- •Содержание
- •Введение
- •1. Риски информационной безопасности
- •1.1 Анализ рисков информационной безопасности
- •1.2 Классификация активов информационно-телекоммуникационной системы и анализ уязвимостей и вероятности угроз
- •1.3 Оценка уязвимостей активов
- •2. Комплекс организационных мер обеспечения информационной безопасности и защиты информации
- •2.2 Государственное регулирование в области информационной безопасности и защиты информации
- •2.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия
- •3. Выбор и обоснование методики расчёта экономической эффективности
- •Заключение
- •Список используемой литературы
1.3 Оценка уязвимостей активов
Оценку уязвимостей информационных активов проводят эксперты, в качестве которых выступают администратор отдела экономической безопасности, начальник отдела экономической безопасности, начальник отдела продаж.
Оценку уязвимости информационных активов целесообразно проводить в соответствии в соответствии с приложением D стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007. В приложении D приводятся примеры типичных уязвимостей, которые могут быть использованы при анализе уязвимости.10
Уязвимость – некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации (определение сформулировано на основе документа ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»). Т.е. уязвимыми являются компоненты системы, наиболее подверженные к угрозам.11
Согласно описанным выше функциям рассматриваемой ИС наиболее уязвимыми являются программно-аппаратные средства, осуществляющие сбор, передачу, обработку, хранение и другие операции с информацией, в том числе с конфиденциальными и персональными данными.
Производя атаку, нарушитель использует уязвимости информационной системы. Если нет уязвимости, то невозможна и атака, которая использует ее. Поэтому одним из важнейших механизмов защиты является процесс поиска и устранения уязвимостей информационной системы. Для создания базы данных уязвимостей необходимо рассмотреть различные варианты классификаций уязвимостей.
Классификация уязвимостей по степени риска:
-
высокий уровень риска — уязвимость позволяет атакующему получить доступ к узлу с правами администратора в обход средств защиты;
-
средний уровень риска — уязвимость позволяет атакующему получить информацию, которая с высокой степенью вероятности позволит получить доступ к узлу;
-
низкий уровень риска — уязвимости, позволяющие злоумышленнику осуществлять сбор критической информации о системе.12
Каждый информационный актив получает оценку эксперта о вероятности реализации уязвимости.
Оценку угроз информационным активам проводят эксперты, в качестве которых выступают администратор отдела экономической безопасности, начальник отдела экономической безопасности, начальник отдела продаж.
Процесс глобализации информационно-телекоммуникационных комплексов, внедрение информационных технологий, реализуемых преимущественно на аппаратно-программных средствах собственного производства, существенно обострили проблему зависимости качества процессов транспортирования информации, от возможных преднамеренных и непреднамеренных воздействий нарушителя на передаваемые данные пользователя, информацию управления и аппаратно-программные средства, обеспечивающие эти процессы.
Увеличение объемов хранимой и передаваемой информации приводят к наращиванию потенциальных возможностей нарушителя по несанкционированному доступу к информационной сфере торговой сети и воздействию на процессы ее функционирования.
Усложнение применяемых технологий и процессов функционирования «Монетка» приводит к тому, что аппаратно-программные средства, используемые в «Монетка», объективно могут содержать ряд ошибок и недекларированных возможностей, которые могут быть использованы нарушителями.
Отсутствие в «Монетка» необходимых методов и способов защиты и протекции организации в условиях информационного противоборства делает компанию в целом уязвимой от возможных враждебных акций, недобросовестной конкуренции, а также криминальных и иных противоправных действий. Организационную структуру системы обеспечения информационной защищенности компании «Монетка» можно представить в виде, совокупности следующих уровней:
- уровень 1 - Руководство организации;
- уровень 2 - Подразделение ОИБ;
- уровень 3 - Администраторы штатных и дополнительных методов и способов защиты и протекции организации;
- уровень 4 - Ответственные за ОИБ в подразделениях (на технологических участках);
- уровень 5 - Конечные пользователи и обслуживающий персонал.13
Таблица 4 - Анализ выполнения основных задач по обеспечению информационной безопасности
|
Основные задачи по обеспечению информационной безопасности |
Степень выполнения |
|
обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной; |
средняя |
|
организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны; |
высокая |
|
организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной; |
высокая |
|
предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну; |
средняя |
|
выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях; |
высокая |
|
обеспечение режима безопасности при осуществлении ᴛтаких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне; |
средняя |
|
обеспечение охраны территории, зданий помещений, с защищаемой информацией. |
средняя |
При разработке программного обеспечения в «Монетка» следуют основным стандартам, регламентирующим:
- показатели качества программных средств;
- жизненный цикл и технологический процесс создания критических комплексов программ, способствующие их высокому качеству и предотвращению непредумышленных дефектов;
- тестирование программных средств для обнаружения и устранения дефектов программ и данных;
- испытания и сертификацию программ для удостоверения достигнутого качества и защищенности их функционирования.
Причинами случайных деструктивных воздействий, которым подвергается информация в процессе ввода, хранения, обработки, вывода и передачи, могут быть:
- отказы и сбои аппаратуры;
- помехи на линиях связи от воздействий внешней среды;
- ошибки человека как звена системы;
- ошибки разработчиков аппаратного и (или) программного обеспечения;
- аварийные ситуации.
К методам защиты от случайных воздействий можно отнести:
- помехоустойчивое кодирование;
- контролепригодное и отказоустойчивое проектирование;
- процедуры контроля исправности, работоспособности и правильности функционирования аппаратуры;
- самоконтроль или самотестирование,
- контроль хода программ и микропрограмм.
Преднамеренные угрозы связаны с действиями нарушителя, который при этом может воспользоваться как штатными (законными), так и другими каналами доступа к информации в информационной системе.
Опираясь на информацию, представленную в предыдущих пунктах, можно сделать вывод, что разработка комплексной системы защиты в рассматриваемом информационной системе является актуальной задачей.
Для решения этой задачи необходимо разработать комплексную систему защиты персональных данных.
Для создания эффективной комплексной системы защиты при минимальных вложениях необходимо разделение существующей информационной системы на несколько ИС с разным классом, в одной из ИС будут обрабатываться обезличенные данные, не требующие защиты. Разделение ИС с понижением класс каждой из них так же поможет, не снижая функциональность, уменьшить количество объектов защиты в сети.
В рассматриваемой ИС отсутствует система защиты ИС. Для соответствия требования законодательства и устранения актуальных угроз необходима разработка комплексной системы защиты. В качестве исполнителя выступает специалист по защите информации, объектом защиты является конфиденциальная информация (персональные данные 3 категории), система защиты будет разработана в соответствии с требованиями государства, руководящими документами, методиками ФСТЭК России.14
Сотрудники должны соблюдать меры по обеспечению информационной безопасности, а именно:
По возможности не допускать нахождение посторонних лиц в помещениях, в которых ведутся работы с секретной и конфиденциальной информацией. Если же посторонние лица все же были допущены (уборщицы, электрики, и другие сотрудники, не относящиеся к данному предприятию, а так же сотрудники, не имеющие соответствующего уровня доступа), то следует следить за ними, во избежание утечки информации.
Не передавать закрепленные за сотрудниками ключи для авторизации в закрытой сети, а так же не передавать пароли пользователей открытой сети, другим сотрудникам. В случае с ключами каждый сотрудник должен брать его сам из специального сейфа находящийся в 1 отделе, а по завершению рабочего дня должен положить его обратно. Сейф открывается только ответственным за него сотрудником.
Сотрудники закрытой сети не могут пользоваться своими электронными носителями. В случае необходимости в передаче информации из открытой сети в закрытую и наоборот, следует взять специальные электронные носители, зарегистрированные в системе и хранящиеся в отделе, под расписку.
Кодовые пароли, от дверей в комнаты, должны знать только администраторы и сотрудники данного отдела. Другие сотрудники, что бы войти в данное помещение, должны позвонить в дверной звонок. Двери с кодовыми замками должны быть всегда закрыты, за исключением случаев, когда в отделе находятся сотрудники обслуживающего персонала не относящиеся к данному предприятию (уборщицы, электрики, и др.).
Печатные документы с грифом «Секретно» должны храниться только в 1 отделе, остальные документы должны храниться в отведенном для этого месте. Секретные документы берутся операторами под роспись, и должны быть возвращены до конца рабочего дня.
Интернет должен использоваться только для работы.
Изменять параметры системы может только администратор безопасности.
Существуют три стратегий обеспечения информационной безопасности: оборонительная, наступательная и упреждающая.
Выбор оборонительной стратегии означает, что если исключить вмешательство в процесс функционирования информационной системы, то можно нейтрализовать лишь наиболее опасные угрозы. Обычно это достигается построением «защитной оболочки», включающей разработку дополнительных организационных мер, создание программных средств допуска к ресурсам информационной системы в целом, использованию технических средств контроля помещений, в которых расположено терминальное и серверное оборудование.
Наступательная стратегия предусматривает активное противодействие известным угрозам, влияющим на информационную безопасность системы. Наступательная стратегия может включать установку дополнительных программно-аппаратных средств аутентификации пользователей, внедрение более совершенных технологий разгрузки и восстановления данных, повышение доступности системы с использованием горячего и холодного резервирования.
Упреждающая стратегия предполагает тщательное исследование возможных угроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. Важной частью упреждающей стратегии является оперативный анализ информации центров изучения проблем информационной безопасности, изучение отечественного и мирового передового опыта, проведение независимого аудита уровня обеспечения безопасности информационных ресурсов организации.
Для устранения угроз была выбрана оборонительная стратегия, из-за того, что наиболее уязвимым является недостаточная защищенность помещений от несанкционированного проникновения.