Файл: Исследование проблем защиты информации (Оценка существующих и планируемых средств защиты).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 27.05.2023

Просмотров: 57

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Активы, имеющие наибольшую ценность для предприятия ООО «Эколог»:

  1. Бухгалтерская документация;
  2. Специальное программное обеспечение для работы с налоговыми органами;
  3. Специальное программное обеспечение для расчета с Фондом социальной защиты населения;
  4. Сведения о клиентах и заказах;
  5. Сведения о работниках;
  6. Программное обеспечение персональных компьютеров.

1.3 Оценка уязвимостей активов

Для определения мер по защите информации необходимо определить наиболее уязвимые места в работе с информационными активами предприятия.

Понятие «уязвимость» можно отнести к свойствам или атрибутам актива, которые могут использоваться иным образом или для иных целей, чем те, для которых приобретался или изготавливался данный актив [8].

Для оценки уязвимостей необходимо их определить и соотнести с группой уязвимостей, а именно уязвимости среды и инфраструктуры, аппаратного обеспечения, программного обеспечения, коммуникаций, документооборота, персонала, общих уязвимых мест. Результаты определения уязвимостей информационных активов ООО «Эколог» занесены в таблицу (Таблица 5)

Таблица 5

Результаты оценки уязвимости активов ООО «Эколог»

Группа уязвимостей

Содержание уязвимости

Бухгалтерская документация

Специальное программное обеспечение «EDeclaration»

Специальное программное обеспечение AvToken_AvPass

Сведения о клиентах и заказах

Сведения о работниках

Программное обеспечение персональных компьютеров

1. Среда и инфраструктура

Уязвимость 1.1. Нестабильная работа электросети

средняя

средняя

средняя

низкая

низкая

Средняя

Уязвимость 1.2. Отсутствие физической защиты зданий, дверей и окон

средняя

низкая

низкая

средняя

средняя

низкая

продолжение таблицы 5

2. Аппаратное обеспечение

Уязвимость 2.2. Отсутствие контроля за эффективным изменением конфигурации персональных компьютеров

средняя

высокая

высокая

высокая

высокая

высокая

Уязвимость 2.2. Недостаточное обслуживание локальной вычислительной сети

средняя

средняя

средняя

низкая

низкая

Средняя

3. Программное обеспечение

Уязвимость 3.1. Неконтролируемая загрузка и использование программного обеспечения

средняя

высокая

высокая

средняя

средняя

высокая

Уязвимость 3.2. Неправильное присвоение прав доступа

средняя

высокая

высокая

средняя

средняя

высокая

4. Коммуникации

Уязвимость 4.1. Незащищенные подключения к сетям общего пользования

средняя

высокая

высокая

средняя

средняя

высокая


продолжение таблицы 5

Уязвимость 4.2. Незащищенные линии связи

средняя

средняя

средняя

низкая

низкая

Средняя

5. Документы (документооборот)

Уязвимость 5.1.

Хранение в незащищенных местах

высокая

низкая

низкая

высокая

высокая

низкая

Уязвимость 5.1.

Бесконтрольное копирование

высокая

средняя

низкая

высокая

высокая

низкая

6.Персонал

Уязвимость 6.2 Недостаточная подготовка персонала по вопросам обеспечения безопасности

средняя

высокая

высокая

средняя

средняя

средняя

7.Общие уязвимые места

Уязвимость 7.1 Неадекватные результаты проведения технического обслуживания

средняя

высокая

высокая

средняя

средняя

высокая

Угроза обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может нанести ущерб финансовой деятельности предприятия, его репутации [8].

Таблица 6

Результаты оценки угроз активам предприятия ООО «Эколог»

Группа угроз

Содержание угроз

Бухгалтерская документация

Специальное программное обеспечение «EDeclaration»

Специальное программное обеспечение AvToken_AvPass

Сведения о клиентах и заказах

Сведения о работниках

Программное обеспечение персональных компьютеров

1. Угрозы, обусловленные преднамеренными действиями

Угроза 1.1. Вывод системы из строя

средняя

высокая

высокая

средняя

средняя

высокая

Угроза 1.2. Нелегальное проникновение злоумышленников под видом санкционированных пользователей

средняя

средняя

средняя

средняя

средняя

средняя

Угроза 1.3. Несанкционированное использование носителей данных

средняя

средняя

средняя

средняя

средняя

низкая

Угроза 1.4. Вредоносное программное обеспечение

средняя

средняя

средняя

низкая

низкая

высокая

2. Угрозы, обусловленные случайными действиями

Угроза 2.1. Программные сбои

средняя

средняя

средняя

низкая

низкая

высокая

Угроза 2.2. Ошибка при обслуживании

средняя

средняя

средняя

низкая

низкая

высокая

Угроза 2.3. Ошибка обслуживающего персонала

средняя

средняя

средняя

низкая

низкая

средняя

3. Угрозы, обусловленные естественными причинами

Угроза 3.1. Землетрясение

низкая

низкая

низкая

низкая

низкая

низкая

Угроза 3.2. Затопление

низкая

низкая

низкая

низкая

низкая

низкая

Угроза 3.3. Ураган

низкая

низкая

низкая

низкая

низкая

низкая

Угроза 3.4 Колебания напряжения

низкая

средняя

средняя

низкая

низкая

средняя


На предприятии ООО «Эколог» выявлены и классифицированы по группам ряд угроз безопасности информационным активам, имеющие наибольшую ценность для предприятия. Результаты занесены в таблицу (таблица 6).

1.4 Оценка существующих и планируемых средств защиты

Техническую архитектуру предприятия ООО «Эколог» составляют не очень большое количество аппаратных средств, а именно четыре персональных компьютера, один ноутбук, многофункциональное устройство, модем и коммутатор. Все перечисленные аппаратные средства объединены локальной вычислительной сетью (рис. 1).

Рис. 1. Техническая архитектура ООО «Эколог».

Основные характеристики аппаратных средств представлены в виде таблицы (таблица 7).

Таблица 7

Основные характеристики технической архитектуры ООО «Эколог»

Аппаратное средство

Характеристика

Ноутбук Lenovo IdeaPad 110-15 (80T7006GRA)

Процессор: Intel Celeron N3060 1600 МГц; Turbo Boost 2480 МГц;

Оперативная память: 2 ГБ DDR3L;
HDD: 500 Гб;
Оптический привод: Встроенный DVD-RW;
Видеокарта: встроенное в процессор видеоядро ;

Intel HD Graphics 400;
Экран: 15.6" (1366 x 768) ;
Wi-Fi: 300 Мбит/с.

Персональный компьютер 1, 2, 3

Процессор: AMD A4-4000 3.0Гц, 2 ядра;
Оперативная память: 4 Гб DDR3 1600МГц;
Дисковая система: HDD 500 Гб;

HDD: 500 Гб;
Видеокарта: встроенное в процессор видеоядро AMD Radeon HD 7480D.

Персональный компьютер 4

Процессор Athlon 64 Х2 4600+, 2.4GHz;

Оперативная память 2шт DIMM DDR 1Gb Kingston, DDR-RAM II, PC-6400, 800MHz;

Видеокарта GeForce 8600GT, PCI-E, 256Mb DDR3 128bit, Zotac, радиатор, RTL;

HDD: 250 Гб.

Коммутатор D-Link DES-1008C/A1A 10/100

Пропускная способность: 1.6 Гбит/с;
Буфер: 96 Кб;
Индикаторы: Link/ACT, Power;
Управление: Нет;
Порты Fast Ethernet: 8 портов 10/100 Мбит/сек;
Соответствие стандартам: 802.3 (Ethernet), 802.3az (Energy Efficient Ethernet), 802.3u (Fast Ethernet), 802.3x (Flow Control) ;
Метод коммутации: Store-and-Forward;
MAC Address Table: 2000 адресов.

На предприятии ООО «Эколог» используется не только стандартный офисный пакет, но и специализированные программы бухгалтерии, ведения электронной документации с налоговыми органами и фондом социальной защиты населения, программы для работы с электронной цифровой подписью. Программная архитектура предприятия представлена на рисунке 2.


Рис. 2. Программная архитектура ООО «Эколог».

На ноутбуке и персональных компьютерах установлена операционная система Microsoft Windows 7, также установлен офисный пакет прикладных программ Microsoft Office 2007.

Доступ в интернет с автоматизированных рабочих мест осуществляется при помощи веб-браузера GoogleChrome.

На всех персональных компьютерах и ноутбуке стоит лицензионная антивирусная программа ESET NOD32 Antivirus.

На автоматизированном рабочем месте бухгалтера установлена специальная программа для ведения бухгалтерского учета «1C: Бухгалтерия 8.2».

На предприятии ООО «Эколог» установлен компонент программного комплекса инфраструктуры Государственной системы управления открытыми ключами (ГосСУОК) «ForClient(AvToken_AvPass)». Программа выполняет функции проверки и выработки электронной цифровой подписи электронных документов, а также проверку электронной цифровой подписи квитанции инспектора страховых взносов

Также имеется специальное программное обеспечение, которое приобретается в налоговых органах «EDeclaration» и используется для подачи налоговой декларации в электронной форме. Программа предоставляет возможность пользователю создавать регистры и их корректировать, формировать электронные декларации, передавать декларации в Министерство по налогам и сборам, а также получать данные из Министерства по налогам и сборам, создавать заявления/уведомления, отправлять их в Министерство по налогам и сборам, получать ответы из Министерства по налогам и сборам.«EDeclaration» позволяет создавать неограниченное число пользователей и устанавливать для них права доступа к информации.

Директор предприятия ООО «Эколог» обладает правами суперпользователя, имеет доступ не только к документам предприятия, но и к системным ресурсам, к программным файлам и базе паролей.

Главный бухгалтер имеет пользовательский доступ к документам бухгалтерии, а так же работает со специальным программным обеспечением «EDeclaration» и «ForClient(AvToken_AvPass)».

Сотрудник по кадрам к кадровым документам предприятия.

Менеджер по работе с клиентами имеет доступ к договорам и заявкам клиентов.

Главный инженер и другие сотрудники предприятия не имеют своих автоматизированных рабочих мест.

Таблица 8.

Анализ выполнения основных задач

по обеспечению информационной безопасности в ООО «Эколог».

Основные задачи по обеспечению информационной безопасности

Степень выполнения

Обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной;

Выполнены не в полном объеме

Организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;

Выполнены не в полном объеме

Организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;

Выполнены не в полном объеме

Предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну;

Выполнены не в полном объеме

Выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) Ситуациях;

Выполнены не в полном объеме

Обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне;

Выполнены не в полном объеме

Обеспечение охраны территории, зданий помещений, с защищаемой информацией.

Выполнены не в полном объеме


Риск информационной безопасности – это потенциальная возможность использования уязвимостей актива или группы активов конкретной угрозой для причинения ущерба организации [16. стр 14].

В процессе анализа риска проведена суммарная оценка риска. Для проведения расчета использовалась методика определения наиболее критичных активов в организации с точки зрения рисков информационной безопасности по «штрафным баллам». Оценивание рисков производилось экспертным путем на основе анализа ценности активов, возможности реализации угроз и использования уязвимостей. Экспертами в процессе оценки рисков выступали сотрудники предприятия ООО «Эколог». При определении «штрафного балла» для информационных активов учитывались уровни угроз и уязвимости, определенные ранее, их комбинация совместно с ценностью актива сопоставлялась с таблицей 9.

Таблица 9

Вспомогательная таблица «штрафные баллы»

Уровни угрозы

Низкая

Средняя

Высокая

Уровни уязвимости

Н

С

В

Н

С

В

Н

С

В

Ценность активов

1

0

1

2

1

2

3

2

3

4

2

1

2

3

2

3

4

3

4

5

3

2

2

4

3

4

5

4

5

6

4

3

4

5

4

5

6

5

6

7

5

4

5

6

5

6

7

6

7

8

Результаты проведения оценки риска, представлены в таблице 10, которая содержит риски наиболее ценные информационные активов, ранжированные в порядке убывания.

Таблица 10

Результаты оценки рисков информационным активам ООО «Эколог».

Риск

Бизнес - процесс

Ранг риска

3

бухгалтерская документация

6

3

сведения о клиентах и заказах

5

3

сведения о работниках

4

3

Программное обеспечение персональных компьютеров

3

2

Специальное программное обеспечение для работы с налоговыми органами

2

2

Специальное программное обеспечение для расчета с Фондом социальной защиты населения

1