Файл: «Виды и состав угроз информационной безопасности» (ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ).pdf
Добавлен: 28.03.2023
Просмотров: 110
Скачиваний: 1
СОДЕРЖАНИЕ
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1.1 Идентификация и оценка информационных активов
1.2. Выбор защитных мер информационной безопасности
ГЛАВА 2. АНАЛИЗ ПРАКТИКИ ЗАЩИТЫ ИНФОРМАЦИИ
2.1 Комплекс проектируемых программно-аппаратных средств
2.2 Выбор и обоснование методики расчёта экономической эффективности
ВВЕДЕНИЕ
В настоящее время, когда основные бизнес-процессы предприятий организованы в корпоративных сетях, стает актуальной проблема обеспечения бесперебойной работы корпоративной сети и информационных систем предприятия. Руководящим документом по обеспечению информационной безопасности является политика информационной безопасности предприятия.
Целью данной работы является исследование видов и состава угроз информационной безопасности.
Для достижения поставленной цели, необходимо выполнение следующих задач:
- Провести анализ предметной области;
- Провести анализ активов организации и отранжировать их;
- Провести анализ угроз и уязвимостей для каждого актива;
- Провести анализ программно-технической архитектуры предприятия;
- Провести анализ существующих технических средств охраны;
- Разработать перечень решений по правовому, инженерному и организационному обеспечению ИБ;
- Провести экономическое обоснование проекта ИБ.
Объект исследования – информационная безопасность.
Предмет исследования - виды и состав угроз информационной безопасности.
Структура работы состоит из введения, основной части, заключения и списка литературы.
Теоретической и методологической базой данной работы послужили трудв российских и зарубежных авторов в области информационной безопасности, материалы периодических изданий и сети Интернет
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1.1 Идентификация и оценка информационных активов
Обоснование выбора активов: из возможных видов активов выбраны программные, информационные и физические активы. Это обусловлено тем, что в организации используются информационные системы, с многопользовательским режимом доступа.
Из физических активов выбран только сервер информации, так как он является носителем коммерчески важной информации. Неработоспособность сервера влечет простои в работе предприятия и несет убытки.
Из информационных активов ценность представляет информация о текущих сделках предприятия и персональная информация клиентов и сотрудников. Данный факт обусловлен тем, что потеря информации по сделкам влечет приостановление в работе предприятия, затраты на восстановление информации, а потеря клиентской базы влечет потерю клиентов и негативно сказывается на репутации организации.
Перечень информации конфиденциального характера обусловлен конфиденциальностью персональных данных сотрудников и клиентов. Вопросы конфиденциальности персональных данных регламентированы ФЗ «О персональных данных».
Перечень сведений конфиденциального характера приведены в таблице 1.1.
Таблица 1.1
Перечень сведений конфиденциального характера
№ п/п |
Наименование сведений |
Гриф конфиденциальности |
Нормативный документ, реквизиты, №№ статей |
---|---|---|---|
1. |
Персональные данные сотрудников |
конфиденциально |
Федеральный закон Российской Федерации от 27 июля 2016 г. N 152-ФЗ «О персональных данных» |
2. |
Персональные данные клиентов |
конфиденциально |
Федеральный закон Российской Федерации от 27 июля 2016 г. N 152-ФЗ «О персональных данных» |
3. |
Инструкции по безопасности |
Строго конфиденциально |
Федеральный закон от 29.07.2014 № 98-ФЗ «О коммерческой тайне» Федеральный закон «Об информации, информационных технологиях и о защите информации» Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» |
4. |
Информация о деятельности предприятия |
Строго конфиденциально |
Федеральный закон от 29.07.2014 № 98-ФЗ «О коммерческой тайне» |
Ранжирование информации осуществляется пропорционально возможному ущербу от утери или разглашения данной информации.
Максимальный ранг имеет информация о деятельности предприятия.
Разглашение инструкции по безопасности или таблицы учетных записей влечет за собой возможное нарушение информационной безопасности организации, поэтому также имеет высокий ранг.
Нарушения работы сервера без потери информации влекут за собой простои в работе предприятия.
Наименьший ранг активов имеют персональные данные сотрудников, так как разглашение данной информации слабо доказуемо, а потеря информации в случае повреждения носителей не влечет штрафных санкций.
Результат ранжирования активов по степени ценности приведен в таблице 1.2.
Таблица 1.2
Результаты ранжирования активов
Наименование актива |
Ценность актива (ранг) |
Инструкции по безопасности (информационный актив) |
4 |
«1С: Предприятие 8.0» (актив программного обеспечения) |
4 |
Информация о деятельности предприятия (информационный актив) |
5 |
Персональные данные клиентов (информационный актив) |
4 |
Персональные данные сотрудников (информационный актив) |
3 |
Сервер БД (физический актив) |
3 |
Оценка уязвимостей - этот вид оценки предполагает идентификацию уязвимостей окружающей среды, организации, процедур, персонала, менеджмента, администрации, аппаратных средств, программного обеспечения или аппаратура связи, которые могли бы быть использованы источником угроз для нанесения ущерба активам и деловой деятельности организации, осуществляемой с их использованием. Само по себе наличие уязвимостей не наносит ущерба, поскольку для этого необходимо наличие соответствующей угрозы. Наличие уязвимости при отсутствии такой угрозы не требует применения защитных мер, но уязвимость должна быть зафиксирована и в дальнейшем проверена на случай изменения ситуации. Следует отметить, что некорректно использующиеся, а также неправильно функционирующие защитные меры безопасности могут сами по себе стать источниками появления уязвимостей.
Понятие «уязвимость» можно отнести к свойствам или атрибутам актива, которые могут использоваться иным образом или для иных целей, чем те, для которых приобретался или изготавливался данный актив.
В процессе оценки уязвимости происходит идентификация уязвимостей, в которых могут быть реализованы возможные угрозы, а также оценка вероятного уровня слабости, т.е. легкости реализации угрозы.
Исходные данные для оценки уязвимости должны быть получены от владельцев или пользователей актива, специалистов по обслуживающим устройствам, экспертов по программным и аппаратным средствам систем информационных технологий.
Важно оценить, насколько велика степень уязвимости или насколько легко ее можно использовать. Степень уязвимости следует оценивать по отношению к каждой угрозе, которая может использовать эту уязвимость в конкретной ситуации.
После завершения оценки уязвимостей должен быть составлен перечень уязвимостей и проведена оценка степени вероятности возможной реализации отмеченных уязвимостей, например «высокая», «средняя» или «низкая».
Оценку уязвимостей в организации осуществляет начальник службы безопасности с периодичностью раз в квартал. Оценка осуществляется внешней компанией, специализирующейся на проектировании систем ИБ.
В таблице 1.3 приведена оценка уязвимостей активов [4]. Оценка и идентификация уязвимостей производилась в соответствие с ГОСТ Р ИСО/МЭК ТО 13335-3-2007.
Таблица 1.3
Оценка уязвимостей активов
Группа уязвимостей Содержание уязвимости |
Актив №1: Инструкции по безопасности |
Актив №2: Информация о деятельности предприятия |
Актив №3: Персональные данные клиентов |
Актив №4: Персональные данные сотрудников |
Актив №5: Система «1С:Предприятие» |
Актив №6: Сервер БД |
---|---|---|---|---|---|---|
1. Среда и инфраструктура |
||||||
Отсутствие физической защиты зданий, дверей и окон |
+ |
+ |
+ |
+ |
||
Неправильное или халатное использование физических средств управления доступом в здания, помещения |
+ |
+ |
+ |
+ |
||
Нестабильная работа электросети |
+ |
+ |
||||
2. Аппаратное обеспечение |
||||||
Отсутствие схем периодической замены |
+ |
+ |
||||
Подверженность колебаниям напряжения |
+ |
+ |
||||
Подверженность температурным колебаниям |
||||||
Подверженность воздействию влаги, пыли, загрязнения |
||||||
Чувствительность к воздействию электромагнитного излучения |
+ |
|||||
Недостаточное обслуживание/неправильная инсталляция запоминающих сред |
+ |
+ |
||||
Отсутствие контроля за эффективным изменением конфигурации |
+ |
|||||
3. Программное обеспечение |
||||||
Отсутствие механизмов идентификации и аутентификации, например аутентификации пользователей |
+ |
+ |
+ |
+ |
+ |
+ |
Отсутствие аудиторской проверки |
+ |
+ |
+ |
+ |
+ |
+ |
Незащищенные таблицы паролей |
+ |
+ |
||||
Плохое управление паролями |
+ |
+ |
||||
Неправильное присвоение прав доступа |
+ |
+ |
||||
Отсутствие резервных копий |
+ |
+ |
+ |
+ |
+ |
|
4. Коммуникации |
||||||
Незащищенные линии связи |
+ |
+ |
+ |
+ |
+ |
|
Отсутствие идентификации и аутентификации отправителя и получателя |
+ |
+ |
+ |
+ |
||
Незащищенные потоки конфиденциальной информации |
+ |
+ |
+ |
+ |
||
Незащищенные подключения к сетям общего пользования |
+ |
+ |
+ |
+ |
||
5. Документы (документооборот) |
||||||
Хранение в незащищенных местах |
+ |
+ |
+ |
+ |
+ |
+ |
Недостаточная внимательность при уничтожении |
+ |
+ |
+ |
+ |
||
Бесконтрольное копирование |
+ |
+ |
+ |
+ |
||
6.Персонал |
||||||
Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц |
||||||
Недостаточная подготовка персонала по вопросам обеспечения безопасности |
+ |
+ |
+ |
+ |
+ |
+ |
Несоответствующие процедуры набора кадров |
||||||
7. Общие уязвимые места |
||||||
Отказ системы вследствие отказа одного из элементов |
+ |
+ |
||||
Неадекватные результаты проведения технического обслуживания |
+ |
Угроза (потенциальная возможность неблагоприятного воздействия) обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему. В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно. Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий.
Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации.
После идентификации источника угроз (кто и что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы.
При этом следует учитывать:
- частоту появления угрозы (как часто она может возникать согласно статистическим, опытным и другим данным), если имеются соответствующие статистические и другие материалы;
- мотивацию, возможности и ресурсы, необходимые потенциальному нарушителю и, возможно, имеющиеся в его распоряжении; степень привлекательности и уязвимости активов системы информационных технологий с точки зрения возможного нарушителя и источника умышленной угрозы;
- географические факторы - такие как наличие поблизости химических или нефтеперерабатывающих предприятий, возможность возникновения экстремальных погодных условий, а также факторов, которые могут вызвать ошибки у персонала, выход из строя оборудования и послужить причиной реализации случайной угрозы.
В зависимости от требуемой точности анализа может возникнуть необходимость разделить активы на отдельные компоненты и рассматривать угрозы относительно этих компонентов.
После завершения оценки угроз составляют перечень идентифицированных угроз, активов или групп активов, подверженных этим угрозам, а также определяют степень вероятности реализации угроз с разбивкой на группы высокой, средней и низкой вероятности.