Совершенствование системы информационной безопасности в помещениях ОАО "Расчет"
Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 19.12.2012 |
| Размер файла | 4,5 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru
Размещено на http://www.allbest.ru
ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ
I. Аналитическая часть
1.1 Технико-экономическая характеристика предметной области и предприятия
1.1.1 Общая характеристика предметной области
1.1.2 Организационно-функциональная структура предприятия
1.2 Анализ рисков информационной безопасности
1.2.2 Оценка уязвимостей активов
1.2.3 Оценка угроз активам
1.2.4 Оценка существующих и планируемых средств защиты
1.2.5 Оценка рисков
1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии
1.3.1 Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих рисков, характеристика существующих средств информационной безопасности
1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации
1.4 Выбор защитных мер
1.4.1 Выбор организационных мер
1.4.2 Выбор организационных мер
II. Проектная часть
2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия
2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия
2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. Политика информационной безопасности предприятия
2.2 Комплекс внедряемых (разрабатываемых) программно-аппаратных средств обеспечения информационной безопасности
2.2.1 Основные сведения о внедряемых программно-аппаратных средствах обеспечения информационной безопасности
2.2.2 Контрольный пример реализации проекта и его описание
III. Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
ПРИЛОЖЕНИЯ
ВВЕДЕНИЕ
информационная безопасность риск защита
Электронная информация уязвима к атакам хищения, осуществляемым как внешними, так и внутренними нарушителями с целью промышленного шпионажа, вымогательства, поддержки преступных организаций, вандализма, отмщения или хвастовства. Хищение информации может привести к потере интеллектуальной собственности, раскрытию конфиденциальной информации клиентов, снижению репутации компании и привлечению к ответственности за несоблюдение установленных правовых норм.
Данный дипломный проект будет решать проблему с обеспечением информационной безопасности в помещениях ОАО "Расчет".
За данным предприятием закреплена отрасль боеприпасов и спецхимии, что накладывает на предприятие ответственность за хранимые им данные и документы. В свою очередь это означает, что предприятие должно обеспечивать повышенную защиту информации. Однако информационная безопасность(ИБ) некогда не бывает совершенна. За все свое существование на предприятии происходили кражи компьютеров, умудряясь вынести их из окна. Из-за этого предприятие понесло немало убытков, однако сумело восстановить всю утраченную информацию из архивов. Хоть с того времени информационная безопасность была повышена, степень угрозы кражи не была снижена.
Также у предприятия существует немало конкурентов, готовые в любое время перенять на себя обязанности и договоры предприятия. А так же из-за хранимой секретной информации на предприятие может периодически происходить попытки информационной кражи по различным каналам связи.
Цель дипломного проекта является сведение к минимуму данных угроз, применяя наиболее эффективные и приемлемые по цене предлагаемые решения по их устранению.
I. Аналитическая часть
1.1 Технико-экономическая характеристика предметной области и предприятия
1.1.1 Общая характеристика предметной области
Основное направление деятельности ОАО «Расчет»:
координация, научно-техническое и организационно-методическое руководство работами в отрасли по проектированию и промышленной эксплуатации автоматизированной с применением ЭВМ системы управления государственным оборонным заказом, выпуском и поставкой боеприпасов и спецхимии для федеральных государственных нужд, информационных технологий, систем прикладного, сервисного, программного обеспечения, информационно-справочных систем, баз и банков данных и информационных САLS-технологий;
исследование, разработка и эксплуатация совместно с предприятиями и организациями Минобороны России информационно-справочных и автоматизированных с применением ЭВМ систем учета наличия, движения прогнозирования и оценке качественного состояния вооружения, техники, боеприпасов и спецхимии;
исследование, разработка и эксплуатация совместно с предприятиями и организациями Минобороны России и другими государственными заказчиками информационно-справочных автоматизированных с применением ЭВМ систем учета обращения вооружения, техники, боеприпасов и спецхимии для федеральных государственных нужд;
разработка, актуализация и хранение отраслевого банка данных конструкторской, нормативной и иной документации по боеприпасам и спецхимии (классификаторы продукции, технические ведомости комплектации, схемы прохождения, каталоги цен, нормы расхода сырья и материалов, нормы погрузки, нормы на испытания и т.д.), сведения по технологическому оборудованию, производственным мощностям, площадям, другим технико-экономическим показателям предприятий отрасли в т.ч. мобилизационного характера.
Таблица 1.
Основные характеристики видов деятельности
|
№ п\п |
Наименование характеристики |
Приблизительное значение показателя |
|
|
1. |
Кол-во обрабатываемых документов |
18 600 документов/год. |
|
|
2. |
Контракты и договоры |
5 000 000 руб./год. |
|
|
3. |
Разработка программного обеспечения |
10 000 000 руб./год. |
|
|
4. |
Характеристика деятельности службы безопасности |
0,8 |
|
|
5. |
Ущерб от реализованной угрозы информационным ресурсам |
300 000 руб. |
1.1.2 Организационно-функциональная структура предприятия
На предприятии функционируют два научно-исследовательских «обоснования структурных преобразований отрасли» и «системного анализа и обоснования Федеральных целевых и Государственных программ». Каждый из них состоит из нескольких отделов (смотрите рисунок 1).
В первый входят отделы «системного анализа финансово-экономического состояния предприятий и обоснования структурных преобразований отрасли», «сбора и обработки статистической и бухгалтерской отчетности» и «разработки, внедрения и сопровождения программных средств». Отдел «системного анализа финансово-экономического состояния предприятий и обоснования структурных преобразований отрасли» занимается формирования аналитических отчетов, а так же делают прогнозы на следующие периоды. Отдел «сбора и обработки статистической и бухгалтерской отчетности» занимается сбором и обработкой отчетных форм присылаемых с предприятий закрепленной отрасли, а так же в отделе занимаются разработкой приложений для внутреннего пользования.
Размещено на http://www.allbest.ru
Размещено на http://www.allbest.ru
Размещено на http://www.allbest.ru
Размещено на http://www.allbest.ru
Во втором находятся отделы «системного анализа, координации, формирования ФЦП и мониторинга НИОКР», «системного анализа и мониторинга инвестиционных проектов» и «системного анализа, ГОЗ, плана РГ, программ ВТС». Данные отделы ведут работы по отдельным контрактам.
Отдел материально-технического обеспечения и технического обслуживания по большей мере является IT-отделом. Он занимается закупкой, выдачей и хранение на складе закупаемых аксессуаров. Так же этот отдел обеспечивает постоянную техническую поддержку и обслуживание на предприятие. В этом же отделе находится администратор безопасности.
1.2 Анализ рисков информационной безопасности
1.2.1 Идентификация и оценка информационных активов
Оценка активов организации является важным этапом в общем процессе анализа риска. Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и юридическому лицу, ведущему деловую деятельность. Чтобы выполнить оценку активов, организация сначала должна провести инвентаризацию своих активов. Для обеспечения полного учета активов часто полезно сгруппировать их по типам, например информационные активы, активы программного обеспечения, физические активы и услуги. Целесообразно также назначить «владельцев» активов, которые будут нести ответственность за определение их ценности.
Следующий этап -- согласование масштабов оценки, которая должна быть произведена, и критериев определения конкретной стоимости активов. Из-за разнообразия активов большинства организаций весьма вероятно, что некоторые активы из тех, что могут быть оценены в денежных единицах, будут оцениваться в местной валюте, в то время как другие активы могут оцениваться по качественной шкале в диапазоне от «очень низкой» до «очень высокой» цены. Решение использовать количественную или качественную оценку принимает конкретная организация, но при этом выбранный тип оценки должен соответствовать подлежащим оценке активам. Для одного и того же актива могут быть использованы также оба типа оценки.
Типичными терминами, используемыми для качественной оценки ценности активов, являются: «пренебрежимо малая», «очень малая», «малая», «средняя», «высокая», «очень высокая», «имеющая критическое значение». Выбор и диапазон терминов, являющихся подходящими для данной организации, в значительной степени зависят от потребностей организации в безопасности, величины этой организации, а также других, специфичных для данной организации факторов.
Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться в однозначных (недвусмысленных) терминах. С этим часто бывают связаны наиболее сложные аспекты оценки активов, поскольку ценность некоторых из них приходится определять субъективно. Поэтому для определения ценности активов целесообразно привлекать достаточно большое число разных людей. Возможны следующие критерии определения ценности активов: первоначальная стоимость актива, стоимость его обновления или воссоздания. Ценность актива может также носить нематериальный характер, например цена доброго имени или репутации компании.
Кроме того, организация может устанавливать собственные пределы ценности активов (например «малая», «средняя» и «высокая»). Эти пределы должны быть оценены по выбранным критериям, например, возможные финансовые потери следует оценивать в денежных единицах, тогда как при оценке по критерию угрозы для личной безопасности оценка в денежных единицах окажется непригодной. В конечном счете организация сама должна решить, какой ущерб считать малым, а какой -- большим. Ущерб, который может стать бедственным для маленькой организации, для очень крупной организации может быть сочтен малым или даже пренебрежимо малым.
В таблице 2 представим наиболее используемые и важные активы.
Размещено на http://www.allbest.ru
Таблица 2.
Оценка информационных активов предприятия
|
Вид деятельности |
Наименование актива |
Форма представления |
Владелец актива |
Критерии определения стоимости |
Размерность оценки |
||
|
Количественная оценка |
Качественная |
||||||
|
Информационные активы |
|||||||
|
обработка документов |
Документы |
Бумажный документ и электронный вид документа. |
Отдел сбора и обработки статистической и бухгалтерской отчетности |
Первоначальная стоимость актива |
малая |
||
|
обработка документов |
БД компании |
Электронный носитель |
Отдел сбора и обработки статистической и бухгалтерской отчетности |
Первоначальная стоимость актива |
средняя |
||
|
Количественная оценка |
Качественная |
||||||
|
доступ к информационным ресурсам |
БД компании |
Электронный носитель |
Отдел материально-технического обеспечения и технического обслуживания; Сотрудники научно-исследовательских центров. |
Первоначальная стоимость актива |
средняя |
||
|
обмен корреспонденцией |
Файлы электронной почты, стандарты форм, справочники, приказы |
Электронный носитель |
Все сотрудники |
Первоначальная стоимость актива |
малая |
||
|
Активы программного обеспечения |
|||||||
|
обработка документов |
Офисные программы; |
Электронный носитель |
Сотрудники |
Первоначальная стоимость актива |
малая |
||
|
обеспечение непрерывной работы |
Системное ПО; Антивирусное ПО |
Электронный носитель |
Отдел материально-технического обеспечения и технического обслуживания |
Первоначальная стоимость актива |
средняя |
||
|
Количественная оценка |
Качественная |
||||||
|
защита данных |
Страж NT |
Электронный носитель |
Отдел материально-технического обеспечения и технического обслуживания |
Первоначальная стоимость актива |
высокая |
||
|
управление данными |
СУБД MS SQL Server |
Электронный носитель |
Отдел материально-технического обеспечения и технического обслуживания |
Первоначальная стоимость актива |
высокая |
||
|
Количественная оценка |
Качественная |
||||||
|
обработка документов |
ПО «СПД» |
Электронный носитель |
Отдел сбора и обработки статистической и бухгалтерской отчетности |
Первоначальная стоимость актива |
средняя |
||
|
Разработка программного обеспечения по конкурсам |
Разрабатываемое ПО |
Электронный носитель |
Отдел разработки, внедрения и сопровождения программных средств |
Первоначальная стоимость актива |
высокая |
||
|
Физические активы |
|||||||
|
доступ к информационным ресурсам |
Аппаратные средства (компьютеры, принтера, факсы) |
Материальный объект |
Сотрудники |
Первоначальная стоимость актива |
очень высокая |
||
|
Количественная оценка |
Качественная |
||||||
|
хранение данных |
Сервера |
Материальный объект |
Отдел материально-технического обеспечения и технического обслуживания |
Первоначальная стоимость актива |
высокая |
Размещено на http://www.allbest.ru
Таблица 3.
Перечень сведений конфиденциального характера ОАО «Расчет»
|
№ п/п |
Наименование сведений |
Гриф конфиденциальности |
Нормативный документ, реквизиты, №№ статей |
|
|
1. |
Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа. |
ДСП |
Федеральный закон №24-ФЗ1995г. |
|
|
2. |
Требования по обеспечению сохранения служебной тайны сотрудниками предприятия. |
ДСП |
Гражданский кодекс РФ ст.139 |
|
|
3. |
Персональные данные сотрудников |
Конфиденциально |
Федеральный закон 152-Ф3 |
Таблица 4.
Результаты ранжирования активов
|
Наименование актива |
Ценность актива (ранг) |
|
|
Обработка документов (ПО) |
1 |
|
|
Обеспечение непрерывной работы (ПО) |
2 |
|
|
Обмен корреспонденцией |
2 |
|
|
Защита данных (ПО) |
3 |
|
|
Управление данными (ПО) |
3 |
|
|
Обработка документов (ПО) |
3 |
|
|
Доступ к информационным ресурсам |
3 |
|
|
Пользовательские компьютеры |
4 |
|
|
Документы |
4 |
|
|
Наименование актива |
Ценность актива (ранг) |
|
|
Разработка программного обеспечения по конкурсам |
5 |
|
|
Сервера |
5 |
|
|
Доступ к информационным ресурсам (БД) |
5 |
Активы, имеющие наибольшую ценность:
1. Сервера
2. Доступ к информационным ресурсам (БД)
3. Программное обеспечение
4. Документы
5. Компьютеры
1.2.2 Оценка уязвимостей активов
Уязвимость - некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации (определение сформулировано на сонове документа ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»). Т.е. уязвимыми являются компоненты системы, наиболее подверженные к угрозам.
Согласно описанным выше функциям рассматриваемой ИС наиболее уязвимыми являются программно-аппаратные средства, осуществляющие сбор, передачу, обработку, хранение и другие операции с информацией, в том числе с конфиденциальными и персональными данными.
Производя атаку, нарушитель использует уязвимости информационной системы. Если нет уязвимости, то невозможна и атака, которая использует ее. Поэтому одним из важнейших механизмов защиты является процесс поиска и устранения уязвимостей информационной системы. Для создания базы данных уязвимостей необходимо рассмотреть различные варианты классификаций уязвимостей.
Классификация уязвимостей по степени риска:
* высокий уровень риска -- уязвимость позволяет атакующему получить доступ к узлу с правами администратора в обход средств защиты;
* средний уровень риска -- уязвимость позволяет атакующему получить информацию, которая с высокой степенью вероятности позволит получить доступ к узлу;
* низкий уровень риска -- уязвимости, позволяющие злоумышленнику осуществлять сбор критической информации о системе.
Такая классификация используется для оценки степени критичности уязвимостей при определении качества защищенности ИС. Этот вариант классификации достаточно условный и разные источники предлагают свои варианты такой классификации. Соответственно, это очень субъективный метод классификации уязвимостей. Рассмотрим такую классификацию в таблице 5.
Таблица 5.
Результаты оценки уязвимости активов
|
Группа уязвимостей Содержание уязвимости |
Сервера |
БД |
ПО |
Документы |
ПК |
|
|
1. Среда и инфраструктура |
||||||
|
Отсутствие физической защиты зданий, дверей и окон |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Неправильное или халатное использование физических средств управления доступом в здания, помещения |
средняя |
низкая |
низкая |
средняя |
высокая |
|
|
Нестабильная работа электросети |
средняя |
средняя |
средняя |
средняя |
средняя |
|
|
Размещение в зонах возможного затопления |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
2. Аппаратное обеспечение |
||||||
|
Подверженность колебаниям напряжения |
низкая |
средняя |
средняя |
низкая |
низкая |
|
|
Подверженность температурным колебаниям |
средняя |
низкая |
низкая |
низкая |
низкая |
|
|
Подверженность воздействию влаги, пыли, загрязнения |
средняя |
низкая |
низкая |
низкая |
низкая |
|
|
Чувствительность к воздействию электромагнитного излучения |
низкая |
средняя |
средняя |
низкая |
низкая |
|
|
Недостаточное обслуживание/неправильная инсталляция запоминающих сред |
низкая |
средняя |
средняя |
низкая |
низкая |
|
|
Отсутствие контроля за эффективным изменением конфигурации |
низкая |
низкая |
средняя |
средняя |
средняя |
|
|
3. Программное обеспечение |
||||||
|
Неясные или неполные технические требования к разработке средств программного обеспечения |
низкая |
низкая |
средняя |
высокое |
низкая |
|
|
Отсутствие тестирования или недостаточное тестирование программного обеспечения |
низкая |
средняя |
средняя |
средняя |
средняя |
|
|
Сложный пользовательский интерфейс |
низкая |
низкая |
средняя |
высокая |
низкая |
|
|
Отсутствие механизмов идентификации и аутентификации, например аутентификации пользователей |
низкая |
средняя |
низкая |
низкая |
низкая |
|
|
Отсутствие аудиторской проверки |
низкая |
низкая |
низкая |
низкая |
средняя |
|
|
Хорошо известные дефекты программного обеспечения |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Незащищенные таблицы паролей |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Плохое управление паролями |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Неправильное присвоение прав доступа |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Неконтролируемая загрузка и использование программного обеспечения |
низкая |
низкая |
низкая |
средняя |
средняя |
|
|
Отсутствие регистрации конца сеанса при выходе с рабочей станции |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Отсутствие эффективного контроля внесения изменений |
низкая |
низкая |
средняя |
средняя |
низкая |
|
|
Отсутствие документации |
низкая |
средняя |
средняя |
средняя |
низкая |
|
|
Отсутствие резервных копий |
низкая |
низкая |
средняя |
средняя |
низкая |
|
|
Списание или повторное использование запоминающих сред без надлежащего стирания записей |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
4. Коммуникации |
||||||
|
Незащищенные линии связи |
низкая |
низкая |
низкая |
средняя |
низкая |
|
|
Неудовлетворительная стыковка кабелей |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Отсутствие идентификации и аутентификации отправителя и получателя |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Пересылка паролей открытым текстом |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Отсутствие подтверждений посылки или получения сообщения |
низкая |
низкая |
низкая |
средняя |
низкая |
|
|
Коммутируемые линии |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Незащищенные потоки конфиденциальной информации |
низкая |
низкая |
низкая |
средняя |
низкая |
|
|
Неадекватное управление сетью |
низкая |
средняя |
средняя |
средняя |
низкая |
|
|
Незащищенные подключения к сетям общего пользования |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
5. Документы (документооборот) |
||||||
|
Хранение в незащищенных местах |
низкая |
средняя |
средняя |
низкая |
низкая |
|
|
Недостаточная внимательность при уничтожении |
низкая |
средняя |
высокая |
средняя |
низкая |
|
|
Бесконтрольное копирование |
низкая |
высокая |
высокая |
низкая |
низкая |
|
|
6.Персонал |
||||||
|
Отсутствие персонала |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц |
низкая |
низкая |
низкая |
средняя |
средняя |
|
|
Недостаточная подготовка персонала по вопросам обеспечения безопасности |
низкая |
низкая |
средняя |
средняя |
низкая |
|
|
Отсутствие необходимых знаний по вопросам безопасности |
низкая |
средняя |
средняя |
средняя |
низкая |
|
|
Неправильное использование программно-аппаратного обеспечения |
низкая |
средняя |
средняя |
средняя |
низкая |
|
|
Отсутствие механизмов отслеживания |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Отсутствие политики правильного пользования телекоммуникационными системами для обмена сообщениями |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Несоответствующие процедуры набора кадров |
низкая |
низкая |
низкая |
средняя |
низкая |
|
|
7. Общие уязвимые места |
||||||
|
Отказ системы вследствие отказа одного из элементов |
средняя |
средняя |
средняя |
низкая |
средняя |
|
|
Неадекватные результаты проведения технического обслуживания |
средняя |
низкая |
низкая |
низкая |
средняя |
1.2.3 Оценка угроз активам
Сегодня уже не только крупные, но и среднего размера предприятия задумываются о переходе к управлению информационной безопасностью (ИБ) на основе анализа информационных рисков. Имея понимание размеров возможного ущерба при нарушениях ИБ, гораздо проще планировать материальные и другие ресурсы для выстраивания системы управления информационными рисками. Однако необходимо учесть, что выстраивать такую систему следует постепенно, а попытка с первого раза получить подробную карту рисков с монетарной оценкой размера ущерба может потребовать слишком большого объема ресурсов, и проект по оценке рисков в этом случае может просто не завершиться, увязнув в детализации.
Согласно ГОСТ Р 50922-2006 угрозой безопасности информации называется совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения информационной безопасности (ИБ). Атакой называется воздействие на компоненты ИС, приводящее к утрате, уничтожению информационного ресурса или сбою функционирования носителя информации или средства управления программно-аппаратным комплексом системы.
Таким образом, атака - это реализация угрозы.В настоящее время существует классификация угроз по различным признакам, таким как: природа возникновения, цель воздействия на АС, степень преднамеренности возникновения, положение источника угрозы, этап доступа пользователей или программ к ресурсам АС и т.д.
Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала:
Н- низкая вероятность. Маловероятно, что эта угроза осуществится, не существует инцидентов, статистики, мотивов и т.п., которые указывали бы на то, что это может произойти. Ожидаемая частота реализации угрозы не превышает 1 раза в 5-10 лет.
С- средняя вероятность. Возможно, эта угроза осуществится (в прошлом происходили инциденты), или существует статистика или другая информация, указывающая на то, что такие или подобные угрозы иногда осуществлялись прежде, или существуют признаки того, что у атакующего могут быть определенные причины для реализации таких действий. Ожидаемая частота реализации угрозы - примерно один раз в год.
В- высокая вероятность. Эта угроза, скорее всего, осуществится. Существуют инциденты, статистика или другая информация, указывающая на то, что угроза, скорее всего, осуществится, или могут существовать серьезные причины или мотивы для атакующего, чтобы осуществить такие действия. Ожидаемая частота реализации угрозы - еженедельно или чаще.
Такой трехуровневой шкалы обычно достаточно для первоначальной высокоуровневой оценки угроз. В дальнейшем ее можно расширить, добавив еще пару промежуточных уровней.
Угрозы нарушения ИБ после загрузки ОС направлены на выполнение непосредственно несанкционированного доступа к информации. При получении доступа в операционную среду нарушитель может воспользоваться как стандартными функциями операционной системы или какой-либо прикладной программы общего пользования (например, БД), так и специально созданными для выполнения несанкционированного доступа программами, например программами просмотра и модификации реестра, программами поиска текстов в текстовых файлах по ключевым словам и копирования, специальными программами просмотра и копирования записей в базах данных, программами быстрого просмотра графических файлов, их редактирования или копирования, программами поддержки возможностей реконфигурации программной среды (настройки ИС в интересах нарушителя), так и специально созданными для выполнения несанкционированного доступа программами, например программами просмотра и модификации реестра, программами поиска текстов в текстовых файлах по ключевым словам и копирования, специальными программами просмотра и копирования записей в базах данных, программами быстрого просмотра графических файлов, их редактирования или копирования, программами поддержки возможностей реконфигурации программной среды (настройки ИС в интересах нарушителя).
Угрозы активов указаны в таблице 7оснавынной на требованиях стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 (Приложение С). В приложении С указаны угрозы, обусловленные преднамеренными действиями, обозначены в перечне буквой D, угрозы, обусловленные случайными действиями, -- A и угрозы, обусловленные естественными причинами, -- E. Таким образом, буквой D обозначают все преднамеренные действия, объектами которых являются активы информационных технологий, буквой A -- все совершаемые людьми действия, которые могут случайно нанести вред активам информационных технологий, буквой E -- инциденты, не основанные на действиях, совершаемых людьми.
Таблица 6.
Угрозы
|
Наименование возможных и вероятных угроз |
Классы угроз |
|
|
Землетрясение |
Е |
|
|
Затопление |
D, A, E |
|
|
Ураган |
Е |
|
|
Попадание молнии |
Е |
|
|
Забастовка |
D, A |
|
|
Пожар |
D, A |
|
|
Намеренное повреждение |
D |
|
|
Неисправности в системе электроснабжения |
A |
|
|
Неисправности в системе водоснабжения |
A |
|
|
Неисправности в системе кондиционирования воздуха |
D, A |
|
|
Аппаратные отказы |
A |
|
|
Колебания напряжения |
A, E |
|
|
Экстремальные величины температуры и влажности |
D, A, E |
|
|
Воздействие пыли |
E |
|
|
Электромагнитное излучение |
D, A, E |
|
|
Наименование возможных и вероятных угроз |
Классы угроз |
|
|
Статическое электричество |
E |
|
|
Кража |
D |
|
|
Несанкционированное использование носителей данных |
D |
|
|
Ухудшение состояния носителей данных |
E |
|
|
Ошибка обслуживающего персонала |
D, A |
|
|
Ошибка при обслуживании |
D, A |
|
|
Программные сбои |
D, A |
|
|
Использование программного обеспечения несанкционированными пользователями |
D, A |
|
|
Вредоносное программное обеспечение |
D, A |
|
|
Незаконный импорт/экспорт программного обеспечения |
D |
|
|
Ошибка операторов |
D, A |
|
|
Ошибка при обслуживании |
D, A |
|
|
Доступ несанкционированных пользователей к сети |
D |
|
|
Технические неисправности сетевых компонентов |
A |
|
|
Ошибки передачи |
A |
|
|
Повреждение линий |
D, A |
|
|
Несанкционированное проникновение к средствам связи |
D |
|
|
Анализ трафика |
D |
|
|
Направление сообщений по ошибочному адресу |
A |
|
|
Изменение маршрута направления сообщений |
D |
|
|
Изменение смысла переданной информации |
D |
|
|
Сбои в функционировании услуг связи (например, сетевых услуг) |
D, A |
|
|
Недостаточная численность персонала |
A |
|
|
Ошибки пользователей |
D, A |
|
|
Ненадлежащее использование ресурсов предприятия |
D, A |
Угрозы активов указаны в таблице 7.
Таблица 7.
Результаты оценки угроз активам
|
Группа угроз Содержание угроз |
Сервера |
БД |
ПО |
Документы |
ПК |
|
|
1. Угрозы, обусловленные преднамеренными действиями |
||||||
|
Затопление |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Забастовка |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Бомбовая атака |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Применение оружия |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Пожар |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Намеренное повреждение |
низкая |
низкая |
средняя |
средняя |
средняя |
|
|
Неисправности в системе кондиционирования воздуха |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Экстремальные величины температуры и влажности |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Электромагнитное излучение |
низкая |
средняя |
средняя |
средняя |
низкая |
|
|
Кража |
низкая |
средняя |
низкая |
средняя |
низкая |
|
|
Несанкционированное использование носителей данных |
низкая |
средняя |
низкая |
низкая |
низкая |
|
|
Ошибка обслуживающего персонала |
низкая |
низкая |
средняя |
низкая |
низкая |
|
|
Ошибка при обслуживании |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Программные сбои |
низкая |
средняя |
низкая |
низкая |
низкая |
|
|
Использование программного обеспечения несанкционированными пользователями |
низкая |
средняя |
низкая |
низкая |
низкая |
|
|
Использование программного обеспечения несанкционированным способом |
низкая |
средняя |
низкая |
низкая |
низкая |
|
|
Нелегальное проникновение злоумышленников под видом санкционированных пользователей |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Незаконное использование программного обеспечения |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Вредоносное программное обеспечение |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Незаконный импорт/экспорт программного обеспечения |
низкая |
средняя |
низкая |
низкая |
низкая |
|
|
Ошибка операторов |
низкая |
низкая |
высокая |
высокая |
низкая |
|
|
Ошибка при обслуживании |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Доступ несанкционированных пользователей к сети |
низкая |
низкая |
низкая |
средняя |
низкая |
|
|
Использование сетевых средств несанкционированным способом |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Повреждение линий |
средняя |
низкая |
низкая |
средняя |
низкая |
|
|
Перегруженный трафик |
средняя |
высокая |
средняя |
высокая |
низкая |
|
|
Перехват информации |
низкая |
средняя |
низкая |
средняя |
низкая |
|
|
Несанкционированное проникновение к средствам связи |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Анализ трафика |
низкая |
низкая |
низкая |
средний |
низкая |
|
|
Изменение маршрута направления сообщений |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Изменение смысла переданной информации |
низкая |
низкая |
средняя |
средняя |
низкая |
|
|
Сбои в функционировании услуг связи (например сетевых услуг) |
низкая |
средняя |
средняя |
средняя |
низкая |
|
|
Ошибки пользователей |
низкая |
низкая |
высокая |
высокая |
низкая |
|
|
Ненадлежащее использование ресурсов |
низкая |
высокая |
высокая |
высокая |
низкая |
|
|
2. Угрозы, обусловленные случайными действиями |
||||||
|
Затопление |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Забастовка |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Бомбовая атака |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Применение оружия |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Пожар |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Неисправности в системе электроснабжения |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Неисправности в системе водоснабжения |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Неисправности в системе кондиционирования воздуха |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Аппаратные отказы |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Колебания напряжения |
низкая |
средняя |
средняя |
средняя |
низкая |
|
|
Экстремальные величины температуры и влажности |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Электромагнитное излучение |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Ошибка обслуживающего персонала |
низкая |
низкая |
средняя |
низкая |
низкая |
|
|
Ошибка при обслуживании |
низкая |
низкая |
средняя |
низкая |
низкая |
|
|
Программные сбои |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Использование программного обеспечения несанкционированными пользователями |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Использование программного обеспечения несанкционированным способом |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Незаконное использование программного обеспечения |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Вредоносное программное обеспечение |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Ошибка операторов |
низкая |
низкая |
средняя |
средняя |
низкая |
|
|
Ошибка при обслуживании |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Технические неисправности сетевых компонентов |
низкая |
низкая |
низкая |
низкая |
средняя |
|
|
Ошибки передачи |
низкая |
низкая |
низкая |
средняя |
низкая |
|
|
Повреждение линий |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Перегруженный трафик |
средняя |
средняя |
низкая |
низкая |
низкая |
|
|
Направление сообщений по ошибочному адресу |
низкая |
низкая |
низкая |
средняя |
низкая |
|
|
Сбои в функционировании услуг связи (например сетевых услуг) |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Недостаточная численность персонала |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Ошибки пользователей |
низкая |
низкая |
средняя |
средняя |
низкая |
|
|
Ненадлежащее использование ресурсов |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы) |
||||||
|
Землетрясение |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Затопление |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Ураган |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Попадание молнии |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Колебания напряжения |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Экстремальные величины температуры и влажности |
средняя |
низкая |
низкая |
низкая |
средняя |
|
|
Воздействие пыли |
средняя |
низкая |
низкая |
низкая |
средняя |
|
|
Электромагнитное излучение |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Статическое электричество |
низкая |
низкая |
низкая |
низкая |
низкая |
|
|
Ухудшение состояния носителей данных |
средняя |
низкая |
низкая |
низкая |
средняя |
|
1.2.4 Оценка существующих и планируемых средств защиты
На предприятии ОАО «Расчет» существует 2 сети: Открытая и закрытая. В открытой сети находятся компьютеры с интернетом, и компьютеры подразделений неработающих с секретными данными. В закрытой сети подключены компьютеры, на которых храниться или работают с закрытой (секретной и конфиденциальной) информацией.
Так же на предприятии идут постоянные работы с различными предприятиями, фирмами и компаниями, относящиеся к закрепленной отрасли за предприятием. С ними ведутся постоянные разговоры по телефону (различные уточнения, поправки и другая информация по отчитывающимся ими формами документов), а так же прием и отправка документов по факсу. Частичная схема сети представлена на рисунке 2.
Всю систему обслуживают сотрудники отдела «материально-технического обеспечения и технического обслуживания».
Закрытая сеть не имеет связи с открытой сетью, что делают компьютеры, находящиеся в данной сети, абсолютно недосягаемыми из интернета, однако это не делает ее абсолютно защищенной.
Рисунок 2. Основная часть технической архитектуры предприятия.
На текущий момент предприятие использует системы защиты «Страж NT», которая предназначена для защиты информации от несанкционированного доступа при работе в многопользовательских автоматизированных системах (АС) и информационных системах персональных данных (ИСПДн). Имеет сертификат ФСТЭК России №1260, который удостоверяет, что система защиты информации Страж NT является программным средством защиты от несанкционированного доступа к информации и соответствует требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" по 3 классу защищенности, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля.
Так же на предприятии расположен собственный Web-Сервер с размещенным на нем сайтом предприятия. Этот сервер помимо сайта осуществляет раздачу интернета по средствам прокси-сервера на некоторые компьютеры в открытой сети, а так же обеспечивает работу почтового клиента MS Outlook. Сервер еще осуществляет обновление БД антивируса.
Неполная программная архитектура предприятия представлена на рисунке 3.
Рисунок 3. Основная часть программной архитектуры предприятия.
По ней мы можем увидеть, что предприятие использует в качестве БД MS SQL Server и для совместимости со старой системой хранилище для DBF-файлов. Они установлены на сервере БД, с программной защитой системы «Страж NT», что делает возможным подключением к ней только со специального программного обеспечения установленного в той же сети. Так как Страж NT имеет свою БД пользователей и их прав на работу тех или иных программ, для нее был выделен отдельный Сервер Аутентификации. Так же для ускорения работы между сотрудниками разных отделов был организован и настроен Файловый Сервер. Другой способ передачи данных осуществляется по средством передачи данных на съемных носителях (флешках, дискетах), заранее прописанные как разрешенные на использование в системе Страж NT, однако информация с грифом «секретно» автоматически шифруются и могут в дальнейшем быть прочтены лишь данной системой. К сожалению это не уменьшает риск халатности пользователей, имеющие доступ к секретным данным, которые могут умышленно или случайно сохранить секретные данные в документе как несекретные.
Устанавливать и настраивать программные обеспечение могут только сотрудники отдела «Отдел материально-технического обеспечения и технического обслуживания» имея универсальные ключи администрирования (за все ключи сотрудников для работы в системе «Страж NT», отвечает Администратор безопасности), что позволяет сотрудникам использовать лишь те программы которые нужны для их работы.
В некоторых отделах закрытой сети расположен компьютер, для отправки и получения по электронной почте письма, не имеющие грифа секретности.
Предприятие снимает помещения у другого предприятия, которое должно обеспечивать защищенность этажей от проникновения посторонних лиц. Однако в здании находятся и другие предприятия так же снимающие помещение, и оформляющие заявки на пропуск посторонних лиц, что не уменьшает степень угрозы. Следует принимать во внимание, что обслуживающий персонал так же является сотрудниками другого предприятия, однако в помещения с паролем они могут входить, лишь тогда когда их впускают туда сотрудники, работающие в данных отделах.
Сетевые кабели предприятия проведены по специальным каналом, находящиеся в потолке коридора. Если не считать установленные камеры это делает их достаточно уязвимыми для подключения к сети. Однако на закрытую сеть одного только подключения из вне недостаточно, для этого необходимо
На рисунке 4 изображен один из этажей на данном предприятии с показом размещения камер видеонаблюдения и отображением дверей с кодовыми замками на дверях. На этом рисунке мы можем видеть, что камеры охватывают весь коридор, что позволяет в любое время узнать кто входил в те или иные помещения и когда.
Размещено на http://www.allbest.ru
Рисунок 4. Расположение камер охранного видеонаблюдения на одном этаже.
|
- охранная камера видеонаблюдения |
||
|
- кодовый замок на двери |
||
|
- область, охватываемая видеокамерами |
Размещено на http://www.allbest.ru
Таблица 8.
Анализ выполнения основных задач по обеспечению информационной безопасности
|
Основные задачи по обеспечению информационной безопасности |
Степень выполнения |
|
|
обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной; |
средняя |
|
|
организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны; |
высокая |
|
|
организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной; |
высокая |
|
|
предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну; |
средняя |
|
|
выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях; |
высокая |
|
|
обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне; |
средняя |
|
|
обеспечение охраны территории, зданий помещений, с защищаемой информацией. |
средняя |
1.2.5 Оценка рисков
Понятие информационной безопасности неразрывно связано с рисками для информационных ресурсов, под которыми (рисками) понимается возможность нанесения ущерба информационным ресурсам, снижения уровня их защищенности. Риски могут иметь различную природу и характеристики; одной из основных классификаций рисков для информационной безопасности (так же, как и многих других рисков в экономике и управлении) является их разделение:
- на системные риски - неуправляемые риски, связанные с той средой и технической инфраструктурой, в которой функционируют информационные системы;
- операционные риски - как правило, управляемые риски, связанные с особенностями использования определенных информационных систем, их технической реализации, применяемыми алгоритмами, аппаратными средствами и т.п.
Управление рисками рассматривается на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.
Управление рисками, равно как и выработка собственной политики безопасности, актуально только для тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными. Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно с формальной точки зрения, в свете проанализированного нами ранее российского законодательства в области ИБ).
Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.
С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба.
Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми).
По отношению к выявленным рискам возможны следующие действия:
ликвидация риска (например, за счет устранения причины);
уменьшение риска (например, за счет использования дополнительных защитных средств);
принятие риска (и выработка плана действия в соответствующих условиях).
Процесс управления рисками можно разделить на следующие этапы:
1. Выбор анализируемых объектов и уровня детализации их рассмотрения.
2. Выбор методологии оценки рисков.
3. Идентификация активов.
4. Анализ угроз и их последствий, выявление уязвимых мест в защите.
5. Оценка рисков.
6. Выбор защитных мер.
7. Реализация и проверка выбранных мер.
8. Оценка остаточного риска.
Этапы 6 и 7 относятся к выбору защитных средств (нейтрализации рисков), остальные - к оценке рисков.
Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.
Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается наибольшим, а затраты - минимальными. Ранее мы определили пять этапов жизненного цикла. Кратко опишем, что может дать управление рисками на каждом из них.
На этапе закупки (разработки) знание рисков поможет выбрать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности.
На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.
Выбор анализируемых объектов и уровня детализации их рассмотрения - первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны.
При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации. Отправной точкой здесь является представление о миссии организации, то есть об основных направлениях деятельности, которые желательно (или необходимо) сохранить в любом случае. Выражаясь объектно-ориентированным языком, следует в первую очередь описать внешний интерфейс организации, рассматриваемой как абстрактный объект.
Методика оценки рисков применяется на основании ценовой шкалы оценки, где каждому риску, для каждого актива сопоставляется появление различных угроз.
Методика оценки рисков применяется на основании ценовой шкалы оценки, где каждому риску, для каждого актива сопоставляется появление различных угроз.
Для базовой оценки рисков достаточно трехуровневой шкалы оценки критичности - низкий, средний и высокий уровни. В этом случае оценка каждого уровня в деньгах будет выполняться на основе принципов.
Пример трехуровневой шкалы с оценкой в денежных единицах представлен в таблице 9.
Таблица 9.
Оценка в денежных единицах
|
Название уровня |
Оценка уровня, у.е. |
|
|
Низкий |
до 100 тыс. |
|
|
Средний |
от 100 тыс. до 3 млн. |
|
|
Высокий |
свыше 3 млн. |
Принципы оценки критичности каждого указанного актива:
1. информационные активы (или виды информации) оцениваются с точки зрения нанесения компании ущерба от их раскрытия, модификации или недоступности в течение определенного времени;
2. программное обеспечение, материальные ресурсы и сервисы оцениваются, как правило, с точки зрения их доступности или работоспособности. Т.е. требуется определить, какой ущерб понесет компания при нарушении функционирования данных активов. Например, нарушение системы кондиционирования в течение трех суток приведет к отказу серверов компании, к ним будет нарушен доступ, и вследствие этого компания понесет убытки;
3. сотрудники компании с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию. Доступность сотрудников оценивается с точки зрения их отсутствия на рабочем месте. Т.е. оценивается, какой ущерб понесет компания при отсутствии сотрудника в течение определенного периода времени. Здесь важно учесть опыт сотрудника, его квалификацию, выполнение им каких-либо специфичных операций;
4. репутация компании оценивается в связи с информационными ресурсами. Т.е. оценивается, какой ущерб репутации компании будет нанесен в случае нарушения безопасности информации компании.
Оценка риска представляет собой оценку соотношения потенциальных негативных воздействий на деловую деятельность в случае нежелательных инцидентов и уровня оцененных угроз и уязвимых мест. Риск фактически является мерой незащищенности системы и связанной с ней организации. Величина риска зависит от:
- ценности активов;
- угроз и связанной с ними вероятности возникновения опасного для активов события;
- легкости реализации угроз в уязвимых местах с оказанием нежелательного воздействия;
- существующих или планируемых средств защиты, снижающих степень уязвимости, угроз и нежелательных воздействий.
Ценность активов определялась на основе оценок их владельцев, специалиста по ИТ. Угрозы и уязвимые места определялись ИТ-специалистами.
Существует несколько методов для оценки риска. Важно, чтобы организация пользовалась наиболее удобным и внушающим доверие методом, приносящим воспроизводимые результаты.
Оценивание рисков будет производиться экспертным путем на основе анализа ценности активов, возможности реализации угроз и использования уязвимостей, определенных в предыдущих пунктах. Для оценивания предлагается таблица с заранее предопределенными «штрафными баллами» для каждой комбинации ценности активов, уровня угроз и уязвимостей (таблица 10).
Таблица 10
Уровень угроз и уязвимостей
В случае определения уровня уязвимости из результатов аудита или самооценки для различных процессов и при наличии экспертных оценок уровня соответствующих угроз и ценности активов можно получить меру риска ИБ для каждого процесса (таблица 11).
Таблица 11.
Результаты оценки рисков информационным активам организации
|
Риск |
Актив |
Ранг риска |
|
|
Кража |
Сервера |
6 |
|
|
Несанкционированный доступ |
БД |
6 |
|
|
Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц |
БД |
6 |
|
|
Сбои / ошибки |
БД |
6 |
|
|
Несанкционированный доступ |
Сервера |
5 |
|
|
Сбои / ошибки |
Сервера |
5 |
|
|
Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц |
БД |
5 |
|
|
Сбои / ошибки |
ПО |
5 |
|
|
Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц |
Документы |
5 |
|
|
Кража |
ПК |
5 |
|
|
Несанкционированный доступ |
ПК |
5 |
|
|
Сбои / ошибки |
ПК |
5 |
|
|
Несанкционированный доступ |
ПО |
4 |
|
|
Несанкционированный доступ |
Документы |
4 |
|
|
Сбои / ошибки |
Документы |
4 |
1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии
1.3.1 Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих рисков, характеристика существующих средств информационной безопасности
На предприятии, как мы может увидеть в таблице 9, большинство уязвимостей связаны с недостаточным надзором за помещениями. Так как предприятие ОАО "Расчет" снимает помещение у другого предприятия, которое обеспечивает проходную систему, а так же обслуживание помещений (уборщицы, электрики и др. персонал), нет гарантии того, что сотрудники других предприятий, так же снимающих помещения в данном здании, не несут никакой угрозы. По мимо этого так же нет гарантии того, что злоумышленник не проберется через окно. Следуя из этого, одной из задач является обеспечение безопасности в помещениях.
Для того что бы украсть информацию необязательно пробираться в здание, для этого можно использовать другие способы чтения данных. В современном мире существуют способы чтения данных использующих акустические, оптические и электромагнитные излучения. Акустические излучения позволяют считывать любые звуки, которые распространяются внутри комнат. С помощью оптики можно удаленно считывать информацию с мониторов, экранов, а так же прочесть документы находящиеся неподалеку от окна. Так же существуют устройства позволяющие считывать электромагнитное излучение, исходящее от всех электронных устройств включая и компьютеры, за счет чего можно получить желаемые данные. На предприятии ОАО "Расчет" получение данных с помощью оптических устройств ничтожно мала, так как все мониторы повернуты так, что информация, отображаемая на нем, не видна из окна. Акустическое излучение не представляет большой угрозой для предприятия, так как в разговорах не употребляются данные, которые могут иметь большую ценность для злоумышленника. Вследствие чего остается обеспечить защиту от чтения электромагнитных излучений, что будет являться еще одной задачей.
1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации
Для выполнения определенных (в п.п. 1.3.1) задач рассмотрим помещения, и выделим те, которые являются наиболее вероятными целями для злоумышленника.
Все базы данных, а так же некоторые ценные документы расположены на серверных компьютерах, находящихся в серверной комнате. Доступ к ней имеют только сотрудники отдела «материально-технического обеспечения и технического обслуживания». Так же в серверной комнате расположен сейф с ключами администраторов, для входа в систему страж под пользователем «администратор» на любом пользовательском компьютере, а так же для входа на серверные компьютеры, что может позволить прямое чтение данных, и копирование любых файлов на любые носители. Таким образом, серверная комната будет входить в помещения, в которую следует взять под постоянное наблюдение.
Подобные документы
Анализ рисков информационной безопасности. Идентификация уязвимостей активов. Оценка существующих и планируемых средств защиты. Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности.
дипломная работа [1,1 M], добавлен 03.04.2013Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа [269,0 K], добавлен 24.04.2015Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.
контрольная работа [27,8 K], добавлен 26.02.2016Существенные признаки понятия конфиденциальности. Понятие информационной безопасности государства. Нормативные документы в данной области. Органы, обеспечивающие ИБ. Направления защиты информационной системы. Этапы создания средств защиты информации.
презентация [63,6 K], добавлен 21.05.2015Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.
курсовая работа [30,4 K], добавлен 03.02.2011Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014
