Файл: «Виды и состав угроз информационной безопасности» (ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ).pdf

Оценку угроз осуществляет специалист сторонней организации. Периодичность оценки – один раз в квартал. Оценка осуществляется экспертным методом.

Оценка угроз активам предприятия приведена в таблице 1.4 [5]. При формировании перечня угроз использовался стандарт ГОСТ Р ИСО/МЭК ТО 13335-3-2007.

Таблица 1.4

Оценка угроз активам

Группа уязвимостей Содержание уязвимости	Актив №1: Инструкции по безопасности	Актив №2: Информация о деятельности предприятия	Актив №3: Персональные данные клиентов	Актив №4: Персональные данные сотрудников	Актив №5: Система «1С:Предприятие»	Актив №6: Сервер БД
1. Угрозы, обусловленные преднамеренными действиями
Намеренное повреждение					+	+
Кража	+	+	+	+	+	+
Несанкционированное использование носителей данных	+	+	+	+	+
Нелегальное проникновение злоумышленников под видом санкционированных пользователей					+
Вредоносное программное обеспечение						+
Ошибка операторов					+	+
2. Угрозы, обусловленные случайными действиями
Неисправности в системе электроснабжения						+
Аппаратные отказы					+	+
Ошибка обслуживающего персонала					+	+
Ошибка при обслуживании					+	+
Программные сбои					+
Ошибка операторов					+	+
Сбои в функционировании услуг связи					+	+
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)
Колебания напряжения					+	+
Затопление	+	+	+	+	+	+

---

Состав и взаимодействие аппаратных средств, используемых для обработки информационных активов, подлежащих защите:

1. Рабочие станции – 6 единиц;
2. Серверы – 1 единицы.

На рис. 1.1 приведена схема информационной сети предприятия.

Рис. 1.1 - Схема информационной сети предприятия

Как видно из рисунков рабочие станции объединены в локальную сеть на коммутаторах и имеют выход в интернет через маршрутизатор.

Спецификация оборудования:

Маршрутизатор CISCO WS 2960. Спецификация приведена в таблице 1.5

Таблица 1.5

Спецификация маршрутизатора

Процессор	100-MHz IDT R4700 RISC
Flash-память	От 4 до 32-MB
Оперативная память	От 16 до 128-MB DRAM
Слоты для модулей	4
Консольный и AUX порты (до 115.2 Kbps)	Да
Монтируется на стену или в RACK	Да
Сдвоенные слоты Type II PCMCIA	Да

Рабочие станции Lenovo V450. Спецификация приведена в таблице 1.6.

Таблица 1.6

Спецификация рабочей станции

Процессор	Celeron Processor 450 (2.2 GHz, 512K, 800 MHz)
Оперативная память	1 GB DDR2-800
Жесткий диск	100 GB SATA (7200 rpm)
Видеокарта	256 MB
Сетевая карта	Gigabit Ethernet 10/100/1000Base-TX
Клавиатура	Depo KWD-820 PS/2
Мышь	Depo mouse PS/2 Black
Блок питания	300 Вт

Сервер AR300X3G3H3

• Два четырехядерных процессора Intel® Xeon® 5500 (Nehalem)
• Поддержка технологии Hyper-threading — до 16-ти одновременных вычислительных потоков;
• Технология Turbo boost — повышение частоты процессора при пиковой нагрузке;
• Энергосберегающие режимы — снижение энергопотребления на 50% в «холостом» режиме;
• 32 GB памяти DDR3 1066/1333MHz, интегрированный в процессор контроллер памяти;
• Дисковая подсистема SAS или SATA, до 6-ти жестких дисков с горячей заменой;
• Возможность полного удаленного управления;
• Резервирование по питанию с возможностью горячей замены.

МФУ Canon PIXMA V250. Спецификация приведена в таблице 1.7

Таблица 1.7

Спецификация принтера

Тип принтера	лазерный
Цветность	монохромный
Разрешение	2400x600 dpi
Скорость печати (ч/б)	22 стр./мин.
Время выхода первой страницы	Менее 10 секунд
Процессор
Процессор	181 МГц
Память
Память	32 Мб
Расходные материалы
Формат бумаги	A4
Плотность печатных носителей	60-163 г/м2
Расходные материалы	Картриджи Brother: TN-2135/TN-2175. Фотобарабан DR-2175
Способы подключения и соединения
Интерфейс	USB 2.0 RJ-45 WiFi
Управление бумагой
Емкость подающего лотка	250 л
Размеры и вес
Размеры	368x170x361 мм
Вес	6.8 кг

---

На рис. 1.2 приведена схема программной архитектуры предприятия.

Рис. 1.2 – Схема программной структуры предприятия

Целью оценки рисков является идентификация и оценка рисков, которым подвергаются рассматриваемая система информационных технологий и ее активы с тем, чтобы идентифицировать и выбрать подходящие и обоснованные защитные меры безопасности. Величина риска определяется ценностью подвергающихся риску активов, вероятностью реализации угроз, способных оказать негативное воздействие на деловую активность, возможностью использования уязвимостей идентифицированными угрозами, а также наличием действующих или планируемых защитных мер, использование которых могло бы снизить уровень риска.

Существуют различные способы учета таких факторов (активы, угрозы, уязвимости), например, можно объединить оценки риска, связанные с активами, уязвимостями и угрозами, для того, чтобы получить оценки измерения общего уровня риска. Различные варианты подхода к анализу риска, основанные на использовании оценок, полученных для активов, уязвимостей и угроз.

Вне зависимости от использованного способа оценки измерения риска, результатом оценки, прежде всего, должно стать составление перечня оцененных рисков для каждого возможного случая раскрытия. Составленный перечень оцененных рисков затем используют при идентификации рисков, на которые следует обращать внимание в первую очередь при выборе защитных мер. Метод оценки рисков должен быть повторяемым и прослеживаемым.

Как уже говорилось выше, для ускорения всех или отдельных элементов процесса анализа риска могут использоваться различные автоматизированные программные средства. Если организация решит использовать такие средства, необходимо проследить, чтобы выбранный подход соответствовал принятым в организации стратегии и политике безопасности информационных технологий. Кроме того, следует обратить особое внимание на правильность используемых входных данных, поскольку качество работы программных средств определяется качеством входных данных.

Возможны две методики оценивания рисков. Одна из них направлена на определение наиболее критичных активов в организации с точки зрения рисков ИБ по «штрафным баллам». Другая методика направлена на оценку рисков по степени влияния уязвимостей на бизнес-процессы [7].

В нашем случае целесообразно использование методики направленной на оценку наиболее критичных активов, так как в основе работы предприятия лежит один бизнес-процесс, но в рамках данного бизнес-процесса задействованы активы разных степеней ценности.

---

Описание проведения процедуры оценки рисков:

1. должностные лица – начальник отдела безопасности, начальники отделов – пользователей активов;
2. способ представления исходной информации – начальникам отделов дается форма с перечнем возможных угроз и уязвимостей, начальники отделов при участии сотрудников отделов заполняют таблицу, оценивая угрозы и уязвимости для своего актива;
3. способ представления результатов оценки рисков – начальник отдела безопасности собирает заполненные формы у начальников отделов и формирует интегральную оценку рисков и ранжирует риски.

Таблица «штрафных баллов» для комбинации ценности активов, уровня угроз и уязвимостей приведена в таблице 1.8

Таблица 1.8

Таблица «штрафных баллов»

Результаты проведения оценки целесообразно свести в таблицу 1.9, которая должна содержать риски наиболее ценным информационным активам, ранжированные в порядке убывания.

Таблица 1.9

Результаты оценки рисков информационным активам организации

Актив	Ранг риска
Инструкции по безопасности	3
Информация о деятельности предприятия	2
Персональные данные клиентов	4
Персональные данные сотрудников	5
Система «1С:Предприятие» (актив программного обеспечения)	4
Сервер БД	1

Результат оценки рисков показал, что наибольшему риску подвержен сервер БД, это связано с тем, что данный актив имеет большее число угроз и уязвимостей, не смотря на то, что данный актив имеет не самый высокий ранг.

Следующим по уровню риска идет информационный актив – информация о деятельности предприятия. Данный актив имеет максимальный ранг.

1.2. Выбор защитных мер информационной безопасности

Для обеспечения информационной безопасности организации выбран следующий перечень организационных мероприятий:

1. Отнесение информации к коммерческой тайне - установление ограничений на распространение информации, требующей защиты;
2. Категорирование помещений производится по степени важности обрабатываемой в них информации;
3. Для каждой информационно-вычислительной системы предприятия, а в отдельных случаях для персональных компьютеров (ПК), определяется категория обрабатываемой в ней информации с учетом «Перечня сведений, составляющих коммерческую тайну компании».
4. Определение факторов риска — возможных ситуаций, возникновение которых может расцениваться как угроза, и способных нанести ущерб материального или нематериального характера;
5. Определения общих правил обработки информации;
6. Определения обязанностей пользователей и персонала систем по защите информации;
7. Разработка плана обеспечения безотказной работы и восстановления сетей и систем организации;
8. Резервное копирование и хранение программ и данных на внешних носителях;
9. Журналирование критичных событий;
10. Резервирование аппаратных ресурсов.

---

Одним из основных недостатков существующей системы ИБ является отсутствие системы контроля управления доступом и системы видеонаблюдения. К данным системам выдвигается ряд требований [8].

Выбор и установка СКУД для предприятия осуществлялся в соответствии с требованиями ГОСТ Р 51241-98.

В таблице 1.10 представлено сравнение СКУД по функциональным возможностям.

Таблица 1.10

Сравнение СКУД

Характеристики	Elsys	GATE	Кронверк
регистрацию и протоколирование тревожных и текущих событий	5	4	4
приоритетное отображение тревожных событий	5	3	4
управление работой УПУ в точках доступа по командам оператора	5	3	3
задание временных режимов действия идентификаторов в точках доступа «окна времени» и уровней доступа	5	0	3
защиту технических и программных средств от несанкционированного доступа к элементам управления, установки режимов и к информации	3	0	0
автоматический контроль исправности средств, входящих в систему, и линий передачи информации	4	3	4
возможность автономной работы контроллеров системы с сохранением контроллерами основных функций при отказе связи с пунктом централизованного управления	4	4	2
установку режима свободного доступа с пункта управления при аварийных ситуациях и чрезвычайных происшествиях	3	3	0
блокировку прохода по точкам доступа командой с пункта управления в случае нападения	4	4	3
возможность подключения дополнительных средств специального контроля, средств досмотра	5	4	4
Интегральная оценка	43	28	27

СКУД Elsys

СКУД Elsys предназначена для автоматического контроля пропускного режима и управления исполнительными устройствами (автоматическими воротами, шлагбаумами, лифтами, турникетами, замками и т.п.) в соответствии с заданными полномочиями и расписаниями.

---