 |
Анализ рисков информационной безопасности
|
|
|
|
Идентификация и оценка информационных активов
Идентифицируем информационные активы организации. Для этого сначала приведем понятие информационного актива.
Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении. У каждой организации свой набор активов, относящихся к тому или иному типу.
Рассмотрим информационные активы организации. Для более удобного рассмотрения активов сгруппируем их согласно типам.
1. Информация/данные.
- Данные о разработках;
- Персональные данные сотрудников;
- Данные по продукции.
2. Аппаратные средства.
- 8 серверов;
- 374 компьютера;
- 36 принтеров;
- 22 сканера.
3. Программное обеспечение.
- MS Office;
- SAP WMS;
- 1C: Предприятие;
- MS Windows XP/7
4. Документы.
- Контракты с вендорами;
- Контракты с клиентами;
- Бухгалтерская отчетность;
Рассмотрим выделенные активы более подробно, т.е. приведем форму представления, владельца актива, критерии определения стоимости и осуществим оценку активов.
В таблице 1.1. представлена информация по выделенным активам организации.
Таблица 1.1.
Оценка информационных активов предприятия
| Вид деятельности | Наименование актива | Форма представления | Владелец актива | Критерии определения стоимости | Размерность оценки | |
| Количественная оценка | Качественная | |||||
| Информационные активы | ||||||
| Кадровое обеспечение | Персональные данные сотрудников | Электронная | Специалист по кадрам | Стоимость воссоздания | 170 тыс. руб. | Средняя |
| Реализация продукции | Данные по продукции | Электронная | Бухгалтер | Стоимость воссоздания | 500 тыс. руб. | Критическая |
| Активы аппаратного обеспечения | ||||||
| Обработка информации | Сервера | Материальная | Системный администратор | Первоначальная стоимость | 300 тыс. руб. | Критическая |
| Обработка информации | Компьютеры | Материальная | Системный администратор | Первоначальная стоимость | 100 тыс. руб. | Средняя |
| Обработка информации | Принтеры | Материальная | Системный администратор | Первоначальная стоимость | 25 тыс. руб. | Малая |
| Обработка информации | Сканера | Материальная | Системный администратор | Первоначальная стоимость | 15 тыс. руб. | Малая |
| Активы программного обеспечения | ||||||
| Обработка информации | Microsoft Windows | Электронная | Системный администратор | Стоимость воссоздания | 15 тыс. руб. | Малая |
| Обработка информации | Microsoft Office | Электронная | Системный администратор | Стоимость воссоздания | 17 тыс. руб. | Малая |
| Обработка информации | 1C: Предприятие | Электронная | Системный администратор | Стоимость воссоздания | 120 тыс. руб. | Средняя |
| Обработка информации | SAP WMS | Электронная | Системный администратор | Стоимость воссоздания | 400 тыс. руб. | Критическая |
| Физические активы | ||||||
| Реализация продукции | Документация по разработкам | Бумажная | Менеджер по работе с клиентами | Стоимость воссоздания | 55 тыс. руб. | Малая |
| Реализация продукции | Контракты с клиентами | Бумажная | Менеджер по работе с клиентами | Стоимость воссоздания | 82 тыс. руб. | Малая |
| Бухгалтерия | Бухгалтерская отчетность | Бумажная | Бухгалтер | Стоимость воссоздания | 75 тыс. руб. | Малая |
Рассмотрим перечень информационных активов, обязательное ограничение доступа, к которым регламентируется законодательством РФ. Данный перечень представлен в таблице 1.2.
|
|
|
Таблица 1.2.
Перечень сведений конфиденциального характера
| № п/п | Наименование сведений | Гриф конфиденциальности | Нормативный документ |
| Данные контрагентов | Коммерческая тайна | Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» | |
| Данные по продажам | Коммерческая тайна | ||
| Документация по разработкам | Коммерческая тайна | ||
| Контракты с клиентами | Коммерческая тайна | ||
| Персональные данные сотрудников | Персональные данные | Федеральный закон «О персональных данных» (№ 152-ФЗ) |
|
|
|
Подведем итоги ранжирования выделенных активов. Результаты ранжирования представлены в таблице 1.3.
Таблица 1.3.
Результаты ранжирования активов.
| Наименование актива | Ценность актива (ранг) |
| Данные контрагентов | |
| Данные по продажам | |
| 8 серверов | |
| Персональные данные сотрудников | |
| Данные по продукции | |
| 1C: Предприятие | |
| Компьютеры | |
| Microsoft Windows | |
| SAP WMS | |
| Microsoft Office | |
| Принтеры | |
| Сканеры | |
| Контракты с клиентами | |
| Бухгалтерская отчетность |
Итак, подводя итог можно сказать, что активы имеющие наибольшую ценность:
- Данные контрагентов;
- Данные по продажам;
- Сервера;
- Компьютеры;
- Персональные данные сотрудников;
- Данные по продукции;
- 1C: Предприятие;
- SAP WMS;
- Контракты с клиентами;
- Бухгалтерская отчетность
Остальные активы представляют минимальную ценность по сравнению с выделенными.
Сгруппируем активы «Принтеры» и «Сканеры» в группу «Принтеры и сканеры», также сгруппируем активы «Microsoft Windows» и «Microsoft Office» в группу «ПО Microsoft», а также все физические активы организации в группу «Документация», поскольку ранги ценности у данных активов одинаковы, а подобная группировка заметно упростит дальнейший анализ.
Оценка уязвимостей активов
Осуществим оценку уязвимостей выделенных активов предприятия. Результаты данной оценки представлены в таблице 1.4.
Таблица 1.4.
Результаты оценки уязвимости активов
| Группа уязвимостей | Данные контрагентов | Данные по продажам | Сервера | Персональные данные сотрудников | SAP WMS | 1С: Предприятие | Компьютеры | Принтеры и сканеры | ПО Microsoft | Документация |
| 1. Среда и инфраструктура | ||||||||||
| Ненадежная охрана здания | Низкая | Низкая | Низкая | Низкая | ||||||
| Проблемы с электропитанием | Средняя | Средняя | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | |
| 2. Аппаратное обеспечение | ||||||||||
| Передача или повторное использование средств хранения информации без надлежащей очистки | Средняя | Средняя | Низкая | Средняя | ||||||
| 3. Программное обеспечение | ||||||||||
| Недостаточное обслуживание носителей данных | Средняя | Средняя | Низкая | Средняя | Низкая | |||||
| Отсутствие обновления программного обеспечения, используемого для защиты от вредоносного кода | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Низкая | ||
| 4. Коммуникации | ||||||||||
| Незащищенные соединения с сетями общего пользования | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | |||
| 5. Физический доступ | ||||||||||
| Незащищенное хранение | Низкая | Низкая | Низкая | Низкая | ||||||
| 6. Персонал | ||||||||||
| Неосведомленность в вопросах безопасности | Средняя | Средняя | Средняя | Средняя | Средняя | Средняя | Низкая | |||
| 7. Общие уязвимые места | ||||||||||
| Внедрение аппаратных и программных закладок | Высокая | Высокая | Высокая | Высокая |
Оценка угроз активам
|
|
|
Угроза (потенциальная возможность неблагоприятного воздействия) обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему. В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно. Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий.
Оценка угроз безопасности производится экспертным путем в зависимости от текущего уровня информационной безопасности и вероятности реализации угроз.
Выделим угрозы активам организации, а также осуществим их оценку. Результаты данных действий представлены в таблице 1.5.
|
|
|
Таблица 1.5.
Результаты оценки угроз активам
| Группа уязвимостей | Данные контрагентов | Данные по продажам | Сервера | Персональные данные сотрудников | SAP WMS | 1С: Предприятие | Компьютеры | Принтеры и сканеры | ПО Microsoft | Документация |
| 1. Угрозы обусловленные преднамеренными действиями | ||||||||||
| Кража документов и других носителей | Низкая | Низкая | Низкая | Низкая | ||||||
| Подмена документов и других носителей | Низкая | Низкая | Низкая | Низкая | ||||||
| Уничтожение документов и других носителей | Высокая | Высокая | Высокая | Низкая | ||||||
| Несанкционированное копирование документов и носителей информации | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | ||||
| Несанкционированное обращение к данным. | Высокая | Высокая | Высокая | Низкая | Низкая | Высокая | ||||
| Раскрытие данных путем их выгрузки с носителя данных неуполномоченным лицом | Низкая | Низкая | Низкая | Низкая | Низкая | |||||
| 2. Угрозы, обусловленные случайными действиями | ||||||||||
| Утечка информации из сети по каналам связи | Низкая | Низкая | Низкая | Низкая | Низкая | |||||
| Неумышленное раскрытие информации сотрудниками компании | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | ||||
| Недостаточное обслуживание компьютерной техники | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | |
| 3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы) | ||||||||||
| Антропогенные катастрофы (взрыв, терроризм, вандализм, другие способы умышленного причинения ущерба) | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая |
1.2.4. Оценка существующих и планируемых средств защиты
Осуществим анализ уже используемых на предприятии средств защиты информации. Для этого необходимо провести анализ технической и программной архитектуры предприятия.
Под архитектурой компьютерной системы будем понимать концепцию организации информационной системы, ее элементы, а также характер взаимодействия этих элементов.
Целесообразно рассматривать отдельно техническую и программную архитектуру существующей информационной системы.
В компании довольно широко используются компьютерные средства. В техническую архитектуру входит:
- Сервера. Используются сервера, обеспечивающие создание и функционирование единой локальной сети.
- Рабочие станции. Около 380 рабочих станций, различных марок, производителей и с абсолютно различными техническими характеристиками, т.к. используются в подразделениях с различной направленностью.
|
|
|
- Ноутбуки. Используется порядка 20 ноутбуков, также различной производительности.
- Коммутаторы. Установлено 10 коммутаторов, необходимых для создания единой локальной сети.
- Модем-роутер. Используется для обеспечения всех компьютеров доступом к сети Интернет.
Схема технической архитектуры информационной системы представлена на рисунке 1.2.
Рис. 1.2. Техническое обеспечение предприятия
На рисунке 1.3 представлена схема программного обеспечения предприятия.
Рис. 1.3. Схема программного обеспечения
В компании используются операционные системы Windows 7 и XP от компании Microsoft. Интегрированные офисный пакет Microsoft 2003/2007. Интернет-браузер Google Chrome. Антивирусная защита представлена антивирусом Avast! Business Pro. Также используется информационная система «1С: Бухгалтерия», которая установлена на компьютерах бухгалтерии.
Рассмотрим защиту от физического проникновения. На рисунке 1.4 представлено здание главного офиса и расположение датчиков движения.
Рис. 1.4. Расположение датчиков движение
Исходя из представленных схем можно сделать вывод об относительно слабой защите с точки зрения физического проникновения, а также с точки зрения вирусных и хакерских атак
Подведем итог всех действий организации по обеспечению информационной безопасности. Сводная таблица анализа выполнения основных задач по обеспечению информационной безопасности представлена в таблице 1.6.
Таблица 1.6.
Анализ выполнения основных задач по обеспечению информационной безопасности
| Основные задачи по обеспечению информационной безопасности | Степень выполнения |
| Обеспечение безопасности производственно-торговой деятельности, защита информации, являющихся коммерческой тайной; | Частично |
| Организация работы по правовой, организационной и инженерно-технической защите коммерческой тайны; | Частично |
| Организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной; | Частично |
| Предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну; | Частично |
| Выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных ситуациях; | Частично |
| Обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне; | Не выполняется |
| Обеспечение охраны территории, зданий помещений, с защищаемой информацией. | Частично |
Оценка рисков
Осуществим оценку выделенных рисков. Результаты оценки активов приведены в таблице 1.7.
Таблица 1.7.
Результаты оценки рисков информационным активам организации
| Риск | Актив | Ранг риска |
| Уничтожение документов и других носителей | Данные контрагентов | Высокий |
| Данные по продажам | Высокий | |
| Персональные данные сотрудников | Высокий | |
| Данные по продукции | Высокий | |
| Несанкционированное обращение к данным | Данные контрагентов | Высокий |
| Данные по продажам | Высокий | |
| Персональные данные сотрудников | Высокий | |
| Данные по продукции | Высокий | |
| Недостаточное обслуживание компьютерной техники | Данные контрагентов | Высокий |
| Данные по продажам | Высокий | |
| Персональные данные сотрудников | Высокий | |
| Данные по продукции | Высокий | |
| Программное обеспечение | Высокий | |
| Сервера | Высокий | |
| 1С: Предприятие | Высокий | |
| SAP WMS | Высокий | |
| Компьютеры | Высокий |
Таким образом, основываясь на результатах проведенного анализа рисков угроз, можно сделать вывод, что в первую очередь необходимо повысить защиту информации от вирусных и хакерских атак, т.е. модернизировать существующую антивирусную защиту на предприятии. Уже в дальнейшем рекомендуется организации повысить и физическую безопасность активов организации.
|
|
|
