Oсновные составные части службы RADIUS описываются двумя RFC от IETF: RFC 2865 под названием Remote Authentication Dial-In User Service (RADIUS) в форме проекта стандарта и RFC 2866 под названием RADIUS Accounting в виде «информационного RFC».

Концепция службы идентификации удаленных пользователей подразумевает, что клиент отсылает серверу RADIUS параметры доступа пользователя (в англоязычной документации они часто называются Credentials, т.е. мандат, куда, к примеру, входят его настройки безопасности и права доступа), а также параметры соответствующего соединения. Для этого клиент использует специальный формат, так называемый RADIUS-Message (сообщение RADIUS). В ответ сервер начинает проверку, в ходе которой он аутентифицирует и авторизует запрос клиента RADIUS, а затем пересылает ему ответ - RADIUS-Message-response. После этого клиент передает на сервер RADIUS учетную информацию (Рисунок 9).

Рисунок 9-Процесс аутентификации 802.1x EAP-TLS

Сами по себе сообщения RADIUS передаются в форме пакетов UDP. Причем информация об аутентификации направляется на порт UDP с номером 1812. Некоторые серверы доступа используют, однако, порты 1645 (для сообщений об аутентификации) или, соответственно, 1646 (для учета) - выбор должен определять своим решением администратор. В поле данных пакета UDP всегда помещается только одно сообщение RADIUS. В соответствии с RFC 2865 и RFC 2866 определены следующие типы сообщений:

· Access-Request - «запрос доступа». Запрос клиента RADIUS, с которого начинается собственно аутентификация и авторизация попытки доступа в сеть;

· Access-Accept - «доступ разрешен». С помощью этого ответа на запрос доступа клиенту RADIUS сообщается, что попытка соединения была успешно аутентифицирована и авторизована;

· Access-Reject - «доступ не разрешен». Этот ответ сервера RADIUS означает, что попытка доступа к сети не удалась. Такое возможно в том случае, если пользовательских данных недостаточно для успешной аутентификации или доступ для пользователя не авторизован;

· Access-Challenge - «вызов запроса». Сервер RADIUS передает его в ответ на запрос доступа;

· Accounting-Request - «запрос учета», который клиент RADIUS отсылает для ввода учетной информации после получения разрешения на доступ;

· Accounting-Response - «ответ учета». Таким образом сервер RADIUS реагирует на запрос учета и подтверждает факт обработки запроса учета.

Сообщение RADIUS всегда состоит из заголовка и атрибутов, каждый из которых содержит ту или иную информацию о попытке доступа: например, имя и пароль пользователя, запрашиваемые услуги и IP-адрес сервера доступа. Таким образом, главной задачей атрибутов RADIUS является транспортировка информации между клиентами, серверами и прочими агентами RADIUS. Атрибуты RADIUS определены в нескольких RFC: RFC 2865, RFC 2866, RFC 2867, RFC 2868, RFC 2869 и RFC 3162.

Для защиты сообщений клиент и сервер RADIUS обладают «общим секретом» или, проще говоря, ключом. При этом речь, как правило, идет о цепочке символов, имеющейся как на серверах, так и на клиенте RADIUS.

Протоколы аутентификации:

В настройках клиентского ПО беспроводной сети можно обнаружить аббревиатуры EAP, EAP-TLS, PEAP-MSCHAP-V2 и другие. Они обозначают различные протоколы аутентификации. Так, EAP (Extensible Authentication Protocol, Расширяемый протокол аутентификации) представляет собой контейнер для протоколов, фактически осуществляющих передачу запросов на аутентификацию и ответов аутентификатора. Поскольку EAP абстрагирован от конкретных процедур аутентификации, сетевое оборудование, поддерживающее EAP, тоже не связано с какими-либо конкретными протоколами.

Компания Microsoft разработала на основе EAP протокол EAP-TLS, принятый позднее в качестве стандарта. Протокол EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) реализует двустороннюю аутентификацию с использованием сертификатов X.509 обеими сторонами. PEAP (Protected Extensible Authentication Protocol) представляет собой расширение протокола EAP. В отличие от EAP, протокол PEAP создает безопасный туннель перед началом процесса аутентификации. Далее по этому туннелю передаются данные для аутентификации. Наличие безопасного туннеля затрудняет перехват данных злоумышленником. Как и EAP, PEAP представляет собой контейнер для высокоуровневых протоколов аутентификации, в которых аутентификация выполняется с помощью имени учетной записи и пароля. Еще один протокол, EAP-TTLS, также использует безопасные туннели для передачи данных. Как и в EAP-TLS, в EAP-TTLS реализована двусторонняя аутентификация (сервер удостоверяет себя с помощью сертификата X.509).

Расширенный протокол аутентификации (EAP):

Расширенный протокол аутентификации (Extensible Authentication Protocol, EAP) изначально задумывался как дополнение к РРР для поддержки различных механизмов аутентификации доступа к сети. Протоколы аутентификации для РРР, определяют механизм аутентификации во время фазы установления соединения. На этом этапе необходимо применять согласованный протокол аутентификации, с целью «верификации» соединения. В данном случае речь идет о заранее определенной последовательности сообщений, причем они должны отсылаться в соответствии с заданной схемой, а точнее, в указанной очередности.

При использовании EAP в процессе установления соединения в рамках РРР специальный механизм аутентификации не определяется. Лишь на этапе аутентификации участники взаимодействуют по специальной схеме аутентификации EAP, обозначаемой также как «схема типа EAP».

ЕАР позволяет осуществлять обмен сообщениями между клиентом, запрашивающим доступ, и аутентифицирующим сервером (в его роли часто выступает сервер RADIUS). При этом обмен сообщениями может варьироваться с учетом особенностей различных соединений; он состоит собственно из запросов, в которых требуется предоставление информации об аутентификации, а также из соответствующих ответов. Длительность и конкретные детали сеанса аутентификации зависят от заданной схемы EAP.

В архитектурном плане ЕАР задумывался таким образом, чтобы аутентификацию можно было выполнять с помощью подключенных модулей с обеих сторон соединения: от клиента и от сервера. Если библиотечный файл ЕАР установить на обоих концах, то в любой момент можно применить новую схему аутентификации. Тем самым ЕАР предоставляет гибкую среду для внедрения безопасных методов аутентификации.

ЕАР удобен при таких видах аутентификации, как токены (Generic Token Card), однократные пароли (One Time Password), запрос / ответ (MD5-Challenge) или защита на транспортном уровне (Transport Level Security). Кроме того, эта концепция открыта для применения лучших технологий аутентификации в будущем. Однако ЕАР используется не только вместе с РРР. Он, помимо всего, поддерживается на канальном уровне стандарта IEEE 802. [23]

Установка сервера Сертификатов и RADIUS-сервера:

Установка производится на ОС Ubuntu. Пакеты freeradius, openssl и сопутствующие зависимости.

3.5 Внедрение организационных мер по защите информации

Требования к политике безопасности:

В политике безопасности определяются цели процесса управления информационной безопасностью, а также основные этапы функционирования данного процесса.

Политика безопасности предназначена для комплексного управления информационной безопасностью, а также для поддержания в актуальном и эффективном состоянии систем защиты информации. В Политике безопасности описывается разделение обязанностей по управлению и обеспечению безопасности, а также механизмы контроля над исполнением процедур обеспечения и управления безопасностью, возложенных на сотрудников компании.

Кроме этого, присутствуют основные этапы процессного подхода к обеспечению безопасности. В частности, каждое правило политики последовательно проходит этапы жизненного цикла: планирование, внедрение, проверка эффективности, совершенствование. Важно отметить, что эффективный процесс управления невозможен без документирования всех процедур, так как правильность и контролируемость выполнения процедуры зависит от наличия четко сформулированных правил ее выполнения.

В политике безопасности требуется кратко описать правила, выполнение которых является основой обеспечения и управления информационной безопасностью. В частности, следует создать правила, описывающие такие процедуры, как контроль доступа к информационным активам компании, внесение изменений в информационную систему, взаимодействие с третьими лицами, расследование инцидентов, аудит информационной безопасности, обеспечение непрерывности ведения бизнеса и прочее. В описании правил должно даваться четкое определение, на что это правило распространяется, а также должны быть описаны условия, при которых это правил подлежит выполнению.

В политике безопасности требуется описать ответственность сотрудников компании за обеспечение и управление информационной безопасностью. Обязанность обеспечения безопасности возложена на всех сотрудников компании, а также, в соответствии с договором, на сторонних лиц, имеющих доступ к информационным активам компании. Обязанность управления информационной безопасностью возложена на руководство компании.

Вместе с изменениями в информационной системе компании, которые могут происходить достаточно часто, требуется вносить коррективы в политику безопасности как документированное отражение основных правил работы системы управления. Следовательно, необходимо предусмотреть возможность пересмотра политики безопасности.

Поскольку политика безопасности, по сути, является каркасом, объединяющим все остальные документы, регламентирующие обеспечение и управление информационной безопасностью, при описании правил следует указывать на необходимость создания регламентов и руководств, в которых процесс выполнения описываемых процедур изложен подробно.

Таким образом, в политике безопасности описываются все необходимые требования, для обеспечения и управления информационной безопасности, структура управления безопасностью, а также обязанности и ответственность за обеспечение безопасности. В результате следования политике безопасности и сопутствующим документам по обеспечению и управлению безопасности, защищенность информационной системы компании должна достигнуть требуемого уровня, сотрудники должны осознавать свою роль и участие в процессе обеспечения безопасности. Следование правилам позволит гарантировать, что требуемые информационные ресурсы будут доступны в необходимые моменты времени, а изменения в структуре информационной системы будут вноситься только уполномоченными сотрудниками.

Этапы создания политики безопасности

1. Определить, какие объекты необходимо защищать и почему. В роли объектов защиты могут выступать: аппаратные средства, программное обеспечение, средства доступа к информации, люди, внутренние коммуникаций, сети, телекоммуникации и так далее.

2. Разработка структуры политики безопасности. Политика безопасности должна быть разбита на логически самостоятельнее разделы, каждый из которых посвящен отдельному аспекту защиты. Такая структура позволяет проще понимать и внедрять политику безопасности, а также становится проще ее корректировать. Обязательно должен присутствовать раздел описывающий ответственность за нарушение правил безопасности. Данный раздел, возможно, следует проработать с юристом. Формулировки в тексте политики безопасности должны быть четкими, коротко изложенными. Подробному описанию структуры политики безопасности посвящен следующий параграф.

3. Проведение всестороннего исследования архитектуры ИС. Лучший способ это сделать - оценка рисков, анализ рисковых ситуаций или всесторонний аудит системы. Лучше если такое исследование будет проводиться сторонней организацией. В любом случае при разработке правил безопасности первоначальное обследование объекта проводится разработчиком политики безопасности еще на первом этапе, с последующим более детальным изучением совместно с сотрудником в чьем ведении находится данный объект с целью возможной корректировки правил.

4. Критическая оценка политики безопасности и ее утверждение. В критике должны принимать участие руководители департаментов и отделов имеющие непосредственное отношение к разрабатываемым правилам, а также юристы т.к. в процессе рецензирования должны рассматриваться не только технические, но и юридические аспекты безопасности. Процесс утверждения представляет собой простое одобрение руководством окончательной версии документа. Утверждение должно состояться после рецензирования. Однако если руководство не утвердит этот документ, его эффективность будет крайне ограничена.

Структура политики безопасности

Общие положения

В данной части следует описать цели создания политики безопасности, область действия данной политики, кратко описать, о чем идет речь в документе.

Описание информационной системы

Необходимо определить задачи, которые выполняет информационная система в компании, дать определение, что является ее составными частями.

Правила

Основная часть политики безопасности, содержащая правила которые следует соблюдать сотрудникам компании. Эта часть должна быть разбита на самостоятельные разделы, касающиеся отдельных аспектов обеспечения информационной безопасности. Структурированный подход к написанию данного раздела позволит сотрудникам четко понимать, что от них требуется в отдельных случаях, а также будет способствовать процессу сопровождения политики.

Обработка инцидентов безопасности

В первую очередь в данном разделе следует описать, что является инцидентом безопасности, а также описать порядок действия сотрудников в случае возникновения инцидентов, и обозначить необходимость назначения сотрудников ответственных за реагирование на инциденты и их регистрацию.

Ответственность

Любой нормативный документ вряд ли будет иметь реальную силу, если в нем не будет предусмотрена ответственность за те или иные нарушения положений, прописанных в нем. Тоже касается и политики безопасности. Должно быть четко определено, за что сотрудник несет ответственность, работая в компании, однако, не стоит переписывать в данный раздел меры предусмотренные законодательством.

3.6. Внедрение системы защиты конфиденциальной информации в ОАО «АйТиПартнер»

Первый этап - Изменение информационной сети Магазина 1, целью которого являлась модернизация существующей информационной сети, с одновременным решением вопроса безопасности подразделения. В ходе реализации были выполнены следующие задачи:

1) Перекоммутация рабочих мест.

2) Составление плана коммутации рабочих мест.

3) Изменение настроек DHCP-сервера и настройка DHCP-привязок.

4) Изменение списков доступа на маршрутизаторе gw-bk-01 согласно изменениям.

5) Разделение рабочих мест на vlan1 и vlan2 и проверка связи.

Второй этап - Изменение информационной сети Магазина 2, целью которого являлась модернизация существующей информационной сети, с одновременным решением вопроса безопасности подразделения. В ходе реализации были выполнены следующие задачи:

1) Перекоммутация рабочих мест.

2) Составление плана коммутации рабочих мест.

3) Изменение настроек DHCP-сервера и настройка DHCP-привязок.

4) Изменение списков доступа на маршрутизаторе gw-prmr-01 согласно изменениям.

5) Разделение рабочих мест на vlan1 и vlan2 и проверка связи.

Третьим этапом происходило изменение информационной сети Центрального офиса, целью которого являлась модернизация существующей информационной сети, с одновременным решением вопроса безопасности подразделения. В ходе работы было выполнено следующее:

1) Перекоммутация серверов и рабочих мест пользователей.

2) Составление плана коммутации серверов и рабочих мест пользователей.

3) Перенос DHCP-привязок из 100-й сети в 120-ю с сохранением последнего октета адреса (например 192.168.100.99 -> 192.168.120.99)

4) Изменение списков доступа на маршрутизаторе gw-tyumen-01 согласно изменениям.

5) Переписывание IP-адресов серверов согласно новой адресации.

6) Перевод портов с серверами в vlan120 и проверка связи

Четвертым этапом производилось внедрение системы сертификатов с целью ограничения доступа к локальной сети (к подключению допускаются только корпоративные компьютеры и ноутбуки с установленными сертификатами, подписанными корневым сертификатом Компании):

1) Установка и настройка Сервера Сертификатов.

2) Установка и настройка RADIUS-Сервера.

3) Генерация корневого сертификата компании и генерация на его базе сертификатов пользователей.

4) Установка сертификатов на Рабочие места пользователей.

Пятым этапом, было внедрение организационные меры по защите информации - Составление регламента информационной безопасности; составление инструкции по парольной защите; составление инструкции по антивирусной защите; с целью определения принципов и механизмов функционирования системы защиты информации.

Проблемы и сложности, с которыми столкнулись, в ходе внедрения системы защиты конфиденциальной информации:

· При разделении сети на подсети основной проблемой была сложность составления корректного access-list, после применения которого, было бы разрешено то, что требуется для работы. Так, например, некоторые пользовательские компьютеры обращались напрямую к SQL-серверу, что запрещено политикой безопасности и требовало либо перенастройки рабочей станции, либо корректировки access-list. Также можно отметить рабочие станции сторонних работников (кредитных инспекторов), которые обращаются к банковским серверам в Интернете. При внедрении списков доступа требовалось дополнительное согласование с тех. службой каждого конкретного банка о требуемых для работы IP-адресах.

· Проблемы с сертификатами на рабочих станциях, возникали из-за неоднородности программного обеспечения и операционных систем, установленных на рабочих местах.

· Для реализации системы сертификатов в локальной сети потребовалось составить полный план коммутации центрального офиса, после чего постепенно переводить порты конкретных пользователей в режим авторизации dot1x.

Также как и анализ информационных рисков, оценка результатов внедрения системы защиты конфиденциальной информации, проводилась техническими специалистами и заместителем директора по информационной безопасности ОАО «АйТиПартнер», в составе 3-х человек.

В ходе оценки было установлено:

Таблица 13-Перечень угроз, представляющих потенциальную опасность для данных

Ресурс	AV	Угроза	Модель нарушителя	EF	ARO	SLE	ALE
Сервера	3	Угроза получения полного удаленного контроля над системой	A1, B2	3	1	9	9
		Угроза нарушения целостности, правильного функционирования системы.	A1, B2, C1, C2	3	2	9	18
		Угроза нарушения доступности системы	A1, B2, C1	3	1	9	9
		Подмена сетевого адреса.	A1, B2	3	1	9	9
		Физическое повреждение аппаратных средств.	B1	1	1	3	3
		Возможность негласного получения и разглашение (публикация) защищаемой информации.	A1, B2, C1	2	1	6	6
Маршрутизатор	3	Угроза получения полного удаленного контроля над системой	A1, B2	2	1	6	6
		Угроза нарушения целостности, правильного функционирования системы.	A1, B2, C1, C2	2	2	6	12
		Угроза нарушения доступности системы	A1, B2, C1	3	1	9	9
		Подмена сетевого адреса.	A1, B2	3	3	9	27
		Физическое повреждение аппаратных средств.	B1	1	1	3	3
Коммутатор	3	Угроза получения полного удаленного контроля над системой	A1, B2	2	1	6	6
		Угроза нарушения целостности, правильного функционирования системы.	A1, B2, C1, C2	2	1	6	6
		Угроза нарушения доступности системы	A1, B2, C1	3	1	9	9
Ресурс	AV	Угроза	Модель нарушителя	EF	ARO	SLE	ALE
Коммутатор	3	Подмена сетевого адреса.	A1, B2	3	3	9	27
		Физическое повреждение аппаратных средств.	B1	1	1	3	3
Рабочее место центрального офиса	1	Угроза получения полного удаленного контроля над системой.	A1, B2	3	1	3	3
		Угроза нарушения целостности, правильного функционирования системы.	A1, C1, C2	3	1	3	3
		Угроза нарушения доступности системы.	A1, C1	3	1	3	3
		Подмена сетевого адреса	A1	3	1	3	3
		Физическое повреждение аппаратных средств	A1, B1	3	1	3	3
		Угроза утечки видовой информации	A1, B1	3	1	3	3
Рабочее место магазина	1	Угроза нарушения целостности, правильного функционирования системы.	A1, C1, C2	2	1	2	2
		Подмена сетевого адреса	A1	3	1	3	3
		Физическое повреждение аппаратных средств	A1, B1	2	1	2	2
		Угроза утечки видовой информации	A1, B1	1	1	1	1
Канал связи	3	Угроза перехвата сетевого трафика с целью дальнейшего анализа	A1, C1	3	1	9	9
		Физическое повреждение	A1, C2	3	1	9	9

За счет следующих мер, удалось снизить угрозу получения полного удаленного контроля над системой для Серверов:

· Своевременное обновление операционной системы

· Развертывание лицензионного антивирусного ПО

· Фильтрация сетевого трафика.

· Периодическая проверка уровня безопасности

· Инструкция по антивирусной защите серверных систем.

· Инструкция по парольной защите.

· Регламент ИБ

За счет следующих мер, удалось снизить угрозу нарушения целостности, правильного функционирования системы для Серверов:

· Своевременное обновление операционной системы

· Развертывание лицензионного антивирусного ПО

· Регулярное резервное копирование

· Инструкция по антивирусной защите серверных систем.

· Инструкция по резервному копированию серверных систем.

За счет следующих мер, удалось снизить угрозу нарушения доступности системы для Серверов:

· Обеспечение резервного питания.

· Наличие резервного сервера.

· Контроль доступа в серверное помещение.

· Регламент ИБ.

За счет следующих мер, удалось снизить угрозу подмены сетевого адреса для Серверов:

· Вывод в отдельный сегмент сети

· Внедрение системы сертификатов

· Регламент ИБ.

За счет следующих мер, удалось снизить угрозу физического повреждения аппаратных средств для Серверов:

· Контроль температуры, влажности серверного помещения.

· Обеспечение резервного питания.

· Контроль доступа в серверное помещение.

· Регламент ИБ.

За счет следующих мер, удалось снизить угрозу получения полного удаленного контроля над системой для Маршрутизаторов:

· Вывод управляющего интерфейса в отдельный сегмент сети.

· Использование ssh.

· Инструкция по парольной защите.

За счет следующих мер, удалось снизить угрозу нарушения целостности, правильного функционирования системы для Маршрутизаторов:

· Своевременное обновление

· Регулярное резервное копирование конфигурации.

· Инструкция по резервному копированию.

За счет следующих мер, удалось снизить угрозу нарушения доступности системы для Маршрутизаторов:

· Обеспечение резервного питания.

· Наличие резервного Маршрутизатора.

· Резервирование конфигурации оборудования.

· Контроль доступа.

· Инструкция по резервному копированию.

За счет следующих мер, удалось снизить угрозу физического повреждения аппаратных средств для Маршрутизаторов:

· Обеспечение резервного питания.

· Контроль доступа.

За счет следующих мер, удалось снизить угрозу нарушения целостности, правильного функционирования системы для Коммутаторов:

· Применение ACL листов.

· Фильтрация трафика по доверенному списку портов.

· Использование стойких паролей.

· Инструкция по парольной защите.

За счет следующих мер, удалось снизить угрозу нарушения доступности системы для Коммутаторов:

· Обеспечение резервного питания.

· Наличие резервного Коммутатора.

· Резервирование конфигурации оборудования.

· Контроль доступа.

· Регламент ИБ.

За счет следующих мер, удалось снизить угрозу физического повреждения аппаратных средств для Коммутаторов:

· Обеспечение резервного питания.

· Контроль доступа.

За счет следующих мер, удалось снизить угрозу получения полного удаленного контроля над системой для Рабочих мест:

· Своевременное обновление операционной системы.

· Развертывание лицензионного антивирусного ПО.

· Применение политик безопасности.

· Инструкция по антивирусной защите.

· Инструкция по парольной защите.

· Регламент ИБ.

За счет следующих мер, удалось снизить угрозу нарушения целостности, правильного функционирования системы для Рабочих мест:

· Своевременное обновление операционной системы.

· Развертывание лицензионного антивирусного ПО.

· Инструкция по антивирусной защите.

За счет следующих мер, удалось снизить угрозу нарушения доступности системы для Рабочих мест:

· Обеспечение резервного питания.

· Наличие резервного Рабочего места.

За счет следующих мер, удалось снизить угрозу подмены сетевого адреса для Рабочих мест:

· Вывод в отдельный сегмент сети.

· Внедрение системы сертификатов

· Регламент ИБ.

За счет следующих мер, удалось снизить угрозу физического повреждения аппаратных средств для Рабочих мест:

· Обеспечение резервного питания.

· Контроль доступа в помещение.

За счет следующих мер, удалось снизить угрозу утечки видовой информации для Рабочих мест:

· Контроль доступа в помещение.

· Правильное расположение мониторов на рабочих местах.

· Принудительное включение заставок экрана

За счет следующих мер, удалось снизить угрозу перехвата сетевого трафика с целью дальнейшего анализа для Каналов связи:

· Организация IPsec site-to-site vpn

· Регламент ИБ

· Инструкция по подключению удаленных мест и филиалов.

За счет следующих мер, удалось снизить угрозу физического повреждения для Каналов связи:

· Организация резервного канала связи

· Инструкция по подключению удаленных мест и филиалов.

В данной главе для уменьшения рисков угроз безопасности коммерческой информации в ОАО «АйТиПартнер» было предложено принять следующие меры по защите информации:

1. Изменение информационной сети Центрального офиса.

2. Изменение информационной сети Магазинов.

3. Внедрение системы цифровых сертификатов.

4. Внедрение организационных мер по защите информации.

Впоследствии, эти меры системы защиты конфиденциальной информации были успешно внедрены в ОАО «АйТиПартнер».

Был проведен повторный анализ рисков и описан список мер приведших к снижению тех или иных угроз.

4. Экономическая эффективность проекта

4.1 Стоимость информационных ресурсов

Для определения стоимости информационных ресурсов требуются данные категорирования ресурсов компании. Где владельцы ресурсов и руководство определяют стоимость информации хранящейся на информационных ресурсах компании (Табл.3).

Таблица 3 - Стоимость информационных ресурсов

Информационный ресурс	Место хранения (сервер)	Стоимость, (руб.).
Персональные данные сотрудников	1,2	500 000
Внутренние приказы, распоряжения, инструкции;	3	300 000
Сведения об организации технологического (производственного) процесса;	4	100 000

4.2 Расчет вероятности реализации угроз, действующих через уязвимости

Для определения вероятностей были привлечены несколько экспертов - сотрудники отдела информационных технологий.

Уровень угрозы - общая вероятность реализации угрозы на рассматриваемый ресурс. Уровень угрозы складывается из двух параметров:

– вероятность реализации данной угрозы (P(V));

– вероятность того, что реализация угрозы повлияет на рассматриваемый ресурс;

На выходе мы получаем суммарную вероятность реализации по каждому ресурсу (Табл. 4).

Таблица 4 - Уровень ущерба

Ресурс	Общий уровень угроз по ресурсу
Сервер 1,2	0,742763588
Сервер 3,4	0,433854907

4.3 Расчет необходимых затрат на усовершенствование информационной безопасности (Табл. 5).

Таблица 5 - Расчёт затрат

Решение	Цена	Описание
ViPNet Safe Disk	4071	Программа ViPNet Safe Disk предназначена для организации безопасного хранения конфиденциальной информации на компьютере пользователя. В процессе работы программа создает защищенные файлы - контейнеры. Файлы - контейнеры представляются пользователю в виде логических дисков операционной системы Windows. Вся информация, которая хранится на этих логических дисках, хранится в зашифрованном виде. При чтении данных с таких дисков они автоматически расшифровываются, а при сохранении зашифровываются. Этот процесс происходит прозрачно для пользователя.
ViPNet Personal Firewall	1500	Personal Firewall позволяет защитить информацию, хранимую на компьютере, а также сам компьютер от возможного несанкционированного доступа при работе в Интернет или локальной сети.
Всего	5600

Теперь можно рассчитать остаточные риски путем повторной оценки рисков после внедрения комплекса мероприятий.

Таким образом, получаем следующие результаты (Табл. 6,7):

Таблица 6 - результат внедрения

Ресурс	Максимальный ущерб по ресурсу (тыс. руб.)	Уровень угрозы по всем уязвимостям	Риск по ресурсу (тыс. руб.)
Сервер 1	500	0,742763588	371,350
Сервер 2	400	0,433854907	173,52
Всего	544,87

Таблица 7 - результат внедрения

Ресурс	Остаточный уровень угрозы по всем уязвимостям	Остаточный риск по ресурсу (тыс. руб.)
Сервер 1	0,438768827	169,933
Сервер 2	0,287908961	49,956
Всего	219,889

Заключение

В работе была рассмотрена информационная структура организации ОАО «АйТиПартнер» и сделан вывод о том, что информация организации не является защищенной должным образом. От степени защищенности информационной системы компании напрямую зависит доходность, конкурентоспособность и соответствие законодательству. Из этого следует, что для организации решение вопроса связанного с информационной безопасностью является необходимостью и для решения данного вопроса необходима разработка и внедрение системы защиты информации.

Был проведен анализ рисков, в ходе которого были выявлены основные потенциальные угрозы. Предложены технические и организационные меры по снижению информационных рисков и повышению информационной безопасности в целом.

В процессе написания работы был выполнен ряд проектов по изменению информационной структуры предприятия, а также разработан ряд руководящих документов - Регламент информационной безопасности, Инструкция антивирусной защиты, Инструкция парольной защиты.

Таким образом, выполнены начальные шаги по созданию системы защиты информации в ОАО «АйТиПартнер»:

- проведена первоначальная оценка ресурсов и анализ рисков.

- выполнен ряд проектов по изменению информационной структуры ОАО «АйТиПартнер»;

- для уменьшения риска угрозы получения полного удаленного контроля над системой приняты следующие решения: Своевременное обновление операционных систем, Развертывание лицензионного антивирусного ПО, Фильтрация сетевого трафика, Инструкция по антивирусной защите.

- для уменьшения риска угрозы нарушения целостности, правильного функционирования системы приняты следующие решения: Своевременное обновление операционных систем, Развертывание лицензионного антивирусного ПО, Регулярное резервное копирование, Инструкция по антивирусной защите, Инструкция по парольной защите.

- для уменьшения риска угрозы нарушения доступности системы приняты следующие решения: Обеспечение резервного питания, Наличие резервного оборудование, Контроль доступа, Регламент ИБ.

- для уменьшения риска угрозы подмена сетевого адреса приняты следующие решения: Разделение на сегменты сети, Внедрение системы сертификатов, Регламент ИБ.

Список использованной литературы

1. ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»;

2. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»;

3. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;

4. Стандарт Банка России СТО БР ИББС-1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федирации»;

5. ISO/IEC 17799:2005. Information technology. Security techniques. Code of practice for information security management. - ISO: 2005;

6. BS 7779-3:2006 «Системы управления информационной безопасностью. Часть 3: Руководство по управлению рисками информационной безопасности»;

7. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. - К.:ООО «ТИД ДС», 2001. - 688 с.;

8. Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему. 1997;

9. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2000;

10. Петренко С.А., Курбатов В.А. Политики информационной безопасности. - М.: Компания АйТи, 2006. - 400 с.;

11. Петренко С.А., Петренко А.А. Аудит безопасности IntraNet. - М.: ДМК Пресс, 2002.;

12. Скот Бармен. Разработка правил информационной безопасности. Вильямс, 2002, -208 с.;

13. Смит Р.Э. Аутентификация: от паролей до открытых ключей. Вильямс, 2002, -432 с.;

14. ISO27000.ru - русскоязычный информационный портал, посвященный вопросам управления информационной безопасностью. URL: http://www.iso27000.ru/, 2009;

15. Михаил Брод. Демилитаризация локальной сети. URL: http://hostinfo.ru/articles/487, 2004;

16. Владимир Ульянов. Анализ рисков в области информационной безопасности. URL: http://www.pcweek.ru/themes/detail.php? ID=103317, 2007;

17. Павел Покровский. Защита информации: Анализ рисков. URL: http://www.ot.ru/press20041106.html, 2004;

18. Олег Бойцев. Многофакторный анализ рисков информационной безопасности. Подходы и методы. URL: http://www.nestor.minsk.by/kg/2008/44/kg84403.html, 2008;

19. Как самому написать концепцию информационной безопасности. URL: http://linuxportal.ru/entry.php/P2734_0_3_0/, 2007;

20. Искандер Конеев. Политики информационной безопасности. URL: http://www.osp.ru/cio/2007/11/4569379/, 2007;

21. Андрей Платонов. Строим защищенную беспроводную сеть: WPA-Enterprise, 802.1X EAP-TLS. URL: http://www.samag.ru/cgi-bin/go.pl? q=articles; n=05.2005; a=03, 2005;

22. Формат сертификатов открытых ключей X.509. URL: http://www.inssl.com/x509-open-key-specifications.html

23. Роберт Шотт. О Radius подробно. URL: http://www.osp.ru/lan/2003/01/137078/_p1.html, 2003;

24. DMZ (компьютерные сети) // wikipedia.org - свободная энциклопедия. URL: http://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети)

25. Серия ISO 27000 // wikipedia.org - свободная энциклопедия. URL: http://ru.wikipedia.org/wiki/Серия_ISO_27000

26. RADIUS // wikipedia.org - свободная энциклопедия. URL: http://ru.wikipedia.org/wiki/RADIUS

27. FreeRADIUS // wikipedia.org - свободная энциклопедия. URL: http://ru.wikipedia.org/wiki/FreeRADIUS

Размещено на Allbest.ru