Сборник 70 студ конференции БГТУ
.pdf211
Сравнительно новым, но от этого не менее опасным видом мошенничества являются махинации с интернет – кошельками, и зачастую, как ни странно, недальновидные пользователи сами отправляют злоумышленникам личные данные и пароли. Мошенники действуют по следующим схемам: покупка товаров, предоплата услуг, в том числе с предварительным перечислением 50%, что может создать мнимую видимость неких гарантий.[1]
Потери от интернет-мошенничества:
Мошенничество в системах интернет-банкинга – $446 млн.
Обналичивание других нелегальных доходов – $89 млн.
Фишинг – $57 млн.
Хищение электронных денег – $23 млн.
Итого: $615 млн. [2]
Став жертвой интернет – мошенничества, необходимо незамедлительно обращаться в полицию. Расследованием интернет – преступлений занимается Управление "К" МВД России и подать заявление туда можно через специальную форму на сайте ведомства. Если пользователь своевременно подаст заявление в службу безопасности, электронный кошелек мошенника может быть заблокирован, это помешает ему вывести похищенные средства. [1]
Выполнен анализ методов борьбы с интернет – мошенничеством, среди которых можно выделить: регулярное обновление пользовательского программного обеспечения; по возможности, не сохранять в системе пароли; не устанавливать и не сохранять файлы, полученные из ненадежных источников: скаченные с неизвестных web-сайтов, присланные по электронной почте, полученные в телеконференциях; выполнить настройки почты, браузера и клиентов других используемых сервисов, уменьшающие риск воздействия вредоносных программ и подверженность сетевым атакам.
Работа выполнена под руководством доц. каф. «СИБ» О.М.Голембиовской
В.О. Дверников ЛОЯЛЬНОСТЬ ПЕРСОНАЛА В ОБЛАСТИ ЗАЩИТЫ
ИНФОРМАЦИИ
Объект исследования: лояльность персонала в сфере защиты информации.
Результаты исследования: были получены знания о работе персонала в области защиты информации.
Качество работы будущего администратора информационной безопасности (ИБ) во многом зависит от заложенных в него знаний в процессе обучения. В институтском курсе обучения рассматриваются многие вопросы, необходимые будущему администратору: физическая защита
212
компьютерных сетей, программы защиты информации, уголовное право. Но, к сожалению, совершенно не уделяется внимания проблемам благонадежности и лояльности работников, управлению персоналом, причинам утечки информации через сотрудников, методам проверки сотрудников.
Всистеме безопасности фирмы решающую роль играет информационное обеспечение, основным источником и носителем которого является персонал организации. Проблема утечки информации существует на любой стадии развития организации и может иметь для нее губительные последствия. Во многом сохранность информационных ресурсов зависит от действий персонала. В этой связи не случайно основные направления "конкурентной борьбы" сводятся к выявлению слабых звеньев в цепи "работник - работодатель", цель которого - завладение наиболее ценными кадрами конкурента.
Вэтом случае возникает понятие угрозы безопасности предпринимательства. Причем наибольшее значение для субъекта предпринимательской деятельности приобретают угрозы экономической безопасности, поскольку все потери (информационные, организационные, материальные, имиджа фирмы) в конечном итоге выражаются именно в экономических потерях, то есть потерях финансовых средств (и все прочие угрозы в основном имеют, как правило, экономические мотивы).
Тем самым актуально стоит вопрос осуществления кадровой политики компании с позиции собственной безопасности. Лояльность персонала - серьезная практическая проблема безопасности фирмы, с которой сталкиваются очень многие. Человек - самое слабое звено в системе защиты информации. Как известно, в нашей стране нет системы пожизненного найма. Цикл работы на предприятии какого-либо сотрудника варьируется от трех до шести лет. Если за это время социально-экономические ожидания специалиста не были оправданы, он легко уходит из компании и уносит при этом с собой знания, навыки, умения и информацию. Следовательно, лояльность персонала во многом зависит от степени удовлетворенности условиями работы, вознаграждением, перспективами и ростом, внутренним микроклиматом в коллективе.
Зачастую опасность для организаций кроется в нелояльности персонала, текучести кадров, которая, в свою очередь, в число первостепенных задач службы безопасности возводит повышение уровня высокой технологичности компании, при котором у сотрудников не было бы
имысли о преступлении. Работа службы безопасности и ее результаты оказывают влияние на принятие управленческих решений. В первую очередь речь идет о кадровых решениях. В отношении каждого соискателя применяется индивидуальная методика приема на работу и проверка. Таким образом, одним из путей решения оговоренной проблемы видится в совершенствовании работы кадровых и структурных подразделений, обеспечивающих безопасность компании.
213
Важнейшее значение для сохранности коммерческой тайны имеет надежность сотрудника, которому разрешают работать с ценной информацией. В связи с этим система доступа должна быть основана на убеждении, что лица, получающие разрешение на доступ к закрытым сведениям, лояльны по отношению к предприятию (фирме). Такой вывод могут сделать в процессе совместной деятельности служба безопасности и отдел кадров предприятия. Эти подразделения утверждают у директора предприятия список сотрудников, кто по своим личным качествам может быть допущен (или не допущен) к работе со сведениями, составляющими коммерческую тайну. Соответствующие выписки передаются для учета руководителям подразделений, которым директором делегировано право выдавать разрешения на доступ к конкретным сведениям, входящим в Перечень охраняемой информации.
Руководитель, как правило, оставляет за собой право распоряжаться наиболее ценными сведениями, составляющими коммерческую тайну (конфиденциальные договоры с фирмами, отчеты о результатах работ по перспективным изделиям и т.п.). Перечень таких документов, утвержденный директором, должен находиться в службе безопасности. В соответствии с этим перечнем вся классифицированная информация и изделия, поступившие извне или созданные на предприятии, предоставляются руководству службы безопасности. Остальная информация поступает из службы безопасности непосредственно руководителям подразделений в соответствии с действующей на предприятии разрешительной системой. Они и распределяют ее между исполнителями. Количество уровней должностной иерархии и должностных лиц, которым могут быть предоставлены полномочия на распределение классифицированной информации, зависит от структуры предприятия, количества и сложности проводимых закрытых работ.
Работа выполнена под руководством ассистента кафедры «СИБ» Е.В. Лексикова
Т.С. Кадыш ФОРМАЛИЗАЦИЯ ПРОЦЕССА ОЦЕНКИ ВЕРОЯТНОСТИ
РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ
Объект исследования: процесс оценки вероятности реализации угроз безопасности.
Результаты, полученные лично авторами: был формализованпроцесс оценки вероятности реализации угроз безопасности.
Информация, в настоящее время,стала одним из важнейших активов, находящихся в распоряжении компаний. Это порождает новый, отличный от привычных рисков для деятельности организаций – риск нарушения информационной безопасности. Во избежание реализациирисков ими надо управлять. А поскольку информационная безопасность должна достигаться
214
экономически оправданными мерами, начальным этапом управления рисками является их оценка.
Процесс оценки рисков можно подразделить на девять основных этапов: определение характеристик информационной системы; идентификация уязвимостей; идентификация угроз; анализ регуляторов безопасности; определение вероятностей; анализ воздействий; определение рисков; рекомендуемые контрмеры; результирующая документация.
На первом этапеоценки рисков о системе необходимо собрать следующую информацию: архитектура ИС; используемое аппаратное обеспечение; используемое программное обеспечение; системные интерфейсы; топология сети; присутствующие в системе данные и информация; поддерживающий персонал и пользователи; миссия системы; критичность системы и данных; требуемый уровень защищенности системы и данных. А также информацию об эксплуатационном окружении системы: функциональные требования к ИС; политики безопасности, положения которых затрагивают ИС; меры защиты доступности, конфиденциальности и целостности хранимых данных; потоки данных, принадлежащих системе, входные и выходные данные; существующие программно-технические регуляторы безопасности (то есть встроенные или дополнительные защитные); существующие регуляторы безопасности административного и процедурного уровня; меры физической защиты ИС; защита ИС от угроз со стороны окружающей среды. [1]
Для сбора сведений об информационной системе в пределах ее эксплуатационных границ могут использоваться следующие методы: вопросники; интервью; просмотр документации; применение инструментов автоматического сканирования.
Следующий этап - анализ угроз и уязвимостей ИС и ее окружения. Цель данного шага — получить список рассматриваемых уязвимостей.Для достижения поставленной цели рекомендуется использовать источники информации об уязвимостях, проводить тестирование защищенности ИС, применять контрольные перечни с требованиями безопасности.
К идентификации угроз можно подходить двояко, отправляясь либо от уязвимостей ИС, либо от возможных источников угроз. Источники угроз можно подразделить на природные, людские и принадлежащие окружению ИС. [2]
Основная цель анализа регуляторов безопасности — определить, удовлетворяют ли существующие и планируемые контрмеры предъявляемым к ИС требованиям безопасности. Попутно определяются вероятности реализации идентифицированных угроз с учетом нейтрализующего действия регуляторов безопасности.[1]
При определении вероятности того, что потенциальная уязвимость может быть использована в конкретном окружении, необходимо рассмотреть следующие факторы:мотивация и вооруженность ресурсами источника угрозы; природа уязвимости; наличие и эффективность контрмер.
215
Вероятность можно оценить по трехбалльной шкале как низкую, умеренную или высокую.
Предварительным условием проведения анализа воздействия является получение следующих сведений:миссия информационной системы организации (то есть процессы, выполняемые ИС); критичность систем и данных (то есть ценность и важность систем и данных для организации); чувствительность систем и данных.Воздействие, как и вероятность, можно оценить по трехбалльной шкале.
Для определения рисков можно, оставаясь в рамках трехбалльной шкалы, выбрать для вероятностей реализации угроз значения 0.1, 0.5 и 1.0, а для уровней воздействия — 10, 50 и 100. Тогда, если произведение вероятности на воздействие не превосходит 10, риск можно считать низким. Значения от 10 до 50 соответствуют умеренному риску, свыше 50 — высокому.
Высокий риск требует незамедлительного планирования и реализации корректирующих действий, либо временной приостановки работы ИС или ее частей.Умеренный риск также требует планирования и реализации корректирующих действий за разумный период времени.При низком риске следует решить, нужны ли какие-то корректирующие действия, или можно принять риск.[2]
Назначение рекомендуемых контрмер заключается в том, чтобы нейтрализовать (в достаточной степени уменьшить или устранить) идентифицированные риски.
Отчет с результатами оценки рисков помогает руководству организации, владельцам информационных систем принимать обоснованные решения по изменению политики, процедур и регуляторов безопасности, по корректировке бюджета и т.п.
Работа выполнена под руководством доц. каф. «СИБ» О.М. Голембиовской
М.В. Ковалев РАЗВИТИЕ СИСТЕМЫ БЕЗОПАСНОСТИ ИНТЕРНЕТ-БРАУЗЕРОВ
Браузер – прикладное программное обеспечение для просмотра вебстраниц; содержания веб-документов, компьютерных файлов и их каталогов; управления веб-приложениями; а также для решения других задач. В глобальной сети браузеры используют для запроса, обработки, манипулирования и отображения содержания веб-сайтов. Многие современные браузеры также могут использоваться для обмена файлами с серверами ftp, а также для непосредственного просмотра содержания файлов многих графических форматов (gif, jpeg, png, svg), аудио-видео форматов (mp3, mpeg), текстовых форматов (pdf, djvu) и других файлов.
На сегодняшний день существует более сотни различных браузеров, но самыми популярными на протяжении многих лет были и остаются браузеры так называемой большой пятерки. Согласно данным сайта
216
http://gs.statcounter.com/ на апрель 2015 года мировой рейтинг выглядит следующим образом (рис. 1):
Рис. 1. Мировой рейтинг браузеров
В РФ дела обстоят несколько иначе (см. рис. 2).
Рис. 2. Российский рейтинг браузеров
Как видно, позиции Google Chrome остаются неприкосновенными, а вот Internet Explorer пришлось потесниться, уступив место Mozilla Firefox и Opera. Еще более примечательно, что Apple Safari оказался за пределами пятерки стараниями российского Яндекс Браузера, который, по состоянию на апрель 2015 года, уступает в популярности Internet Explorer меньше 1,5 %.
Рассмотрим развитие системы безопасности Интернет-браузеров. По результатам изучения официальных сайтов компаний-разработчиков был сделан вывод, что все ведущие Интернет-браузеры обладают в большей или меньшей степени достаточно высоким уровнем безопасности. Все рассмотренные браузеры имеют защиту от фишинга и вредоносных программ, режим приватного просмотра, защищенные соединения и автоматические обновления безопасности. В некоторые продукты интегрирована поддержка технологий Flash и просмотра файлов PDF.
Не полагаясь только на информацию, представленную на сайтах компаний-производителей, я обратился к сервису комплексного
217
тестирования Browserscope. Тест безопасности последних версий ведущих браузеров дал результат, представленный в табл. 1.
Таблица 1 Сводные результаты теста безопасности ведущих браузеров
|
|
|
|
Chrome |
|
IE |
|
Safari |
|
Opera |
|
Yandex |
|
Firefox |
||||||
Метод postmessage |
|
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|||||||
Поддержка формата json |
|
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|||||||
Поддержка toStaticHTML |
|
|
Нет |
|
Да |
|
Нет |
|
Нет |
|
Нет |
|
Нет |
|||||||
Атрибут HttpOnly |
|
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|||||||
Параметры фрейма X |
|
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|||||||
Типовые |
варианты |
X- |
|
Да |
|
|
Да |
|
|
Нет |
|
|
Да |
|
|
Да |
|
|
Нет |
|
содержимого |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Блокотраженных xss |
|
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|
Нет |
|||||||
Расположение блока спуфинг |
|
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|||||||
Блок json нападений |
|
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|||||||
Блокирование xss-атак в css |
|
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|||||||
Наличие «Песочницы» |
|
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|||||||
Заголовок Origin |
|
|
Да |
|
Нет |
|
Да |
|
Да |
|
Да |
|
Нет |
|||||||
Строгая |
транспортная |
|
Да |
|
|
Нет |
|
|
Нет |
|
|
Да |
|
|
Да |
|
|
Да |
|
|
безопасность |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Блок кросс-происхождения атак |
|
Да |
|
|
Да |
|
|
Да |
|
|
Да |
|
|
Да |
|
|
Да |
|
||
для css |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Распределение |
ресурсов между |
|
Да |
|
|
Да |
|
|
Да |
|
|
Да |
|
|
Да |
|
|
Да |
|
|
источниками |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Блок просмотренной ссылки |
|
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|
Да |
|||||||
Содержание |
политики |
|
Да |
|
|
Нет |
|
|
Да |
|
|
Да |
|
|
Да |
|
|
Да |
|
|
безопасности |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Таким образом первое место разделили Google Chrome 34, Opera 29 и
Яндекс.Браузер 15. Далее идут Internet Explorer 11 и Apple Safari 7.0.1. А
самым небезопасным из этой шестерки оказался Mozilla Firefox 37.
Работа выполнена под руководством доц. М.Л. Гулака
С.С.Куцебо ФОРМАЛИЗАЦИЯ ПРОЦЕДУРЫ ПОЛУЧЕНИЯ ЛИЦЕНЗИИ ПО
ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Объект исследования: процедура получения лицензии по технической защите конфиденциальной информации.
Результаты, полученные лично автором: был установлен порядок и требования, необходимые для получения лицензии ФСТЭК по технической защите конфиденциальной информации.
ФСТЭК (Федеральная служба по техническому и экспортному контролю) выдает лицензию ФСТЭК организациям, оказывающим услуги
218
по технической защите информации, а также занимающимся разработкой и производством средств защиты информации.
Под технической защитой конфиденциальной информации понимается выполнение работ или оказание услуг, направленных на её защиту от несанкционированного доступа, от утечки по техническим каналам, а так же от специальных воздействий на данную информацию с целью её уничтожения, искажения или блокирования доступа к ней. Виды работ по технической защите конфиденциальной информации, подлежащие лицензированию, определены Постановлением Правительства РФ от 3 февраля 2012 г. № 79.
Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации начинается с подготовки соискателя лицензии к выполнению лицензионных требований. А именно наличие у соискателя лицензии:
штатных специалистов с высшим или средним профессиональным образованием в области технической защиты информации (либо специалистов, прошедших программу повышения квалификаций, аттестованную ФСТЭК);
помещения для осуществления лицензируемой деятельности, принадлежащего на правах собственности или на другом законном основании;
контрольно-измерительного оборудования, прошедшего метрологическую проверку;
средств контроля защищенности информации от несанкционированного доступа;
автоматизированной системы для обработки конфиденциальной информации, с установленными на ней сертифицированными средствами защиты;
программ для ЭВМ, для осуществления лицензируемого вида деятельности;
нормативно методической документации, национальных стандартов и технической документации для выполнения заявленных работ.
Для получения лицензии на оборудовании соискателя должно быть установлено лицензионное программное обеспечение, определенное ФСТЭК,
аименно:
программа поиска и гарантированного уничтожения информации на дисках «TERRIER» версия 3.0;
программа фиксации и контроля исходного состояния программного комплекса «ФИКС» версия 2.0.1;
программа контроля полномочий доступа к информационным ресурсам «Ревизор 2 ХР»;
средство создания модели системы разграничения доступа «Ревизор 1 ХР» После проведения подготовительных мероприятий подается заявление
на получение лицензии в орган по лицензированию. К заявке прилагаются документы, подтверждающие возможности Заказчика осуществлять
219
лицензируемые виды работ. ФСТЭК проверяет комплектность представленных документов, полноту и достоверность указанных в них сведений. По результатам проверки принимается решение о выдаче лицензии. В соответствии с федеральным законом 2011 г. № 99-ФЗ лицензия выдается бессрочно. ФСТЭК может отказать в выдаче лицензии в случае невыполнения соискателем одного из лицензионных требований, представления неправильно оформленных документов или выявления в них сведений, не соответствующих действительности.
Госпошлина: 7 500 рублей.
Срок получения лицензии ФСТЭК: от 30 до 45 рабочих дней с момента сдачи документов в лицензирующий орган.
Работа выполнена под руководством доц. каф. «СИБ» О.М. Голембиовской
Д.В. Листраденко ОЦЕНКА РИСКА ИНФОМАЦИОННОЙ БЕЗОПАСНОСТИ В
СООТВЕСТВИИ С СТО БР ИББС-1.0-2010
Объект исследования: риски информационной безопасности. Результаты, полученные лично автором: были выявлены способы и
порядок проведения оценки рисков нарушения ИБ в организации банковской системы в соответствии с СТО БР ИББС-1.0-2010
Информационные активы организации рассматриваются в совокупности им объектам среды. Угрозы ИБ реализуются их источниками, которые могут воздействовать на активы. Для оценки рисков формируется перечень документов:
перечень активов входящих в область оценки
перечень типов объектов среды
модель угроз ИБ, описывающая угрозы ИБ для объектов среды В качестве примера активов можно следующий перечень типов
информационных активов:
информация ограниченного доступа
информация составляющие сведения, составляющие банковскую
тайну
платежная информация
открытая информация
В частности указанные перечни могут содержать следующие типы объектов:
файлы данных, базы данных
носители информации
платежные и информационные технологические процессы
Сам риск определяется на основе качественных оценок, таких как СВР (степень возможной реализации угрозы) и СТП (степень тяжести
220
последствий). Эти оценки выставляют сотрудники ИБ БС (банковской системы). Далее формируется перечень источников угроз на основе модели угроз ИБ организации. Следует рассматривать не только угрозы, но и способы их воздействия на объекты среды. Результатом выполнения методики является документально оформленный перечень недопустимых рисков нарушения ИБ. Оценка рисков проводится на основании оценок СВР и СТП. Для ее анализа требуется использовать следующую качественную шкалу (допустимый/недопустимый), приведенной в стандарте Область применения методики это банковские системы Российской Федерации
Работа выполнена под руководством доц. каф. «СИБ» О.М. Голембиовской
Лысов Д.А., Тиханович А.И. ИССЛЕДОВАНИЕ И АНАЛИЗ МЕТОДОВ ЗАЩИТЫ
ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ В ИНТЕРНЕТЕ
Объект исследования: процесс защитыинтеллектуальнй собственности в среде Интернет.
Результаты, полученные лично авторами: анализ методов защиты интеллектуальной собственности в среде Интернет.
Ввек высоких технологий, в жизни современного человека трудно переоценить вред наносимый “пиратством”. Люди не задумываясь используют чужие объекты интеллектуальной собственности, будь то обычное прослушивание музыки, либо копирование статейи рефератов.
Всовременном обществе традиционными методами борьбы с электронным пиратством являются гражданские и уголовные меры наказания. Во всех странах данные меры различны, так как они основываются на национальной правовой системе. К правонарушителю применяются наказания в виде штрафов, санкций или тюремного заключения.
Ныне действующее антипиратское законодательство вступило в силу 1 августа 2013 года и пока защищает интересы только владельцев прав на видеоконтент. Правообладатель, обнаружив нелегально размещенный материал, может обратиться в суд субъекта РФ и потребовать в качестве обеспечительных мер заблокировать спорный контент на 15 дней. Далее предусмотрена целая процедура взаимодействия между владельцем ресурса, провайдером и оператором, которая довольно серьёзно может затормозить блокировку видео.
С 1 мая 2015 года действие антипиратского законодательства распространяется на все виды интеллектуальных прав за исключением фотографий: на музыкальные фонограммы, литературные произведения, софт и т. п. То есть именно на то, в поисках чего пользователи посещают Всемирную паутину.
Входе проведенного исследования выяснилось, что доля людей, пользующихся «пиратскими» объектами интеллектуальной собственности