Файл: Защита внутренней сети и сотрудников компании от атак (Глава 1. Модель угроз безопасности данных в корпоративной сети организации).pdf
Добавлен: 30.06.2023
Просмотров: 272
Скачиваний: 6
СОДЕРЖАНИЕ
ГЛАВА 1. МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ДАННЫХ В КОРПОРАТИВНОЙ СЕТИ ОРГАНИЗАЦИИ
1.1 ВИДЫ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ПО ФУНКЦИОНАЛЬНОЙ НАПРАВЛЕННОСТИ
1.2. ВИДЫ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНОЙ СЕТИ ОРГАНИЗАЦИИ
1.4 СОДЕРЖАНИЕ МОДЕЛЕЙ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ ОРГАНИЗАЦИИ
ГЛАВА 2. ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ ОРГАНИЗАЦИИ
2.1. ОБЩИЕ ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ ОРГАНИЗАЦИИ
2.2 ПОРЯДОК ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ ПРИ ВВОДЕ ЕЁ В ЭКСПЛУАТАЦИЮ
2.3 ТРЕБОВАНИЯ К КОМПЛЕКСНОЙ СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ
2.4 СТРУКТУРА КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
2.5 ПРОЕКТИРОВАНИЕ И РАЗРАБОТКА КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ КОРПОРАТИВНОЙ СЕТИ
Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:[15]
комплектование требований к защите информации, содержащейся в информационной системе; разработка конструкций защиты информации информационной системы; введение конструкций защиты информации информационной системы; аттестация информационной системы по требованиям защиты информации (далее – аттестация информационной системы) и ввод ее в действие; обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы; обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
Рис. 4 - Общее требования к защите информации в ИС
2.2 ПОРЯДОК ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ ПРИ ВВОДЕ ЕЁ В ЭКСПЛУАТАЦИЮ
Порядок защиты информации в корпоративной сети при вводе её в эксплуатацию состоит из 6 основных этапов:
Первый этап – Формирование требований к защите информации, содержащейся в сети.
На данном этапе должны быть сгенерированы требования для определённой информационной системы. Это один из самых важных этапов, так как невозможно начать защиту информации по причине непонимания слабых и сильных (уже защищённых) сторон.
Второй этап – Разработка КСЗИ
На этом этапе происходит разработка комплексной системы защиты информации.
Третий этап – Внедрение КСЗИ
На текущем этапе Исполнитель проводит все пусконаладочные работы, обучает и инструктирует персонал Заказчика правилам и режимам эксплуатации КСЗИ.
После реализации этого этапа внедренная КСЗИ готова к последующему испытанию.[16]
Четвёртый этап – Аттестация ИС и ввод её в эксплуатацию
На данном этапе Контролирующий орган назначает Организатора государственной экспертизы, который проводит независимый анализ (экспертизу) соответствия КСЗИ требованиям, изложенным в документе
«Техническое задание на создание КСЗИ», нормативной документации по технической защите информации, а также определяет возможность введения КСЗИ в промышленную эксплуатацию.
Аттестат является обязательным для ввода КСЗИ в промышленную эксплуатацию.
Пятый этап – Обеспечение защиты информации в ходе эксплуатации аттестационной ИС
На этом этапе Исполнитель может проводить авторский надзор и оказывать консультационную помощь Заказчику в эксплуатации КСЗИ, анализе её работы, выработке рекомендаций, и, при необходимости, её модернизации и развитии.
Шестой этап – Обеспечение защиты информации при выводе из эксплуатации аттестационной ИС или после принятия решения об окончании обработки информации
На этом этапе Заказчик обеспечивает защиту информации при окончании жизненного цикла информационной системы. Также этот этап начинает работать, когда Заказчик принимает решение об окончании обработки информации.
Схематично все этапы представлены на рисунке 6
Рис. 5 - Порядок защиты информации в ИС при вводе её в эксплуатацию
2.3 ТРЕБОВАНИЯ К КОМПЛЕКСНОЙ СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ
Поскольку комплексная система защиты информации предназначена для обеспечения безопасности всей защищенной информации, она должна отвечать следующим требованиям:
- ей необходимо быть привязанной к целям и задачам защиты информации в определенной компании;
- она должна быть цельной: включать в себя все составляющие, обладать структурные союзы между элементами, обеспечивающие ее договоренное функционирование;[17]
- она должна быть всеохватывающей, рассматривающей все объекты и составляющие их элементы защиты, все обстоятельства и факторы, влияющие на безопасность информации, и все виды, методы и средства защиты;
- она должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты, т. е. базироваться на принципе гарантированного результата;
- она должна быть «вмонтированной» в технологические схемы сбора, хранения, обработки, передачи и использования информации;
- она должна быть компонентно, логически, технологически и экономически обоснованной;
- она должна быть реализуемой, обеспеченной всеми необходимыми ресурсами;
- она должна быть простой и удобной в эксплуатации и управлении, а также в использовании законными потребителями;
- она должна быть непрерывной;
- она должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки информации, условий защиты.
Непрерывный процесс, находящийся под наблюдением безопасности, таким образом, есть обеспечение защиты информации, выявления узких мест в системе защиты, проверки и реализации наиболее эффективных путей совершенствования и развития системы защиты:
- безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты;[18]
- никакая система защиты не обеспечит безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех правил защиты;
- в любой момент может найтись преступник, который любыми способами подыщет хитрость для доступа к информации, поэтому никакую систему защиты нельзя считать безусловно надежной.[19]
В конечном итоге, для каждой Организации должна обязательно быть разработана своя собственная комплексная системы защиты информации. Требования, которые описаны в нормативных документах, в схематичной форме представленные на рисунке 7.
Рис. 6 – Требования к КСЗИ ИС
2.4 СТРУКТУРА КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
Комплексные системы защиты информации могут включать в себя следующие подсистемы:
-защиты от несанкционированного доступа;
- антивирусной защиты;
- управления правами доступа и учетными записями;
- криптографической защиты;
- межсетевого экранирования (статические пакетные межсетевые экраны, динамические межсетевые экраны и межсетевые экраны уровня приложений);
- контроля эффективности средств защиты информации и др.
Каждая из подсистем может задержать нарушителя в течение определенного времени, но только в сложной комбинации может достичь максимальной защиты информации в корпоративной сети организации.
Структура КСЗИ схематично можно увидеть на рисунке 8.
Рис. 7 – Структура КСЗИ
2.5 ПРОЕКТИРОВАНИЕ И РАЗРАБОТКА КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ КОРПОРАТИВНОЙ СЕТИ
При проектировании любой системы необходимо определить принципы, в соответствии с которыми она будет построена. КСЗИ (комплексная система защиты информации) — комплексная система, функционирующая, как правило, в условиях неопределенности, требующая значительных материальных затрат. Таким образом, определение основных принципов KСЗИ будут определены основные подходы к ее строительству. Принцип законности заключается в соответствии принимаемых мер законодательству РФ о защите информации, а также при отсутствии соответствующих законов — иными государственным нормативным документам по защите.[20]
В соответствии с принципом полноты защищаемой информации защите подлежит не только информация, составляющая государственную, коммерческую или служебную тайну, но и та часть несекретной информации, потеря которой может нанести ущерб ее собственнику либо владельцу. Создание условий и для защиты интеллектуальной собственности является воплощение этого принципа.
Принцип обоснованности защиты информации заключается в установлении путем экспертной оценки целесообразности засекречивания и защиты той или другой информации, вероятных экономических и других последствий такой защиты на основе баланса жизненно важных интересов государства, общества и граждан. Это, в свою очередь, позволяет тратить средства, чтобы защитить только потери информации или утечки, которые могут привести к повреждению его владельца.
Принцип создания специализированных подразделений по защите информации заключается в том, что такие отделы являются непременным условием Организации совокупной защиты, поскольку только специализированные службы способны должным образом разрабатывать и вводить мероприятия, защищающие информацию, и производить проверку за их выполнением.
Принцип участия в защите информации всех лиц, которые находящихся во взаимодействии с ним, происходит из того дела, что защита информации является служебной обязательством каждого лица, имеющего по роду выполняемой работы отношение к защищаемой информации, и такое участие дает возможность усовершенствовать качество защиты.
Принцип персональной ответственности за защиту информации диктует, чтобы каждый человек нес персональную ответственность за целость и тайность порученной ему защищаемой информации, а за утрату или распространение такой информации он несет уголовную, административную или иную ответственность.[21]
Принцип наличия и использования всех необходимых правил и средств для защиты заключается в том, что КСЗИ требует, с одной стороны, участия в ней начальства предприятия и специального сервиса защиты информации и всех исполнителей, работающих с защищаемой информацией, с другой стороны, использования различных организационных форм и методов защиты, с третьей стороны, наличие необходимых материально-технических ресурсов, в том числе и технические средства защиты.
Принцип предосторожности принимаемых мер по защите информации предполагает априорное опережающее заблаговременное принятие мер по защите до начала разработки или получения информации. Из этого принципа следует, в частности, необходимость разработки защищенных информационных технологий.
Среди обсуждаемых принципов вряд ли можно выделить более или менее важные. А при построении КСЗИ важно использовать их в совокупности.
Проектирование КСЗИ схематично представлено на рисунке 9.
Рис. 8 – Проектирование КСЗИ
ЗАКЛЮЧЕНИЕ
В ходе выполнения выпускной квалификационной работы было выполнено:
1) Разработана методика оценки несанкционированного доступа к данным в информационной системе Организации
2) Проанализированы и определенны потенциально наиболее опасные нарушители для корпоративной информационной системы Организации
3) Разработан алгоритм проектирования и разработка комплексной системы защиты информации корпоративной сети
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. «Методика определения угроз безопасности информации в информационных системах». Утвержден ФСТЭК России 2015г.
2. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена заместителем директора ФСТЭК России 15 февраля 2008г.
3. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена заместителем директора ФСТЭК России 15 февраля 2008г.