СТЕПАНОВ А.Д. КЗИ-109 / Kursovaya_rabota_Stepanov_A_D_zashita
.pdf
6) Заполним список Технических средств, рисунок 10:
Рисунок 10 – ТС №1 (HP LaserJet Pro M1214nfh)
61
Защитные механизмы ТС № 4, рисунок 11:
Рисунок 11 – Защитные механизмы ТС 4
62
7) Заполним список Технических средств, рисунок 12:
Рисунок 12 – ТС №5 (HP LaserJet Pro M1214nfh)
63
Защитные механизмы ТС № 5, рисунок 13:
Рисунок 13 – Защитные механизмы ТС 5
64
8) Расчет защищенности, рисунок 14:
Рисунок 14 – Расчет защищенности
Далее произвел вывод отчетов в формате .xls, в полном объеме можно ознакомиться в папке – “Отчеты”, удалось выгрузить только 4 отчета из 5, на одном из них возникла ошибка, рисунок 15:
Рисунок 15 – Идентифицированные уязвимости и ЗМ
65
3.3 ВЫРАБОТКА РЕКОМЕНДАЦИЯ ПО ЗАЩИТЕ ТС С НИЗКИМ ПОКАЗАТЕЛЕМ ЗАЩИЩЕННОСТИ (МЕНЕЕ 0.5)
Проведя рассмотрение полученных отчетов, были выявлены, следующие ТС и Угрозы с показателями ниже 0.5 (для всех ТС предприятия):
66
Было выявлено 5 угроз на ТС, с индексом менее 0.5, а в частности: 6, 7, 9, 27, 29.
Для предотвращения угроз, были разработаны рекомендации по улучшению показателей защищенности по данным угрозам:
Угроза 6:
неосторожные действия, приводящие к разглашению конфиденциальной
информации, или делающие ее общедоступной
Меры для повышения защищенности:
Учитывая низкую компьютерную, техническую грамотность персонала организации
“INTECH”, для повышения данного показателя необходимо проводить инструктажи с персоналом, по работе на ТС. Организовывать курсы повышения квалификации для сотрудников, а также направлять на обучения в специализированные организации, с целью прохождения курсов для повышения компьютерной, технической грамотности персонала,
организации “INTECH”.
Необходимо проводить контроль знаний внутри организации, для каждого сотрудника, в
случае выявления низких показателей знаний, производить направление на курсы повышения квалификации. В случае получения низких показателей, после прохождения курсов, принимать меры:
-Материальные взыскания;
-Увольнение с занимаемой должности.
Угроза 7:
разглашение, передача или утрата атрибутов разграничения доступа (паролей,
ключей шифрования, пропусков и т.п.)
Меры для повышения защищенности:
Учитывая низкую компьютерную, техническую грамотность персонала организации
“INTECH”, для повышения данного показателя необходимо проводить инструктажи с персоналом, по работе на ТС (ответственность за распространение сведений, являющихся конфиденциальными) и со средствами аутентификации. Организовывать курсы повышения квалификации для сотрудников, а также направлять на обучения в специализированные организации, с целью прохождения курсов для повышения компьютерной, технической грамотности персонала, организации “INTECH”.
Необходимо проводить контроль знаний внутри организации, для каждого сотрудника, в
случае выявления низких показателей знаний, производить повторное направление на курсы повышения квалификации. В случае получения низких показателей, после прохождения курсов, принимать меры:
- Материальная ответственность;
67
-Увольнение с занимаемой должности;
-Ответственность за распространение конфиденциальной информации, согласно законодательству РФ;
Также для увеличения показателей защищенности по данной угрозе, можем достигнуть за счет утверждения журнала учета носителей критичной информации.
Для всех сотрудников компании “INTECH” произвести обязательное ознакомление пользователей с существующей политикой ИБ под роспись.
Угроза 9:
игнорирование организационных ограничений (установленных правил) при работе в
систем
Меры для повышения защищенности:
Учитывая низкую компьютерную, техническую грамотность персонала организации
“INTECH”, для повышения данного показателя необходимо проводить инструктажи с персоналом, по работе на ТС. Организовывать курсы повышения квалификации для сотрудников, а также направлять на обучения в специализированные организации, с целью прохождения курсов для повышения компьютерной, технической грамотности персонала,
организации “INTECH”.
Необходимо проводить контроль знаний внутри организации, для каждого сотрудника, в
случае выявления низких показателей знаний, производить направление на курсы повышения квалификации. В случае получения низких показателей, после прохождения курсов, принимать меры:
-Материальные взыскания;
-Увольнение с занимаемой должности.
Угроза 27:
незаконное получение паролей и других реквизитов разграничения доступа
(агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя ("маскарад")
Меры для повышения защищенности:
Учитывая низкую компьютерную, техническую грамотность персонала организации
“INTECH”, для повышения данного показателя необходимо проводить инструктажи с персоналом, по работе на ТС и со средствами аутентификации. Организовывать курсы повышения квалификации для сотрудников, а также направлять на обучения в специализированные организации, с целью прохождения курсов для повышения компьютерной, технической грамотности персонала, организации “INTECH”.
68
Ввести перечень мер, действующих при утечки данных аутентификации пользователей
“INTECH”:
-Материальная ответственность;
Также стоит произвести улучшение средств аутентификации пользователей, т.к. в данном изначальном перечне ЗМ, не были учтены количества входов (набора не правильных паролей), установить данной значение, порядка трех ошибок, при вводе пароля в 4 раз,
производить блокировку аккаунта, и отправлять уведомление Администратору ИС, с целью выявления произошедшего инцидента. По установлению причины, принимать меры выше перечисленные меры. Данный метод ЗМ, позволяет:
-Снизить вероятность подбора пароля;
-Повысить защищенность ТС;
-Повышение защиты системы аутентификации организации.
Одной из технической мер, возможно внедрение VIPNET, а в частности модуля аутентификации с контрольных носителей, каждому пользователю будет присвоен индивидуальный контрольный носитель (flash), содержащий данные об аутентификации;
Далее приведем табличное представление частного организационно – технического задания, в таблице 3.3:
69
Таблица 3.3 – Табличное представление частного технического задания
№, |
Рекомендуемые меры |
Срок |
Ответстве |
Примечание |
|||||
п/п |
защиты |
|
внедрения |
нное лица |
|||||
|
|
|
|
||||||
|
|
|
|
|
|
|
|
||
|
|
Организационные мероприятия |
|
|
|
||||
|
|
|
|
|
|
|
|
||
|
Организовывать |
курсы |
|
|
Назначить |
|
|
||
|
повышения квалификации для |
|
|
ответственных |
за |
||||
|
сотрудников, |
а |
также |
|
|
организацию |
и |
||
|
в течение |
Бражкин |
проведение |
данных |
|||||
1 |
направлять на |
обучения в |
|||||||
недели |
А. В. |
мероприятий |
и |
||||||
|
специализированные |
|
|||||||
|
|
|
|
указание штрафных |
|||||
|
организации. |
(Для |
общего |
|
|
||||
|
|
|
санкций |
|
за |
||||
|
|
|
|
|
|
|
|||
|
уровня). |
|
|
|
|
несоблюдение. |
|
||
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
Положение |
должно |
||
|
|
|
|
|
|
содержать |
частоту |
||
|
|
|
|
|
|
проведения |
|
|
|
|
Разработка положения по |
|
|
мероприятий, |
|
||||
|
|
|
|
|
|
||||
|
проведениям мероприятий по |
в течение |
Бражкин |
ответственных |
за |
||||
2 |
проведения |
данных |
|||||||
повышению образованности |
недели |
А. В. |
|||||||
|
мероприятий |
и |
|||||||
|
персонала в области ИБ. |
|
|
||||||
|
|
|
указания, |
|
|
||||
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
коэффициентов |
|
||
|
|
|
|
|
|
штрафных санкций за |
|||
|
|
|
|
|
|
их несоблюдение. |
|||
|
Произвести обязательное |
|
|
Произвести |
|
|
|||
|
|
|
|
|
|
||||
|
ознакомление пользователей с |
в течение |
Бражкин |
ознакомление |
с |
||||
3 |
политикой |
для |
всех |
||||||
существующей политикой ИБ |
месяца |
А.В. |
|||||||
|
сотрудников |
|
|||||||
|
под роспись. |
|
|
|
|
|
|||
|
|
|
|
|
компании. |
|
|
||
|
|
|
|
|
|
|
|
||
|
Разработка приказов с |
|
в течение |
Петрова |
|
|
|
||
4 |
перечнем санкций, при |
|
|
|
|
||||
|
3-х дней |
А.Д. |
|
|
|
||||
|
нарушениях ИБ. |
|
|
|
|
||||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
Установление санкций |
|
|
|
Один из |
способов |
|||
|
(штрафных) за невыполнение |
|
|
решения |
проблемы |
||||
|
служебных и должностных |
|
|
игнорирования |
|
||||
|
в течении |
Бражкин |
специалистами по ИБ |
||||||
5 |
обязанностей специалистами |
||||||||
3-х дней |
А.В. |
требований по ИБ. |
|||||||
|
ИТ отдела (учитывая низкий |
||||||||
|
|
|
|
|
|
||||
|
уровень, технической |
|
|
|
|
|
|
||
|
оснащенности). |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
Разработка тестов для |
|||
|
|
|
|
|
|
проверки |
текущей |
||
|
|
|
|
|
|
осведомленности |
в |
||
|
Организация проверок знаний |
|
|
области |
|
ИБ, |
|||
|
в течение |
Бражкин |
разработка |
|
|
||||
|
|
|
|
|
|
||||
6 |
персонала в области |
|
положения |
|
о |
||||
|
5-и дней |
А.В. |
|
||||||
|
обеспечения ИБ. |
|
проведении |
|
|
||||
|
|
|
|
|
|
||||
|
|
|
|
|
|
периодических |
|
||
|
|
|
|
|
|
локальных |
проверок |
||
|
|
|
|
|
|
выполнения |
|
||
|
|
|
|
|
|
требований ИБ. |
|
||
|
|
|
|
|
|
|
|
70 |
|