Главная | Обратная связь
МегаЛекции

Выбор и обоснование ПАК для защиты информации





Обоснование и выбор программно-аппаратных комплексов

В данном разделе будут рассмотрены наиболее распространенные средства защиты от выявленных угроз.

Сравнительный анализ СЗИ и выбор оптимального значения

Для выбора оптимального решения, следует определить критерии, по которым будет осуществлятся сравнение ПАК. В качестве данных критериев будут выступать:

- …

- минимальная стоимость.

Решение задачи таким образом сводится к решению оптимизационной задачи:

Из таблицы видно, что наиболее оптимальным средством защиты по выбранным критерием будет СЗИ от НСД “_____”. Для полного обеспечения компании средствами защиты потребуется 23 комплекта оборудования. Стоимость одного комплекта в таком исполнении составит 12520 р. Общая стоимость комплекта оборудования для полноценного внедрения составит 287960 р.

Анализ влияния выбранных средств защиты на риски

Внедрение ПАК СЗИ “_______” позволит существенно сократить целый ряд выявленных уязвимостей. Будет затруднено использование пользователями чужих идентификаторов, будут закрыты уязвимости, связанные с контролем и разграничениями доступа, будет значительно затруднено использование нестандартного ПО или использование недокументированных ПО.  Основными преимуществами СЗИ от НСД являются:

- …

Результаты оценки угроз после внедрения СЗИ от НСД “___” представлены в приложении В.

Как видно из приведенных в приложении таблиц оценки угроз после внедрения СЗИ “___” значительно снизились. Для того, чтобы получить количественную оценку этого снижения построим таблицу рисков после внедрения СЗИ (Таблица 2.11)

Таблица 2.3

Таблица рисков ООО “_” после внедрения СЗИ

Описание угрозы Ущерб Ущерб⃰ Вероятность Вероятность⃰ Риск (=Ущерб*Вероятность) Риск (=Ущерб*Вероятность)⃰
Физический, несанкционированный доступ в помещения организации, к оборудованию, носителям информации 3 3 1 1 3 3
Кража или повреждение компьютерного оборудования и носителей информации инсайдерами 4 4 2 2 8 8
Кража или повреждение компьютерного оборудования и носителей информации внешними злоумышленниками 4 4 1 1 4 4
Постороннее лицо может получить физический доступ к комплексу средств защиты с целью переконфигурирования или создания возможностей обхода средств защиты 4 4 0 1 0 0
Злоупотребление средствами аудита 3 3 0 2 0 0
Злоупотребление средствами обработки информации 3 3 2 3 6 6
Злоупотреблние рисками или активами 4 4 1 3 4 12
Несанкционированное использование программного обеспечения 4 4 0 5 0 200
Использование сетевых средств несанкционированным образом 3 3 2 2 6 6
Неосторожное или умышленное злоупотребление оборудованием по причине отсутствия разделения обязанностей или их неисполнения 3 3 1 1 3 3
Утечка конфиденциальной информации из сети по каналам связи 4 4 1 1 4 4
Утечка конфиденциальной информации на мобильных устройствах 3 3 1 1 3 3
Перехват информации на линиях связи путем использования различных видов анализаторов сетевого траффика 4 4 1 1 4 4
Замена, вставка, удаление или изменение данных пользователей в информационном потоке 3 3 1 1 4 4
Неумышленное раскрытие конфиденциальной информации сотрудниками компании 3 3 2 4 6 12
Использование чужих пользовательских идентификаторов 3 3 1 5 3 20
Несанкционированный доступ к ресурсам ЛВС компании со стороны внутренних злоумышленников 4 4 2 2 8 8
НСД к журналам и средствам аудита 2 2 0 2 0 4
НСД к беспроводной сети компании 2 2 1 2 2 4
НСД к резервным копиям данных 4 4 0 2 0 8
Анализ и модификация ПО 3 3 0 3 0 9
Использование незадекларированных возмжностей ПО 4 4 0 1 0 4
Внедрение несанкционированного, непроверенного или вредоносного программного кода 4 4 1 5 4 20
Атаки на отказ в обслуживании 2 2 2 2 4 4
Недоступность ИТ сервисов и информации по причине физического или логического сбоя 2 2 1 1 2 2
Повреждение носителей информации 2 2 1 1 2 2
Установка непроверенных технических средств 3 3 1 1 3 3
Нарушение безопасности по причине несоблюдения операционных процедур 2 2 4 4 8 8
Умышленное разрушение критической для бизнеса информации 5 5 1 1 5 5
Нарушение целостности данных из за ошибок пользователей 2 2 2 2 4 4
Ошибка персонала технической поддержки 3 3 1 1 3 3
Ошибка в процессах сопровождения 1 1 4 4 4 4
Изменение конфигурации активного сетевого оборудования 1 1 2 2 2 2
Фальсификация записей 4 4 1 1 4 4
Антропогенные катастрофы (взрыв, терроризм, вандализм и т.д.) 5 5 0 0 0 0
Бомбардировка 5 5 0 0 0 0
Забастовка 5 5 0 0 0 0
Природные катастрофы 5 5 0 0 0 0
Молния 2 2 1 1 2 2
Ураган 2 2 1 1 2 2
Нарушение прав интелектуальной собственности 1 1 1 1 1 1
Нелегальное использование ПО 1 1 0 0 0 0
Нарушение патентного права 1 1 0 0 0 0
Нарушение законодательства и номативной базы 1 1 2 2 2 2
Невыполнение контрактных обязательств 5 5 2 2 10 10

Итого:



130 232

⃰ до внедрения СЗИ

Как видно из таблицы 2.3, уровень риска стал ниже на 35%, что является очень хорошим результатом.


Приложение А

Оценка угроз активам до внедрения средств защиты

Таблица А.1

Результаты оценки угроз активам (физические угрозы)

  Физический, несанкционированный доступ в помещения организации, к оборудованию, носителям информации Кража или повреждение компьютерного оборудования и носителей информации инсайдерами Кража или повреждение компьютерного оборудования и носителей информации внешними злоумышленниками Постороннее лицо может получить физический доступ к комплексу средств защиты с целью переконфигурирования или создания возможностей обхода средств защиты
Недостаточное обучение технического персонала в вопросах безопасности Средняя Высокая Средняя Средняя
Неосведомленность пользователей в вопросах безопасности - Средняя - -
Отсутствие механизмов мониторинга - - - -
Отсутствие политик в области корректного использования технических средств Высокая Высокая Средняя Средняя
Нет регламента действий технических служб при увольнении сотрудников - Средняя - -
Немотивированный персонал Средняя Средняя Средняя Средняя
Безнадзорная работа внешнего персонала или персонала в нерабочее время Высокая Высокая Средняя Средняя
Неадекватное или небрежное использование механизмов физического контроля доступа Средняя Средняя Средняя Средняя
Отсутствие физической защиты здания Средняя Средняя Средняя Средняя
Незащищенное хранение Высокая Высокая Средняя Средняя
Недостаточное сопровождение средств хранения информации Высокая Высокая Средняя Средняя
Неадекватное управление сетью Средняя Средняя - -
Нет четкого разделения обязанностей и ответственности Средняя - - -
Нет разделения тестового и рабочего оборудования Средняя      
Неправильное использование программно-аппаратного обеспечения   Средняя Средняя Средняя

Таблица А.2

Результаты оценки угроз активам (нецелевое использование компьютерного оборудования и сети интернет)

  Злоупотребление средствами аудита Злоупотребление средствами обработки информации Злоупотреблние рисками или активами Несанкционированное использование программного обеспечения Использование сетевых средств несанкционированным образом Злоупотребление оборудованием по причине отсутствия разделения обязанностей или их неисполнения
Недостаточное обучение технического персонала в вопросах безопасности Высокая Высокая Высокая Высокая Высокая Высокая
Неосведомленность пользователей в вопросах безопасности Средняя Высокая Высокая Высокая Средняя -
Отсутствие механизмов мониторинга Средняя Средняя Средняя Высокая Средняя -
Отсутствие политик в области корректного использования технических средств Высокая Высокая Высокая - Средняя Средняя
Нет регламента действий технических служб при увольнении сотрудников - - Средняя Высокая - -
Немотивированный персонал - Средняя Средняя - - -
Безнадзорная работа внешнего персонала или персонала в нерабочее время Средняя Средняя Средняя Средняя Средняя Средняя
Неправильное разграничения доступа к общим ресурсам Высокая Высокая Высокая      
Отсутствие механизмов идентификации и аутонтификации Средняя Высокая Высокая      
Отсутствие защиты мобильного компьютерного оборудования   Высокая Высокая      
Отсутствие или некорректное построение политики контроля доступа   Высокая Высокая Высокая    
Неконтролируемая загрузка и использование программного обеспечения   Средняя Средняя Высокая    
Неправильное использование программно-аппаратного обеспечения   Высокая Высокая Средняя    
Пересылка паролей открытым текстом   Высокая Высокая Высокая    

 

Таблица А.3

Результаты оценки угроз активам (угрозы утечки конфиденциальной информации)

  Утечка конфиденциальной информации из сети по каналам связи Утечка конфиденциальной информации на мобильных устройствах Перехват информации на линиях связи путем использования анализаторов сетевого траффика Замена, вставка, удаление или изменение данных пользователей в информационном потоке Неумышленное раскрытие конфиденциальной информации сотрудниками компании
Недостаточное обучение технического персонала Высокая Высокая Высокая Высокая Высокая
Неосведомленность пользователей - Высокая Средняя Средняя Высокая
Отсутствие механизмов мониторинга - - Средняя Высокая -
Отсутствие политик в области корректного использования технических средств Высокая Высокая Высокая Высокая -
Нет регламента действий технических служб при увольнении сотрудников - - - - Высокая
Неадекватное или небрежное использование механизмов физического контроля доступа - - Средняя - -
Отсутствие физической защиты здания - - Средняя - -
Недостаточное сопровождение средств хранения информации - - - - Средняя
Передача или повторное использование средств хранения информации без надлежащей очистки - - - - Высокая
Неадекватное управление сетью Средняя Средняя Средняя Средняя Высокая
Отсутствие доказательств отправки и получения сообщений - - - Средняя -
Отсутствие или несвоевременное обновление систем антивирусной защиты Высокая Высокая - Средняя -
Отсутствие контроля за устанавливаемым ПО Высокая Высокая Высокая Высокая Высокая
Неконтролируемое копирование - - - - Средняя
Неправильное разграничения доступа к общим ресурсам - - - - Средняя
Отсутствие политик чистых столов и чистых экранов - - - - Средняя
Отсутствие защиты мобильного компьютерного оборудования - Средняя - - -
Неконтролируемая загрузка и использование программного обеспечения Высокая Высокая Высокая Высокая Высокая
Неправильное использование программно-аппаратного обеспечения Средняя - Средняя Средняя -
Пересылка паролей открытым текстом     - - - Средняя -

 

Таблица А.4

Результаты оценки угроз активам (угрозы несанкционированного доступа)

  Использование чужих пользовательских идентификаторов НСД к ресурсам ЛВС (внутренние злоумышленники)   НСД к журналам аудита, средствам аудита, беспроводной сети, резервным копиям данных Использование нарушителями уязвимых мест в компонентах СЗИ Анализ и модификация ПО. Использование незадекларированных возможностей ПО Внедрение несанкционированного, непроверенного или вредоносного программного кода
Недостаточное обучение технического персонала Высокая Высокая Высокая Высокая Высокая Высокая
Неосведомленность пользователей Высокая - - - - Средняя
Отсутствие механизмов мониторинга Средняя Средняя - Высокая Средняя Средняя
Отсутствие политик в области корректного использования технических средств - Высокая Высокая Высокая - Средняя
Безнадзорная работа внешнего персонала или персонала в нерабочее время - Средняя Средняя Средняя Средняя Средняя
Передача или повторное использование средств хранения информации без надлежащей очистки - - - - Средняя Средняя
Неадекватный контроль изменений - - - - Средняя Средняя
Отсутствие или несвоевременное обновление систем антивирусной защиты - - Высокая Средняя Высокая Высокая
Отсутствие контроля за устанавливаемым ПО - Высокая Высокая Высокая Высокая Высокая
Неконтролируемое копирование - - - - Средняя Высокая
Неправильное разграничения доступа к общим ресурсам - Высокая Средняя - - -
Отсутствие механизмов идентификации и аутонтификации Средняя Высокая - - - -
Отсутствие или некорректное построение политики контроля доступа - Средняя Средняя - - -
Плохое управление паролями Средняя Средняя Средняя - - -
Отсутствие регистрации конца сеанса при выходе с рабочей станции Средняя Средняя - - - -
Неконтролируемая загрузка и использование программного обеспечения - Средняя - - Высокая Высокая
Неправильное использование программно-аппаратного обеспечения - Средняя Средняя Среднее - -
Пересылка паролей открытым текстом     Средняя Средняя Средняя Средняя - -

 

Таблица А.5

Результаты оценки угроз активам (угрозы недоступности ИТ сервисов и разрушения информационных активов)

  Атаки на отказ в обслуживании Недоступность ИТ сервисов из за физического или логического сбоя Установка непроверенных технических средств   Повреждение носителей информации   Нарушение безопасности по причине несоблюдения операционных процедур Умышленное разрушение критической для бизнеса безопасности
Недостаточное обучение технического персонала Высокая Высокая Высокая Высокая Высокая Средняя
Неосведомленность пользователей - - - Средняя Средняя   -
Отсутствие механизмов мониторинга Средняя Средняя Средняя - - -
Отсутствие политик в области корректного использования технических средств - Средняя Средняя - Высокая Средняя
Отсутствие схемы периодической замены оборудования       Средняя    
Неадекватное управление сетью Высокая   Средняя     Средняя
Отсутствие систем резервного копирования           Средняя
Отсутствие или несвоевременное обновление систем антивирусной защиты           Средняя
Отсутствие контроля за устанавливаемым ПО           Высокая
Нет разделения тестового и рабочего оборудования       Средняя    

 

Таблица А.6

Результаты оценки угроз активам (угрозы нарушения целостности данных)

  Нарушение целостности данных из за ошибок пользователей Ошибка персонала технической поддержки Ошибка в процессах сопровождения   Изменение конфигурации активного сетевого оборудования   Фальсификация записей  
Недостаточное обучение технического персонала Средняя Средняя Средняя Средняя Средняя
Неосведомленность пользователей Средняя - - - -
Отсутствие механизмов мониторинга Средняя Средняя - - -
Безнадзорная работа внешнего персонала или персонала в нерабочее время - - Средняя Средняя Средняя
Неадекватный контроль изменений     Средняя Средняя  
Неадекватное управление сетью       Средняя  
Отсутствие систем резервного копирования Высокая Высокая     Высокая
Неправильное разграничения доступа к общим ресурсам Средняя - -    

 

Таблица А.7

Результаты оценки угроз активам (Юридические угрозы)

  Нарушение прав интелектуальной собственности Нелегальное использование ПО Нарушение патентного права Нарушение законодательства и нормативной базы Невыполнение контрактных обязательств
Недостаточное обучение технического персонала Средняя Высокая - Высокая Высокая
Неосведомленность пользователей Средняя Средняя - - Средняя
Безнадзорная работа внешнего персонала или персонала в нерабочее время Средняя Средняя Средняя Средняя Средняя
Неадекватный контроль изменений - Средняя - - Средняя
Отсутствие систем резервного копирования - - - - Средняя
Отсутствие контроля за устанавливаемым ПО Высокая Высокая - Средняя Средняя
Неконтролируемое копирование Средняя   Средняя Средняя  
Неправильное разграничения доступа к общим ресурсам Высокая   Высокая    
Отсутствие механизмов идентификации и аутонтификации Средняя Высокая Высокая    

Приложение Б

Таблица рисков ООО “_”

Таблица Б.1

Описание угрозы Ущерб Вероятность Риск (Ущерб*Вероятность)
Физический, несанкционированный доступ в помещения организации, к оборудованию, носителям информации 3 1 3
Кража или повреждение компьютерного оборудования и носителей информации инсайдерами 4 2 8
Кража или повреждение компьютерного оборудования и носителей информации внешними злоумышленниками 4 1 4
Постороннее лицо может получить физический доступ к комплексу средств защиты с целью переконфигурирования или создания возможностей обхода средств защиты 4 1 4
Злоупотребление средствами аудита 3 2 6
Злоупотребление средствами обработки информации 3 3 9
Злоупотреблние рисками или активами 4 3 12
Несанкционированное использование программного обеспечения 4 5 20
Использование сетевых средств несанкционированным образом 3 2 6
Неосторожное или умышленное злоупотребление оборудованием по причине отсутствия разделения обязанностей или их неисполнения 3 1 3
Утечка конфиденциальной информации из сети по каналам связи 4 1 4
Утечка конфиденциальной информации на мобильных устройствах 3 1 3
Перехват информации на линиях связи путем использования различных видов анализаторов сетевого траффика 4 1 4
Замена, вставка, удаление или изменение данных пользователей в информационном потоке 3 1 4
Неумышленное раскрытие конфиденциальной информации сотрудниками компании 3 4 12
Использование чужих пользовательских идентификаторов 3 5 15
Несанкционированный доступ к ресурсам ЛВС компании со стороны внутренних злоумышленников 4 2 8
НСД к журналам и средствам аудита 2 2 4
НСД к беспроводной сети компании 2 2 4
НСД к резервным копиям данных 4 2 8
Анализ и модификация ПО 3 3 9
Использование незадекларированных возмжностей ПО 4 1 4
Внедрение несанкционированного, непроверенного или вредоносного программного кода 4 5 20
Атаки на отказ в обслуживании 2 2 4
Недоступность ИТ сервисов и информации по причине физического или логического сбоя 2 1 2
Повреждение носителей информации 2 1 2
Установка непроверенных технических средств 3 1 3
Нарушение безопасности по причине несоблюдения операционных процедур 2 4 8
Умышленное разрушение критической для бизнеса информации 5 1 5
Нарушение целостности данных из за ошибок пользователей 2 2 4
Ошибка персонала технической поддержки 3 1 3
Ошибка в процессах сопровождения 1 4 4
Изменение конфигурации активного сетевого оборудования 1 2 2
Фальсификация записей 4 1 4
Антропогенные катастрофы (взрыв, терроризм, вандализм и т.д.) 5 0 0
Бомбардировка 5 0 0
Забастовка 5 0 0
Природные катастрофы 5 0 0
Молния 2 1 2
Ураган 2 1 2
Нарушение прав интелектуальной собственности 1 1 1
Нелегальное использование ПО 1 0 0
Нарушение патентного права 1 0 0
Нарушение законодательства и номативной базы 1 2 2
Невыполнение контрактных обязательств 5 2 10

Итого:

232

Приложение В

Оценка угроз активам после внедрения СЗИ

Таблица В.1

Результаты оценки угроз активам после внедрения СЗИ (физические угрозы)

  Физический, несанкционированный доступ в помещения организации, к оборудованию, носителям информации Кража или повреждение компьютерного оборудования и носителей информации инсайдерами Кража или повреждение компьютерного оборудования и носителей информации внешними злоумышленниками Постороннее лицо может получить физический доступ к комплексу средств защиты с целью переконфигурирования или создания возможностей обхода средств защиты
Недостаточное обучение технического персонала в вопросах безопасности - Высокая Средняя -
Неосведомленность пользователей в вопросах безопасности - Средняя - -
Отсутствие политик в области корректного использования технических средств Высокая Высокая Средняя -
Нет регламента действий технических служб при увольнении сотрудников - Средняя - -
Немотивированный персонал Средняя Средняя Средняя -
Безнадзорная работа внешнего персонала или персонала в нерабочее время Высокая Высокая Средняя -
Неадекватное или небрежное использование механизмов физического контроля доступа Средняя Средняя Средняя -
Отсутствие физической защиты здания Средняя Средняя Средняя -
Незащищенное хранение Высокая Высокая Средняя -
Недостаточное сопровождение средств хранения информации Высокая Высокая Средняя -
Неадекватное управление сетью Средняя Средняя - -
Нет разделения тестового и рабочего оборудования Средняя      

 

Таблица В.2

Результаты оценки угроз активам после внедрения СЗИ (нецелевое использование компьютерного оборудования и сети интернет сотрудниками организации)

  Злоупотребление средствами аудита Злоупотребление средствами обработки информации Злоупотреблние рисками или активами Несанкционированное использование программного обеспечения Использование сетевых средств несанкционированным образом Неосторожное или умышленное злоупотребление оборудованием по причине отсутствия разделения обязанностей или их неисполнения
Недостаточное обучение технического персонала в вопросах безопасности - Средняя Средняя - - Средняя
Отсутствие политик в области корректного использования технических средств Средняя Средняя Средняя - - Средняя
Нет регламента действий технических служб при увольнении сотрудников - - Средняя Высокая - -
Немотивированный персонал - Средняя Средняя - - -

 

Таблица В.3

Результаты оценки угроз активам после внедрения СЗИ (угрозы утечки конфиденциальной информации)

  Утечка конфиденциальной информации из сети по каналам связи Утечка конфиденциальной информации на мобильных устройствах   Перехват информации на линиях связи путем использования анализаторов сетевого траффика   Замена, вставка, удаление или изменение данных пользователей в информационном потоке   Неумышленное раскрытие конфиденциальной информации сотрудниками компании  
Недостаточное обучение технического персонала Средняя - Высокая Высокая Высокая
Нет регламента действий технических служб при увольнении сотрудников - - - - Высокая
Отсутствие физической защиты здания - - Средняя - -
Неадекватное управление сетью Средняя Средняя Средняя Средняя Высокая
Отсутствие доказательств отправки и получения сообщений - - - Средняя -
Отсутствие или несвоевременное обновление систем антивирусной защиты Высокая Высокая - Средняя -
Отсутствие политик чистых столов и чистых экранов - - - - Средняя

 

Таблица В.4

Результаты оценки угроз активам после внедрения СЗИ (угрозы несанкционированного доступа)





Рекомендуемые страницы:

Воспользуйтесь поиском по сайту:
©2015- 2020 megalektsii.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав.