Файл: Исследование проблем защиты информации (Оценка существующих и планируемых средств защиты).pdf
Добавлен: 27.05.2023
Просмотров: 57
Скачиваний: 3
Активы, имеющие наибольшую ценность для предприятия ООО «Эколог»:
- Бухгалтерская документация;
- Специальное программное обеспечение для работы с налоговыми органами;
- Специальное программное обеспечение для расчета с Фондом социальной защиты населения;
- Сведения о клиентах и заказах;
- Сведения о работниках;
- Программное обеспечение персональных компьютеров.
1.3 Оценка уязвимостей активов
Для определения мер по защите информации необходимо определить наиболее уязвимые места в работе с информационными активами предприятия.
Понятие «уязвимость» можно отнести к свойствам или атрибутам актива, которые могут использоваться иным образом или для иных целей, чем те, для которых приобретался или изготавливался данный актив [8].
Для оценки уязвимостей необходимо их определить и соотнести с группой уязвимостей, а именно уязвимости среды и инфраструктуры, аппаратного обеспечения, программного обеспечения, коммуникаций, документооборота, персонала, общих уязвимых мест. Результаты определения уязвимостей информационных активов ООО «Эколог» занесены в таблицу (Таблица 5)
Таблица 5
Результаты оценки уязвимости активов ООО «Эколог»
Группа уязвимостей Содержание уязвимости |
Бухгалтерская документация |
Специальное программное обеспечение «EDeclaration» |
Специальное программное обеспечение AvToken_AvPass |
Сведения о клиентах и заказах |
Сведения о работниках |
Программное обеспечение персональных компьютеров |
1. Среда и инфраструктура |
||||||
Уязвимость 1.1. Нестабильная работа электросети |
средняя |
средняя |
средняя |
низкая |
низкая |
Средняя |
Уязвимость 1.2. Отсутствие физической защиты зданий, дверей и окон |
средняя |
низкая |
низкая |
средняя |
средняя |
низкая |
продолжение таблицы 5
2. Аппаратное обеспечение |
||||||
Уязвимость 2.2. Отсутствие контроля за эффективным изменением конфигурации персональных компьютеров |
средняя |
высокая |
высокая |
высокая |
высокая |
высокая |
Уязвимость 2.2. Недостаточное обслуживание локальной вычислительной сети |
средняя |
средняя |
средняя |
низкая |
низкая |
Средняя |
3. Программное обеспечение |
||||||
Уязвимость 3.1. Неконтролируемая загрузка и использование программного обеспечения |
средняя |
высокая |
высокая |
средняя |
средняя |
высокая |
Уязвимость 3.2. Неправильное присвоение прав доступа |
средняя |
высокая |
высокая |
средняя |
средняя |
высокая |
4. Коммуникации |
||||||
Уязвимость 4.1. Незащищенные подключения к сетям общего пользования |
средняя |
высокая |
высокая |
средняя |
средняя |
высокая |
продолжение таблицы 5
Уязвимость 4.2. Незащищенные линии связи |
средняя |
средняя |
средняя |
низкая |
низкая |
Средняя |
5. Документы (документооборот) |
||||||
Уязвимость 5.1. Хранение в незащищенных местах |
высокая |
низкая |
низкая |
высокая |
высокая |
низкая |
Уязвимость 5.1. Бесконтрольное копирование |
высокая |
средняя |
низкая |
высокая |
высокая |
низкая |
6.Персонал |
||||||
Уязвимость 6.2 Недостаточная подготовка персонала по вопросам обеспечения безопасности |
средняя |
высокая |
высокая |
средняя |
средняя |
средняя |
7.Общие уязвимые места |
||||||
Уязвимость 7.1 Неадекватные результаты проведения технического обслуживания |
средняя |
высокая |
высокая |
средняя |
средняя |
высокая |
Угроза обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может нанести ущерб финансовой деятельности предприятия, его репутации [8].
Таблица 6
Результаты оценки угроз активам предприятия ООО «Эколог»
Группа угроз Содержание угроз |
Бухгалтерская документация |
Специальное программное обеспечение «EDeclaration» |
Специальное программное обеспечение AvToken_AvPass |
Сведения о клиентах и заказах |
Сведения о работниках |
Программное обеспечение персональных компьютеров |
1. Угрозы, обусловленные преднамеренными действиями |
||||||
Угроза 1.1. Вывод системы из строя |
средняя |
высокая |
высокая |
средняя |
средняя |
высокая |
Угроза 1.2. Нелегальное проникновение злоумышленников под видом санкционированных пользователей |
средняя |
средняя |
средняя |
средняя |
средняя |
средняя |
Угроза 1.3. Несанкционированное использование носителей данных |
средняя |
средняя |
средняя |
средняя |
средняя |
низкая |
Угроза 1.4. Вредоносное программное обеспечение |
средняя |
средняя |
средняя |
низкая |
низкая |
высокая |
2. Угрозы, обусловленные случайными действиями |
||||||
Угроза 2.1. Программные сбои |
средняя |
средняя |
средняя |
низкая |
низкая |
высокая |
Угроза 2.2. Ошибка при обслуживании |
средняя |
средняя |
средняя |
низкая |
низкая |
высокая |
Угроза 2.3. Ошибка обслуживающего персонала |
средняя |
средняя |
средняя |
низкая |
низкая |
средняя |
3. Угрозы, обусловленные естественными причинами |
||||||
Угроза 3.1. Землетрясение |
низкая |
низкая |
низкая |
низкая |
низкая |
низкая |
Угроза 3.2. Затопление |
низкая |
низкая |
низкая |
низкая |
низкая |
низкая |
Угроза 3.3. Ураган |
низкая |
низкая |
низкая |
низкая |
низкая |
низкая |
Угроза 3.4 Колебания напряжения |
низкая |
средняя |
средняя |
низкая |
низкая |
средняя |
На предприятии ООО «Эколог» выявлены и классифицированы по группам ряд угроз безопасности информационным активам, имеющие наибольшую ценность для предприятия. Результаты занесены в таблицу (таблица 6).
1.4 Оценка существующих и планируемых средств защиты
Техническую архитектуру предприятия ООО «Эколог» составляют не очень большое количество аппаратных средств, а именно четыре персональных компьютера, один ноутбук, многофункциональное устройство, модем и коммутатор. Все перечисленные аппаратные средства объединены локальной вычислительной сетью (рис. 1).
Рис. 1. Техническая архитектура ООО «Эколог».
Основные характеристики аппаратных средств представлены в виде таблицы (таблица 7).
Таблица 7
Основные характеристики технической архитектуры ООО «Эколог»
Аппаратное средство |
Характеристика |
Ноутбук Lenovo IdeaPad 110-15 (80T7006GRA) |
Процессор: Intel Celeron N3060 1600 МГц; Turbo Boost 2480 МГц; Оперативная память: 2 ГБ DDR3L; Intel HD Graphics 400; |
Персональный компьютер 1, 2, 3 |
Процессор: AMD A4-4000 3.0Гц, 2 ядра; HDD: 500 Гб; |
Персональный компьютер 4 |
Процессор Athlon 64 Х2 4600+, 2.4GHz; Оперативная память 2шт DIMM DDR 1Gb Kingston, DDR-RAM II, PC-6400, 800MHz; Видеокарта GeForce 8600GT, PCI-E, 256Mb DDR3 128bit, Zotac, радиатор, RTL; HDD: 250 Гб. |
Коммутатор D-Link DES-1008C/A1A 10/100 |
Пропускная способность: 1.6 Гбит/с; |
На предприятии ООО «Эколог» используется не только стандартный офисный пакет, но и специализированные программы бухгалтерии, ведения электронной документации с налоговыми органами и фондом социальной защиты населения, программы для работы с электронной цифровой подписью. Программная архитектура предприятия представлена на рисунке 2.
Рис. 2. Программная архитектура ООО «Эколог».
На ноутбуке и персональных компьютерах установлена операционная система Microsoft Windows 7, также установлен офисный пакет прикладных программ Microsoft Office 2007.
Доступ в интернет с автоматизированных рабочих мест осуществляется при помощи веб-браузера GoogleChrome.
На всех персональных компьютерах и ноутбуке стоит лицензионная антивирусная программа ESET NOD32 Antivirus.
На автоматизированном рабочем месте бухгалтера установлена специальная программа для ведения бухгалтерского учета «1C: Бухгалтерия 8.2».
На предприятии ООО «Эколог» установлен компонент программного комплекса инфраструктуры Государственной системы управления открытыми ключами (ГосСУОК) «ForClient(AvToken_AvPass)». Программа выполняет функции проверки и выработки электронной цифровой подписи электронных документов, а также проверку электронной цифровой подписи квитанции инспектора страховых взносов
Также имеется специальное программное обеспечение, которое приобретается в налоговых органах «EDeclaration» и используется для подачи налоговой декларации в электронной форме. Программа предоставляет возможность пользователю создавать регистры и их корректировать, формировать электронные декларации, передавать декларации в Министерство по налогам и сборам, а также получать данные из Министерства по налогам и сборам, создавать заявления/уведомления, отправлять их в Министерство по налогам и сборам, получать ответы из Министерства по налогам и сборам.«EDeclaration» позволяет создавать неограниченное число пользователей и устанавливать для них права доступа к информации.
Директор предприятия ООО «Эколог» обладает правами суперпользователя, имеет доступ не только к документам предприятия, но и к системным ресурсам, к программным файлам и базе паролей.
Главный бухгалтер имеет пользовательский доступ к документам бухгалтерии, а так же работает со специальным программным обеспечением «EDeclaration» и «ForClient(AvToken_AvPass)».
Сотрудник по кадрам к кадровым документам предприятия.
Менеджер по работе с клиентами имеет доступ к договорам и заявкам клиентов.
Главный инженер и другие сотрудники предприятия не имеют своих автоматизированных рабочих мест.
Таблица 8.
Анализ выполнения основных задач
по обеспечению информационной безопасности в ООО «Эколог».
Основные задачи по обеспечению информационной безопасности |
Степень выполнения |
Обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной; |
Выполнены не в полном объеме |
Организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны; |
Выполнены не в полном объеме |
Организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной; |
Выполнены не в полном объеме |
Предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну; |
Выполнены не в полном объеме |
Выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) Ситуациях; |
Выполнены не в полном объеме |
Обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне; |
Выполнены не в полном объеме |
Обеспечение охраны территории, зданий помещений, с защищаемой информацией. |
Выполнены не в полном объеме |
Риск информационной безопасности – это потенциальная возможность использования уязвимостей актива или группы активов конкретной угрозой для причинения ущерба организации [16. стр 14].
В процессе анализа риска проведена суммарная оценка риска. Для проведения расчета использовалась методика определения наиболее критичных активов в организации с точки зрения рисков информационной безопасности по «штрафным баллам». Оценивание рисков производилось экспертным путем на основе анализа ценности активов, возможности реализации угроз и использования уязвимостей. Экспертами в процессе оценки рисков выступали сотрудники предприятия ООО «Эколог». При определении «штрафного балла» для информационных активов учитывались уровни угроз и уязвимости, определенные ранее, их комбинация совместно с ценностью актива сопоставлялась с таблицей 9.
Таблица 9
Вспомогательная таблица «штрафные баллы»
Уровни угрозы |
Низкая |
Средняя |
Высокая |
|||||||
Уровни уязвимости |
Н |
С |
В |
Н |
С |
В |
Н |
С |
В |
|
Ценность активов |
1 |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
3 |
4 |
5 |
|
3 |
2 |
2 |
4 |
3 |
4 |
5 |
4 |
5 |
6 |
|
4 |
3 |
4 |
5 |
4 |
5 |
6 |
5 |
6 |
7 |
|
5 |
4 |
5 |
6 |
5 |
6 |
7 |
6 |
7 |
8 |
Результаты проведения оценки риска, представлены в таблице 10, которая содержит риски наиболее ценные информационные активов, ранжированные в порядке убывания.
Таблица 10
Результаты оценки рисков информационным активам ООО «Эколог».
Риск |
Бизнес - процесс |
Ранг риска |
3 |
бухгалтерская документация |
6 |
3 |
сведения о клиентах и заказах |
5 |
3 |
сведения о работниках |
4 |
3 |
Программное обеспечение персональных компьютеров |
3 |
2 |
Специальное программное обеспечение для работы с налоговыми органами |
2 |
2 |
Специальное программное обеспечение для расчета с Фондом социальной защиты населения |
1 |