Файл: Обеспечение защиты корпоративных информационных ресурсов от утечек информации при помощи DLP-систем (изучение).pdf
Добавлен: 22.04.2023
Просмотров: 233
Скачиваний: 7
СОДЕРЖАНИЕ
1.1 Общая характеристика внутренних угроз
1.2 Общие сведения о DLP-системе
1.4 Механизмы классификации данных в DLP-системе
1.5 Характеристика структуры управления
1.6 Анализ защищаемой на предприятии информации
1.7 Актуальные угрозы информации
2 ВЫБОР DLP-СИСТЕМЫ ДЛЯ ИСПОЛЬЗУЕМОГО ПРЕДПРИЯТИЯ
2.1 Общие сведения о выборе DLP-системы
2.2 Определение удельного веса критериев
2.3 Результаты опроса первого эксперта
2.4 Результаты опроса второго эксперта
2.5 Результаты опроса третьего эксперта
2.6 Анализ результатов опросов экспертов
3.1 Реализация локальной вычислительной сети после внедрения средств защиты информации
1.7 Классификация АС обработки конфиденциальных сведений
Для присвоения класса защищенности автоматизированной системе необходимо воспользоваться руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», в котором указывается, что существует девять классов защищенности автоматизированных систем, подразделенных на три группы.
Для рассматриваемого объекта была установлена первая группа защищенности автоматизированных систем обработки конфиденциальных сведений, так как на предприятии используется многопользовательская автоматизированная система. В частности, был установлен класс защищенности 1Д, потому что на предприятии нет информации, являющейся государственной тайной, и выполняются требования к подсистемам данного класса.
Исходя из этого, в Руководящем Документе «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» были выбраны требования к подсистемам класса 1Д и представлены в таблице 1.1.
Таблица 1.1 Требования к подсистемам класса 1Д
|
Подсистемы и требования |
Класс 1Д |
|---|---|
|
1 Подсистема управления доступом |
|
|
1.1 идентификация, проверка подлинности и контроль доступа субъектов: |
|
|
в систему |
+ |
|
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ |
- |
Продолжение таблицы 1.1
|
Подсистемы и требования |
Класс 1Д |
|
к программам |
- |
|
к томам, каталогам, файлам, записям, полям записей |
- |
|
1.2 управление потоками информации |
- |
|
2 Подсистема регистрации и учета |
|
|
2.1 регистрация и учет: |
|
|
входа (выхода) субъектов доступа в (из) систему (узел сети) |
+ |
|
выдачи печатных (графических) выходных документов |
- |
|
запуска (завершения) программ и процессов (заданий, задач) |
- |
|
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи |
- |
|
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей |
- |
|
изменения полномочий субъектов доступа |
- |
|
создаваемых защищаемых объектов доступа |
- |
|
2.2 учет носителей информации |
+ |
|
2.3 очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей |
+ |
|
2.4 сигнализация попыток нарушения защиты |
- |
|
3 Криптографическая подсистема |
|
|
3.1 шифрование конфиденциальной информации |
- |
|
3.2 шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах |
- |
|
3.3 использование аттестованных (сертифицированных) криптографических средств |
- |
|
4 Подсистема обеспечения целостности |
|
|
4.1 обеспечение целостности программных средств и обрабатываемой информации |
+ |
|
4.2 физическая охрана средств вычислительной техники и носителей информации |
+ |
Продолжение таблицы 1.1
|
Подсистемы и требования |
Класс 1Д |
|
4.3 наличие администратора (службы) защиты информации в АС |
- |
|
4.4 периодическое тестирование СЗИ НСД |
+ |
|
4.5 наличие средств восстановления СЗИ НСД |
+ |
|
4.6 использование сертифицированных средств защиты |
- |
1.7 Актуальные угрозы информации
При разработке данного курсового проекта возникла необходимость продемонстрировать актуальные угрозы информации. Как удалось узнать, на исследуемом предприятии уже проводилось определение актуальности угроз информации.
Для этого собиралась специальная комиссия, состоящая из руководителей структурных подразделений. Руководствовалась данная комиссия «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» ФСТЭК (Федеральной службы по техническому и экспортному контролю) России и «Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных» ФСТЭК. При чем данная методика была применена не только к определению актуальности угроз персональных данных, но и информации, являющейся коммерческой тайной. Данное решение было продиктовано отсутствием методики определения актуальности угроз информации, составляющей коммерческую тайну, закрепленной законодательно, и циркулированием в одной автоматизированной системе сразу и персональных данных, и документов с грифом «Коммерческая тайна».
Приведем актуальные угрозы информации:
а) кража носителей информации;
б) утрата ключей и атрибутов доступа;
в) непреднамеренная модификация (уничтожение) информации сотрудниками;
г) доступ к информации, копирование, модификация, уничтожение лицами, не допущенными к ее обработке;
д) разглашение информации, копирование, модификация, уничтожение сотрудниками, допущенными к ее обработке;
е) подслушивание и просмотр информации, отображаемой на мониторе;
несанкционированная передача информации через съемные носители и сетевые принтеры;
ж) передача сотрудниками информации через программы для мгновенного обмена сообщениями и web-ресурсы;
з) перехват за переделами с контролируемой зоны;
и) перехват в пределах контролируемой зоны внешними нарушителями;
к) угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
Из перечисленных выше угроз актуальных внутренних – 8 угроз, а внешних – 3 угрозы.
В ходе работы над главой 1 курсового проекта, было выполнено и достигнуто, следующее:
а) проведен анализ предметной области;
б) выявлена общая характеристика внутренних угроз;
в) описаны общие сведения о DLP-системе ;
г) проведена классификация DLP-систем;
д) описаны механизмы классификации данных в DLP-системе;
е) описаны общие сведения об исследуемом предприятии;
ж) описана характеристика структуры управления ;
з) описана локальная вычислительная сеть предприятия;
и) проведен анализ защищаемой на предприятии информации;
к) вывалены сведения, являющиеся коммерческой тайной;
л) выявлены персональные данные;
м) описаны информационные потоки;
н) проведена классификация АС обработки конфиденциальных сведений;
о) выявлены актуальные угрозы информации.
2 ВЫБОР DLP-СИСТЕМЫ ДЛЯ ИСПОЛЬЗУЕМОГО ПРЕДПРИЯТИЯ
Перед выбором DLP-системы для ООО «Поставка» в г. Москва было определено четыре соответствующих продуктов от российских производителей. Три из них являются старыми и уже успевшими хорошо зарекомендовать себя («InfoWatch» с одноименной DLP-системой, «Инфосистемы Джет» с «Дозор-Джет» и «Zecurion» с одноименной DLP-системой), еще одна компания образовалась относительно недавно, однако показала себя быстроразвивающейся – это «Falcongaze» с DLP-системой «SecureTower». Для упрощения процесса выбора была взята таблица, разработанная сотрудниками независимого информационно-аналитического центра «Anti-Malware».
2.1 Общие сведения о выборе DLP-системы
Для выбора соответствующей предприятию ООО «Поставка» в г. Москва DLP-системы необходимо определиться с подходящей методикой. Приведем те из них, которые рассматривались в качестве основной:
а) метод экспертных оценок;
б) метод постановки натурных экспериментов;
в) метод организации широкомасштабного сбора и статистической обработки данных по интересующим вопросам на реально функционирующих системах с установленными DLP-системами.
В ходе анализа всех трех методик было установлено, что метод экспертных оценок наиболее предпочтителен. Так, метод постановки натурных экспериментов является слишком трудо- и времязатратным. При его использовании пришлось бы прибегнуть к приемам математической статистики, которые позволили бы определить не только необходимое количество экспериментов, но и достоверность текущих значений искомых параметров.
Метод организации широкомасштабного сбора и статистической обработки данных по интересующим вопросам на реально функционирующих системах с установленными DLP-системами также является слишком времязатратным. Из названия метода становится понятно, что для его реализации необходимо иметь данные о других существующих системах с установленными DLP-системами. Даже если ряд предприятий согласится предоставить данные, что выглядит маловероятным, сбор и анализ сведений займет много времени.
При реализации метода экспертных оценок производится опрос компетентных в рассматриваемой области людей. Обычно, сотрудников известных фирм. И при этом метод экспертных оценок является не слишком трудо- и времязатратным, чем и обуславливается его выбор для определения наиболее подходящей DLP-системы для рассматриваемого предприятия. Также необходимо добавить, что содержательной основой экспертного анализа является эвристическая модель, т.е. интеллектуальное средство, отражающее основные понятия предметной области и формализующее экспертный анализ.
Было решено использовать метод классификации на основе бинарных матриц, описанный Елтаренко Е.А. и Крупиновой Е.К.
Иногда в качестве классов проявления свойства указываются его уровни. Например, при измерении влияния единичных показателей на качество указываются уровни: «сильно влияет», «влияет умеренно», «слабо влияет». Эксперту предлагает отнести каждый единичный показатель к одному из таких классов. В этом случае необходимо, чтобы перечисленные классы уровня влияния были подробно описаны. Иначе эксперты по-разному будут интерпретировать содержание уровней.
Всего было опрошено три эксперта, которые выставляли баллы DLP-системам по семи критериям по шкале от 1 до 4 (4 - «отлично», 3 - «хорошо», 2 - «удовлетворительно», 1 - «неудовлетворительно»).
Также каждому критерию был назначен удельный вес. Для этого трем экспертам, наиболее компетентным в рассматриваемом вопросе, было предложено оценить критерии по шкале от одного до трех. Удельный вес необходим, так как, в случае его отсутствия, метод экспертных оценок будет обладать крайне низкими разрешающей способностью и репрезентативностью при низком коэффициенте конкордации.
По результатам опроса экспертов будут составлены бинарные матрицы для каждого из экспертов, после чего, в результате их сложения, мы получим матрицу групповых оценок. Далее рассчитаем моду распределения по формуле (2.3). Мода позволит определить наиболее подходящую по результатам экспертного оценивания DLP-систему для Общества с ограниченной ответственностью «Поставка» в г. Москва.
2.2 Определение удельного веса критериев
Как уже упоминалось выше, количество критериев равно семи, они перечислены в таблице 2.1.
Оценивание критериев было предложено провести трем экспертам.
Каждый из трех экспертов проранжировал критерии по шкале от 1 до 7 (7 – наивысший балл, 1 – наименьший). Вынесем результаты в таблицу 2.1.
Таблица 2.1 Оценки критериев, поставленные тремя экспертами
|
Критерии |
Оценка критериев в баллах |
||||
|---|---|---|---|---|---|
|
эксперт №1 |
эксперт №2 |
эксперт №3 |
суммарная оценка |
средняя оценка |
|
|
Возможности интеграции |
1 |
1 |
3 |
5 |
1,7 |
|
Производительность и отказоустойчивость |
7 |
6 |
7 |
20 |
6,7 |
|
Количество контролируемых каналов |
6 |
7 |
6 |
19 |
6,3 |
|
Работа с агентами и контроль сотрудников |
5 |
5 |
4 |
14 |
4,7 |
|
Реакция на инциденты |
3 |
4 |
2 |
9 |
3 |
|
Система отчетности |
2 |
3 |
1 |
6 |
2 |
|
Аналитические возм-ти. |
4 |
2 |
5 |
11 |
3,7 |
Средняя оценка находилась путем деления суммарной оценки всех экспертов по каждому из критериев на количество экспертов.