- •Оглавление
- •Введение
- •Характеристика предметной области.
- •Назначение и особенности функционирования ооо «RussiaTvGroup»
- •Структура, состав и размещение основных элементов ас организации, информационные связи с другими объектами
- •Категории информационных ресурсов, подлежащих защите
- •Уязвимость основных компонентов ас организации
- •Категории пользователей ас организации, режимы использования и уровни доступа к информации
- •Анализ объектов защиты
- •Интересы затрагиваемых при эксплуатации ас организации субъектов информационных отношений.
- •Цели и задачи разработки концепции иб организации
- •Цели обеспечения комплексной безопасности ас организации
- •Основные задачи системы обеспечения иб организации
- •Основные пути достижения целей обеспечения безопасности ас организации
- •Разработка комплексной системы защиты иб организации.
- •Выявление основных угроз безопасности информации
- •Основные источники угроз
- •Пути реализации угроз и их последствия.
- •Анализ утечки информации по техническим каналам
- •Неформальная модель возможных нарушителей
- •Политика информационной безопасности организации
- •Основные положения политики иб организации
- •Рекомендуемые меры, осуществляемые в рамках указанных направлений Политики иб организации
- •Формирование режима информационной безопасности
- •Комплекс мер по формированию режима безопасности информации включает:
- •Меры, методы и средства защиты информационных ресурсов
- •Законодательные (правовые) меры защиты
- •Организационные (административные) меры защиты
- •Инженерно-технические средства обеспечения иб организации.
- •Программно-аппаратные средства защиты
- •Соответствие разработанной Концепции основным принципам построения системы комплексной защиты информации
- •Заключение
- •Приложение перечень основных нормативных документов, регламентирующих деятельность в области защиты информации
- •Список литературы
Разработка комплексной системы защиты иб организации.
Выявление основных угроз безопасности информации
Наиболее опасными (значимыми) угрозами безопасности информации АС ОРГАНИЗАЦИИ (способами нанесения ущерба субъектам информационных отношений) являются:
нарушение конфиденциальности (хищение, разглашение, утечка) сведений, составляющих государственную и коммерческую тайну, а также персональные данные;
нарушение целостности (искажение, подмена, уничтожение) информационных и программных ресурсов АС ОРГАНИЗАЦИИ, а также фальсификация (подделка) документов.
нарушение достоверности, актуальности информации;
нарушение доступности (отказ в обслуживании средств обработки информации).
Основные источники угроз
Основными источниками угроз безопасности информации АС ОРГАНИЗАЦИИ являются:
непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия сотрудников (в том числе администраторов средств защиты) структурных подразделений ОРГАНИЗАЦИИ при эксплуатации АС ОРГАНИЗАЦИИ, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности АРМ пользователей или АС в целом;
преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников подразделений ОРГАНИЗАЦИИ, допущенных к работе с АС ОРГАНИЗАЦИИ, а также сотрудников подразделений ОРГАНИЗАЦИИ, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения безопасности информации;
воздействия из других логических и физических сегментов АС ОРГАНИЗАЦИИ со стороны сотрудников других подразделений ОРГАНИЗАЦИИ, в том числе программистов - разработчиков прикладных задач. А также удаленное несанкционированное вмешательство посторонних лиц из телекоммуникационной сети ОРГАНИЗАЦИИ через легальные и несанкционированные каналы подключения сети ОРГАНИЗАЦИИ к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам АС ОРГАНИЗАЦИИ;
деятельность международных и отечественных преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонент;
деятельность иностранных разведывательных и специальных служб, направленная против интересов ОРГАНИЗАЦИИ;
ошибки, допущенные при проектировании АС ОРГАНИЗАЦИИ и ее системы защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты) АС ОРГАНИЗАЦИИ;
аварии, стихийные бедствия и т.п.[5]
Пути реализации угроз и их последствия.
Пользователи, операторы, системные администраторы и сотрудники ОРГАНИЗАЦИИ, обслуживающие систему, являются внутренними источниками случайных воздействий (действий, совершаемых по незнанию, невнимательности или халатности, из любопытства, но без злого умысла), т.к. имеют непосредственный доступ к процессам обработки информации и могут совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и процедур.
Внешние нарушители, а также сотрудники организации (в некоторых случаях) являются источниками умышленной дезорганизации работы, вывода АС ОРГАНИЗАЦИИ из строя, проникновения в систему и несанкционированного доступа к информации (с корыстными целями, по принуждению, из желания отомстить и т.п.).
Основные пути реализации непреднамеренных искусственных (субъективных) и преднамеренных (умышленных) угроз АС ОРГАНИЗАЦИИ и их последствия приведены в Таблицах № 2,3,4
Таблица №2. Модель угроз и последствий их реализаций часть1.
|
УЯЗВИМОСТИ |
ОБЪЕКТЫ ЗАЩИТЫ |
УГРОЗЫ | ||||||
|
ХИЩЕНИЕ |
УТЕЧКА |
Уничтожение (полное / частичное) |
МОДИФИКАЦИЯ |
Нарушение достоверности / актуальности |
Отказ в обслуживании | |||
|
Проникновение злоумышленника в помещение с сейфом, кража ключа от сейфа, некомпетентность сотрудников, имеющих доступ к сейфу, взаимодействие с конкурентами (злоумышленниками) |
Документы государственной важности, руководства к действию в случае наступления режима военного времени |
Разглашение информации государственной важности, уголовное (административное)наказание, ухудшение репутации |
Разглашение информации государственной важности, уголовное (административное)наказание, ухудшение репутации |
Уголовное (административное) наказание |
Уголовное (административное) наказание |
Штраф, уголовное (административное) наказание |
- | |
|
Некомпетентность, провоцирующие действия членов съемочной группы, взаимодействие с конкурентами, потеря материалов, отсутствие охраны съемочной группы, съемка без разрешения, клевета, вербовка членов съемочной группы
|
Видеоматериалы, аудиозаписи, фотоматериалы, текстовая информация от членов съемочной группы |
Снижение рейтинга телеканала ввиду публикации похищенной информации конкурентами, убытки в связи с шантажом |
Потери дохода, ухудшение репутации, административное наказание, убытки в связи с шантажом, компрометация данных |
Финансовые убытки, потери дохода, снижение рейтинга телеканала ввиду потери информации |
Дискредитация телеканала другими СМИ, штраф, увольнение ответственных сотрудников |
Дискредитация телеканала другими СМИ, уголовное (административное) наказание |
- | |
|
Безответственность за вывод информации в эфир и ее обработку, отсутствие канала взаимодействия с представителями гос. органов, компетентных в области информации, подготовленной для вывода в эфир с целью ее проверки, отсутствие программно-аппаратных средств защиты и мониторинга сети, отсутствие программно-аппаратных и технических средств защиты информационных ресурсов, средств хранения и обработки информации, средств противодействия технической разведке.
|
Информация, побуждающая к противоправным действиям граждан, манипулирующая общественным сознанием в чьих-либо корыстных интересах; относящаяся к гостайне, запрещенная к публикации; о политической, экономической обстановке в стране, о действиях правительства и пр. разрешенная к выводу в эфир в строго определенных случаях (наступление ЧС, изменение в военно-политической обстановке и пр.). |
Дискредитация канала другими СМИ, административное наказание, потеря имиджа, финансовые потери, закрытие телеканала |
Дискредитация канала другими СМИ, административное наказание, потеря имиджа, финансовые потери, закрытие телеканала |
Дискредитация канала другими СМИ, административное наказание, потеря имиджа, финансовые потери, закрытие телеканала |
Дискредитация канала другими СМИ, административное наказание, потеря имиджа, финансовые потери, закрытие телеканала |
Дискредитация канала другими СМИ, административное наказание, потеря имиджа, финансовые потери, закрытие телеканала |
- | |
|
Проникновение злоумышленника в серверное помещение, кража ключей от серверной, некомпетентное действие сотрудников обладающих правом доступа к серверу, сотрудников тех.поддержки, взаимодействие с конкурентами (злоумышленниками), перебои в работе системы поддерживающей инфраструктуры, сбои в программном обеспечении, отсутствие системы резервного копирования |
Медиа информация на внутренних серверах |
Снижение рейтинга телеканала ввиду публикации похищенной информации конкурентами, убытки в связи с шантажом |
Потери дохода, ухудшение репутации, административное наказание, убытки в связи с шантажом |
Финансовые убытки, потеря дохода, снижение рейтинга телеканала ввиду потери информации |
Дискредитация телеканала другими СМИ, штраф, увольнение ответственных сотрудников |
Дискредитация телеканала другими СМИ, уголовное (административное) наказание |
- | |
|
Некомпетентные действия сотрудников, взаимодействие с конкурентами (злоумышленниками), действия злоумышленников, наличие технических средств разведки, потеря резервных копий |
Тактические и стратегические документы организации (планы, политика ИБ, журнал телепередач и пр.) |
Закрытие телеканала, потеря имиджа, финансовые убытки, потери дохода, убытки в связи с шантажом
Получение убытка от угроз, неописанных в политике ИБ, от угроз, нанесенных ввиду обхода существующих средств защиты, убытки в связи с шантажом Административное наказание |
Закрытие телеканала, потеря имиджа, финансовые убытки, потери дохода, убытки в связи с шантажом
Получение убытка от угроз, неописанных в политике ИБ, от угроз, нанесенных ввиду обхода существующих средств защиты, убытки в связи с шантажом Административное наказание |
Временные потери
Получение убытка от угроз, неописанных в новой политике, но существовавших в старой
Административное наказание |
Потеря имиджа, финансовые убытки, потери дохода
Нарушение функционирования системы ИБ
Административное наказание |
-
Нарушение функционирования системы ИБ
Административное наказание |
- | |
|
Наличие технических средств разведки, проникновение нарушителей, некомпетентность сотрудников, неконтролируемый доступ в переговорное помещение, взаимодействие с конкурентами (злоумышленниками) |
Материалы совещаний, переговоров (внутренних/внешних) |
Потеря имиджа, финансовые убытки, потеря дохода, убытки в связи с шантажом
|
Потеря имиджа, финансовые убытки, потеря дохода, убытки в связи с шантажом
|
Временные потери |
Временные потери, потери дохода, финансовые убытки |
Временные потери, потери дохода, финансовые убытки |
- | |
|
Наличие технических средств разведки, отсутствие антивирусных программ, доступ к АРМ пользователей, серверам, некомпетентность сотрудников, взаимодействие с конкурентами (злоумышленниками), отсутствие системы резервного копирования
|
Внутренние БД, в т.ч. списки партнеров, информагенств, поставляющих информацию, ПД сотрудников |
Потеря имиджа, финансовые убытки, потеря дохода, убытки в связи с шантажом, административное наказание в связи с ущербом, нанесенным сотруднику в результате использования его ПД в корыстных целях |
Потеря имиджа, финансовые убытки, потеря дохода, убытки в связи с шантажом, административное наказание в связи с ущербом, нанесенным сотруднику в результате использования его ПД в корыстных целях |
Временные потери, финансовые потери |
Временные потери, финансовые потери |
Временные потери, финансовые потери |
- | |
|
Наличие технических средств разведки, доступ к АРМ пользователей, серверам, неконтролируемый доступ к сейфам с документацией, некомпетентность сотрудников, взаимодействие с конкурентами (злоумышленниками) |
Руководства к техническим и программным средствам (в т.ч. средствам защиты информации, серверному оборудованию и пр.) |
Временные потери на восстановление |
Временные потери на восстановление |
Временные потери на восстановление |
Сбои в работе технических средств ввиду неправильной эксплуатации |
- |
- | |
|
Наличие технических средств разведки, доступ к АРМ пользователей, серверам, неконтролируемый доступ к сейфам с документацией, некомпетентность сотрудников в области актуализации документов, отсутствие системы резервного копирования |
ДИ, внутренние регламенты |
Временные потери на восстановление |
Временные потери на восстановление |
Временные потери на восстановление |
Возникновение конфликтных ситуаций между сотрудниками, ввиду преднамеренных изменений должностных обязанностей в ДИ |
Невыполнение должностных обязанностей сотрудником ввиду неосведомленности о новой версии ДИ, возникновение конфликтных ситуаций |
- | |
Таблица №3. Модель угроз и последствий их реализаций часть 2.
|
УЯЗВИМОСТИ |
ОБЪЕКТЫ ЗАЩИТЫ |
УГРОЗЫ |
|
Отсутствие физической защиты съемочной группы, отсутствие процедуры проверки оборудования перед использованием, отсутствие запасного оборудования, использование недекларированных, внештатных средств записи и обработки информации, некомпетентность, непрофессионализм членов съемочной группы, взаимодействие с конкурентами (злоумышленниками), отсутствие предварительной проверки объекта на предмет права съемки, форс-мажор, природные катаклизмы, ЧС
Отсутствие физической защиты съемочной группы, отсутствие защиты носителей информации, некомпетентность, непрофессионализм членов съемочной группы, взаимодействие с конкурентами (злоумышленниками), форс-мажор, природные катаклизмы, ЧС, незащищенные каналы связи, отсутствие криптографических методов защиты информации Некомпетентность, непрофессионализм членов съемочной группы, взаимодействие с конкурентами (злоумышленниками), отсутствие технической защиты и тех. поддержки оборудования, незащищенные каналы связи, отсутствие антивирусного ПО
Отсутствие системы защиты серверов, АРМ, бумажной документации
Некомпетентность персонала, связь с конкурентами (злоумышленниками), неосведомленность персонала о содержании списка информации, запрещенной к публикации (в т.ч. информации, составляющей гостайну), отсутствие канала взаимодействия с гос.органами, контролирующими достоверность и правомерность информации, выводимой в эфир, отсутствие систем физической и программно-аппаратной защиты информации (информационных ресурсов, средств обработки и хранения, персонала),
отсутствие системы контроля доступа в эфирные помещения, отсутствие системы защиты и регулярного мониторинга каналов передачи информации (каналов связи). |
Процедура сбора, передачи, обработки, хранения информации, вывода информации в эфир
Процедура сбора, передачи, обработки, хранения информации, вывода информации в эфир
Процедура сбора, передачи, обработки, хранения информации, вывода информации в эфир
|
Временные потери, потеря имиджа, снижение в рейтинге среди конкурентов, уничтожение / утечка / модификация / хищение информации, финансовые убытки, потеря дохода в связи с отказом оборудования, административное наказание, штраф за съемку без соответствующих прав, съемку в запрещенных местах.
уничтожение / утечка / модификация / хищение информации, заражение корпоративной аппаратуры вирусами, принесенными на съемных носителях, потеря имиджа, снижение в рейтинге среди конкурентов, финансовые убытки, потеря дохода в связи с отказом оборудования.
Уничтожение / утечка / модификация / хищение информации, заражение корпоративной аппаратуры вирусами, принесенными на съемных носителях, потеря имиджа, снижение в рейтинге среди конкурентов, финансовые убытки, потеря дохода в связи с отказом оборудования
Уничтожение / утечка / модификация / хищение информации, заражение корпоративной аппаратуры вирусами, принесенными на съемных носителях, потеря имиджа, снижение в рейтинге на отраслевом рынке, финансовые убытки, потеря дохода в связи с отказом оборудования
Потеря имиджа, финансовые потери, закрытие телеканала по причине:
Сбоев в трансляции ввиду отказа в обслуживании оборудования, хищения, уничтожения (модификации) данных, предназначенных для вывода в эфир, перехвата и уничтожения информации злоумышленниками.
|
|
Отсутствие физической защиты, некомпетентность, непрофессионализм, взаимодействие с конкурентами (злоумышленниками). Недобросовестность игнорирование должностных обязанностей, неосведомленность об обязанностях, об ответственности, отсутствие адаптации к корпоративным изменениям, вербовка, отсутствие контроля прав доступа, разграничения полномочий.
Отсутствие средств контроля персонала, в т.ч. видеонаблюдения, отсутствие процедуры проверки сотрудников при приеме на работу, контроль сотрудников при увольнении / переводе, контроль внутрикорпоративной обстановки коллектива, отсутствие системы мотивации, системы поощрений, повышения квалификации, подавление инициативы сотрудников, отсутствие социальных страховок
|
Персонал: сотрудники съемочной группы, монтажеры, редакторы, продюсеры, специалисты службы тех. поддержки, обслуживающий персонал, руководители, системные администраторы и пр. |
Потеря имиджа, финансовые потери, потеря позиции в рейтинге на отраслевом рынке ввиду халатности, некомпетентности, снижения квалификации сотрудников, снижения работоспособности и эффективности, текучки, утечки кадров, роста вероятности реализации существующих угроз ИБ в организации.
Уничтожение информации на серверах, АРМах сотрудников, бумажных документов.
Утечка / разглашение конфиденциальной документации.
Вывод в эфир недопустимой информации, сбой (прекращение) трансляций. |
Таблица №4. Модель угроз и последствий их реализаций часть 3.
|
УЯЗВИМОСТИ |
ОБЪЕКТЫ ЗАЩИТЫ |
УГРОЗЫ | |||||||||||
|
Хищение |
Утечка |
Уничтожение |
Модификация |
Отказ в обслуживании | |||||||||
|
Отсутствие программно-аппаратных средств защиты сети, некомпетентная работа администраторов, взаимодействие с конкурентами (злоумышленниками), сбои в программно-аппаратном обеспечении, отсутствие обновлений базы сигнатур, отсутствие журнала протоколирования инцидентов ИБ |
Локальная сеть |
- |
- |
- |
Утечка конфиденциальной информации, внедрение вредоносного ПО в связи с изменением (несанкционированным изменением) конфигурации / настроек сети |
Временные потери, потеря имиджа в связи с задержкой (непредоставлением) материала в эфир | |||||||
|
Отсутствие защиты каналов связи, некомпетентность сотрудников, взаимодействие с конкурентами (злоумышленниками), сбои в функционировании канала, имеющих доступ к настройкам каналов связи, отсутствие журнала протоколирования инцидентов ИБ, отсутствие идентификации/аутентификации абонентов. |
Каналы связи |
- |
- |
- |
Утечка конфиденциальной информации, внедрение вредоносного ПО в связи с отсутствием криптографической защиты, физической защиты кабельной системы. |
Временные потери, потеря имиджа в связи с задержкой (непредоставлением) материала в эфир, вторжением злоумышленников в эфир. | |||||||
|
|
Отсутствие защиты канала правительственной связи, некомпетентность сотрудников, взаимодействие с конкурентами (злоумышленниками), сбои в функционировании канала, вербовка сотрудников, имеющих доступ к настройкам каналу правительственной связи, отсутствие журнала протоколирования инцидентов ИБ. |
Канал правительственной связи |
- |
- |
- |
Утечка конфиденциальной информации, внедрение вредоносного ПО в связи с отсутствием криптографической защиты, физической защиты кабельной системы |
Административное наказание, штрафы, закрытие телеканала в связи с задержкой (отсутствием) выхода в эфир информации государственной важности. | ||||||
|
|
Отсутствие системы контроля физического доступа к серверам, некомпетентность сотрудников, имеющих доступ к серверам (в т.ч. обслуживающего персонала), взаимодействие с конкурентами (злоумышленниками),отказ работы поддерживающей инфраструктуры.
|
Сервера |
Потеря конфиденциальных данных, временные потери, потеря имиджа, финансовые потери |
- |
Потеря конфиденциальных данных, временные потери, потеря имиджа, финансовые потери |
- |
Временные потери, потеря имиджа, финансовые потери | ||||||
|
|
Некомпетентность пользователей, взаимодействие с конкурентами (злоумышленниками), несоблюдение техники безопасности, отсутствие системы антивирусной защиты, отсутствие контроля физического доступа к АРМ, некомпетентность обслуживающего персонала, добровольное отключение систем защиты. |
АРМ пользователей |
Утечка, раскрытие конфиденциальной информации, потеря имиджа, финансовые потери |
- |
Временные, финансовые потери, потеря несохраненных данных |
Отказ в обслуживании |
Временные и финансовые потери | ||||||
|
|
Некомпетентность персонала, взаимодействие с конкурентами (злоумышленниками),отсутствие проверки оборудования перед выездом на съемку, отсутствие проверки наличия технических средств съема информации, нарушение параметров использования съемочного оборудования.
|
Оборудование съемочной группы |
Утечка, раскрытие конфиденциальной информации, потеря имиджа, финансовые потери |
- |
Временные, финансовые потери, потеря несохраненных данных |
Отказ в обслуживании |
Временные и финансовые потери, потери имиджа ввиду срыва прямой трансляции и пр. | ||||||
|
|
Некомпетентность сотрудников, имеющих доступ к данной системе, взаимодействие с конкурентами (злоумышленниками),
неправильная установка/настройка системы, сбой системы, отказ в обслуживании, ошибка/отказ доступа, несвоевременная оплата счетов за использование систем. |
Системы поддерживающей инфраструктуры (пожаротушения, кондиционирования, бесперебойного питания, резервного копирования, энергоснабжения, видеонаблюдения, контроля доступа в здание, водоснабжения, отопления) |
Отказ в обслуживании в результате хищения элементов систем
|
- |
Финансовые и временные потери, повышение риска проникновения злоумышленника, риска возникновения ЧС |
Отказ в обслуживании |
Потеря конфиденциальной информации, несохраненной информации, физическое проникновение злоумышленников, отсутствие контроля за действиями персонала, возникновение ЧС (затопление, пожар и пр.), отказ работы оборудования, серверного оборудования | ||||||
|
|
Некомпетентность сотрудников, имеющих доступ к средствам защиты и настройкам программно-аппаратных модулей, взаимодействие с конкурентами (злоумышленниками), ошибка в программном коде, ошибки в инструкции по установке, неисправность аппаратуры, несанкционированное изменение настроек программно-аппаратных модулей. |
Программно-аппаратные средства защиты информации |
- |
- |
Проникновение вредоносного ПО, утечка конфиденциальной информации, сбои в работе оборудования |
Проникновение вредоносного ПО, утечка конфиденциальной информации, сбои в работе оборудования |
Проникновение вредоносного ПО, утечка конфиденциальной информации, сбои в работе оборудования | ||||||
|
|
Отсутствие программной защиты системы корпоративной электронной почты, некомпетентность/неосведомленность сотрудников, имеющих доступ к данной системе, взаимодействие с конкурентами (злоумышленниками), злоупотребление полномочиями системного администратора, отсутствие криптографической защиты, отсутствие средств защиты каналов связи. |
Система корпоративной электронной почты |
- |
- |
- |
Проникновение в систему злоумышленника, утечка данных, относящихся к персональным данным/коммерческой тайне, денежные потери, потеря имиджа |
Сбои при внутрикорпоративном взаимодействии, взаимодействии с партнерами, временные потери на восстановление системы | ||||||
|
|
Отсутствие инженерно-технических средств защиты, некомпетентность/недобросовестность сотрудников, имеющих доступ в помещение, взаимодействие с конкурентами (злоумышленниками), проникновение террориста-одиночки с целью подрыва здания. |
Помещение телецентра, кабинеты |
- |
- |
Полное или временное прекращение деятельности организации в связи с полным или частичным разрушением здания, разрушение путем подрыва размещенных взрывных устройств |
- |
- | ||||||