Добавлен: 17.06.2023
Просмотров: 181
Скачиваний: 2
СОДЕРЖАНИЕ
ГЛАВА 1 Теоретические аспекты защиты информации
1.1 Технико-экономическая характеристика предметной области и предприятия
1.2. Оценка уязвимостей активов
ГЛАВА 2. РАЗРАБОТКА КОМПЛЕКСА МЕР ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
2.1 Комплекс организационных мер
2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности
- Оформление заказов клиентов. Если клиент принимает решение о заключении договора на оказание услуг (по изготовлению полиграфической продукции), то все его данные вносятся в общую клиентскую базу. Если заказчик обращается в фирму повторно, то его данные уже имеются в базе, что облегчает процесс работы. После того, как клиент определился с видом услуг, происходит заполнение данных о заказе: данные клиента, тип услуг, объем работ, сроки. На основании этого выполняется расчет стоимости и подготовка договора с клиентом.
- Выполнение работ. Этот этап подразумевает выполнение работ на основании наряда на выполнение работ.
- Закупка расходных материалов. Если есть необходимость, то для выполнения работ выполняется закупка материалов.
- Бухгалтерская и налоговая отчетность.
Кроме разработки функциональной модели, полезно бывает выполнение поведенческого моделирования отдельных процессов. Такое моделирование необходимо, когда нужно понять, каким именно образом происходит взаимодействие в системе.
В основе поведенческого моделирования лежат модели и методы имитационного моделирования систем массового обслуживания, сети Петри, возможно применение конечно-автоматных моделей, описывающих поведение системы, как последовательности смены состояний.
Поведенческие аспекты приложений отражает методика IDEF3. Если методика IDEF0 связана с функциональными аспектами, то в IDEF3 детализируются и конкретизируются IDEF0-функции В IDEF3 входят два типа описаний:
- процесс-ориентированные в виде последовательности операций (Process Flow Description Diagrams, PFDD);
- объект-ориентированные, выражаемые диаграммами перехода состояний, характерными для конечно-автоматных моделей (Object State Transition Network, OSTN).
Процесс оформления заявки пользователя представлен на рисунке 1.3. Здесь функции (операции) показаны прямоугольниками с горизонтальной чертой, отделяющей верхнюю секцию с названием функции от нижней секции, содержащей номер функции. Связи, отражающие последовательность выполнения функций, изображаются сплошными линиями-стрелками.
Рис. 1.3. Модель IDEF 3
Таким образом, нами были разработаны функциональная и поведенческая модели предметной области. Эти модели позволяют выявить основные информационные потоки и документы, которые являются активами предприятия и подлежат защите. Кроме того, на основе этих моделей можно выявить процессы, которые выполняют обработку конфиденциальной информации. В работу этих проессо необходимо внедрять технологии защиты информации.
И еще один важный аспект, который можно выявить с использованием разработанных моделей – специалисты, принимающие участие в обработке информации. Для этих специалистов необходимо определить алгоритмы работы с информацией, разработать инструкции, провести инструктаж. Также в обработке информации используются компьютерные средства, для которых также необходимо продумать механизмы защиты: организационные, программно-технические или даже физические.
Таким образом, разработанне модели предметной области являются основой для анализа информаионных активов и проектирования системы информационной безопасности.
На основе моделирования предметной области были выявлены основные документы и данные, которые подлежат защите. Однако, для того, чтобы правильно оценивать необходимые затраты на разработку системы защиты информации, нужно правильно оценивать количество этих документов и общий объем данных.
Приведённые основные характеристики будут являться дальнейшей основой для обоснования необходимости решения задачи защиты информации, а также для расчёта общей экономической эффективности проекта (таблица 1.1).
Таблица 1.1 - Показатели компании в период с марта 2018 по апрель 2018
|
№ |
Наименование характеристики (показателя) |
Значение |
|
1 |
Количество заказов (заказов/мес.) |
320 |
|
2 |
Количество поставок материалов (поставок/мес.) |
2 |
|
3 |
Количество обработанных документов (документов/мес.) |
642 |
|
4 |
Трудоемкость на регистрацию заказов (часов/мес.) |
80 |
|
5 |
Трудоемкость на регистрацию поставок материалов (часов/мес.) |
1 |
|
6 |
Трудоемкость формирования сопроводительной документации (часов/мес.) |
160 |
|
7 |
Количество результатных отчетов (документов/мес.) |
5 |
|
8 |
Трудоемкость на формирование ежемесячной отчетности (часов/мес.) |
7,5 |
|
9 |
Общее количество сотрудников (чел.) |
52 |
|
10 |
Общее количество магазинов (шт.) |
6 |
|
11 |
Количество отделов компании (шт.) |
5 |
На основе характеристик, представленных в таблице, будет выполняться оценка уровня угроз, которые могут нанести вред тому или иному потоку информации, вероятность возникновения той или иной угрозы, а также необходимость применения средств защиты.
Кроме того, при планировании методов защиты станет понятно, какой объем информации будет проходить через то или иное программное или техническое средство, что поможет правильно выбрать технику и программное обеспечение.
1.2. Оценка уязвимостей активов
Оценка уязвимости активов проведена на основании требований стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 [4].
Уязвимость – это событие, которое возникает как результат некоторого стечения обстоятельств, когда в силу каких-то причин используемые в системах обработки данных средства защиты информации не в состоянии оказать достаточного сопротивления различным дестабилизирующим факторам и нежелательного их воздействия на информацию, подлежащую защите.
В информационной безопасности, термин уязвимость используется для обозначения такого недостатка в информационной системе, используя который, можно нарушить её целостность и обусловить неправильную работу. Уязвимость может стать результатом ошибок разработки программного обеспечения, недостатков, допущенных при проектировании информационной системы, ненадежных паролей, вредоносных программ. Можно сказать – уязвимость – это возможное место проявления угрозы безопасности информационного ресурса. Уязвимости информационной системы организации можно выявить несколькими способами. Их может описать сотрудник компании (инженер, системный администратор или специалист службы информационной безопасности) на основании собственного опыта. Кроме того, могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей. Чаще всего именно приглашенные специалисты могут независимым взглядом «посмотреть» на существующую систему защиты информации и выявить все (или большинство) существующие уязвимости. Показателем уязвимости некоторого актива является степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая). Перечень уязвимостей, с указанием оценки степени вероятности возможной реализации отмеченных уязвимостей, сведены в таблицу 1.2.
Таблица 1.2 - Оценка уязвимости активов
|
Группа уязвимостей |
внутр. переписка |
Цены на товары |
Инвентари-зационная ведомость |
Приходные накладные |
Заказы клиентов |
Расходные накладные |
Наряд на выполнение работ |
Бух. и налоговая отчетность |
Инф-я о продукции |
ПО |
||||||||||||||||||||||||||
|
1. Среда и инфраструктура |
||||||||||||||||||||||||||||||||||||
|
Нестабильная работа электросети |
низкая |
|||||||||||||||||||||||||||||||||||
|
2. Аппаратное обеспечение |
||||||||||||||||||||||||||||||||||||
|
Недостаточное обслуживание/неправильная инсталляция |
высокая |
средняя |
средняя |
средняя |
средняя |
средняя |
средняя |
средняя |
низкая |
средняя |
||||||||||||||||||||||||||
|
Отсутствие контроля изменения конфигурации |
высокая |
высокая |
высокая |
высокая |
высокая |
высокая |
высокая |
низкая |
низкая |
высокая |
||||||||||||||||||||||||||
|
3. Программное обеспечение |
||||||||||||||||||||||||||||||||||||
|
Отсутствие механизмов идентификации и аутентификации |
высокая |
высокая |
высокая |
высокая |
высокая |
высокая |
высокая |
низкая |
низкая |
высокая |
||||||||||||||||||||||||||
|
Незащищенные таблицы паролей |
высокая |
высокая |
высокая |
высокая |
низкая |
высокая |
низкая |
низкая |
низкая |
высокая |
||||||||||||||||||||||||||
|
Плохое управление паролями |
высокая |
высокая |
высокая |
высокая |
высокая |
высокая |
низкая |
низкая |
низкая |
высокая |
||||||||||||||||||||||||||
|
Неправильное присвоение прав доступа |
высокая |
высокая |
средняя |
средняя |
низкая |
средняя |
низкая |
низкая |
низкая |
средняя |
||||||||||||||||||||||||||
|
Отсутствие регистрации конца сеанса при выходе |
высокая |
высокая |
высокая |
высокая |
низкая |
высокая |
низкая |
низкая |
низкая |
средняя |
||||||||||||||||||||||||||
|
Отсутствие эффективного контроля внесения изменений |
высокая |
высокая |
средняя |
средняя |
средняя |
средняя |
низкая |
низкая |
низкая |
высокая |
||||||||||||||||||||||||||
|
Отсутствие резервных копий |
высокая |
высокая |
средняя |
средняя |
высокая |
средняя |
средняя |
низкая |
низкая |
средняя |
||||||||||||||||||||||||||
|
4. Коммуникации |
||||||||||||||||||||||||||||||||||||
|
Неадекватное управление сетью |
высокая |
низкая |
низкая |
низкая |
низкая |
низкая |
низкая |
низкая |
низкая |
низкая |
||||||||||||||||||||||||||
|
Незащищенные подключения к сетям |
высокая |
средняя |
средняя |
средняя |
средняя |
средняя |
средняя |
средняя |
средняя |
средняя |
||||||||||||||||||||||||||
|
5. Документы (документооборот) |
||||||||||||||||||||||||||||||||||||
|
Хранение в незащищенных местах |
низкая |
высокая |
высокая |
высокая |
высокая |
высокая |
средняя |
низкая |
низкая |
|||||||||||||||||||||||||||
|
Недостаточная внимательность при уничтожении |
низкая |
высокая |
высокая |
высокая |
высокая |
высокая |
средняя |
низкая |
низкая |
|||||||||||||||||||||||||||
|
Бесконтрольное копирование |
низкая |
высокая |
высокая |
высокая |
высокая |
высокая |
средняя |
низкая |
низкая |
|||||||||||||||||||||||||||
|
6.Персонал |
||||||||||||||||||||||||||||||||||||
|
Неправильное использование программно-аппаратного обеспечения |
высокая |
средняя |
средняя |
средняя |
средняя |
средняя |
средняя |
низкая |
средняя |
средняя |
||||||||||||||||||||||||||
|
7. Общие уязвимые места |
||||||||||||||||||||||||||||||||||||
|
Неадекватные результаты проведения тех. обслуживания |
высокая |
низкая |
низкая |
низкая |
низкая |
низкая |
низкая |
низкая |
низкая |
низкая |
||||||||||||||||||||||||||
Угроза – это потенциальная причина инцидента, который может нанести ущерб системе или организации. Инцидент информационной безопасности – это любое непредвиденное или нежелательное событие, которое может нарушить деятельность организации или информационную безопасность.
Существуют пассивные и активные угрозы. Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов информационной системы, не оказывая при этом влияния на саму информацию, не вызывая искажений и нарушений информации. К пассивной угрозе можно, например, отнести прослушивание каналов связи, просмотр данных из базы данных..
Цель активных угроз - нарушение нормальной работы информационной системы путем целенаправленного воздействия на ее составляющие. Активные угрозы портят информацию, воздействуют на саму информационную систему. Так, к активным угрозам можно отнести искажение информации, вывод из строя компьютерной техники, воздействие вирусов.
Умышленные угрозы бывают также двух видов: внутренние (возникающие внутри управляемой организации) и внешние (вызванные воздействием внешней среды). Внутренние угрозы чаще всего определяются недовольством сотрудников, неблагоприятным климатом внутри коллектива. Также внутренние угрозы могут быть вызваны непрофессионализмом работником или экономией на средствах защиты информации. Внешние угрозы часто осуществляются конкурентами, зависят от экономических условий и других причин.
По данным зарубежных источников, получил широкое распространение промышленный шпионаж — это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.
Оценка угроз активам проведена на основании требований стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 [4]. Перечень угроз, с указанием оценки, сведены в таблицу 1.3.
Таблица 1.3 - Оценка угроз активам
|
Группа уязвимостей |
внутр. переписка |
Цены на товары и материалы |
Инвентари-зационная ведомость |
Приходные накладные |
Заказы клиентов |
Расходные накладные |
Наряд на выполнение работ |
Бухгалтерская и налоговая отчетность |
Информация о продукции |
ПО |
|
1. Угрозы, обусловленные преднамеренными действиями |
||||||||||
|
Вредоносное программное обеспечение |
высокая |
низкая |
низкая |
низкая |
низкая |
низкая |
низкая |
низкая |
низкая |
низкая |
|
Доступ несанкционированных пользователей к сети |
высокая |
средняя |
средняя |
средняя |
средняя |
средняя |
средняя |
средняя |
средняя |
средняя |
|
Использование ПО несанкционированными пользователями |
высокая |
высокая |
высокая |
высокая |
высокая |
высокая |
высокая |
низкая |
высокая |
высокая |
|
2. Угрозы, обусловленные случайными действиями |
||||||||||
|
Ошибка операторов |
высокая |
высокая |
высокая |
высокая |
высокая |
высокая |
высокая |
средняя |
средняя |
низкая |
|
Ненадлежащее использование ресурсов |
средняя |
высокая |
высокая |
высокая |
средняя |
высокая |
средняя |
низкая |
средняя |
высокая |
|
Ошибка при обслуживании |
высокая |
средняя |
средняя |
средняя |
низкая |
средняя |
средняя |
средняя |
средняя |
средняя |
|
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы) |
||||||||||
|
Ухудшение состояния носителей данных |
низкая |
высокая |
высокая |
высокая |
средняя |
высокая |
высокая |
средняя |
средняя |
высокая |
|
Колебания напряжения |
низкая |
высокая |
высокая |
высокая |
высокая |
высокая |
низкая |
средняя |
средняя |
высокая |
1.3 Оценка существующих и планируемых средств защиты
Задачи по защите информации возложены на сотрудников IT-отдела компании, а также на руководителей подразделений.
Компания оснащена необходимыми техническими средствами, характеристики которых отражены на схеме технической архитектуры ИС компании на рисунке 1.5.
Рис. 1.3. Техническая архитектура ИС компании « Рапито»
Сервер 1С установлен на персональном компьютере, который имеет следующие параметры: Intel Сore i3 2100 3.1GHz/3MB/NoTurbo Макс. объем памяти: 32 ГБ. Типы памяти: DDR3-1066/1333. Количество каналов памяти: 2. Макс. пропускная способность памяти: 21 Гб/с.
Все отделы компании оснащены рабочими станциями со следующими параметрами: Intel Atom D525 (1.8 ГГц) / RAM 2 ГБ / HDD 1000 ГБ / nVidia ION 2, 512 МБ / DVD+/-RW Slim.
Для печати документов в отделах компании установлены принтеры, со следующими параметрами: SamsungSCX-4600+USB cable/360 МГц/256Мб/ Технология печати: Лазерная печать (ч/б) / Скорость печати составляет 22 стр./мин. при разрешении до 1200x600 тчк./дюйм.
Офисы компании оснащены многофункциональными устройствами со следующими параметрами: SamsungCLX-6220FX+USB cable/360 МГц/256Мб / Технология печати: Лазерная печать (цветная) / Встроенный факс / Сетевые интерфейсы: Ethernet / Скорость печати составляет 20 стр./мин.
Директор компании для работы использует ноутбук, который имеет следующие параметры: IntelAtomD525 (1.8 ГГц) / RAM 2 ГБ / HDD 250 ГБ / NVIDIA ION 2 / без ОДД / LAN / Wi-Fi / Bluetooth / веб-камера.
Все рабочие станции офиса соединены в локальную сеть каналами связи, с помощью технологии передачи данных Ethernetc использованием маршрутизаторов большой мощности – AirLive A.Duo. Данный маршрутизатор поддерживает одновременно два диапазона частот – 5 ГГц и 2,4 ГГц и обеспечивает высокую скорость передачи данных до 108 Мбит/с в режиме Turbo.
На сегодняшний день бухгалтерский и налоговый учет в компании осуществляется бухгалтерией с помощью программного продукта «1C: Бухгалтерия 8.0», который обеспечивает высокий уровень автоматизации ведения бухгалтерского и налогового учета и подготовки обязательной (регламентированной) отчетности в хозрасчетных организациях. Программная архитектура ИС компании представлена схемой на рисунке 1.4.
Сервер 1С – это программа и компьютер, на котором установлена и работает данная программа. Сервер 1С не является одной программой, а состоит из несколько процессов [5]:
Агент сервера (ragent.exe) – собственно и является сервером 1С. Он ничего не делает кроме хранения и идентификации одного или группы кластеров 1С.