Файл: Назначение и структура системы защиты информации коммерческого предприятия (ОЦЕНКА РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ).pdf
Добавлен: 26.05.2023
Просмотров: 249
Скачиваний: 2
Введение
Целью данной работы является закрепление и углубление теоретических знаний в области теории информационной безопасности, в частности в области анализа и синтеза систем защиты информации в корпоративных информационных системах, а также приобретение навыков расчета уровня угроз и рисков по уязвимостям информационных ресурсов, а также оценки эффективности применяемых мер (комплекса мер). Обеспечение информационной безопасности действующей коммерческой организации представляет собой комплекс взаимоувязанных правовых, организационных, инженерно-технических мер по прогнозированию, обнаружению, сдерживанию, предотвращению, отражению информационных угроз и ликвидации последствий их проявления.
Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO/IEC 27001:2013. Система менеджмента информационной безопасности (СМИБ), представленная в данном стандарте, представляет модель для создания, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения защиты информационных активов для достижения деловых целей, основанную на оценке риска и на принятии уровней риска организации, разработанную для эффективного рассмотрения и управления рисками. Организации, использующие СМИБ, могут проводить ее аудиторскую проверку и сертификацию соответствия установленным требованиям государственных органов и компаний, желающих вступить в информационное взаимодействие с оцениваемой организацией.
Задачи курсовой работы:
1. Изучить теоретические основы анализа и синтеза систем защиты информации (СЗИ) корпоративных информационных систем и сетей.
2. На этапе проектирования СЗИ уметь определять приемлемый для компании уровень риска, обеспечивающий ей выполнение своих задач.
3. Для оценки рисков информационной системы организации уметь определять защищенность каждого ценного ресурса при помощи анализа угроз, действующих на конкретный ресурс, и уязвимостей, через которые данные угрозы могут быть реализованы.
4. Оценить вероятность реализации актуальных для ценного ресурса угроз и степень влияния реализации угрозы на ресурсы.
5. Уметь анализировать информационные риски ресурсов организации.
6. Уметь на заключительном этапе проводить анализ эффективности предложенных мероприятия по устранению выявленных уязвимостей.
7. При выполнении задания курсовой работы необходимо получить следующие данные:
• риск реализации по трем базовым угрозам (или по одной суммарной угрозе) для ресурса;
• риск реализации суммарно по всем угрозам для ресурса;
• риск реализации по трем базовым угрозам (или по одной суммарной угрозе) для информационной системы;
• риск реализации по всем угрозам для информационной системы;
• риск реализации по всем угрозам для информационной системы после задания контрмер;
• эффективность контрмер;
• эффективность комплекса контрмер.
1. Составление перечня информации, требующей защиты
Объектом защиты являются автоматизированные системы (как собственной, так и сторонней разработки), входящие в состав информационной системы предприятия.
Информационная система предприятия представляет собой совокупность территориально разнесенных объектов, информационный обмен между которыми осуществляется посредством использования открытых каналов связи, предоставленных сторонними операторами электросвязи. Передача информации осуществляется в кодированном виде на основе протокола кодирования, проверки целостности и конфиденциальности информационных потоков HASH64. Кодирование входящих и исходящих информационных потоков осуществляется на магистральных маршрутизаторах.
ИС предназначена для обеспечения работоспособности информационной инфраструктуры предприятия, предоставления сотрудникам структурных подразделений различных видов информационных сервисов, автоматизации финансовой и производственной деятельности, а также бизнес-процессов предприятия.
Корпоративная сеть предприятия предназначена для обеспечения автоматизации бизнес-процессов организационной структуры предприятия. Решение функциональных задач реализуется на базе информационной инфраструктуры корпоративной сети с использованием специализированных программных приложений и общедоступных информационных сервисов.
К специализированным приложениям относится система бухгалтерского учета, геоинформационная система, а также система электронного документооборота на базе сервисного программного обеспечения Lotus Notes Server.
К общедоступным сетевым сервисам относятся средства обработки информационных потоков на сетевом и операционном уровне, такие как:
- Система обмена электронной почтой на основе специализированных протоколов Lotus внутри предприятия и протокола SMTP для внешнего информационного обмена.
- Файловый сервис на основе протоколов Netware.
Пользователем ИС является любой сотрудник предприятия, зарегистрированный в сети, в соответствии с установленным порядком, и прошедший идентификацию в службе каталогов, которому предоставляется доступ к информационным ресурсам корпоративной сети и приложениям, в соответствии с его должностными обязанностями.
Доступ к специализированным автоматизированным системам утверждается руководством департамента ИТ в соответствии должностными инструкциями, утвержденными руководством предприятия.
Особую категорию пользователей корпоративной сети составляет руководство предприятия. АРМ данной категории пользователей подключены к ИС и нуждаются в использовании дополнительных (усиленных) мер защиты информации, с целью предотвращения кражи информации, составляющей коммерческую тайну предприятия.
Административно-техническая поддержка ИС предприятия осуществляется департаментом информационных технологий, в состав которого входят:
- Отдел развития и эксплуатации информационных систем.
- Отдел информационной безопасности.
- Отдел технической поддержки.
- Информационно-аналитический отдел.
- Сотрудники отделов информационных технологий филиалов предприятия.
ИС объекта защиты включает в себя корпоративную сеть предприятия в составе:
- Серверы.
- Рабочие станции.
- Линии связи и активное сетевое оборудование.
- Магистральные средства передачи данных.
- Корпоративную телефонную систему.
В качестве базового сетевого протокола в корпоративной сети используется протокол TCP/IP.
В качестве адресного пространства используется сеть класса А – 10.0.0.0/8, определенная документом IETF RFC 1597 для частных IP-сетей. В корпоративной сети предприятия выделяются следующие типы адресных пространств:
- адресные пространства, выделенные филиальным фрагментам;
- адресные пространства, выделенные аппарату управления предприятием;
- адресное пространство для адресации магистрального сегмента корпоративной сети;
- резервное адресное пространство.
Используемая схема распределения адресного пространства маркируется следующим образом 10.x.y.z, где: x – номер филиала; y – номер виртуальной сети (VLAN) внутри филиала; z – номер устройства внутри виртуальной сети.
Серверная группа корпоративной сети работает под управлением ОС Microsoft Windows. Функционально она подразделяется на серверы поддержки специализированных приложений, серверы поддержки общедоступных сервисов и серверы, поддерживающие технологические службы корпоративной сети.
К информационной системе предприятия подключены автоматизированные рабочие места пользователей, функционирующих на базе ОС Microsoft Windows.
Основу ИС составляет стек коммутаторов Cisco Catalyst, производства компании Cisco Systems Inc.
Выделенные магистральные каналы обмена данными используются для обеспечения внешнего информационного взаимодействия ИС с филиалами предприятия, районными эксплуатационными службами, а также для доступа к глобальной информационной сети Интернет.
В ИС предприятия хранятся и обрабатываются различные виды открытой и служебной конфиденциальной информации.
К конфиденциальной и служебной информации, циркулирующей в КСПД, относятся:
- персональные данные сотрудников предприятия и партнеров, хранимые в БД и передаваемые по сети;
- сообщения электронной почты и информация БД, содержащие служебные сведения, информацию о деятельности предприятия и т.п.;
- конструкторская и технологическая документация, перспективные планы развития, модернизации производства, реализации продукции и другие сведения, составляющие научно-техническую и технологическую информацию, связанную с деятельностью предприятия;
- финансовая документация, бухгалтерская отчетность, аналитические материалы исследований о конкурентах и эффективности работы на финансовых рынках;
- другие сведения, составляющие деловую информацию о внутренней деятельности предприятия.
К строго конфиденциальной информации, которая потенциально может циркулировать в ИС, относятся сведения стратегического характера, разглашение которых может привести к срыву выполнения функций предприятия, прямо влияющих на его жизнедеятельность и развитие, нанести невосполнимый ущерб деятельности и престижу предприятия, сорвать решение стратегических задач, проводимой ей политики и, в конечном счете, привести к ее краху.
К категории открытой относится вся прочая информация, не относящаяся к конфиденциальной.
- Структура информационных потоков
- Внутренние информационные потоки
Внутри ИС выделяются следующие информационные потоки:
- Передача файлов между файловыми серверами и пользовательскими рабочими станциями по протоколу SMB (протокол открытого обмена информацией между АРМ пользователей и серверами на основе стека TCP/IP).
- Передача сообщений электронной почты, посредством использования хешированного соединения программного обеспечения Lotus Notes.
- Передача юридической и справочной информации между серверами БД и пользовательскими рабочими станциями.
- Деловая переписка.
- Передача отчетной информации.
- Передача бухгалтерской информации между пользовательскими рабочими станциями и сервером БД в рамках автоматизированных систем «1С Бухгалтерия», «1С Зарплата и Кадры», «Оперативный учет».
В качестве внешних информационных потоков используются:
- Передача отчетных документов (производственные данные) от филиалов предприятия, по каналам корпоративной сети, а также с использованием магнитных носителей.
- Передача платежных документов в Банки.
- Передача финансовых и статистических отчетных документов от филиалов предприятия;
- Внутриведомственный и межведомственный обмен электронной почтой.
- Передача информации по коммутируемым каналам удаленным пользователям.
- Различные виды информационных обменов между ИС и сетью Интернет.
В ИС предприятия используются следующие каналы взаимодействия с внешними сетями:
- Выделенный магистральный канал взаимодействия с корпоративной сетью, посредством использования технологии VPN.
- Резервная линия связи с сетью Интернет.
- Коммутируемый канал связи, посредством использования технологии GPRS.
- Защита подключений к внешним сетям осуществляется при помощи МЭ и встроенных средств защиты магистрального роутера.
Доступ к информационным ресурсам сети Интернет открыт для всех пользователей ИС, посредством использования кеширующего прокси сервера на основе программного обеспечения Squid.
2. Определение инормационных активов компании
Требования к составу основных подсистем информационной безопасности
В состав СОИБ должны входить следующие подсистемы:
подсистема управления политикой информационной безопасности;
подсистема анализа и управления рисками;
подсистема идентификации и аутентификации;
подсистема разграничения доступа;
подсистема протоколирования и пассивного аудита;
подсистема активного аудита;
подсистема контроля целостности данных;
подсистема контроля защищенности;
подсистема удостоверяющий центр;
подсистема сегментирования ЛВС и межсетевого экранирования;
подсистема VPN;
подсистема антивирусной защиты;
подсистема фильтрации контента;
подсистема управления безопасностью;
подсистема предотвращения утечки информации по техническим каналам.
Требования к подсистеме управления политикой безопасности
Подсистема управления политикой ИБ предназначена для поддержания в актуальном состоянии политик и других организационно-распорядительных документов по обеспечению ИБ, ознакомление всех пользователей и технического персонала ИС с содержанием этих документов, контроля осведомленности и контроля выполнения требований политики безопасности и других регламентирующих документов. Всем сотрудникам предприятия предоставляется персонифицированный доступ к внутреннему информационному Web-серверу, на котором публикуются действующие нормативные документы, списки контрольных (проверочных) вопросов, предназначенных для контроля осведомленности, а также Web-формы для составления сообщений и отчетов об инцидентах, связанных с нарушением правил политики безопасности.