Файл: Виды и состав угроз информационной безопасности (Виды и состав угроз информационной безопасности).pdf

Рисунок 3 «Мощность» (объем скомпрометированных данных (записей) в расчете на одну утечку) для утечек вообще и «мега-утечек». 2011 -2017 гг.

В среднем, на одну «внешнюю» утечку приходится 8,23 млн скомпрометированных данных (записей). Для сравнения — в результате одной утечки данных по вине или неосторожности внутреннего нарушителя было скомпрометировано в среднем 4,2 млн данных (записей). По вине внешнего злоумышленника за год было скомпрометировано 6,6 млрд данных (записей) — это составляет 58,3% от совокупного объема скомпрометированных в 2017 году данных (записей). Внешние атаки спровоцировали 18 из 39 зафиксированных «мега-утечек».

При реализации полного анализа рисков нужно решать ряд непростых задач. Процесс оценивания рисков разделяется на несколько этапов:

• Определение ресурса и оценивание его количественных показателей или выявление потенциального негативного воздействия на бизнес;

• Оценка угроз;

• Оценка уязвимостей;

• Оценка уже внедренных и предполагаемых средств обеспечения ИБ;

• Оценка рисков.

На базе оценивания рисков определяются средства, поддерживающие режим информационной безопасности. Ресурсы, имеющие значение для бизнеса и подверженные уязвимости, входят в группу риска, если по отношению к ним возможна какая-либо угроза. При оценивании рисков берется во внимание возможное негативное влияние от нежелательных происшествий и параметры значимости выбранных уязвимостей, а также угроз для них.

Ресурсы зачастую подразделяются на несколько классов: физические, программные и данные. Для любого класса существует своя методика оценки ценности элементов. Чтобы оценить ценность ресурсов, выбирается подходящая система критериев. Помимо критериев, учитывающих финансовые потери, в компании могут присутствовать критерии, показывающие:

• Ущерб репутации компании;

• Проблемы, связанные с нарушением действующих законов;

• Ущерб здоровья персонала;

• Ущерб от разглашения конфиденциальных и персональных данных;

• Проблемы, связанные с невозможностью выполнения взятых обязательств;

• Ущерб от реорганизации компании или деятельности.

Могут применяться и другие критерии в зависимости от направленности организации. Так, в правительственных учреждениях могут использоваться критерии, отражающие сферы национальной безопасности и международных отношений.

Также важно идентифицировать уязвимости – слабые места в системе защиты, которые становятся причиной реализации угроз.

Чтобы конкретизировать вероятность реализации угрозы, исследуется некоторый отрезок времени, в течение которого происходит защита ресурса. Возможность того, что угроза будет реализована, выражается следующими факторами:

• Привлекательность ресурса (параметр учитывается при рассмотрении угрозы умышленного воздействия со стороны людей);

• Использование ресурса для получения дохода (параметр учитывается при рассмотрении угрозы умышленного воздействия со стороны людей);

• Использования уязвимости для совершения атаки.

Сегодня известно большое количество методов оценивания угроз. Уже разработано множество методик анализа рисков.

1.3. Методы и средства обеспечения защиты информации

1. Организационно-правовые методы и средства [4]. Организационные меры по обеспечению информационной безопасности являются основной всех мероприятий по построению системы защиты информации. От того, насколько полно и качественно руководством предприятия построена организационная работа по защите информации, зависит эффективность системы защиты информации в целом, так как правильная постановка задачи на обеспечение мер по защите информации и грамотное распределение обязанностей между исполнителями – это фундамент построения любой системы.

Место и роль организационных мероприятий в общей системе

2. Аппаратно-программные методы и средства. Программно-аппаратные комплексы защиты информации предназначены для решения следующей совокупности задач защиты конфиденциальной информации, обрабатываемой в корпоративных приложениях [4]:

• реализация защищенной обработки на одном компьютере данных различной категории конфиденциальности с предотвращением хищения, раскрытия конфиденциальности при хищении и несанкционированной модификации конфиденциальных данных;
• реализация защиты системных ресурсов компьютеров в составе АС предприятия;
• реализация защищенного подключения компьютеров к локальной и внешней сети;
• реализация коллективного доступа сотрудников предприятия к защищаемым ресурсам АС предприятия;
• реализация эффективного инструментария администратора безопасности (АРМа администратора АС предприятия).

Одним из видов программно-аппаратных комплексов для предотвращения потерь данных являются DLP-системы.

DLP-системы - система предотвращения утечек важной информации из информационной системы под влиянием внешних факторов, а также программные или программно-аппаратные устройства или комплексы для обеспечения защиты от таких утечек. Такие системы формируются в результате анализа информационных потоков, пересекающих границу защищаемой информационной системы.

При обнаружении в таком потоке информации, которая определена как конфиденциальная, производится срабатывание активной компоненты системы и такая передача блокируется.

При этом могут подвергаться анализу такие каналы утечек, как [32]:

• электронная почта (общая и корпоративная);
• ftp-доступ к удаленным ресурсам;
• мгновенные сообщения интернет-мессенджеров;
• передача информации для печати;
• информация при передаче на внешние накопители (USB- флешки, различного рода диски);
• соединения внутри сети.

Основными преимуществом DLP-систем перед системами с аналогичными задачами являются возможность контроля над всеми типами и видами каналов утечки, постоянно используемым и повседневной деятельности предприятия, возможность обнаружения конфиденциальной информации независимо от вида ее представления по ее содержимому, возможность блокировки любого канала утечки информации и сигнализация об этом администратору безопасности, а также предельная автоматизация правил и процедур обработки информации в соответствии с действующей в организации политикой безопасности.

DLP – достаточно сложное программное или программно-аппаратное решение, которое позволяет не только блокировать факт передачи информации, но и осуществлять распознавание подготовки пользователя к такому действию [12]. На основании анализа таких ситуаций система строит отчеты и в случае утечки информации они могут стать основной для расследования и поиска виновных.

Таким образом, DLP система в первую очередь необходима для анализа трафика, а также его блокировки в случае обнаружения передачи конфиденциальной информации. Степень защиты информации, перечень каналов, порядок реагирования системы настраивается в ходе управления системой. Как правило, в едином интерфейсе управления системой могут быть объединены события по данным из трех областей – это информация, передаваемая по каналам внутренней сети во внешнюю сеть, данные, которые постоянно хранятся в хранилищах информации предприятия, а также данные, с которыми работают пользователи на своих рабочих местах. Следовательно, для полноценного использования DLP системы необходима установка трех различных компонент – в каналах передачи данных, на северах, на станциях пользователей [14].

3. Инженерно-технические методы и средства. Инженерно-техническая защита информации должна быть встроена в общую систему информационной безопасности компании и, в свою очередь, включать в себя физическую защиту информации, контроль доступа, аутентификацию, технические средства разграничения доступа.

Для предотвращения работы с ресурсами ИС посторонних лиц важно обеспечить распознавание каждого допустимого пользователя (или групп пользователей). Для подобной идентификации можно применять устройства различного рода: магнитные карты, ключи, дискеты и т.д.

Аутентификация (подтверждение подлинности) сотрудника может быть осуществлена при помощи [19]:

• Проверки специального устройства (карты, ключа и т.д.), либо знания пароля;

• Проверки уникальных физических характеристик и параметров каждого пользователя при использовании биометрических устройств.

Области ответственности и задачи для каждого конкретного технического средства обычно устанавливаются исходя из его технических характеристик, описанных в документации по каждому средству.

Технические средства разграничения доступа в идеале должны составлять одну большую единую систему контроля доступа [20]:

• На подконтрольную территорию в целом;

• К компонентам информационной системы и элементам системы защиты данных;

• К информационным ресурсам (носителям информации, документам, архивам, справкам и т.д.);

• К активным ресурсам (задачам и прикладным программам);

• К самой операционной системе, программам и программным средствам защиты.

2.АНАЛИЗ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ООО «МОСКОВСКАЯ ПИВОВАРЕННАЯ КОМПАНИЯ»

2.1.Краткая характеристика компании и используемых средств защиты информации

Московская Пивоваренная Компания вышла на российский рынок напитков с продуктами собственного производства в сентябре 2008 года. В состав компании входят самый современный пивоваренный завод в России, а также собственные дистрибьюторский и логистический центры, расположенные в семи километрах от МКАД (г. Мытищи) в экологически чистом районе. Партнерами проекта выступили Сбербанк России и инвестиционный фонд Detroit Investments, общий объем инвестиций составил более 300 миллионов долларов.

В состав компании входит самый современный пивоваренный завод в России, а также собственные дистрибьюторский и логистический центры.

Организация режима информационной безопасности и эксплуатация СЗИ ИС ООО «Московская пивоваренная компания» осуществляется группой по защите информации, которая организационной входит в отдел информационных технологий. Организационная структура группы представлена на рисунке 4:

Рисунок 4 – Структура группы по защите информации

Также в компании применяется антивирусная защита - на ПК пользователей и серверах инсталлирован программный продукт Kaspersky Enterprise Space Security.

В компании применяется ЭДО с использованием СЭД Docsvision.

В состав установленного программного комплекса защиты от утечек данных входят Zgate — сетевая DLP-система для защиты от утечек корпоративных данных, Zlock — система, позволяющая предотвратить утечки конфиденциальных дынных через периферийные устройства, а также Zdisk – механизм защиты от НСД для ПК пользователей.

Средствами SecurIT и TrendMicrоDLP реализованы функции определения, контроля и обеспечения безопасности всех конфиденциальных данных в состоянии хранения, обработки и передачи.

2.2.Выделение информационных активов компании и определение уязвимостей

Функции организации и обеспечения ИБ в ООО «Московская пивоваренная компания» сейчас выполняются сотрудниками IT-отдела по поручению начальника данного отдела. Ими же реализуется анализ рисков ИБ с последующим докладом руководителю ООО «Московская пивоваренная компания» через начальника отдела ИТ.

Из всего этого следует, что в настоящее время в ООО «Московская пивоваренная компания» нет продуманной стратегии по анализу рисков ИБ, анализ реализован лишь частично, фрагментарно и выполняется неподготовленным сотрудником. Оценка рисков в рамках проведения анализа реализована в виде составления списка самых опасных угроз, которые могут быть угрозой целостности информационных активов компании в настоящее время.

В компании имеется информация конфиденциального характера, которая также сведения ограниченного распространения (коммерческая тайна, служебная тайна, персональные данные), и открытые сведения.