Определим, какие из представленных угроз информационной безопасности могут воздействовать на ресурс.

Ход работы

Исходные данные:

Ресурс – Биллинговый сервер

Особенности функционирования ИС:

· В ИС компании установлено антивирусное ПО;

· установлены средства криптографической защиты;

· установлены средства разграничения доступа

 

Сервером называется компьютер, выделенный из группы персональных компьютеров (или рабочих станций) для выполнения какой-либо сервисной задачи без непосредственного участия человека.

Биллинг (англ. billing — составление счёта) — в некоторых видах бизнеса, в частности в телекоммуникациях — автоматизированная система учёта предоставленных услуг, их тарификации и выставления счетов для оплаты. В телекоммуникации биллинг официально именуется «Автоматизированная Система Расчётов» (АСР).

Биллинговая система — важнейший элемент программного обеспечения любой операторской деятельности, будь то обычная телефонная связь, звонки с мобильных телефонов, доступ в Интернет. Базовая подсистема биллинга — система тарификации звонков (сессий) и выставления счетов абонентам, которая способна взаимодействовать с коммутатором, управляя некоторыми его действиями. В частности, когда абонент, воспользовавшись Интернетом, меняет свой тарифный план или включает/отключает какие-либо услуги, информация об изменениях поступает на коммутатор через биллинговую систему. Компания, предоставляющая услуги биллинга (автоматизированной системы формирования, выставления счетов к оплате и приёма платежей) и взимающая с этого определённый процент, так же, как и платёжная система, берет на себя функцию транспорта транзакции до банка-эквайера, но при этом выполняет ещё ряд функций: мониторинг и управление рисками, организацию доступа к детальной статистике по транзакциям и т.п.

Наиболее часто использование биллинговых систем встречается у телекоммуникационных операторов, операторов сотовой связи, интернет-провайдеров, операторов наземной связи.

Чтобы спланировать внутреннюю архитектуру полнофункциональной биллинговой системы, в первую очередь нужно выделить задачи, которые она должна решать.

· сбор информации о потребляемых услугах (аккаунтинг)

· аутентификация и авторизация абонентов

· контроль денежных средств на счетах абонентов и списание средств в соответствии c действующей тарифной сеткой

· пополнение счетов абонентов

· внесение изменений в тарифы

· предоставление статистики по операциям (клиентская и операторская части)

Определим, какие из представленных угроз информационной безопасности могут воздействовать на ресурс.

Раздел 1. Физическое воздействие человека, направленное на ИС.

Возможные угрозы: повреждение кабелей, несанкционированное подключение к кабельной линии, установка устройств создания помех

 

Определим, через какие уязвимости могут быть реализованы выбранные угрозы.

II Воздействие на канал связи

1. Повреждение кабелей.

- Силовые и телекоммуникационные кабели не разъединены (для уменьшения помех).

- Критически важные телекоммуникационные кабели не продублированы.

- Отсутствуют средства обнаружения несанкционированного подключения к кабельным системам (детекторы поля, анализаторы спектра, частотомеры, нелинейные локаторы, специализированные программно-аппаратные комплексы).

- Критически важные телекоммуникационные кабели не защищены коробами.

- Отсутствуют предупреждающие или пояснительные маркировки на кабелях для пользователей.

- Отсутствие экранирования кабеля.

- Критически важные телекоммуникационные кабели располагаются в общедоступных зонах.

- Отсутствие инструкций и маркировок для обслуживающего персонала на кабелях и электронном оборудовании..

 

2 Несанкционированное подключение к кабельной линии

- Отсутствуют средства обнаружения несанкционированного подключения к кабельным системам (детекторы поля, анализаторы спектра, частотомеры, нелинейные локаторы, специализированные программно-аппаратные комплексы).

- Отсутствие экранирования кабеля.

- Критически важные телекоммуникационные кабели располагаются в общедоступных зонах.

- Отсутствие регулярных проверок кабельных систем на обнаружение устройств создания помех

3 Установка устройств создания помех

- Отсутствие процедуры предоставления доступа в КЗ разовым посетителям и временным сотрудникам (гостевые пропуска, сопровождение, удаленное наблюдение).

- Отсутствие регламента доступа в помещения с ресурсами, содержащими ценную информацию.

- Отсутствие инструкций для персонала по работе с информацией ограниченного доступа.

 

 

Раздел 2. Физические угрозы, направленные на ИС.

Возможные угрозы: Пожар; Удар молнии; Отказ внешних источников энергоснабжения; Резкие колебания напряжения в сети; Нарушение контура замкнутых систем вблизи объектов информационной системы (протечки, прорывы и т.д.); Потеря данных в результате отказа носителей данных; Дефектные носители данных; Снижение надежности оборудования после истечения срока эксплуатации; Потеря данных в результате переполнения устройств хранения информации.

Определим, через какие уязвимости могут быть реализованы выбранные угрозы:

I. Глобальное воздействие на ИС.

1. Стихийное бедствие

- Отсутствие систем резервирования.

 

2. Техногенная катастрофа

- Отсутствие систем резервирования.

3. Военные действия

- Отсутствие систем резервирования.

4. Революция

- Отсутствие систем резервирования.

 

 

5. Террористический акт.

- Отсутствие систем резервирования.

 

II. Локальное воздействие на ИС.

1. Пожар

- Отсутствие систем резервирования.

- Отсутствие противопожарной защиты

- Не используются несгораемые шкафы

- Огнеопасные материалы располагаются вблизи ресурсов с ценной информацией

2. Удар молнии

- Отсутствие систем резервирования.

- Не используется защита против удара молнии

- Отсутствие заземления

3 Перекрестная наводка

 

- Отсутствие экранирования.

- Неправильная разводка силовых кабелей.

 

4 Отказ внешних источников энергоснабжения

- Отсутствие систем резервирования.

- Отсутствие дублирующих источников энергоснабжения

- Не применяются источники.

- Не производится регулярное обслуживание источников бесперебойного питания

5 Резкие колебания напряжения в сети

- Отсутствие систем резервирования.

- Не используются сетевые фильтры

- Превышено допустимое количество потребителей электроэнергии.

6 Отказ системы отопления

- Отсутствие систем резервирования.

- Не производится регулярное техническое обслуживание системы отопления.

- Отсутствие резервных источников отопления.

 

7 Нарушение контура замкнутых систем вблизи объектов информационной системы (протечки, прорывы и т.д.)

- Отсутствие систем резервирования.

- Ресурсы с ценной информацией расположены в непосредственной близости от замкнутых систем.

 

I. На операционную систему.

1. Запуск файлов, содержащих вирусы, которые воздействуют на операционную систему

- Не установлено антивирусное ПО.

- Не производится регулярное обновление антивирусного ПО.

- Типовые ошибки при конфигурировании ОС.

- Отсутствие инструкций для персонала по антивирусной защите информационных ресурсов

Но т.к. антивирусное ПО установлено в ИС компании, то этой уязвимости на ресурсе нет.

2. Запуск операционной системы с внешнего (сменного) носителя

- Наличие устройств для чтения внешних носителей (USB, дисководы, CD-ROM)

- Отсутствие инструкций для персонала по работе с информационной системой.

- Настройки BIOS позволяют запускать ОС с внешнего носителя.

- Существует возможность менять настройки BIOS, отсутствие парольной защиты.

Но т.к. система разграничения доступа присутствует в организации, то этой уязвимости на ресурсе нет.

 

3. Отказ в обслуживании операционной системы

- Отсутствие резервного копирования данных, обрабатываемых ОС, и настроек самой ОС с тем, чтобы иметь возможность развернуть работу ОС в резервном месте

- Отсутствие систем восстановления ОС (носителей для восстановления).

- Отсутствие процедур восстановления ОС.

- На критичных объектах используются нестабильные ОС

- Не используется система балансировки сетевой нагрузки

5 Модификация компонентов Ос

- Наличие устройств для чтения внешних носителей (USB, дисководы, CD-ROM)

- Отсутствие инструкций для персонала по работе с информационной системой.

Но т.к. система разграничения доступа присутствует в организации, то этой уязвимости на ресурсе нет.

 

III. Шпионаж.

1. Разглашение конфиденциальной информации сотрудниками компании.

- Отсутствие штатного психолога в компании.

- Неблагоприятный психологический климат в компании, несоблюдение норм социальной и деловой этики.

- Распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

- Разделения административных обязанностей по управлению и поддержке различных сервисов.

- Отсутствует адекватная оценка труда сотрудников.

- Отсутствие соглашений о конфиденциальности.

- Отсутствие нормативных документов, определяющих ответственность за разглашение конфиденциальной информации.

- Неформальные отношения с недоверенными сотрудниками.

2. Модификация (удаление) информации сотрудниками компании.

- Отсутствие штатного психолога в компании.

- Неблагоприятный психологический климат в компании, несоблюдение норм социальной и деловой этики.

- Распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

- Разделения административных обязанностей по управлению и поддержке различных сервисов.

- Отсутствует адекватная оценка труда сотрудников.

- Отсутствие соглашений о конфиденциальности.

- Отсутствие нормативных документов, определяющих ответственность за разглашение конфиденциальной информации.

- Неформальные отношения с недоверенными сотрудниками.

3. Подлог недостоверной информации сотрудниками компании

- Отсутствие штатного психолога в компании.

- Неблагоприятный психологический климат в компании, несоблюдение норм социальной и деловой этики.

- Распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

- Разделения административных обязанностей по управлению и поддержке различных сервисов.

- Отсутствует адекватная оценка труда сотрудников.

- Отсутствие соглашений о конфиденциальности.

- Отсутствие нормативных документов, определяющих ответственность за разглашение конфиденциальной информации.

- Неформальные отношения с недоверенными сотрудниками.

 

IV. Неумышленные действия.

1. Нарушение конфиденциальности информации в результате неумышленных действий.

- Отсутствие в компании системы защищенного документооборота.

- Должностные инструкции не включают ответственность за неумышленные действия.

- Отсутствие обязательного информирования персонала о нормативных документах, определяющих действия с конфиденциальной информацией.

- Не выполняется регулярная проверка действующих прав пользователей на доступ к информационным ресурсам.

- Отсутствие обязательной авторизации для доступа к конфиденциальной информации.

- Отсутствие маркеров конфиденциальности (грифов) на документах, содержащих конфиденциальные сведения.

2. Неумышленное нарушение целостности (модификация) информации

- Отсутствие систем резервирования.

- Отсутствие систем контроля целостности.

- Отсутствие в компании системы защищенного документооборота.

- Должностные инструкции не включают ответственность за неумышленные действия.

- Отсутствие обязательного информирования персонала о нормативных документах, определяющих действия с конфиденциальной информацией.

- Не выполняется регулярная проверка действующих прав пользователей на доступ к информационным ресурсам.

- Отсутствие обязательной авторизации для модификации конфиденциальной информации.

Но т.к. система резервирования присутствует в ИС, то этой уязвимости на ресурсе нет.

3. Неумышленное удаление критически важной информации.

- Отсутствие систем резервирования.

- Отсутствие в компании системы защищенного документооборота.

- Должностные инструкции не включают ответственность за неумышленные действия.

- Отсутствие обязательного информирования персонала о нормативных документах, определяющих действия с конфиденциальной информацией.

- Не выполняется регулярная проверка действующих прав пользователей на доступ к информационным ресурсам.

- Отсутствие обязательной авторизации для удаления информации.

Но т.к. система резервирования присутствует в ИС, то этой уязвимости на ресурсе нет.

ВЫВОД

В данной лабораторной работе была построена модель информационной системы на основе модели угроз и уязвимостей. В качестве ресурса информационной системы был рассмотрен биллинговый сервер.

Рассмотрев перечень угроз, в качестве рекомендаций можно предложить:

1. Использовать резервное копирование данных;

2. Нанять на работу штатного психолога, для работы с персоналом;

3. Разработать должностные инструкции;

4. Определить порядок доступа к ресурсу;

5. Утвердить перечень разрешенного к использованию прикладного ПО;

6. Регулярное обновление ПО;

7. Ввести регулярную проверку прав (привилегий) пользователей;

8. Использовать систему обнаружения вторжений для раннего обнаружения атак и оперативной реакции на них.

9. Внедрить систему мониторинга работоспособности сетевых служб, работающих в режиме реального времени;

Данные рекомендации будут расширяться, опираясь на сферу деятельности ИС. Единственной угрозой, которая всегда будет присутствовать, является персонал. Персонал компании является довольно непредсказуемым даже при создании адекватной политики безопасности.

 

Ход работы

Исходные данные:

Ресурс – Биллинговый сервер

Особенности функционирования ИС:

· В ИС компании установлено антивирусное ПО;

· установлены средства криптографической защиты;

· установлены средства разграничения доступа

 

Сервером называется компьютер, выделенный из группы персональных компьютеров (или рабочих станций) для выполнения какой-либо сервисной задачи без непосредственного участия человека.

Биллинг (англ. billing — составление счёта) — в некоторых видах бизнеса, в частности в телекоммуникациях — автоматизированная система учёта предоставленных услуг, их тарификации и выставления счетов для оплаты. В телекоммуникации биллинг официально именуется «Автоматизированная Система Расчётов» (АСР).

Биллинговая система — важнейший элемент программного обеспечения любой операторской деятельности, будь то обычная телефонная связь, звонки с мобильных телефонов, доступ в Интернет. Базовая подсистема биллинга — система тарификации звонков (сессий) и выставления счетов абонентам, которая способна взаимодействовать с коммутатором, управляя некоторыми его действиями. В частности, когда абонент, воспользовавшись Интернетом, меняет свой тарифный план или включает/отключает какие-либо услуги, информация об изменениях поступает на коммутатор через биллинговую систему. Компания, предоставляющая услуги биллинга (автоматизированной системы формирования, выставления счетов к оплате и приёма платежей) и взимающая с этого определённый процент, так же, как и платёжная система, берет на себя функцию транспорта транзакции до банка-эквайера, но при этом выполняет ещё ряд функций: мониторинг и управление рисками, организацию доступа к детальной статистике по транзакциям и т.п.

Наиболее часто использование биллинговых систем встречается у телекоммуникационных операторов, операторов сотовой связи, интернет-провайдеров, операторов наземной связи.

Чтобы спланировать внутреннюю архитектуру полнофункциональной биллинговой системы, в первую очередь нужно выделить задачи, которые она должна решать.

· сбор информации о потребляемых услугах (аккаунтинг)

· аутентификация и авторизация абонентов

· контроль денежных средств на счетах абонентов и списание средств в соответствии c действующей тарифной сеткой

· пополнение счетов абонентов

· внесение изменений в тарифы

· предоставление статистики по операциям (клиентская и операторская части)

Определим, какие из представленных угроз информационной безопасности могут воздействовать на ресурс.

Раздел 1. Физическое воздействие человека, направленное на ИС.

Возможные угрозы: повреждение кабелей, несанкционированное подключение к кабельной линии, установка устройств создания помех