Анализ системы обеспечения информационной безопасности и выбор метода ее модернизации

↑

⇐ ПредыдущаяСтр 3 из 26Следующая ⇒

Вид угроз

Класс угроз

1. По природе возникновения

Естественные угрозы – угрозы, вызванные воздействиями на АСОД и ее компоненты объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы – угрозы информационной безопасности АС, вызванные деятельностью человека.

2. По степени преднамеренности проявления

Угрозы случайного действия и/или угрозы, вызванные ошибками или халатностью персонала.

Угрозы преднамеренного действия

– например, угрозы действий злоумышленника для хищения информации.

3. По непосредственному источнику угроз

Угрозы, непосредственным источником которых является природная среда (стихийные бедствия, магнитные бури, радиоактивное излучение).

Угрозы, непосредственным источником которых является человек.

Угрозы, непосредственным источником которых являются санкционированные программно-аппаратные средства.

Угрозы, непосредственным источником которых являются несанкционированные программно-аппаратные средства.

4. По положению источника угроз

Угрозы, источник которых расположен вне контролируемой зоны территории (помещения), на которой находится АСОД.

Угрозы, источник которых расположен в пределах контролируемой зоны территории (помещения), на которой находится АСОД.

Угрозы, источник которых имеет доступ к периферийным устройствам АСОД.

Угрозы, источник которых расположен в АСОД.

5. По степени зависимости от активности АСОД

Угрозы, которые могут проявляться независимо от активности АСОД:

− вскрытие шифров криптозащиты информации;

− хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и компьютерных систем).

Угрозы, которые могут проявляться только в процессе автоматизированной обработки данных (например, угрозы выполнения и распространения программных вирусов).

6. По степени воздействия на АСОД

Пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании АСОД (например, угроза копирования секретных данных).

Активные угрозы, которые при воздействии вносят изменения в структуру и содержание АСОД.

7. По этапам доступа пользователей или программ к ресурсам АСОД

Угрозы, которые могут проявляться на этапе доступа к ресурсам АСОД (например, угрозы несанкционированного доступа в АСОД).

Угрозы, которые могут проявляться после разрешения доступа к ресурсам АСОД (например, угрозы несанкционированного или некорректного использования ресурсов АСОД).

8. По способу доступа к ресурсам АСОД

Угрозы, направленные на использование прямого стандартного пути доступа к ресурсам АСОД.

Угрозы, направленные на использование скрытого нестандартного пути доступа к ресурсам АС.

9. По текущему месту расположения информации

Угрозы доступа к информации на внешних запоминающих устройствах

Угрозы доступа к информации в оперативной памяти.

Угрозы доступа к информации, циркулирующей в линиях связи.

Угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере.

Все рассмотренные классы и виды угроз в той или иной мере присущи и АСОД в ОАО «Альфапроект».

Так же можно классифицировать угрозы согласно Уголовному Кодексу Российской Федерации (УК РФ) и выделить следующие угрозы информационной безопасности:

− Хищение (копирование) информации.

− Уничтожение информации.

− Модификация (искажение) информации.

− Нарушение доступности (блокирование) информации.

− Отрицание подлинности информации.

− Навязывание ложной информации.

Хищение - совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества.

Копирование компьютерной информации - повторение и устойчивое запечатление информации на машинном или ином носителе/5/.

Уничтожение - внешнее воздействие на имущество, в результате которого оно прекращает свое физическое существование либо приводятся в полную непригодность для использования по целевому назначению.

Повреждение - изменение свойств имущества при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становится полностью или частично непригодным для целевого использования.

Модификация компьютерной информации - внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз данных.

Блокирование компьютерной информации - искусственное затруднение доступа пользователей к информации, не связанное с ее уничтожением.

Обман (отрицание подлинности, навязывание ложной информации) - умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество и таким образом добиться от него добровольной передачи имущества, а также сообщение с этой целью заведомо ложных сведений.

Классификация угроз наиболее наглядно будет выглядеть, если рассматривать угрозы в связке с её источником. В соответствии с данным подходом классификация угроз ИБ в ФГУП будет выглядеть следующим образом (рисунок 1.5).

Все представленные угрозы могут являть преднамеренными либо непреднамеренными.

Также необходимо рассмотреть угрозы направленные на конкретные объекты АСОД в ФГУП. Согласно структурной схеме ЛВС, приведенной на рисунке 1.3, можно выделить следующие объекты автоматизированной системы:

− АРМ сотрудника.

− Сервер БД.

− Файловый сервер.

− Сервер управления.

Для каждого из объектов в таблице 1.2 представлены конкретные угрозы ИБ.

С позиции экономического подхода общий ущерб информационной безопасности предприятия складывается из двух составных частей: прямого и косвенного ущерба.

Прямой ущерб информационной безопасности предприятия возникает вследствие утечки конфиденциальной информации. Косвенный ущерб — потери, которые несет предприятие в связи с ограничениями на распространение информации, в установленном порядке, отнесенной к категории конфиденциальной.

Рисунок 1.5 – Классификация угроз ИБ в ОАО «Альфапроект»

Таблица 1.2. – Угрозы ИБ каждого из объектов АСОД

Объект АСОД

Угрозы ИБ

АРМ сотрудника

Копирование информации на носители

Установка и использование «левого» ПО

Заражение компьютера вирусами

Ошибки оператора при эксплуатации СВТ

Ошибки оператора при эксплуатации программных средств 

Несанкционированный доступ к ресурсам АС и дальнейшего его использования (копирование, модификации, удаления)

Сервер БД

Копирование информации

Доступ к информации, путем нарушения функционирования 

Ошибки пользователей при эксплуатации программных средств 

Файловый сервер

Изменение информации 

Копирование информации

Удаление информации 

Разглашение защищаемой информации путем передачи носителей информации, лицам не имеющих права доступа

Сервер управления

Незаконное получение паролей и других реквизитов разграничения доступа.

Блокировка доступа зарегистрированных пользователей

В рамках разработки или анализа системы информационной безопасности наиболее целесообразной является качественная оценка ценности информационного ресурса со стороны владельца. В зависимости от потребностей организации, её размера или иных факторов, качественная шкала оценки может использовать такие обозначения, как «незначительный», «низкий», «средний», «высокий», «критический», под которыми подразумевается определенный интервал количественной шкалы оценки.

После составления списка угроз, составляется степень вероятности реализации (СВР) угроз. Для определения СВР той или иной угрозы на данном этапе можно воспользоваться качественной экспертной оценкой.

Оценивание риска, в общем случае, происходит путем сопоставления оценок степени тяжести последствий с оценкой СВР угроз ИБ (таблица 1.4).

На этапе оценки риска определяется потенциальный ущерб от угроз нарушения информационной безопасности для каждого ресурса или группы ресурсов.

Определение степени тяжести последствий от утраты ресурсом свойств информационной безопасности необходима для того, чтобы определить: сколько будет стоить «простой» системы в течение времени, требующегося на ее восстановление и каков будет ущерб, если эта информация станет известной конкурентам/12/.

Таблица 1.4 – Сопоставления оценок степени тяжести последствий с оценкой СВР угроз ИБ

Степень вероятности реализации угрозы ИБ

Степень тяжести последствий нарушения ИБ

минимальная

средняя

высокая

критическая

нереализуемая

допустимый

допустимый

допустимый

допустимый

минимальная

допустимый

допустимый

допустимый

недопустимый

средняя

допустимый

допустимый

недопустимый

недопустимый

высокая

допустимый

недопустимый

недопустимый

недопустимый

критическая

недопустимый

недопустимый

недопустимый

недопустимый

При рассмотрение возможного ущерба необходимо так же рассмотреть ресурсы, используемые на предприятие.

Исходя из Федерального закона № 24-ФЗ, все информационных ресурсов можно классифицировать следующим образом (рисунок 1.7/7/):

Рисунок 1.7 – Виды ресурсов предприятия

К ресурсам подлежащим защите относятся информационные и технические ресурсы.

В ОАО «Альфапроект» к техническим ресурсам относится:

− сервер управления;

− сервер баз данных;

− файловый сервер.

− АРМ.

− Принтеры и плоттеры.

− Сетевое оборудование (коммутаторы, маршрутизаторы).

К информационным ресурсам, находящимся в электронном виде и на бумажных носителях, данного предприятия относятся:

− Копии документов, удостоверяющих личность заказчика;

− Технические паспорта на объекты недвижимости;

− Справки о балансовой стоимости с указанием остаточной балансовой стоимости на период проведения технической инвентаризации;

− Проектная, исполнительная документация;

− Бухгалтерские отчетности.

Таким образом, электронные ресурсы предприятия ОАО «Альфапроект» имеют ограниченный доступ и относятся к конфиденциальным.

Поэтому, выделенные ресурсы подвержены угрозам ИБ, и в случае реализации угроз предприятие может понести различного рода ущерб.

На рисунке 1.8 представлены три вида ущерба.

Рисунок 1.8 – Виды возможного ущерба

Проявления возможного ущерба могут быть различны и иметь смешанный характер:

− моральный и материальный ущерб деловой репутации организации;

− моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;

− материальный ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;

− материальный ущерб от невозможности выполнения взятых на себя обязательств перед третьей стороной;

− моральный и материальный ущерб от дезорганизации деятельности организации;

− материальный и моральный ущерб от нарушения международных отношений/12/.

Так же ущерб можно рассмотреть по степени тяжести последствия от угроз ИБ. На рисунке 1.9 представлена классификация ущерба по степени тяжести.

Рисунок 1.9 – Степени тяжести последствий от угроз ИБ

Исходя из описанного выше, в ОАО «Альфапроект»  можно выделить ряд возможных последствий от реализации угроз ИБ. В первую очередь необходимо отметить, что ущерб в основном будет являть материальным. Основной ущерб будет приходиться на технические ресурсы ФГУП, т.к. данный вид ресурсов предполагает использование и хранение цифровых информационных ресурсов. Но нельзя опустить тот факт что на предприятии используются и не цифровые информационные ресурсы, хотя большая их часть имеет цифровые копии, но данные ресурсы имеют не меньшую ценность.

По степени тяжести последствий наибольшие потери возникнут в случае вывода из строя технических ресурсов ОАО «Альфапроект», т.к. произойдет приостановка производственного документооборота и возможна потеря цифровых информационных ресурсов, что является значительной тяжестью последствия. В случае если реализация угроз ИБ затронет лишь цифровые информационные ресурсы, тяжесть последствия может характеризоваться как средняя, в крайнем случае, например, стихийные бедствия, тяжесть может перейти в категорию значительной тяжести последствий или даже высокой. Тяжесть всех этих последствий в первую очередь зависит от конкретных угроз. Исходя из этого принципа, была составлена таблица 1.5 степени тяжести последствий от конкретных угроз ИБ в ОАО «Альфапроект».

Таблица 1.5 – Степень тяжести последствий от угроз ИБ в ОАО «Альфапроект»

Угроза ИБ

Степень тяжести последствий (ущерб)

Ошибки пользователей и системных администраторов

средняя - низкая

Нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации

средняя

Ошибки в работе программного обеспечения

низкая

Отказы и сбои в работе компьютерного оборудования

средняя

Заражение компьютеров вирусами или вредоносными программами

средняя

Несанкционированный доступ (НСД) к корпоративной информации

средняя - значительная

Информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб

средняя

Действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации

средняя - значительная

Аварии, пожары, техногенные катастрофы

значительная - высокая

Информационная безопасность АСОД обеспечена в случае, если для любых информационных ресурсов в системе поддерживается определенный уровень:

−  конфиденциальности (невозможности несанкционированного получения какой-либо информации);

− целостности (невозможности несанкционированной или случайной ее модификации);

− доступности (возможности за разумное время получить требуемую информацию).

Угрозы ИБ влияют не только на свойства информации, но и на технические ресурсы предприятия, поэтому система защиты информации безопасности должна отвечать следующим требованиям:

− требованиям не искаженности свойств информации;

− требованиям класса защищенности АСОД;

− требованиям класса защищенности СВТ;

− требованиям по защите информации от НСД.

Также система защиты информации должна выполнять:

− предупреждение о появлении угроз безопасности информации;

− обнаружение, нейтрализацию и локализацию воздействия угроз безопасности информации;

− управление доступом к защищаемой информации;

− восстановление системы защиты информации и защищаемой информации после воздействия угроз;

− регистрацию событий и попыток несанкционированного доступа к защищаемой информации и несанкционированного воздействия на нее;

− обеспечение контроля функционирования средств и системы защиты информации и немедленное реагирование на их выход из строя.

2.1 Методы и средства защиты информации в сетях

На первом этапе развития концепций обеспечения безопасности данных преимущество отдавалось программным средствам защиты. Но практика показала, что для обеспечения безопасности данных этого недостаточно, и интенсивное развитие получили всевозможные устройства и системы. Постепенно, по мере формирования системного подхода к проблеме обеспечения безопасности данных, возникла необходимость комплексного применения методов защиты и созданных на их основе средств и механизмов защиты. Обычно на предприятиях в зависимости от объема хранимых, передаваемых и обрабатываемых конфиденциальных данных за информационную безопасность отвечают отдельные специалисты или целые отделы.

На рисунке 2.1 представлена модель комплексной защиты информации.

Рисунок 2.1 модель комплексной защиты информации

В защите информации четко выделяют два направления: защита конфиденциальности и защита работоспособности. Для выполнения этих задач существуют специальные методы и средства защиты данных, которые подробно представлены на рисунке 2.2.

Рисунок 2.2 - Классификация методов и средств защиты данных

Методы обеспечения безопасности информации в ИС делятся на:

− препятствие;

− управление доступом;

− механизмы шифрования (маскировка);

− регламентация;

− принуждение;

− побуждение;

− противодействие атакам вредоносных программ.

Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом – методы защиты информации регулированием использования всех ресурсов ИС. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации.

Управление доступом включает:

− идентификацию пользователей, персонала и ресурсов системы;

− опознание субъекта по предъявленному им идентификатору;

− проверку полномочий;

− создание условий работы в пределах установленного регламента;

− регистрацию обращений к защищаемым ресурсам;

− при попытках несанкционированных действий.

Механизмы шифрования – криптографическое закрытие информации.

Регламентация – создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при кото­рых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение – метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение – метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и исполь­зование антивирусных программ. Цели принимаемых мер – это уменьшение вероятности инфицирования ИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС.

Вся совокупность технических средств подразделяется на аппаратные и физические.

Аппаратные средства – устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий.

Программные средства – это специальные программы и программные комплексы, предназначенные для защиты информации в ИС.

Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография – это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий.

Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Морально-этические средства защиты включают всевозможные нормы поведения (которые традиционно сложились ранее), складываются по мере распространения ИС в стране и в мире. Морально-этические нормы могут быть неписаные либо оформленные в некий свод правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения.

Познавательные статьи:



Психологические особенности спортивного соревнования

Приготовление дезинфицирующих растворов различной концентрации

Занятость населения и рынок труда

Социальный статус семьи и её типология