Настройка аудита доменных служб Active Directory в Windows Server 2008 R2

В Windows Server 2008 по сравнению с предыдущей Windows Server 2003 обновлены возможности подсистемы аудита, настраиваемые через политики безопасности, а количество отслеживаемых параметров увеличено на 53. В Windows Server 2003 существовала только политика Аудит доступа к службе каталогов, контролировавшая включение и отключение аудита событий службы каталогов. Теперь управлять аудитом можно на уровне категорий. Например, политики аудита Active Directory разделены на 4 категории, в каждой из которых настраиваются специфические параметры:

- Directory Service Access (доступ к службе каталогов);

- Directory Service Changes (изменения службы каталогов);

- Directory Service Replication (репликация службы каталогов);

- Detailed Directory Service Replication (подробная репликация службы каталогов).

При включении глобальной политики аудита Аудит доступа к службе каталогов автоматически активируются все подкатегории политики служб каталогов.

Система аудита в Windows Server 2008 отслеживает все попытки создания, изменения, перемещения и восстановление объектов. В журнал записывается предыдущее и текущее значения измененного атрибута и учетная запись пользователя, выполнившего операцию. Но если при создании объектов для атрибутов использовались параметры по умолчанию, их значения в журнал не заносятся.

В Windows Server 2008 R2 аудит внедряется при помощи:

-- глобальной политики аудита (Global Audit Policy, GAP);

-- списка управления доступом (System access control list, SACL) -- определяет операции, для которых будет производиться аудит;

-- схемы - используется для окончательного формирования списка событий.

По умолчанию для клиентских систем аудит отключен, для серверных активна подкатегория Доступ к службе каталогов Active Directory, остальные отключены. Для включения глобальной политики “Аудит доступа к службе каталогов” (Audit directory service access) необходимо вызвать Редактор управления групповыми политиками перейти в ветку Параметры безопасности/Локальные политики/Политика аудита, где активировать политику и установить контролируемые события (успех, отказ).



Рисунок 1.6 - Включение политики аудита Directory Service Access

Второй путь -- использовать для настройки утилиту командной строки auditpol, получить полный список GAP с установленными параметрами. При помощи auditpol достаточно ввести команду:

Рисунок 1.7 - Получаем список установок при помощи auditpol

Активируем политику “directory service access”:

> auditpol /set /subcategory:"directory service changes" /success:enable

Рисунок 1.8 - Просмотр событий при помощи Event Viewer

В качестве альтернативного варианта просмотра событий можно использовать командлет Get-EventLog оболочки PowerShell. Например:

PS> Get-EventLog security | ?{$_.eventid -eq 4662}



Рисунок 1.9 - Получаем список событий при помощи Get-EventLog

Кроме этого, регистрируется ряд других событий 5136 (изменение атрибута), 5137 (создание атрибута), 5138 (отмена удаления атрибута) и 5139 (перемещение атрибута).

Для удобства отбора определенных событий в консоли Просмотр событий используют фильтры и настраиваемые представления, а также подписку, позволяющую собирать данные журналов и с других серверов.

В ветке Политика аудита также активируются и другие возможности (см.рис.1): аудит входа/выхода в систему, аудит управления учетными записями, доступ к объектам, изменения политик и так далее. Например, настроим аудит доступа к объектам на примере папки с общим доступом. Для этого активируем, как рассказано выше, политику Audit object access, затем выбираем папку и вызываем меню Свойства папки, в котором переходим в подпункт Безопасность и нажимаем кнопку Дополнительно. Теперь в открывшемся окне “Дополнительные параметры безопасности для …” переходим во вкладку Аудит и нажимаем кнопку Изменить и затем Добавить и указываем учетную запись или группу, для которой будет осуществляться аудит. Далее отмечаем отслеживаемые события (выполнение, чтение, создание файлов и др.) и результат (успех или отказ). При помощи списка “Применять” указываем область применения политики аудита. Подтверждаем изменения.

Рисунок 1.10 - Настраиваем аудит папки с общим доступом

Теперь все указанные операции будут отображаться в журнале безопасности.

Чтобы упростить настройку аудита при большом количестве объектов, следует активировать флажокНаследование параметров от родительского объекта. При этом в поле Унаследовано от будет показан родительский объект, от которого взяты настройки.

Больший контроль событий, записываемых в журнал, достигается применением политики детализированного аудита (Granular Audit Policy), которая настраивается в Параметры безопасности/Локальные политики/Advanced Audit Policy Configuration. Здесь 10 подпунктов:

-- Вход учетной записи - аудит проверки учетных данных, службы проверки подлинности Kerberos, операции с билетами службы Kerberos, другие события входа;

-- Управление учетными записями - аудит управления группами приложений, учетными записями компьютеров и пользователей, группами безопасности и распространения;

-- Подробное отслеживание - событий RPC и DPAPI, создания и завершения процессов;

-- Доступ к службе каталогов DS - аудит доступа, изменений, репликации и подробной репликации службы каталогов;

-- Вход/выход - аудит блокировки учетных записей, входа и выхода в систему, использования IPSec, сервера политики сети;

-- Доступ к объектам - аудит объектов ядра, работы с дескрипторами, событий создаваемых приложениями, служб сертификации, файловой системы, общих папок, платформой фильтрации;

-- Изменение политики - изменения политики аудита, проверки подлинности, авторизации, платформы фильтрации, правил службы защиты MPSSVC и другие;

-- Использование прав - аудит прав доступа к различным категориям данных;

-- Система - аудит целостности системы, изменения и расширения состояния безопасности, драйвера IPSec и других событий;

-- Аудит доступа к глобальным объектам - аудит файловой системы и реестра.

Рисунок 1.11 - Доступные настройки Advanced Audit Policy Configuration

Активация аудита управления учетными записями пользователей позволит отслеживать: создание, изменение, удаление, блокировку, включение и прочие настройки учетных записей, в том числе пароль и разрешения. Посмотрим, как она работает на практике -- выбираем подкатегорию User Account Management и активируем. Команда для auditpol выглядит так:

> auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable > gpudate

Система аудита в консоли Просмотр события сразу покажет событие с номером 4719 Изменение параметров аудита, в котором показаны название политики и новые значения.

Рисунок 1.12 - Фиксация изменения политики системой аудита

Чтобы создать событие, откроем консоль Active Directory - пользователи и компьютеры и изменим один из параметров любой учетной записи -- например, добавим пользователя в группу безопасности. В консоли Просмотра события сразу будут сгенерировано несколько событий: события с номером 4732 и 4735, показывающие изменение состава группы безопасности, и добавление учетной записи новой группы безопасности (на рис.8 выделены фиолетовым).

Создадим новую учетную запись - система генерирует несколько событий: 4720 (создание новой учетной записи), 4724 (попытка сброса пароля учетной записи), несколько событий с кодом 4738 (изменение учетной записи) и, наконец, 4722 (включение новой учетной записи). По данным аудита администратор может отследить старое и новое значение атрибута -- например, при создании учетной записи меняется значение UAC.

Рисунок 1.13 - При создании новой учетной записи система аудита Windows Server 2008 генерирует несколько событий

1.4.2. Недостатки штатной системы аудита

Штатные инструменты операционной системы часто предлагают лишь базовые наборы средств анализа. Официальная документация очень подобно расписывает возможности самого инструмента, практически мало помогая в выборе параметров, изменения которых необходимо отслеживать. В итоге решение этой задачи целиком ложится на плечи администратора, который должен полностью разбираться в технических аспектах аудита, и зависит от уровня его подготовки, а значит, велика вероятность ошибки. Кроме того, на его плечи ложится анализ результата, построение разнообразных отчетов.

Для удобства выбора определенных событий интерфейс консоли Event Viewer позволяет создавать фильтры и настраиваемые представления. В качестве параметров для отбора данных можно указать: дату, журнал и источник событий, уровень (критическое, предупреждение, ошибка и т.д.), код, пользователя или компьютер и ключевые слова. В организации может быть большое количество пользователей, объединенных в группы и подразделения, для которых аудит необходимо настроить персонально, но данная возможность в интерфейсе не предусмотрена.

Рисунок 1.14 - Настройка фильтра событий в консоли Event Viewer

В случае срабатывания правил в настраиваемом представлении можно создать задачу (меню Привязать задачу к событию): запустить программу, отправить сообщен

Рисунок 1.15 - Создание задачи в консоли Event Viewer

Но, опять же, реализация оповещений, в частности выбор событий, полностью лежит на администраторе.

В случае необходимости отката измененного атрибута к предыдущему значению это действие выполняется вручную - консоль лишь показывает значение параметров.

Рисунок 1.16 - Система аудита Windows Server 2008 - значение атрибута

Некоторые стандарты безопасности требуют хранения данных, собранных в процессе аудита, в течение продолжительного времени (например, SOX до 7 лет). Системными средствами реализовать это можно, но очень сложно. Размер журнала безопасности (как и других) ограничен 128 Мб, и при большом количестве событий данные могут быть перезаписаны (т.е. утеряны) уже через несколько часов. Чтобы этого избежать, необходимо вызвать окно свойств журнала в Event Viewer, где увеличить размер журнала и активировать его архивацию, установив флажок в “Архивировать журнал при заполнении. Не перезаписывать события”.

Рисунок 1.17 - Опции увеличения размера журнала и архивации

2. Расчет рисков нарушения информационной безопасности

2.1 Общие сведения о существующих средствах автоматизации расчета рисков

На сегодняшний день наиболее распространенными комплексами анализа и контроля информационных рисков являются: британский CRAMM (компания Insight Consulting), американский RiskWatch (компания RiskWatch) и российский ГРИФ (компания Digital Security). Рассмотрим далее данные методы и построенные на их базе программные системы.

2.1.1 Программное средство CRAMM

В основе CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций - Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.