Файл: Назначение и структура системы защиты информации коммерческого предприятия (ОЦЕНКА РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ).pdf
Добавлен: 26.05.2023
Просмотров: 250
Скачиваний: 2
размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах контролируемой зоны;
использование сертифицированных систем гарантированного электропитания (источников бесперебойного питания);
развязка цепей электропитания объектов защиты с помощью сетевых помехоподавляющих фильтров, блокирующих (подавляющих) информативный сигнал;
электромагнитная развязка между информационными цепями, по которым циркулирует защищаемая информация, и линиями связи, другими цепями вспомогательных технических средств и систем, выходящими за пределы контролируемой зоны;
использование защищенных каналов связи;
размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;
организация физической защиты помещений и собственно технических средств обработки информации с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации.
3. Идентификация угроз и уязвимостей
Идентификация угроз и уязвимостей, которые могут нанести коммерческий ущерб АО (Таблица 1, Таблица 2)
Таблица 1.
№ |
Угроза |
Уязвимости |
Тип |
Нарушитель |
1 |
Повреждение оборудования |
Отсутствие ремонта источников бесперебойного питания |
Д, Ц |
Несвоевременное обновление лицензионного программного обеспечения администраторами ИТ-подразделений привела к сбою в работе сетевого хранилища |
Неправильный монтаж наружных блоков систем кондиционирования |
||||
Неправильная эксплуатация устройств резервного копирования данных |
||||
2 |
Несанкционированное воздействие на ИС и ее данные |
Хранение данных ИС без использования шифрования |
Ц |
Преднамеренное воздействие сотрудниками организаций-конкурентов путем порчи оборудования, срыва сетевых проводов и механического воздействия |
Отсутствие наблюдения за состоянием ИС |
||||
Нет защиты от электромагнитного воздействия |
||||
3 |
Открытый доступ к информации |
Не ограничен физический доступ к данным |
К, Д |
Мошенники путем несанкционированного проникновения на территорию предприятия имели возможность украсть данные |
Отсутствие защиты от проникновения в информационную среду компьютера |
||||
Не контролируемый доступ к конфиденциальной информации |
||||
4 |
Доступ к системам безопасности ИС |
Отсутствие системы обнаружения и предотвращения вторжений |
К |
Спецслужбы других государств в отсутствии методов обхода взламывают антивирусное ПО и проникают в информационное пространство к информации |
Отсутствие защиты от методов обхода |
||||
Отсутствие высокой производительности |
Таблица 2
№ |
Угроза |
Уязвимости |
Тип |
Нарушитель |
Методы устранения уязвимостей |
1 |
Повреждение оборудования |
Отсутствие ремонта источников бесперебойного питания |
Доступность |
Отсутствие квалификации у сотрудников, работающих с оборудованием, не соблюдение инструкций по работе с сетевым и производственным оборудованием |
Разработка и использование должностных регламентов и инструкций эксплуатации сетевого оборудования |
Неправильный монтаж наружных блоков систем кондиционирования |
Неправильная установка наружных блоков кондиционера из-за отсутствия должного опыта у организации-установщика |
Разработка инструкций по установке и обслуживанию оборудования систем кондиционирования на предприятии |
|||
Неправильная эксплуатация устройств резервного копирования данных |
Ошибочные действия администраторов ИТ-подразделений и несвоевременное обновление лицензионного программного обеспечения и отсутствие новых драйверов |
Разработка и внутренних приказов предприятия по работе с системами копирования и эксплуатации сетевого оборудования; |
|||
2 |
Модификация данных в ИС |
Режим хранения данных ИС без использования шифрования |
Целостность |
Сотрудники организаций-конкурентов использовали программы шифровальщики для перехвата данных ИС |
Использование Межсетевых экранов (МЭ), криптографических средств защиты информации (КСЗИ); Ограничение доступа к обслуживаемым помещениям и запрет использования сменных запоминающих и записывающих устройств |
Преднамеренное воздействие из вне |
Преднамеренное воздействие сотрудниками организаций-конкурентов путем порчи оборудования, срыва сетевых проводов и механического воздействия |
Обеспечение физической защищенности оборудования; Ограничение доступа к обслуживаемым помещениям и запрет использования сменных запоминающих и записывающих устройств |
|||
Нет защиты от электромагнитного воздействия |
Сотрудники организаций-конкурентов использовали электромагнитные излучатели для вывода из строя оборудования организации |
Использование электромагнитных накопителей и отражателей; Ограничение доступа к обслуживаемым помещениям |
|||
3 |
Открытый доступ к информации |
Не ограничен физический доступ к данным |
Конфиденциальность |
Мошенники путем несанкционированного проникновения на территорию предприятия имели возможность украсть данные |
Соблюдение пропускного режима на предприятии, установка систем видеонаблюдения и сопровождения посетителей |
Отсутствие защиты от проникновения в информационную среду копьютера |
Сотрудники организаций-конкурентов взломали программами-шифровальщиками через интернет и получили доступ к информации предприятия без соответствующей защиты от интернет угроз |
Ограничение доступа к серверному оборудованию; запрет на использование носителей информации |
|||
Не контролируемый доступ к конфиденциальной информации |
спецслужбы других государств используют средства копирования конфиденциальной информации, используя социальные сети и незащищенные данные сотрудников предприятия, имеющих доступ к системам хранения конфиденциальных данных предприятия |
Использование Системы предотвращения утечки информации ограниченного доступа, электронной подписи; Ограничение доступа к серверному оборудованию; запрет на использование носителей информации |
|||
4 |
Доступ к системам безопасности ИС |
Отсутствие системы обнаружения и предотвращения вторжений |
Конфиденциальность |
Сотрудники организаций-конкурентов используют новейшие средства вторжения в информационное пространство: троянские программы; шифровальные перехватчики и дестабилизирующие приложения |
Ограничение доступа к серверному оборудованию; запрет на использование носителей информации; Идентификация и аутентификация субъектов доступа и объектов доступа; Защита информационной системы, ее средств, систем связи и передачи данных; Централизованное обеспечение технической поддержки и управление ПК |
Отсутствие защиты от методов обхода |
Спецслужбы других государств в отсутствии методов обхода взламывают антивирусное ПО и проникают в информационное пространство к информации |
Ограничение количества программно-аппаратных конфигураций и упрощение процессов администрирования ИС; Ограничение доступа к серверному оборудованию; запрет на использование носителей информации; |
|||
Отсутствие интеграции высокопроизводительных устройств защиты от записи |
Организации-конкуренты используют более мощное программное обеспечение для выявления слабых мест в защите информации и взламывают систему безопасности |
Разделение адресного пространства на служебный блок (сети, связывающие маршрутизаторы, виртуальные интерфейсы и т.п.) и блок адресов локальной сети. Данный подход позволяет эффективно строить правила доступа к сетевым устройствам; аутентификация административного доступа, т.е. должна быть идентификация, авторизация и централизованный учет |
4. ОЦЕНКА РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Оценка рисков производится согласно стандарту ISO/IEC 27005 на рисунке 1 показан процесс менеджмента риска, состоящий из установления контекста, оценки риска, обработки риска, принятия риска, коммуникаций риска, а также мониторинга и переоценки риска информационной безопасности (рисунок 1).
Рисунок 1.
Необходимо обособить цель менеджмента риска ИБ. Основными целями являются:
Поддержание СМИД (Система менеджмента ИБ)
Исполнение законодательных норм
Осуществление плана обеспечения непрерывности работы предприятия с учётом плана реагирования на инциденты.
Критерии принятия риска должны быть разработаны и определены, они должны быть основаны на направления и плана развития предприятия. При их разработке необходимо учитывать:
Пороговые значения рисков основываются на значениях риска, когда задаётся условие при достижении которого предприятию необходимо принимать меры для локализации угрозы производства или бизнеса в целом. Риски могут иметь различную значимость, однако не все решения по поводу «идти или не идти на риск» остаётся за руководством предприятия
Оценка риска часто проводится за две (или более) итерации. Сначала проводится высокоуровневая оценка для идентификации потенциально высоких рисков, служащих основанием для дальнейшей оценки. Следующая итерация может включать дальнейшее углубленное рассмотрение потенциально высоких рисков. В тех случаях, когда полученная информация недостаточна для оценки риска, проводится более детальный анализ, возможно, по отдельным частям сферы действия, и, возможно, с использованием иного метода.
Коммуникация риска представляет собой деятельность, связанную с достижением соглашения о том, как осуществлять менеджмент риска путем обмена или совместного использования информации о риске лицами, принимающими решения, и другими причастными сторонами. Информация включает в себя наличие, характер, форму, вероятность, серьезность, обработку и приемлемость рисков, но этими факторами не ограничивается.
Коммуникация риска должна осуществляться с целью достижения следующего:
- обеспечения доверия к результатам менеджмента риска организации;
- сбора информации о риске;
- совместного использования результатов оценки риска и представления плана обработки риска;
- предотвращения или снижения возможности возникновения и последствий нарушений ИБ из-за отсутствия взаимопонимания между принимающими решения лицами и причастными сторонами;
- поддержки принятия решений; - получения новых знаний об ИБ;
- координации с другими сторонами и планирования реагирования с целью уменьшения последствий какого-либо инцидента;
- выработки чувства ответственности по отношению к рискам у лиц, принимающих решения, и причастных сторон;
- повышения осведомленности.
Организация обязана разрабатывать планы коммуникации риска, как для повседневной работы, так и для чрезвычайных ситуаций. Следовательно, деятельность, связанная с коммуникацией риска, должна выполняться непрерывно. Выбор подхода к оценке риска в зависимости от задач и целей оценки риска осуществляет руководство организации. На рисунке 2 иллюстрируется деятельность по обработке риска в рамках процесса менеджмента риска ИБ.
Для обработки риска имеется четыре варианта: снижение риска, сохранение риска, предотвращение риска и перенос риска. Варианты обработки риска должны выбираться исходя из результатов оценки риска, предполагаемой стоимости реализации этих вариантов и их ожидаемой эффективности. Должны реализовываться такие варианты, при которых значительное снижение риска может быть достигнуто при относительно небольших затратах (рисунок 2).
Рисунок 2.
5. Определение мероприятий, направленных для обеспечения информационной безопасности
Таблица 3.
ТП |
Кбу |
КУг |
Куя |
P(Yгi|Yяj) % |
KR (Yяj)% |
Куся |
B |
3 |
4 |
3 |
20 |
70 |
3 |
Куг -количество угроз, действующих на ресурсы;
Куя -количество уязвимостей, через которые реализуются угрозы;
Р(Угi/Уяj) -вероятность реализации угрозы через данную уязвимость;
KR(Уяj) -критичность реализации угрозы через данную уязвимость;
Кбу -количество базовых угроз;
Куся -количество устраненных уязвимостей
Таблица 4.
Угроза/Уязвимость |
Вероятность реализации угрозы через данную уязвимость в течение года (%), Р(V) |
Критичность реализации угрозы через уязвимость (%), KR |
Угроза 1/Уязвимость 1 |
10 |
70 |
Угроза 1/Уязвимость 2 |
25 |
60 |
Угроза 1/Уязвимость 3 |
40 |
60 |
Угроза 2/Уязвимость 1 |
30 |
30 |
Угроза 2/Уязвимость 2 |
35 |
30 |
Угроза 2/Уязвимость 3 |
40 |
35 |
Угроза 3/Уязвимость 1 |
70 |
80 |
Угроза 3/Уязвимость 2 |
50 |
65 |
Угроза 3/Уязвимость 3 |
40 |
60 |
Угроза 4/Уязвимость 1 |
30 |
70 |
Угроза 4/Уязвимость 2 |
40 |
10 |
Угроза 4/Уязвимость 3 |
20 |
50 |
Определение уровня угрозы
Таблица 5.
Угроза/Уязвимость |
Уровень угрозы (%), Th ???????? ???? ???? ℎ = × 100 |
Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза (%), UUh ???? ???????? ???? |
Угроза 1/Уязвимость 1 |
0.07 |
0.6 |
Угроза 1/Уязвимость 2 |
0.15 |
0.6 |
Угроза 1/Уязвимость 3 |
0.24 |
0.6 |
Угроза 2/Уязвимость 1 |
0.09 |
0.7 |
Угроза 2/Уязвимость 2 |
0.11 |
0.7 |
Угроза 2/Уязвимость 3 |
0.14 |
0.7 |
Угроза 3/Уязвимость 1 |
0.56 |
0.8 |
Угроза 3/Уязвимость 2 |
0.33 |
0.8 |
Угроза 3/Уязвимость 3 |
0.24 |
0.8 |
Угроза 4/Уязвимость 1 |
0.21 |
0.3 |
Угроза 4/Уязвимость 2 |
0.1 |
0.3 |
Угроза 4/Уязвимость 3 |
0.1 |
0.3 |