Файл: Разработка рекомендаций по сбору и оценке событий информационной безопасности.pdf
Добавлен: 25.04.2023
Просмотров: 127
Скачиваний: 2
СОДЕРЖАНИЕ
Глава 1Теоретические основы процесса обеспечения информационной безопасности
1.1 Необходимость создания системы информационной безопасности
1.2 Требования к системе информационной безопасности
1.3 Внедрение политики информационной безопасности
1.4 Факторы, определяющие эффективность политики безопасности
Глава 2. Проведение аудита информационной безопасности
2.1 Проведение первоначального аудита информационной системы
2.2 Оценка соответствия Корпоративному стандарту по информационной безопасности
2.3 Рекомендации по обеспечению информационной безопасности.
1.5 Оценка рисков
Перед принятием любых решений относительно стратегии информационной безопасности организации (как на длительный, так и на короткий период времени) мы должны оценить степени уникальных рисков.
Пока организация имеет информацию, представляющую ценность для вас и ваших конкурентов (а может, и просто «случайных» хакеров), она рискует потерей этой информацией. Функция любого информационного механизма контроля безопасности (технического или процедурного) и должна состоять в ограничении этого риска заранее выбранным приемлемым уровнем. Конечно, это истинно и для защитной политики. Политика это механизм контроля за существующими рисками и должна быть предназначена и развита в ответ на имеющиеся и возможные риски. Таким образом, всестороннее осуществление оценки риска должно быть первой стадией процесса создания политики. Оценка риска должна идентифицировать самые слабые области вашей системы и должна использоваться для определения дальнейших целей и средств.
Спорным вопросом предмета оценки информационных рисков является использование объективных и субъективных вероятностей для анализа уязвимостей и непосредственно анализа информационного риска. Согласно [ГОСТ Р 51897‑2002] риск: Сочетание вероятности событий и их последствий[1]. Вероятность: Мера того, что событие может произойти. ГОСТ Р 50779.10 дает математическое определение вероятности: «действительное число в интервале от 0 до 1, относящиеся к случайному событию». Число может отражать относительную частоту в серии наблюдений или степень уверенности в том, что некоторое событие произойдет. Для высокой степени уверенности вероятность близка к единице.
Оценка риска: Общий процесс анализа риска и оценивания риска. Термин «вероятность» имеет несколько различных значений. Наиболее часто встречаются два толкования, которые обозначаются сочетанием «объективная вероятность» и «субъективная вероятность». Под объективной (иногда называемой физической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему количеству наблюдений. Это понятие применяется при анализе результатов большого числа наблюдений, имевших место в прошлом, а также полученных как следствия из моделей, описывающих некоторые процессы. Для применения данного метода требуется наличие довольно большого массива наблюдений за соответствующими факторами риска, который затем обрабатывается с помощью несложных математических методов.
Под субъективной вероятностью имеется в виду мера уверенности некоторого человека или группы людей в том, что данное событие в действительности будет иметь место. Как мера уверенности в возможности наступления события субъективная вероятность может быть формально представлена различными способами: вероятностным распределением на множестве событий, бинарным отношением на множестве событий, не полностью заданным вероятностным распределением или бинарным отношением и другими способами. Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем. Процесс получения субъективной вероятности обычно разделяют на три этапа:
подготовительный этап,
получение оценок,
этап анализа полученных оценок.
Во время первого этапа формируется объект исследования - множество событий, а также выполняется предварительный анализ свойств этого множества (устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий). На этом же этапе производится подготовка эксперта или группы экспертов, ознакомление их с методом и проверка понимания ими поставленной задачи.
Второй этап состоит в применении метода, выбранного на первом этапе. Результатом этого этапа является набор чисел, который отражает субъективный взгляд эксперта или группы экспертов на вероятность того или иного события, однако далеко не всегда может считаться окончательным распределением, поскольку нередко оказывается противоречивым. На третьем этапе исследуются результаты опроса. Если вероятности, представленные экспертами, не согласуются с аксиомами вероятности, то на это обращается внимание экспертов и ответы уточняются с целью приведения их в соответствие с выбранной системой аксиом.
Одним из методов субъективной вероятности является метод прямой оценки вероятностей событий[2]. В этом методе эксперту или группе экспертов предъявляется список всех событий. Эксперт должен указать последовательно вероятность всех событий. Возможны различные модификации метода. В одной из модификаций предлагается сначала выбрать наиболее вероятное событие из предложенного списка, а затем оценить его вероятность. После этого событие из списка удаляется, а к оставшемуся списку применяется уже описанная процедура. Сумма всех полученных вероятностей должна равняться единице.
Глава 2. Проведение аудита информационной безопасности
2.1 Проведение первоначального аудита информационной системы
В результате первоначального аудита было проведено анкетирование пользователей и администраторов сети Компании. В результате аудита были выявлены следующие недостатки в обеспечении безопасности информации:
Отсутствуют средства контроля доступа к помещениям.
Отсутствует схема организации резервного канала связи с Филиалами Общества в регионе.
Отсутствует схема организации технологических мест доступа сотрудников Общества для проверки функциональности каналов связи и работоспособности сетевого оборудования.
Наличие в Обществе системы «Клиент-Банк» требует дополнительной проработки вопросов обеспечения информационной безопасности Общества и подготовки соответствующих Приказов, Инструкций и рекомендаций.
Отсутствует полноценный проект построения ЛВС Общества с наличием схем описаний, используемого оборудования и технологий доступа.
Системы резервного копирования данных находятся в критическом состоянии. Отсутствуют дополнительные мощности для хранения данных. Так же отсутствуют регламенты проведения резервного копирования данных.
Сети и подсети ЛВС не имеют логического и физического разделения. Межсетевой экран имеет подключение в точке сопряжения с внешней сетью.
Отсутствуют специальные программные и аппаратные средства контроля и защиты информационных ресурсов и систем.
В ходе осмотра дополнительного офиса была обнаружена приклеенная бумага к коммутационному оборудованию с указанием сетевых настроек и административного пароля доступа к оборудованию.
Наличие стандартных и простых паролей, а так же множественные уязвимости.
На контроллере домена отсутствует разграничение доступа отделов по папкам. В ходе проверки были обнаружены документы относящиеся к классам безопасности: «СЛУЖЕБНАЯ ИНФОРМАЦИЯ», «КОММЕРЧЕСКАЯ ТАЙНА», «ПЕРСОНАЛЬНЫЕ ДАННЫЕ».
Отсутствуют бизнес-процессы предоставления/прекращения доступа к ресурсам ЦД сотрудникам Общества, филиалов и подрядчикам.
Отсутствуют нормативные документы по информационной безопасности, в том числе Политика и правила информационной безопасности.
Так же были выявлены следующие основные уязвимости на рабочих станциях и серверах корпоративной вычислительной системы:
Таблица 1
Основные уязвимости на рабочих станциях и серверах корпоративной вычислительной системы
|
Порт |
Уязвимость |
Решение |
|
23 |
Telnet является протоколом удаленного управления компьютером. Этот протокол является открытым, то есть трафик общения компьютеров не шифруется и может быть перехвачен путем прослушивания сети. |
Использовать защищенный протокол, например SSH или разрешить доступ к этому сервису только с определенных адресов. |
|
21 |
Возможно создание директорий. Возможно удаление директорий. Возможен анонимный вход на сервер FTP. При определенных обстоятельствах это может привести к потери данных. |
Закрыть доступ любым пользователям для создания директорий. Закрыть доступ любым пользователям для удаления директорий. Закрыть анонимный доступ к FTP серверу если он действительно не нужен. |
|
80 |
Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д. |
Запретить использование этих скриптов или программно исправить ошибку. |
|
135 |
Возможно получение удаленной командной строки с правами системы из-за переполнения буфера в DCOM RPC сервиса. |
Установите обновление: http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx |
|
139 |
Переполнение буфера обнаружено в Microsoft ASN.1 Library ("msasn1.dll") в процессе ASN.1 BER декодирования. Уязвимость может эксплуатироваться через различные службы (Kerberos, NTLMv2) и приложения, использующих сертификаты. Удаленный пользователь может послать специально обработанные ASN.1 данные к службе или приложению, чтобы выполнить произвольный код с SYSTEM привилегиями. |
Установите обновление: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx |
|
389 |
Возможно получение чувствительной информации через запрос NULL BASE без какой-либо авторизации |
Оценить степень риска информации получаемой с помощью запроса и при необходимости отключить использование NULL BASE. |
|
593 |
Возможно получение удаленной командной строки с правами системы из-за переполнения буфера в DCOM RPC сервиса. |
Установите обновление: http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx |
|
445 |
Возможен доступ на чтение реестра хоста. |
Отключить возможность удаленного управления реестром. |
|
53 |
Сервер DNS поддерживает рекурсию запросов. При определенных обстоятельствах возможна DoS-атака на сервер. |
Разрешить рекурсию только для доверенных адресов. |
|
3306 |
Переполнение буфера и обход авторизации обнаружено в MySQL. Удаленный пользователь может авторизоваться на сервере базы данных без пароля. Удаленный пользователь может, в некоторых случаях, выполнить произвольный код. Удаленный пользователь может представить специально обработанный авторизационный пакет, чтобы обойти механизм авторизации на MySQL сервере. Уязвимость расположена в check_scramble_323() функции. Удаленный пользователь может определить произвольное 'passwd_len' значение, чтобы заставить функцию сравнить известное значение 'scrambled' пароля со строкой нулевой длины. Функция позволяет удаленному пользователю успешно аутентифицироваться со строкой нулевой длины. Также сообщается о стековом переполнении буфера, которое может быть вызвано чрезмерно длинным параметром 'scramble' , сгенерированным функцией my_rnd(). На некоторых платформах уязвимость может использоваться для выполнения произвольного кода. |
Установите последнюю версию: http://www.mysql.com/downloads/index.html |
На основании этих недостатков, был разработан набор нормативных актов регулирующих информационную безопасность (Приложение 1-16):
Политика Информационной безопасности;
Данный нормативный акт является основным документом, регулирующим вопросы информационной безопасности Компании. В нем даётся понятие безопасности информации. Определяется защищаемая информация. Предъявляются требования к административной и технической защите информации. Определяются ответственные за надлежащее исполнение норм политики (За основу была взята политика информационной безопасности КОМСТАР-ОТС).
Инструкции по наделению (лишению) сотрудников необходимыми полномочиями по доступу к ресурсам системы;
Данный нормативный акт регулирует порядок увольнения работников и лишения их прав доступа в систему. Подробно описывается количество времени выделенного на существование учётных записей пользователей.
Инструкция по регламентации работы пользователей сети в процессе её эксплуатации;
Инструкция по регламентации работы пользователей в локальной вычислительной сети в процессе ее промышленной эксплуатации предназначена для руководителей и сотрудников Компании и регулирует порядок допуска пользователей к работе в локальной вычислительной сети организации, а также правила обращения с защищаемой информацией Базы Данных организации, обрабатываемой, хранимой и передаваемой в организации.
Правила информационной безопасности при организации межсетевого взаимодействия;
Правила информационной безопасности при организации технологического доступа сторонним организациям;
Правила информационной безопасности при организации и использовании услуги электронной почты;
Правила информационной безопасности при использовании внутренних информационных ресурсов Компании;
Правила информационной безопасности при организации доступа к внешним информационным ресурсам и сервисам;
Правила информационной безопасности при использовании средств аутентификации;
Правила информационной безопасности при организации антивирусной защиты;
Правила информационной безопасности, предъявляемые к разрабатываемым и внедряемым автоматизированным информационным системам;
Правила информационной безопасности при использовании системы «Клиент-банк».
Правила информационной безопасности при обучении сотрудников.
Правила информационной безопасности при анализе рисков.
Правила информационной безопасности при управлении инцидентами.