- •Глава I. Обзор стандортов и подходов в области
- •Глава II. Анализ информационных
- •Глава III. Проект системы конденциальной информации…41
- •Введение.
- •Глава I. Обзор стандортов и подходов в области информационной безопастности.
- •1.1 Стандарт гост р исо/мэк 17799-2005.
- •1.2 Стандарт гост р исо/мэк 27001-2006.
- •1.3 Стандарт сто бр иббс-1.0-2008
- •1.4. Стандарт bs 7799-3:2006.
- •1.5. Обзор моделей построения информационных рисков.
- •Глава II. Анализ информационных рисков чп зао «лиса»
- •2.1 Информационная сеть и оборудование центрального офиса.
- •2.2 Информационная сеть и оборудование абк асу.
- •2.3 Информационная сеть и оборудование лаборатории физико – механических испытаний. Чп зао «Лиса».
- •2.4. Оценка рисков.
- •2.5 Анализ информационных рисков.
- •Глава III. Проект системы конденциальной информации.
- •3.1 Проект по изменению информационной сети Центрального офиса.
- •3.2 Проект по изменению информационной сети абк асу.
- •3.3 Проект по изменению информационной сети лаборатории физико - механических испытаний.
- •3.4 Система цифровых сертификатов.
- •3.5 Организационные меры по защите информации.
- •3.6. Внедрение системы защиты конфиденциальной информации в чп зао «Лиса»
- •3.7 Выводы.
- •Заключение.
- •Библиография
3.6. Внедрение системы защиты конфиденциальной информации в чп зао «Лиса»
Первый этап - Изменение информационной сети Магазина 1, целью которого являлась модернизация существующей информационной сети, с одновременным решением вопроса безопасности подразделения. В ходе реализации были выполнены следующие задачи:
1) Перекоммутация рабочих мест.
2) Составление плана коммутации рабочих мест.
3) Изменение настроек DHCP-сервера и настройка DHCP-привязок.
4) Изменение списков доступа на маршрутизаторе gw-bk-01 согласно изменениям.
5) Разделение рабочих мест на vlan1 и vlan2 и проверка связи.
Второй этап - Изменение информационной сети Магазина 2, целью которого являлась модернизация существующей информационной сети, с одновременным решением вопроса безопасности подразделения. В ходе реализации были выполнены следующие задачи:
1) Перекоммутация рабочих мест.
2) Составление плана коммутации рабочих мест.
3) Изменение настроек DHCP-сервера и настройка DHCP-привязок.
4) Изменение списков доступа на маршрутизаторе gw-prmr-01 согласно изменениям.
5) Разделение рабочих мест на vlan1 и vlan2 и проверка связи.
Третьим этапом происходило изменение информационной сети Центрального офиса, целью которого являлась модернизация существующей информационной сети, с одновременным решением вопроса безопасности подразделения. В ходе работы было выполнено следующее:
1) Перекоммутация серверов и рабочих мест пользователей.
2) Составление плана коммутации серверов и рабочих мест пользователей.
3) Перенос DHCP-привязок из 100-й сети в 120-ю с сохранением последнего октета адреса (например 192.168.100.99 -> 192.168.120.99)
4) Изменение списков доступа на маршрутизаторе gw-tyumen-01 согласно изменениям.
5) Переписывание IP-адресов серверов согласно новой адресации.
6) Перевод портов с серверами в vlan120 и проверка связи
Четвертым этапом производилось внедрение системы сертификатов с целью ограничения доступа к локальной сети (к подключению допускаются только корпоративные компьютеры и ноутбуки с установленными сертификатами, подписанными корневым сертификатом Компании):
1) Установка и настройка Сервера Сертификатов.
2) Установка и настройка RADIUS-Сервера.
3) Генерация корневого сертификата компании и генерация на его базе сертификатов пользователей.
4) Установка сертификатов на Рабочие места пользователей.
Пятым этапом, было внедрение организационные меры по защите информации - Составление регламента информационной безопасности; составление инструкции по парольной защите; составление инструкции по антивирусной защите; с целью определения принципов и механизмов функционирования системы защиты информации.
Проблемы и сложности, с которыми столкнулись, в ходе внедрения системы защиты конфиденциальной информации:
При разделении сети на подсети основной проблемой была сложность составления корректного access-list, после применения которого, было бы разрешено то, что требуется для работы. Так, например, некоторые пользовательские компьютеры обращались напрямую к SQL-серверу, что запрещено политикой безопасности и требовало либо перенастройки рабочей станции, либо корректировки access-list. Также можно отметить рабочие станции сторонних работников (кредитных инспекторов), которые обращаются к банковским серверам в Интернете. При внедрении списков доступа требовалось дополнительное согласование с тех. службой каждого конкретного банка о требуемых для работы IP-адресах.
Проблемы с сертификатами на рабочих станциях, возникали из-за неоднородности программного обеспечения и операционных систем, установленных на рабочих местах.
Для реализации системы сертификатов в локальной сети потребовалось составить полный план коммутации центрального офиса, после чего постепенно переводить порты конкретных пользователей в режим авторизации dot1x.
Также как и анализ информационных рисков, оценка результатов внедрения системы защиты конфиденциальной информации, проводилась техническими специалистами и заместителем директора по информационной безопасности ЧП ЗАО «Лиса» в составе 3-х человек.
В ходе оценки было установлено:
Таблица 13. Перечень угроз, представляющих потенциальную опасность для данных.
Ресурс |
AV |
Угроза |
Модель нарушителя |
EF |
ARO |
SLE |
ALE |
Сервера |
3 |
Угроза получения полного удаленного контроля над системой |
A1, B2 |
3
|
1 |
9 |
9 |
Угроза нарушения целостности, правильного функционирования системы. |
A1, B2, C1, C2 |
3
|
2
|
9 |
18 |
|
|
Угроза нарушения доступности системы |
A1, B2, C1 |
3
|
1
|
9 |
9 |
|
|
Подмена сетевого адреса. |
A1, B2 |
3 |
1 |
9 |
9 |
|
|
Физическое повреждение аппаратных средств. |
B1 |
1 |
1
|
3 |
3 |
|
|
Возможность негласного получения и разглашение (публикация) защищаемой информации. |
A1, B2, C1 |
2 |
1
|
6
|
6 |
|
|
Маршрутизатор |
3 |
Угроза получения полного удаленного контроля над системой |
A1, B2 |
2
|
1 |
6 |
6 |
Угроза нарушения целостности, правильного функционирования системы. |
A1, B2, C1, C2 |
2 |
2 |
6
|
12 |
|
|
Угроза нарушения доступности системы |
A1, B2, C1 |
3 |
1 |
9 |
9 |
|
|
Подмена сетевого адреса. |
A1, B2 |
3 |
3 |
9
|
27 |
|
|
Физическое повреждение аппаратных средств. |
B1 |
1 |
1 |
|
|
|
|
Коммутатор |
3 |
Угроза получения полного удаленного контроля над системой |
A1, B2 |
2 |
1 |
6 |
6 |
Угроза нарушения целостности, правильного функционирования системы. |
A1, B2, C1, C2 |
2 |
1 |
6 |
6 |
|
|
Угроза нарушения доступности системы |
A1, B2, C1 |
3 |
1 |
9 |
9 |
|
|
Ресурс |
AV |
Угроза |
Модель нарушителя |
EF |
ARO |
SLE |
ALE |
Коммутатор |
3 |
Подмена сетевого адреса. |
A1, B2 |
3 |
3 |
9 |
27 |
Физическое повреждение аппаратных средств. |
B1 |
1 |
1 |
3 |
3 |
|
|
Рабочее место центрального офиса |
1 |
Угроза получения полного удаленного контроля над системой. |
A1, B2 |
3 |
1 |
3 |
3 |
Угроза нарушения целостности, правильного функционирования системы. |
A1, C1, C2 |
3 |
1 |
3 |
3 |
|
|
Угроза нарушения доступности системы. |
A1, C1 |
3 |
1 |
3 |
3 |
|
|
Подмена сетевого адреса |
A1 |
3 |
1 |
3 |
3 |
|
|
Физическое повреждение аппаратных средств |
A1, B1 |
3 |
1 |
3 |
3 |
|
|
Угроза утечки видовой информации |
A1, B1 |
3 |
1 |
3 |
3 |
|
|
Рабочее место магазина |
1 |
Угроза нарушения целостности, правильного функционирования системы. |
A1, C1, C2 |
2 |
1 |
2 |
2 |
Подмена сетевого адреса |
A1 |
3 |
1 |
3 |
3 |
|
|
Физическое повреждение аппаратных средств |
A1, B1 |
2 |
1 |
2 |
2 |
|
|
Угроза утечки видовой информации |
A1, B1 |
1 |
1 |
1 |
1 |
|
|
Канал связи |
3 |
Угроза перехвата сетевого трафика с целью дальнейшего анализа |
A1, C1 |
3 |
1 |
9 |
9 |
Физическое повреждение |
A1, C2 |
3 |
1 |
9 |
9 |
|
|
За счет следующих мер, удалось снизить угрозу получения полного удаленного контроля над системой для Серверов:
Своевременное обновление операционной системы Развертывание лицензионного антивирусного ПО Фильтрация сетевого трафика. Периодическая проверка уровня безопасности Инструкция по антивирусной защите серверных систем. Инструкция по парольной защите. Регламент ИБ.
За счет следующих мер, удалось снизить угрозу нарушения целостности, правильного функционирования системы для Серверов:
Своевременное обновление операционной системы Развертывание лицензионного антивирусного ПО Регулярное резервное копирование Инструкция по антивирусной защите серверных систем. Инструкция по резервному копированию серверных систем.
За счет следующих мер, удалось снизить угрозу нарушения доступности системы для Серверов:
Обеспечение резервного питания. Наличие резервного сервера. Контроль доступа в серверное помещение. Регламент ИБ.
За счет следующих мер, удалось снизить угрозу подмены сетевого адреса для Серверов:
Вывод в отдельный сегмент сети
Внедрение системы сертификатов
Регламент ИБ.
За счет следующих мер, удалось снизить угрозу физического повреждения аппаратных средств для Серверов:
Контроль температуры, влажности серверного помещения. Обеспечение резервного питания. Контроль доступа в серверное помещение. Регламент ИБ.
За счет следующих мер, удалось снизить угрозу получения полного удаленного контроля над системой для Маршрутизаторов:
Вывод управляющего интерфейса в отдельный сегмент сети.
Использование ssh.
Инструкция по парольной защите.
За счет следующих мер, удалось снизить угрозу нарушения целостности, правильного функционирования системы для Маршрутизаторов:
Своевременное обновление Регулярное резервное копирование конфигурации. Инструкция по резервному копированию.
За счет следующих мер, удалось снизить угрозу нарушения доступности системы для Маршрутизаторов:
Обеспечение резервного питания. Наличие резервного Маршрутизатора. Резервирование конфигурации оборудования.
Контроль доступа.
Инструкция по резервному копированию.
За счет следующих мер, удалось снизить угрозу физического повреждения аппаратных средств для Маршрутизаторов:
Обеспечение резервного питания.
Контроль доступа.
За счет следующих мер, удалось снизить угрозу нарушения целостности, правильного функционирования системы для Коммутаторов:
Применение ACL листов. Фильтрация трафика по доверенному списку портов. Использование стойких паролей.
Инструкция по парольной защите.
За счет следующих мер, удалось снизить угрозу нарушения доступности системы для Коммутаторов:
Обеспечение резервного питания. Наличие резервного Коммутатора. Резервирование конфигурации оборудования. Контроль доступа. Регламент ИБ.
За счет следующих мер, удалось снизить угрозу физического повреждения аппаратных средств для Коммутаторов:
Обеспечение резервного питания. Контроль доступа.
За счет следующих мер, удалось снизить угрозу получения полного удаленного контроля над системой для Рабочих мест:
Своевременное обновление операционной системы. Развертывание лицензионного антивирусного ПО. Применение политик безопасности. Инструкция по антивирусной защите.
Инструкция по парольной защите.
Регламент ИБ.
За счет следующих мер, удалось снизить угрозу нарушения целостности, правильного функционирования системы для Рабочих мест:
Своевременное обновление операционной системы. Развертывание лицензионного антивирусного ПО.
Инструкция по антивирусной защите.
За счет следующих мер, удалось снизить угрозу нарушения доступности системы для Рабочих мест:
Обеспечение резервного питания. Наличие резервного Рабочего места.
За счет следующих мер, удалось снизить угрозу подмены сетевого адреса для Рабочих мест:
Вывод в отдельный сегмент сети. Внедрение системы сертификатов Регламент ИБ.
За счет следующих мер, удалось снизить угрозу физического повреждения аппаратных средств для Рабочих мест:
Обеспечение резервного питания.
Контроль доступа в помещение.
За счет следующих мер, удалось снизить угрозу утечки видовой информации для Рабочих мест:
Контроль доступа в помещение. Правильное расположение мониторов на рабочих местах. Принудительное включение заставок экрана
За счет следующих мер, удалось снизить угрозу перехвата сетевого трафика с целью дальнейшего анализа для Каналов связи:
Организация IPsec site-to-site vpn Регламент ИБ Инструкция по подключению удаленных мест и филиалов.
За счет следующих мер, удалось снизить угрозу физического повреждения для Каналов связи:
Организация резервного канала связи
Инструкция по подключению удаленных мест и филиалов.