 |
Тема: Внедрение программно-аппаратных комплексов защиты электронной информации (на конкретном примере) на рабочих станциях пользователей в организации
|
|
|
|
Оценку по информационным активам организации представим в виде таблицы 1.1.
Таблица 1.1
Оценка информационных активов предприятия
| Наименование актива | Форма представления | Владелец актива | Критерии определения стоимости | Размерность оценки | |
| Количественная оценка | Качественная оценка | ||||
Оценка рисков включает в себя оценку угроз, уязвимостей и ущерба, наносимого при их реализации.
Понятие “уязвимость” можно отнести к свойствам или атрибутам актива, которые могут использоваться иным образом или для иных целей, чем те, для которых приобретался или изготавливался данный актив [4].
Оценка уязвимостей в рассматриваемой компании проводится на основании распоряжении начальника отделения, а также в соответствии с заранее разработанным планом – один раз в 3 месяца. Перечень уязвимостей, характерных для ООО “_” представлен в таблице 1.2.
Таблица 1.2
Перечень уязвимостей активов
| Подсистема | Содержание уязвимости |
| 1 | 2 |
| Кадровая | Недостаточное обучение технического персонала в вопросах безопасности |
| Неосведомленность пользователей в вопросах безопасности | |
| Отсутствие механизмов мониторинга | |
| Отсутствие политик в области корректного использования технических средств | |
| Нет регламента действий технических служб при увольнении сотрудников | |
| Немотивированный персонал | |
| Безнадзорная работа внешнего персонала или персонала в нерабочее время |
| Физическая | Неадекватное или небрежное использование механизмов физического контроля доступа | ||
| Отсутствие физической защиты здания | |||
| Незащищенное хранение | |||
| Недостаточное сопровождение средств хранения информации | |||
| Отсутствие схемы периодической замены оборудования | |||
| Управления коммуникациями и операциями
| Передача или повторное использование средств хранения информации без надлежащей очистки | ||
| Неадекватный контроль изменений | |||
| Неадекватное управление сетью | |||
| Отсутствие систем резервного копирования | |||
| Отсутствие доказательств отправки и получения сообщений | |||
| Отсутствие или несвоевременное обновление систем антивирусной защиты | |||
| Нет четкого разделения обязанностей и ответственности; | |||
| Отсутствие контроля за устанавливаемым ПО | |||
| Нет разделения тестового и рабочего оборудования | |||
| Неконтролируемое копирование | |||
| Контроль доступа
| Неправильное разграничения доступа к общим ресурсам | ||
| Отсутствие политик чистых столов и чистых экранов | |||
| Отсутствие механизмов идентификации и аутонтификации | |||
| Отсутствие защиты мобильного компьютерного оборудования | |||
| Отсутствие или некорректное построение политики контроля доступа | |||
| Плохое управление паролями | |||
| Отсутствие регистрации конца сеанса при выходе с рабочей станции; | |||
| Неконтролируемая загрузка и использование программного обеспечения | |||
| Неправильное использование программно-аппаратного обеспечения | |||
| Пересылка паролей открытым текстом |
Согласно ГОСТ Р 50922 2006 “ Защита информации. Основные термины и определения”, угроза (безопасности информации) – это совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [3]. Реализацией угрозы называется воздействие на компоненты ИС, приводящее к утрате, уничтожению информационного ресурса или сбою функционирования носителя информации или средства управления программно-аппаратным комплексом системы.
Существует классификация угроз по различным признакам, таким как - природа возникновения, цель воздействия на АС, степень преднамеренности возникновения, положение источника угрозы, этап доступа пользователей или программ к ресурсам АС и т.д. Для оценки состояния текущей защищенности информации потребуется перечень угроз активам, представленный в таблице 1.3.
|
|
|
Таблица 1.3
Перечень угроз активам
| Категория угрозы | Содержание угрозы | ||
| Физические угрозы | Физический, несанкционированный доступ в помещения организации, к оборудованию, носителям информации | ||
| Кража или повреждение компьютерного оборудования и носителей информации инсайдерами | |||
| Кража или повреждение компьютерного оборудования и носителей информации внешними злоумышленниками | |||
| Постороннее лицо может получить физический доступ к комплексу средств защиты с целью переконфигурирования или создания возможностей обхода средств защиты | |||
| Угрозы нарушения целостности данных | Нарушение целостности данных из за ошибок пользователей | ||
| Ошибка персонала технической поддержки | |||
| Ошибка в процессах сопровождения | |||
| Фальсификация записей | |||
| Изменение конфигурации активного сетевого оборудования | |||
| Нецелевое использование компьютерного оборудования и сети интернет сотрудниками организации | Злоупотребление средствами аудита | ||
| Злоупотребление средствами обработки информации | |||
| Злоупотреблние рисками или активами | |||
| Несанкционированное использование программного обеспечения | |||
| Использование сетевых средств несанкционированным образом | |||
| Неосторожное или умышленное злоупотребление оборудованием по причине отсутствия разделения обязанностей или их неисполнения | |||
| Угрозы утечки конфиденциальной информации | Утечка конфиденциальной информации из сети по каналам связи | ||
| Утечка конфиденциальной информации на мобильных устройствах | |||
| Перехват информации на линиях связи путем использования различных видов анализаторов сетевого траффика | |||
| Замена, вставка, удаление или изменение данных пользователей в информационном потоке | |||
| Неумышленное раскрытие конфиденциальной информации сотрудниками компании | |||
| Угрозы недоступности ИТ сервисов и разрушения информационных активов | Атаки на отказ в обслуживании | ||
| Недоступность ИТ сервисов и информации по причине физического или логического сбоя компьютерного или периферийного оборудования | |||
| Повреждение носителей информации | |||
| Установка непроверенных технических средств | |||
| Нарушение безопасности по причине несоблюдения операционных процедур | |||
| Умышленное разрушение критической для бизнеса информации | |||
| Угрозы несанкционированного доступа
| Использование чужих пользовательских идентификаторов | ||
| Несанкционированный доступ к ресурсам ЛВС компании со стороны внутренних злоумышленников | |||
| Несанкционированный доступ к ресурсам ЛВС компании со стороны внешних злоумышленников | |||
| НСД к журналам аудита | |||
| НСД к средствам аудита | |||
| НСД к беспроводной сети компании | |||
|
| НСД к резервным копиям данных | ||
| Использование внутренними и внешними нарушителями уязвимых мест в компонентах системы защиты | |||
| Анализ и модификация ПО | |||
| Использование незадекларированных возмжностей ПО | |||
| Внедрение несанкционированного, непроверенного или вредоносного программного кода | |||
| Угрозы антропогенных и природных катастроф | Антропогенные катастрофы (взрыв, терроризм, вандализм и т.д.) | ||
| Бомбардировка | |||
| Забастовка | |||
| Природные катастрофы | |||
| Молния | |||
| Ураган | |||
| Юридические угрозы
| Нарушение прав интелектуальной собственности | ||
| Нелегальное использование ПО | |||
| Нарушение патентного права | |||
| Нарушение законодательства и номативной базы | |||
| Невыполнение контрактных обязательств |
Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала:
- низкая вероятность. Маловероятно, что эта угроза осуществится, не существует инцидентов, статистики, мотивов и т.п., которые указывали бы на то, что это может произойти. Ожидаемая частота реализации угрозы не превышает 1 раза в 5-10 лет; -
- средняя вероятность. Возможно, эта угроза осуществится (в прошлом происходили инциденты), или существует статистика или другая информация, указывающая на то, что такие или подобные угрозы иногда осуществлялись прежде, или существуют признаки того, что у атакующего могут быть определенные причины для реализации таких действий. Ожидаемая частота реализации угрозы – примерно один раз в год;
|
|
|
- высокая вероятность. Эта угроза, скорее всего, осуществится. Существуют инциденты, статистика или другая информация, указывающая на то, что угроза, скорее всего, осуществится, или могут существовать серьезные причины или мотивы для атакующего, чтобы осуществить такие действия. Ожидаемая частота реализации угрозы – еженедельно или чаще.
Такой трех уровневой шкалы обычно достаточно для первоначальной высокоуровневой оценки угроз. В дальнейшем ее можно расширить, добавив еще пару промежуточных уровней.
Оценка вероятности угроз должна учитывать природу угроз и особенности, присущие различным группам угроз, например:
Перечни угроз и уязвимостей активов основаны на требованиях стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 “Информационная технология. Методы и средства обеспечения безопасности” [4].
Проанализировав таблицы угроз и уязвимостей активов, следует составить оценку угроз активов. Для большей наглядности результатов из таблиц исключены уязвимости, оценка которых по всем уровням угроз является низкой. Оценка угроз активов приведена в Приложении А.
Задача анализа риска состоит в определении и оценке рисков, которым подвергается система информационных технологий и ее активы, с целью определения и выбора целесообразных и обоснованных средств обеспечения безопасности. При оценке рисков рассматривают несколько различных его аспектов, включая воздействие опасного события и его вероятность.
Далее следует выяснение, насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название "вычисление рисков". В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки". Существует множество схем вычисления рисков, но, для наглядности, использовать стоит таблицы, в которых неотрицательным числом представлены ущерб от осуществленной угрозы и вероятность осуществления угрозы.
Ущерб от осуществленной угрозы представлен неотрицательным числом в соответствии с таблицей 1.4
Таблица 1.4
Представление ущерба от осуществленной угрозы
| Величина ущерба | Описание |
| 0 | Раскрытие или потеря информации принесет ничтожный моральный и финансовый ущерб фирме |
| 1 | Ущерб от осуществленной угрозы есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты |
| 2 | Финансовые операции не ведутся в течение некоторого времени из-за остановки производства, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально |
| 3 | Значительные задержки производства и потери на рынке и в прибыли, фирма теряет ощутимую часть клиентов и контрактов |
| 4 | Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы |
| 5 | Фирма прекращает существование |
Вероятность осуществления угрозы так же представляется неотрицательным числом в соответствии с таблицей 1.5.
|
|
|
Таблица 1.5
Представление вероятности осуществления угрозы
| Вероятность | Средняя частота появления |
| 0 | Данный вид осуществленной угрозы отсутствует |
| 1 | реже, чем раз в год |
| 2 | около 1 раза в год |
| 3 | около 1 раза в месяц |
| 4 | около 1 раза в неделю |
| 5 | практически ежедневно |
После определения вероятности осуществления угрозы и ущерба от осуществленной угрозы составляется таблица рисков (Приложение Б).
На этапе анализа таблицы рисков задается максимально допустимое значение риска. Допустимое значение риска равно значению интегрального риска, делённому на три и увеличеному на единицу. В нашем случае допустимое максимальное значение риска равно 78, т.е. 232/3 + 1.
Сначала проверяется каждая строка таблицы на непревышение риском этого значения. Если такое превышение имеет место, значит, данная строка – это одна из первоочередных целей разработки политики безопасности. Из таблицы в приложении Б видно, что подобных превышений нет. Значит, стоит произвести сравнение удвоенного значения риска (в нашем случае 78*2=156) с интегральным риском (232). Интегральный риск превышает допустимое значение, значит, в системе безопасности набирается множество мелких погрешностей, которые в сумме не позволяют считать степень защищенности информационных активов предприятия приемлимым. В этом случае из строк выбираются те, которые дают самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью. Существенные риски, оказывающие подавляющее влияние на защищенность активов отражены в таблице 1.6.
Таблица 1.6
Существенные риски
| Описание угрозы | Ущерб | Вероятность | Риск (Ущерб*Вероятность) | |
| Кража или повреждение компьютерного оборудования и носителей информации инсайдерами | 4 | 2 | 8 | |
| Злоупотребление средствами обработки информации | 3 | 3 | 9 | |
| Злоупотреблние рисками или активами | 4 | 3 | 12 | |
| Несанкционированное использование программного обеспечения | 4 | 5 | 20 | |
| Неумышленное раскрытие конфиденциальной информации сотрудниками компании | 3 | 4 | 12 | |
| Использование чужих пользовательских идентификаторов | 3 | 5 | 15 | |
| Несанкционированный доступ к ресурсам ЛВС компании со стороны внутренних злоумышленников | 4 | 2 | 8 | |
| НСД к резервным копиям данных | 4 | 2 | 8 | |
| Анализ и модификация ПО | 3 | 3 | 9 | |
| Внедрение несанкционированного, непроверенного или вредоносного программного кода | 4 | 5 | 20 | |
| Нарушение безопасности по причине несоблюдения операционных процедур | 2 | 4 | 8 | |
| Невыполнение контрактных обязательств | 5 | 2 | 10 | |
| Итого: | 139 | |||
Риски, отраженные в таблице 1.6, реализуются наиболее часто и дают самый значительный вклад в значение интегрального риска. Из этого следует, что на эти пункты надо обратить особое внимание.
Из таблицы 1.6 видно, что большая часть проблем с безопасностью активов связано с вопросами аутентификации и управлением доступом. Для решения данных вопросов должны приниматься организационно-правовые и инженерно-технические меры. К организационным мерам можно отнести:
…
К эффективным инженерно-техническим мерам можно отнести:
- программные средства защиты от несанкционированного доступа;
- програмно-аппаратные комплексы защиты от несанкционированного доступа.
Все средства доверенной загрузки можно разделить на три группы:
- СДЗ уровня базовой системы ввода-вывода - предполагает наличие механизмов доверенной загрузки встроенных непосредственно в BIOS. Рынок уже давно предлагает такие решения, например, Kraftway Credo KC38 или ALTELL TRUST.
- СДЗ уровня платы расширения - это классические аппаратно-программные модули доверенной загрузки, самым известным в этом классе является, пожалуй, ПАК "Соболь".
- СДЗ уровня загрузочной записи - исключительно программные механизмы, заменяющие загрузочную запись жесткого диска и работающие до передачи управления операционной системы, широко применяются как встроенные средства в СЗИ от НСД.
Планируемые СЗИ от НСД
В течение многих лет аппаратно-программные средства доверенной загрузки (СДЗ) компьютера является одним из самых надежных и распространенных отечественных средств компьютерной безопасности. Под доверенной загрузкой обычно понимается …
Средства доверенной загрузки представляет собой либо программный продукт, устанавленный на целевую систему, либо комплекс аппаратно-программных средств, устанавливаемый в рабочее место вычислительной системы (персональный компьютер, сервер, ноутбук, специализированный компьютер и др.) и обеспечивающий контроль доступа пользователя к рабочему месту и контроль целостности программной среды рабочего места.
К преимуществам программных средств можно отнести …
К преимуществам программно аппаратных комплексов …
Так как … далее под СДЗ будут рассматриваться исключительно программно-аппаратные комплексы защиты.
Выводы
… можно сделать вывод, что внедрение систем доверенной загрузки позволит снизить вероятность реализации критических уязвимостей до приемлимого уровня.
… следует обратить внимание на программно-аппаратные комплексы защиты, которые отличаются гибкостью, функциональностью и автономностью по сравнению с программными средствами защиты.
|
|
|
12 |
