2.1 Угрозы информационной безопасности предприятия

Национальный исследовательский университет
Высшая школа экономики
Факультет бизнес-информатики
Кафедра информационной безопасности
ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
На тему: «Разработка комплекса мероприятий по обеспечению
информационной безопасности на предприятии».
Студент группы № 476
РомаховМаксим
Александрович
Научный руководитель
Беспалов Дмитрий Николаевич
Москва 2013
Оглавление
Введение: ....................................................................................................................................... 3
Глава1.Описание мер по обеспечению информационной безопасности на предприятии .... 5
1.1Организационные меры .......................................................................................................... 5
1.2Технические меры.................................................................................................................. 12
1.3 Правовые меры...................................................................................................................... 19
Глава 2. Анализ угроз и средств обеспечения информационной безопасности предприятия
...................................................................................................................................................... 22
2.1Угрозы информационной безопасности предприятия ....................................................... 22
2.2Анализ средств обеспечения информационной безопасности предприятия ................... 26
Глава 3. Разработка комплекса рекомендаций на основе анализа крупных и малых
предприятий. ............................................................................................................................... 30
3.1 Анализ крупного предприятия. ........................................................................................... 30
3.2 Анализ малого предприятия ................................................................................................ 33
3.3 Сводный комплекс мер и средств по обеспечению информационной безопасности
предприятия................................................................................................................................. 34
Заключение .................................................................................................................................. 36
Список литературы ..................................................................................................................... 37
Приложение 1 Политика безопасности крупного предприятия. ............................................ 39
Приложение 2 Политика безопасности малого предприятия................................................. 46
2
Введение:
Почему важно защищать информацию? Информация в современном мире
является крайне важным ресурсом и инструментом. С ее помощью ведутся
войны,
проводятся
избирательные
компании
и
заключаются
многомиллионные контракты. В нашем веке информационных технологий
информация играет очень важную роль.Неправомерное искажение или
фальсификация, любое повреждение или разглашение определенной части
информации, равно как и дезорганизация процессов ее обработки и передачи
в информационно-управляющих системах наносят серьезный материальный
и
моральный
урон
многим
субъектам,
участвующим
в
процессах
автоматизированного информационного взаимодействия.Именно поэтому
очень важно защищать ее.
3
Что такое защита информации? Согласно федеральному закону № 149 "Об
информации, информационных технологиях и о защите информации",
«защита
информации
представляет
собой
принятие
правовых,
организационных и технических мер, направленных на:
1. обеспечение
уничтожения,
защиты
информации
модифицирования,
от
неправомерного
блокирования,
доступа,
копирования,
предоставления, распространения, а также от иных неправомерных
действий в отношении такой информации;
2. соблюдение конфиденциальности информации ограниченного доступа;
3. реализацию права на доступ к информации».1
Целью
данной
рекомендаций
работы
по
является
обеспечению
разработка
сводного
информационной
комплекса
безопасности
на
предприятии, на основе сбора и анализа мер и средств обеспечения
информационной безопасности на крупных и малых предприятиях.
Для достижения заявленной цели необходимо:
1)Описать меры по обеспечению информационной безопасности не
предприятии.
2)Анализ угроз информационной безопасности предприятия.
3)Анализ средств обеспечения информационной безопасности предприятия.
1
ФЗ № 149 «Об информации, информационных технологиях и о защите информации»
4
Глава1.Описание мер по обеспечению информационной
безопасности на предприятии
1.1Организационные меры
Согласно ФЗ № 149 "Об информации, информационных технологиях и о
защите информации", «защита информации представляет собой принятие
правовых, организационных и технических мер, направленных на:
1)обеспечение защиты информации от неправомерного доступа,
уничтожения, модифицирования, блокирования, копирования,
5
предоставления, распространения, а также от иных неправомерных действий
в отношении такой информации;
2)соблюдение конфиденциальности информации ограниченного доступа;
3)реализацию права на доступ к информации».2
Исходя из этого определения, все меры по обеспечению информационной
безопасности можно разделить на три категории:
1)организационные
2)технические
3)правовые
Организационные меры носят административный и процедурный характер и
регламентируют процессы функционирования информационной системы
данных и действия персонала. Следовательно, организационные меры можно
разделить на административные и процедурные меры
Административные меры
Основная цель мер административного характера – создать программу работ
по теме «информационная безопасность» и обеспечить ее выполнение. В
основе
программы
безопасности -
находиться
политика
безопасности.
Политика
это набор документированных решений, принимаемых
руководством организации и нацеленных на достижение высшего уровня
информационной безопасности. Политику безопасности можно считать
стратегией организации в области информационной безопасности.
Для того, чтобы разработать подробную стратегию
и внедрить ее на
реальное предприятие, необходимо для начала согласование различных
политических решений высшего руководства. На основе данной политики
безопасности происходит разработка программы безопасности. Стоит
отметить, что данная политика предоставляет специальные правила,
инструкции
и
нормативы,
которые
напрямую
касаются
персонал
предприятия. Политику безопасности целесообразно рассматривать на трех
уровнях детализации:
ФЗ № 149 «Об информации, информационных технологиях и о защите информации»
2
6
• Верхний уровень
• Средний уровень
• Нижний уровень
Рассмотрим эти уровни подробно:
Верхний уровень.
К верхнему уровню относятся решения, затрагивающие организации в целом.
Они носят общий характер и, обычно, исходят от руководства организации.
Средний уровень
К данному уровню безопасности относятся вопросы, которые касаются
важных
аспектов
обеспечения
информационной
безопасности
для
различных систем на предприятии.
Здесь стоит ответить на следующие вопросы:
• следует ли разрешать сотрудникам переносить данные с домашних
компьютеров на рабочие?
• Следует ли разрешать сотрудникам переносить данные с рабочих
компьютеров на домашние?
Нижний уровень.
Политику безопасности нижнего уровня можно отнести к конкретным
информационным сервисам, различным системам, которые функционируют
отдельно или подсистемам обработки данных.
После формулировки отдельной политики безопасности, можно приступить к
составлению программы обеспечения безопасности, то есть выработке
конкретных мер по реализации политики безопасности.
Обычно программа безопасности разделяется на два уровня:
• верхний,
или
центральный
уровень,
который
охватывает
всю
организацию.
7
• нижний, или служебный, относящийся к отдельным услугам или
группам однородных сервисов.
Данная
программа
возглавляется
лицом,
которое
отвечает
за
информационную безопасность организации. Программа верхнего уровня
должна занимать строго определенное место в деятельности организации,
она должна официально поддерживаться и приниматься руководством, а так
же иметь определенный штат и бюджет.
В данной работе были выделены основные цели и задачи верхнего уровня :
•
«управление рисками, включая оценку рисков и выбор эффективных
средств защиты.
•
координация деятельности в области информационной безопасности,
пополнение и распределение ресурсов.
•
стратегическое планирование. В рамках программы верхнего уровня
принимаются стратегические решения по обеспечению безопасности,
оцениваются
технологические
новинки
обеспечения
защиты
информации. Информационные технологии развиваются очень быстро,
и необходимо иметь четкую политику отслеживания и внедрения
новых средств.
•
контроль деятельности в области информационной безопасности.
Такой контроль имеет двустороннюю направленность. Во-первых,
необходимо гарантировать, что действия организации не противоречат
законам.
Во-вторых,
нужно
постоянно
отслеживать
состояние
безопасности внутри организации, реагировать на случаи нарушений и
дорабатывать защитные меры с учетом изменения обстановки.»3
Программа нижнего уровня
Целью программы нижнего уровня является обеспечение надежной и
экономичной защиты конкретного сервиса или группы сервисов. На этом
3
Макаренко С.И. Информационная безопасность: Учебное пособие
8
уровне происходит решение, по использованию
механизмов защиты;
происходит закупка и установка технических средств; выполняется
повседневное администрирование; отслеживается состояние слабых мест.
Процедурные меры
Процедурные меры безопасности ориентированы на людей, а не на
технические средства. Именно люди формируют режим информационной
безопасности,
и
они
же
оказываются
главной
угрозой.
Поэтому
«человеческий фактор» заслуживает особого внимания.
На процедурном уровне можно выделить следующие классы мер:
1. «Управление персоналом
2. Физическая защита
3. Поддержание работоспособности системы
4. Реагирование на нарушения режима безопасности
5. Планирование восстановительных работ»4
Опишем некоторые из них более подробно:
Управление персоналом начинается еще до приема на работу нового
сотрудника – с составления описания должности. При этом следует
придерживаться двух общих принципов при определении компьютерных
привилегий:
1. «Принцип разделения обязанностей предписывает так распределять
роли и ответственность, чтобы один человек не мог нарушить
критически важный для организации процесс.
2. Принцип минимизации привилегий требует, чтобы пользователям
давались только те права, которые необходимы им для выполнения
Гатчин Ю.А., Сухостат В.В. Теория информационной безопасности и методология защиты информации:
Учебное пособие
4
9
служебных обязанностей.»5
Физическая защита. Безопасность информационной системы зависит от
окружения, в котором она функционирует. Необходимо принять меры для
защиты
зданий
и
прилегающей
территории,
поддерживающей
инфраструктуры, вычислительной техники, носителей информации.
Для поддержания работоспособности информационных систем необходимо
проведение ряда рутинных мероприятий:
1. Поддержка пользователей, то есть консультирование и оказание
помощи при решении различных проблем; при этом важно
выявлять
проблемы,
связанные
с
информационной
безопасностью
2. Поддержка программного обеспечения – это, в первую очередь,
отслеживание того, какое программное обеспечение установлено
на компьютерах. В поддержку программного обеспечения входит
также контроль над отсутствием неавторизованного изменения
программы
3. Резервное
копирование
необходимо
для
восстановления
программ и данных после аварий.
4. Управление
носителями
подразумевает
защиту
носителей
информации, как от несанкционированного доступа, так и от
вредных воздействий окружающей среды
5. Документирование – неотъемлемая часть информационной
безопасности. В виде документов оформляется почти все – от
политики безопасности до журнала учета носителей. При этом
важно, чтобы документация отражала текущее положение дел,
5
Там же
10
чтобы при необходимости ее можно было легко найти, а также,
чтобы она была защищена от несанкционированного доступа
6. Регламентные работы (например, ремонтные) – очень серьезная
угроза безопасности, так как во время их проведения к системе
получают доступ посторонние сотрудники. Здесь очень важна
квалификация и добросовестность этих сотрудников.
Реакция на нарушения режима безопасности преследует следующие цели:
1. Локализация инцидента и уменьшение наносимого вреда
2. Выявление нарушителя
3. Предупреждение повторных нарушений
В
случае
обнаружения
нарушения
режима
безопасности
действия
необходимо предпринимать незамедлительно, поэтому очень важно, чтобы
последовательность действий была спланирована заранее и отражена в
документах. Все сотрудники должны знать, как поступать и к кому
обращаться в случае выявления того или иного нарушения защиты, а также
должны знать, какие последствия ждут их в случае нарушения ими правил
информационной безопасности.
Планирование восстановительных работ позволяет подготовиться к авариям,
уменьшить ущерб от них и сохранить способность функционирования хотя
бы в минимальном объёме. Процесс планирования восстановительных работ
можно разделить на следующие этапы:
1. Выявление наиболее важных функций организации.
2. Определение
ресурсов,
необходимых
для
выполнения
важнейших функций.
3. Определение перечня возможных аварий. При этом важно
разработать “сценарий” аварии, понять, к каким последствиям
они приведут.
11
4. Разработка
стратегии
восстановительных
работ.
Стратегия
восстановительных работ должна базироваться на наличных
ресурсах и быть не слишком накладной для организации; должна
предусматривать не только работы по устранению аварий, но и
возвращение к нормальному функционированию.
5. Подготовка
к реализации
выбранной
стратегии,
то
есть
выработка плана действий в случае аварии, а также меры по
обеспечению дополнительными ресурсами, необходимыми в
случае аварии.
6. Проверка
стратегии,
которая
заключается
в
анализе
подготовленного плана, принятых и намеченных мер.
1.2Технические меры
Программно-технические меры, то есть меры, направленные на контроль
компьютерных сущностей - оборудования, программ и/или данных, образуют
последний и самый важный рубеж информационной безопасности. Далее
будут рассмотрены, с пояснениями, следующие меры:
1. Идентификация и аутентификация;
Идентификацию и аутентификацию можно считать основой программнотехнических средств безопасности, поскольку остальные сервисы рассчитаны
на обслуживание именованных субъектов. Идентификация и аутентификация
– это первая линия обороны информационного пространства организации.
Идентификация позволяет пользователю, процессу, действующему от имени
определенного
пользователя,
или
иному
аппаратно-программному
компоненту назвать себя. Посредством аутентификации вторая сторона
убеждается, что субъект действительно тот, за кого он себя выдает.
«Существует несколько видов аутентификации:
a) Парольная аутентификация
12
Главное достоинство парольной аутентификации – простота и привычность.
Пароли давно встроены в операционные системы и иные сервисы. При
правильном использовании пароли могут обеспечить приемлемый для
многих организаций уровень безопасности. Тем не менее, по совокупности
характеристик их следует признать самым слабым средством проверки
подлинности.
b) Одноразовые пароли
Рассмотренные выше пароли можно назвать многоразовыми; их раскрытие
позволяет злоумышленнику действовать от имени легального пользователя.
Гораздо более сильным средством, являются одноразовые пароли.
c) Идентификация/аутентификация с помощью биометрических данных
Биометрия представляет собой совокупность автоматизированных методов
идентификации и/или аутентификации людей на основе их физиологических
и поведенческих характеристик. К числу физиологических характеристик
принадлежат особенности отпечатков пальцев, сетчатки и роговицы глаз,
геометрия руки и лица. К поведенческим характеристикам относятся
динамика подписи, стиль работы с клавиатурой. На стыке физиологии и
поведения находятся анализ особенностей голоса и распознавание речи.
Главная опасность состоит в том, что любая "пробоина" для биометрии
оказывается фатальной. Пароли, при всей их ненадежности, в крайнем
случае, можно сменить. Утерянную аутентификационную карту можно
аннулировать и завести новую. Палец же, глаз или голос сменить нельзя.
Если биометрические данные окажутся скомпрометированы, придется, как
минимум производить существенную модернизацию всей системы».6
2. Управление доступом;
«С традиционной точки зрения средства управления доступом позволяют
специфицировать и контролировать действия, которые пользователи и
Галатенко В.А. Идентификация и аутентификация, управление доступом. Лекция.
6
13
процессы могут выполнять над информацией и другими компьютерными
ресурсам. В данном разделе речь идет о логическом управлении доступом,
которое, в отличие от физического, реализуется программными средствами.
Логическое
управление
доступом
–
это
основной
механизм
многопользовательских систем, призванный обеспечить конфиденциальность
и целостность объектов и, до некоторой степени, их доступность.»7
3. Протоколирование и аудит;
Под протоколированием понимается сбор и накопление информации о
событиях, происходящих в информационной системе. У каждого сервиса
свой набор возможных событий, но в любом случае их можно разделить на
внешние, внутренние и клиентские. Аудит – это анализ накопленной
информации,
проводимый
оперативно,
в
реальном
времени
или
периодически. Оперативный аудит с автоматическим реагированием на
выявленные
нештатные
ситуации
называется
активным.
Реализация
протоколирования и аудита решает следующие задачи:
a) обеспечение подотчетности пользователей и администраторов;
b) обеспечение
возможности
реконструкции
последовательности
событий;
c) обнаружение попыток нарушений информационной безопасности;
d) предоставление информации для выявления и анализа проблем.
Протоколирование требует для своей реализации здравого смысла. Какие
события регистрировать? С какой степенью детализации? На подобные
вопросы невозможно дать универсальные ответы. Необходимо следить за
тем, чтобы, с одной стороны, достигались перечисленные выше цели, а, с
другой стороны, расход ресурсов оставался в пределах допустимой нормы.
Слишком обширное или подробное протоколирование не только снижает
производительность, но и затрудняет аудит, то есть не увеличивает, а
Галатенко В.А. Идентификация и аутентификация, управление доступом. Лекция.
7
14
уменьшает
информационную
безопасность.
Характерная
особенность
протоколирования и аудита – зависимость от других средств безопасности.
Идентификация и аутентификация служат отправной точкой подотчетности
пользователей,
логическое
управление
доступом
защищает
конфиденциальность и целостность регистрационной информации.
4. Шифрование;
Шифрование – наиболее мощное средство обеспечения конфиденциальности.
Во многих отношениях оно занимает центральное место среди программнотехнических регуляторов безопасности, являясь основой реализации многих
из них, и в то же время последним защитным рубежом. Например, для
портативных компьютеров только шифрование позволяет обеспечить
конфиденциальность данных даже в случае кражи. «Различают два основных
метода шифрования: симметричный и асимметричный»8. В первом из них
один и тот же ключ используется и для зашифровывания, и для
расшифровывания данных. Разработаны весьма эффективные методы
симметричного шифрования. Существует и национальный стандарт на
подобные методы – ГОСТ 28147-89 "Системы обработки информации.
Защита криптографическая. Алгоритм криптографического преобразования".
Основным недостатком симметричного шифрования является тот факт, что
секретный ключ должен быть известен и отправителю, и получателю. С
одной стороны, это создает новую проблему распространения ключей. С
другой стороны, получатель на основании наличия зашифрованного и
расшифрованного сообщения не может доказать, что он получил это
сообщение от конкретного отправителя, поскольку такое же сообщение он
мог сгенерировать самостоятельно.
В асимметричных методах используются два ключа. Один из них,
несекретный, может публиковаться вместе с другими открытыми сведениями
о пользователе, применяется для шифрования, другой, секретный, известный
Шабуров А.С.ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ. Учебно-методическое пособие
8
15
только получателю, – для расшифровывания. Самым популярным из
асимметричных является метод RSA, основанный на операциях с большими
простыми числами и их произведениями.
Существенным недостатком асимметричных методов шифрования является
их низкое быстродействие, поэтому данные методы приходится сочетать с
симметричными.
5. Контроль целостности;
методы
«Криптографические
позволяют
надежно
контролировать
целостность как отдельных порций данных, так и их наборов; определять
подлинность источника данных; гарантировать невозможность отказаться от
совершенных действий.»9
В основе криптографического контроля целостности лежат два понятия:
a) хэш-функция;
Хэш-функция
–
это
труднообратимое
преобразование
данных,
реализуемое, как правило, средствами симметричного шифрования со
связыванием блоков. Результат шифрования последнего блока и
служит результатом хэш-функции.
b) электронная цифровая подпись (ЭЦП).
«Электронная цифровая подпись — информация в электронной форме,
присоединенная к другой информации в электронной или иным
образом
связанная
с
такой
информацией.
Используется
для
определения лица, подписавшего информацию».10
Федеральный закон РФ от 6 апреля 2011 г. № 63-ФЗ «Об электронной
подписи» устанавливает следующие виды ЭП:
« Видами электронных подписей, отношения в области использования
которых регулируются настоящим Федеральным законом, являются простая
9
Шабуров А.С. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ. Учебно-методическое пособие
10
ru.wikipedia.org/wiki/Цифровая_подпись
16
электронная подпись и усиленная электронная подпись. Различаются
усиленная
неквалифицированная
неквалифицированная
электронная
электронная
подпись
подпись)
(далее
и
-
усиленная
квалифицированная электронная подпись (далее - квалифицированная
электронная подпись).
2. Простой электронной подписью является электронная подпись, которая
посредством использования кодов, паролей или иных средств подтверждает
факт формирования электронной подписи определенным лицом.
3. Неквалифицированной электронной подписью является электронная
подпись, которая:
1) получена в результате криптографического преобразования информации с
использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ
после момента его подписания;
4) создается с использованием средств электронной подписи.
4.
Квалифицированной
электронной
подписью
является
электронная
подпись, которая соответствует всем признакам неквалифицированной
электронной подписи и следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном
сертификате;
2) для создания и проверки электронной подписи используются средства
электронной
подписи,
получившие
подтверждение
соответствия
требованиям, установленным в соответствии с настоящим Федеральным
законом.
5.
При
использовании
неквалифицированной
электронной
подписи
сертификат ключа проверки электронной подписи может не создаваться,
если соответствие электронной подписи признакам неквалифицированной
электронной подписи, установленным настоящим Федеральным законом,
17
может быть обеспечено без использования сертификата ключа проверки
электронной подписи».11
6. Экранирование;
С использованием экранирования уменьшается уязвимость внутренних мер
безопасности, поскольку первоначально злоумышленник должен преодолеть
экран, где защитные механизмы сконфигурированы особенно тщательно.
Кроме того, экранирующая система, в отличие от универсальной, может быть
устроена более простым и, следовательно, более безопасным образом.
Экранирование дает возможность контролировать также информационные
потоки, направленные во внешнюю область, что способствует поддержанию
режима конфиденциальности в ИС организации.
7. Анализ защищенности;
Анализ защищенности предназначен для выявления уязвимых мест с целью
их оперативной ликвидации. Сам по себе этот сервис ни от чего не защищает,
но помогает обнаружить пробелы в защите раньше, чем их сможет
использовать злоумышленник. В первую очередь, имеются в виду не
архитектурные,
а
администрирования
бреши,
или
из-за
появившиеся
невнимания
программного обеспечения. Системы
в
результате
к
обновлению
ошибок
версий
анализа защищенности, как и
рассмотренные выше средства активного аудита, основаны на накоплении и
использовании знаний. В данном случае имеются в виду знания о пробелах в
защите: о том, как их искать, насколько они серьезны и как их устранять.
Соответственно, ядром таких систем является база уязвимых мест, которая
определяет доступный диапазон возможностей и требует практически
постоянной актуализации.
8. Туннелирование;
№ 63-ФЗ «Об электронной подписи»
11
18
Туннелирование
следует
рассматривать
как
самостоятельную
меру
безопасности. Его суть состоит в том, чтобы "упаковать" передаваемую
порцию данных, вместе со служебными полями, в новый "конверт".
Туннелирование может применяться для нескольких целей:
a) передачи через сеть пакетов, принадлежащих протоколу, который в
данной сети не поддерживается;
b) обеспечения слабой формы конфиденциальности за счет сокрытия
истинных адресов и другой служебной информации;
c) обеспечения конфиденциальности и целостности передаваемых данных
при использовании вместе с криптографическими сервисами.
1.3 Правовые меры
Законодательство РФ об информации, информационных технологиях и
защите информации основывается на Конституции РФ, международных
договорах РФ и состоит из ФЗ №149 и других федеральных законов.
Все эти документы могут быть поделены на нормативно-правовые
и
нормативно-методические. Основным нормативно-правовым актом в области
информационной безопасности в Российской Федерации является ФЗ № 149
"Об информации, информационных технологиях и о защите информации".
В Законе вводится официальное определение понятия информации:
"Информация - сведения (сообщения, данные) независимо от формы их
представления"12;
определяются
принципы
правового
регулирования
отношений в сфере информации, информационных технологий и защиты
информации. Определяется, так же, круг субъектов, способных быть
обладателем информации, определены права и обязанности обладателя
информации.
ФЗ № 149 "Об информации, информационных технологиях и о защите информации"
12
19
К нормативно-методическим документам можно отнести в свою очередь
можно отнести методические документы и стандарты информационной
безопасности. Методические документы государственных органов России:
1)Доктрина информационной безопасности РФ;
2)Руководящие документы ФСТЭК;
Такие как «Основные мероприятия по организации и техническому
обеспечению безопасности персональных данных, обрабатываемых в
информационных системах персональных данных» ФСТЭК от 15 февраля
2008г, определяющий ряд терминов и положений, связанных с обеспечением
безопасности персональных данных, а так же основные мероприятия по
организации обеспечения безопасности персональных данных и мероприятия
по техническому обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных.
Стандарты информационной безопасности, из которых выделяют:
1)Государственные (национальные) стандарты РФ13:
I.
ГОСТ Р 50922-2006 — Защита информации. Основные термины и
определения.
II.
Р 50.1.053-2005 — Информационные технологии. Основные термины и
определения в области технической защиты информации.
III.
ГОСТ Р 51188—98 — Защита информации. Испытание программных
средств на наличие компьютерных вирусов. Типовое руководство.
IV.
ГОСТ Р 51275-2006 — Защита информации. Объект информатизации.
Факторы, воздействующие на информацию. Общие положения.
V.
ГОСТ Р ИСО/МЭК 15408-1-2008 — Информационная технология.
Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 1. Введение и общая
модель.
Список нормативных документов сформировался с использованием справочно-правовой системы
«КонсультантПлюс» и сайта securitypolicy.ru.
13
20
VI.
ГОСТ Р ИСО/МЭК 15408-2-2008 — Информационная технология.
Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 2. Функциональные
требования безопасности.
VII.
ГОСТ Р ИСО/МЭК 15408-3-2008 — Информационная технология.
Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 3. Требования
доверия к безопасности.
VIII.
ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности
информационных
технологий»
—
стандарт,
определяющий
инструменты и методику оценки безопасности информационных
продуктов и систем; он содержит перечень требований, по которым
можно сравнивать результаты независимых оценок безопасности —
благодаря чему потребитель принимает решение о безопасности
продуктов.
IX.
ГОСТ
Р
ИСО/МЭК
17799
—
«Информационные
технологии.
Практические правила управления информационной безопасностью».
Прямое применение международного стандарта с дополнением —
ISO/IEC 17799:2005.
X.
ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы
безопасности.
Система
управления
безопасностью
информации.
Требования». Прямое применение международного стандарта —
ISO/IEC 27001:2005.
XI.
ГОСТ Р 51898-2002 — Аспекты безопасности. Правила включения в
стандарты.
2)Международные стандарты;
Такие как ISO/IEC 17799:2005 — «Информационные технологии —
Технологии
безопасности
—
Практические
правила
менеджмента
информационной безопасности».
21
Глава 2. Анализ угроз и средств обеспечения информационной
безопасности предприятия
2.1Угрозы информационной безопасности предприятия
Угрозы
Все угрозы информационным ресурсам предприятия можно отнести к одной
из следующих категорий:
1. «Угрозы доступности информации, хранимой и обрабатываемой и
информации, передаваемой по каналам связи;
2. Угрозы целостности информации, хранимой и обрабатываемой и
информации, передаваемой по каналам связи;
3. Угрозы конфиденциальности информации хранимой и обрабатываемой
и информации, передаваемой по каналам связи».14
Гайкович В.Ю., Ершов Д.В.Основы безопасности информационных технологий
14
22
«Угрозы
безопасности
информационных
ресурсов,
сточки
зрения
реализации, можно разделить на следующие группы:
1) Угрозы, реализуемые с использованием технических средств;
2) Угрозы, реализуемые с использованием программных средств;
3) Угрозы, реализуемые путем использования технических каналов
утечки информации».15
Первыми,
в
этой
работе,
будут
описаны
угрозы,
реализуемые
с
использованием технических средств, которые включают в себя приемопередающее и коммутирующее оборудование, оборудование серверов и
рабочих станций, а также линии связи. К этому классу принадлежат угрозы
доступности, целостности и, в некоторых случаях конфиденциальности
информации, хранимой, обрабатываемой и передаваемой по каналам связи,
связанные с повреждениями и отказами технических средств, приемопередающего и коммутирующего оборудования и повреждением линий
связи.
Для технических средств характерны угрозы, связанные с их умышленным
или неумышленным повреждением, ошибками конфигурации и выходом из
строя:
 Вывод из строя;
 Несанкционированное изменение конфигурации активного сетевого
оборудования и приемо-передающего оборудования;
 Физическое повреждение технических средств, линий связи, сетевого и
каналообразующего оборудования;
 Проблемы с питанием технических средств;
 Отказы технических средств;
 Установка непроверенных технических средств или замена вышедших
из строя аппаратных компонент на неидентичные компоненты;
15
Там же
23
 Хищение
технических
средств
и
долговременных
носителей
конфиденциальной информации вследствие отсутствия контроля над
их использованием и хранением.
Следующими будут описаны угрозы, реализуемые с использованием
программных
средств
конфиденциальности,
это
наиболее
целостности
и
многочисленный
доступности
класс
угроз
информационных
ресурсов, связанный с получением несанкционированного доступа к
информации, хранимой и обрабатываемой, а также передаваемой по каналам
связи, при помощи использования возможностей, предоставляемых ПО.
Большинство рассматриваемых в этом классе угроз реализуется путем
осуществления локальных или удаленных атак на информационные ресурсы
системы внутренними и внешними злоумышленниками. Результатом
успешного
осуществления
этих
угроз
становится
получение
несанкционированного доступа к информации баз данных и файловых
систем корпоративной сети, данным, конфигурации маршрутизаторов и
другого активного сетевого оборудования.
В этом классе рассматриваются следующие основные виды угроз:
 Внедрение вирусов и других разрушающих программных воздействий;
 Нарушение целостности исполняемых файлов;
 Ошибки кода и конфигурации ПО, активного сетевого оборудования;
 Модификация ПО;
 Наличие в ПО недекларированных возможностей, оставленных для
отладки, либо умышленно внедренных;
 Использование уязвимостей ПОдля взлома программной защиты с
целью получения несанкционированного доступа к информационным
ресурсам или нарушения их доступности;
 Выполнение одним пользователем несанкционированных действий от
имени другого пользователя;
 Раскрытие, перехват и хищение секретных кодов и паролей;
24
 Загрузка и установка в системе не лицензионного, непроверенного
системного и прикладного ПО;
Отдельно следует рассмотреть угрозы, связанные с использованием сетей
передачи данных. Данный класс угроз характеризуется получением
внутренним или внешним нарушителем сетевого доступа к серверам баз
данных и файловым серверам, маршрутизаторам и активному сетевому
оборудованию. Здесь выделяются следующие виды угроз, характерные для
предприятия:
 перехват информации на линиях связи путем использования различных
видов анализаторов сетевого трафика;
 замена, вставка, удаление или изменение данных пользователей в
информационном потоке;
 перехват информации, передаваемой по каналам связи, с целью ее
последующего
использования
для
обхода
средств
сетевой
аутентификации;
 статистический анализ сетевого трафика.
Последними в этом списке находятся угрозы утечки информации по
техническим каналам связи.
Виды технических каналов утечки информации:
«При проведении работ с использованием конфиденциальной информации и
эксплуатации технических средств возможны следующие каналы утечки или
нарушения целостности информации или работоспособности технических
средств:
 побочные электромагнитные излучения информативного сигнала от
технических средств и линий передачи информации;
 акустическое излучение информативного речевого сигнала или
сигнала, обусловленного функционированием технических средств
обработки информации;
25
 несанкционированный доступ к информации, обрабатываемой в
автоматизированных системах;
 хищение технических средств с хранящейся в них информацией или
отдельных носителей информации;
 просмотр информации с экранов дисплеев и других средств ее
отображения с помощью оптических средств;
 воздействие на технические или программные средства в целях
нарушения целостности информации, работоспособности технических
средств».16
Кроме
перехвата
информации
техническими
средствами
возможно
непреднамеренное попадание конфиденциальной информации к лицам, не
допущенным к ней, но находящимся в пределах контролируемой зоны.
Утечка информации возможна по следующим каналам:
 Радиоканалы;
 ИК-канал;
 Ультразвуковой канал;
 Проводные линии.
2.2Анализ средств обеспечения информационной безопасности
предприятия
Существует немалое количество средств обеспечения информационной
безопасности предприятия. В этой работе был исследован комплекс
инженерно-технической защиты(ИТЗ), состоящий из:
 Физических средств защиты;
 Аппаратных средств защиты;
 Программной защиты информации;
Зайцев А.П., Шелупанов А.А.,Мещеряков Р.В., Скрыль С.В., Голубятников И.В., Технические средства и
методы защиты информации: Учебник для вузов
16
26
 Криптографических средств защиты;
Рассмотрим часть комплекса последовательно. К физическим средствам
защиты можно отнести разнообразные приспособления, конструкции,
изделия,
и
прочие
устройства
для
создания
барьеров
на
пути
злоумышленников. К подобным средствам защиты относятся устройства
любого типа, воспрещающие несанкционированный доступ (НСД) и других
несущих вред действий. Подобные средства применяются для охраны
территории предприятия, зданий, помещений, оборудования, продукции и
финансов, а так же для наблюдения за ними. Особо нужно выделить
контроль доступа в охраняемые здания и помещения. Все подобные средства
защиты делятся на три типа, по типу воздействия, на предупреждающие,
обнаруживающие
и
ликвидирующие.
Согласно
учебному
пособию
Корнюшина П.Н., Костерина А.С.«В общем плане по физической природе и
функциональному назначению все средства этой категории можно разделить
на следующие группы:
 охранные и охранно-пожарные системы;
 охранное телевидение;
 охранное освещение;
 средства физической защиты».17
Следующий набор средств - аппаратные средства защиты информации. Они
включают в себя разного рода технические устройства,
созданные для
защиты информации от разглашения, утечки и несанкционированного
доступа.К ним относятся самые разные по принципу работы, устройству и
возможностям
технические
средства,
обеспечивающие
пресечение
разглашения, защиту от утечки и противодействие НСД к источникам
конфиденциальной информации.
Корнюшин П.Н., Костерин А.С. Информационная безопасность: Учебное пособие
17
27
Использование аппаратных средств защиты информации позволяет решать
такие задачи как проведение специальных исследований технических средств
на наличие возможных каналов утечки информации, могутпомочь в
обнаружении каналов утечки информации и локализовать их, способствуют
обнаружению средств промышленного шпионажа, и останавливают НСД к
конфиденциальной
информации.
Классифицируются
на
средства
обнаружения, средства поиска и детальных измерений, средства активного и
пассивного противодействия. Поисковую аппаратуру можно подразделить на
аппаратуру поиска средств съема информации и исследования каналов ее
утечки. Аппаратные средства и методы защиты распространены очень
широко, однако при раскрытии принципов действия могут потерять большую
часть своей полезности.
Еще одна немаловажная часть комплекс инженерно-технической защиты программная защита информации.Состоит из специальных программ,
реализующих принципы информационной безопасности. Существует четыре
направления программ направленных на защиту информации.Первое это
защита информации от несанкционированного доступа. Состоит из трех
основных функций:
 «идентификация субъектов и объектов;
 разграничение доступа к вычислительным ресурсам и информации;
 контроль и регистрация действий с информацией и программами.»18
Самым
популярным
методом
идентификации
является
парольная
идентификация. Однако надо учитывать, что пароль можно перехватить,
подслушать или подсмотреть и даже угадать.
Второе направление это защита от копирования. Средства защиты от
копирования
предотвращают
нелегальное
копирование
программного
обеспечения и являются в настоящее время единственно надежным
средством,
которое
защищает
авторское
право
разработчиков.
Под
МалининаЛ.А Основы информатики: Учебник для вузов
18
28
средствами защиты от копирования понимаются средства, обеспечивающие
выполнение программой своих функций только при опознании некоторого
уникального некопируемого элемента. Таким элементом может быть
определенная часть компьютера или специальное устройство.
Последнее направление это защита от разрушения информации. Из-за того
что причины разрушения информации весьма разнообразны, проведение
защитных мероприятий обязательно для всех, кто пользуется компьютером.
Программные средства и методы защиты являются одними из самых
надежных.
Четвертая часть ИТЗ это криптографические средства.Это специальные
математические
средства
защиты
информации,
передаваемой
и
обрабатываемой на ЭВМ с использованием разнообразных методов
шифрования.Криптографические методы занимают почти самое важное
место и выступают самым надежным средством обеспечения защиты
информации на длительные периоды.
29
Глава 3. Разработка комплекса рекомендаций на основе анализа
крупных и малых предприятий.
3.1 Анализ крупного предприятия.
Вследствие высоких тенденций к повсеместной информатизации, крупные
предприятия обычно обладают разветвленной инфраструктурой. В крупных
компаниях
имеющих
разветвленную
структуру,
важным
является
возможность головной компании контролировать ситуацию в своих дочерних
предприятиях. Причем контролировать необходимо не только рядовых
сотрудников, но и тех, кто отвечает за информационную безопасность на
местах. Этот контроль необходим для того, чтобы принимаемые в головной
компании стандарты и политики безопасности в обязательном порядке
применялись на местах. Организация такого контроля является одной из
важнейших задач службы безопасности головной компании. Подобные
инфраструктуры, так же очень чувствительны к любым деструктивным
воздействиям. Поэтому крупные предприятия тратят много денег и прочих
30
ресурсов на
периодический анализ защищенности информационной
инфраструктуры, в идеале охватывая все виды угроз, а также динамику их
развития.
Для
крупной
компании
с
"неповоротливой"
системой
информационной безопасности прогнозирование угроз и своевременная, а
иногда и опережающая, реакция на угрозы крайне необходима для
минимизации возможных повреждений. Однако, крупные компании имеют
одно очень важное свойство: они могут, с очень большой вероятностью,
восстановиться после атаки до изначального состояния. Это отнимет
огромное количество ресурсов, средств и времени, но подобный исход
крайне вероятен для крупной компании, пострадавшей от атаки или какоголибо другого вредоносного воздействия со стороны.
Аудит информационной безопасности является одним из основных средств
для объективной оценки текущего состояния информационной безопасности
компании, а также ее адекватности поставленным целям и задачам бизнеса.
Так же он способствует оценки количества вложений в информационную
безопасность, ведь для крупных компаний затраты на информационную
безопасность являются очень ощутимыми. Очень важно, для крупной
компании, балансировать на грани "стоимость или эффективность", величина
вложения должна быть достаточной для эффективной работы системы
информационной
безопасности,
ведь
возможный
ущерб
от
несанкционированных действий может быть гораздо большим и очень важно
не допустить его, а если это не возможно то снизить его на столько, на
сколько это возможно. Однако, вследствие невозможности постоянной
качественной оценки эффективности инвестиций в информационную
безопасность, руководство крупных предприятий нередко стремится снизить
эти затраты, сомневаясь в необходимости значительных вложений в данную
область.
В любой компании политика безопасности играет очень важную роль. В
крупной компании директор или руководитель отдела, как правило, не
является специалистом в области компьютерной безопасности, и его попытки
31
вмешиваться в техническую сторону вопроса будут всегда приводить к
неприятным последствиям. Если же в организации разработана политика
информационной безопасности, в которой четко прописаны обязанности и
уровень доступа самых разных сотрудников, то руководство может легко, и
что главное, с пользой для общего дела, контролировать выполнение этих
правил. Вовлечение руководства компании в дело информационной
безопасности
приносит
огромную
вспомогательную
выгоду
-
оно
значительно увеличивает приоритет безопасности, что положительно
сказывается на общем уровне безопасности компании. Так как сейчас, как
правило,
политика
безопасности
публикуется,
она
может
служить
дополнительным доводом для потенциальных клиентов или инвесторов,
специалисты другой компании могут сами оценить уровень компетентности
ваших специалистов. Все большее число крупных российских, а тем более
иностранных, компаний требуют доказательства обеспечения достаточного
уровня надежности и безопасности, в том числе и информационной, своих
инвестиций и ресурсов. Без наличия в организации профессиональной
политики безопасности с ней, в большинстве случаев, просто не будут иметь
никаких контактов. Также политика безопасности это - совершенный
стандарт, которым может быть измерена целесообразность и окупаемость
затрат на компьютерную защиту. Но у подобной политики безопасности есть
несколько важных минусов. Первый, и основной, обычно подобные
политики очень массивны, и наполнены специальными терминами, не всегда
понятными обывателям. (см Приложение 1)
Из прочих методов и средств обеспечения информационной безопасности
крупные компании предпочитают системы обеспечения информационной
безопасности и им подобные комплексы. Используются они для упрощения,
ведь основной минус подобных комплексов – цена, крупные предприятия
почти не тревожит из-за сильного упрощения процесса управления
информационной безопасностью.
32
3.2 Анализ малого предприятия
Особенностью компаний малого бизнеса является то, что им, как правило, не
нужны формальные процедуры проверки и сертификаты на соответствие
стандартам и требованиям, которые исходят от внешнего потребителя,
инвестора или аудитора. Они могут позволить себе работать, следуя логике
развития собственного бизнеса. Аудит все еще необходим, как мера оценки
текущего
состояния
значительно
реже.
информационной
Вследствие
низких
безопасности,
затрат
на
но
проводится
информационную
безопасность в целом, инструменты прогнозирования угроз задействованы в
меньшей степени. А из-за размера самого предприятия вероятность
оправиться после атаки достаточно мала. Многие представители малого и
среднего бизнеса используют неэффективные инструменты защиты, в
частности переходят на использование бесплатных и нелицензионных
антивирусных решений. А обеспечить эффективную систему безопасности
малым компания не дает набор трудностей, включая недостаточное
финансирование, нехватку квалифицированных кадров и непонимание
рисков со стороны руководящего звена. Однако следует добавить, что многие
проблемы решаются простыми способами даже в условиях ограниченных
ресурсов. Например, такие простые меры, как дополнительное обучение
сотрудников и применение нескольких простых мер по обеспечению
безопасности.
33
Рис.1 Меры применяемые малыми компаниями для обеспечения
информационной безопасности в Москве и Регионах
Однако если говорить о политике безопасности в малых компаниях, то
следует заметить, что она более удобна обывателю, короче и почти всегда
лишена той завышенной сложности политики крупных компаний. (см
Приложение 2)
Комплексные системы большей частью не по карману малым предприятиям,
но все больше продавцов смотрит в сторону малого бизнеса, предлагая
доступные комплексные решения для этого сегмента рынка.
3.3 Сводный комплекс мер и средств по обеспечению
информационной безопасности предприятия
Исходя из проведенного в данной работе анализа, можно сформировать
сводный комплекс мер и средств по обеспечению информационной
безопасности.
Политика безопасности компании должна быть читабельна для любого
человека независимо от его познаний, она должна быть достаточно
лаконична и не содержать лишних параграфов. Подобная политика,
34
выложенная в открытый доступ, привлечет больше инвесторов, клиентов и
специалистов.
Установка комплекса или системы по обеспечению информационной
безопасности возможна и желательна, только в случае ее окупаемости. В
других условиях подобный комплекс становиться убыточным. В случае
невозможности установить подобный комплекс необходимо воспользоваться
дешевыми аналогами. Если подобные отсутствуют необходимо установить
комплекс отдельными частями, используя имеющиеся средства и ресурсы,
такие как встроенный фаерволл и маршрутизатор модема для создания
межсетевого экрана. Пользоваться бесплатными или нелицензионными
средствами категорически нельзя из-за ненадежности первых и риске
понести
уголовную
или
административную
ответственность
за
использование вторых. Если на предприятии не хватает специалистов, и нет
ресурсов для найма, можно дополнительно обучить нескольких сотрудников.
Аудит очень важная часть любой системы обеспечения информационной
безопасности. Однако если средств на полноценный аудит не хватает, то
лучше его не проводит во избежание растраты средств.
35
Заключение
Таким образом, в данной дипломной работе был дана характеристика защиты
информации, а также различные теоретические аспекты обеспечения
информационной безопасности, понятие политики безопасности и угроз
безопасности,
необходимые
для
полноценного
понимания
системы
обеспечения информационной безопасности. Было проведено исследование
мер и средств по обеспечению информационной безопасности. Был проведен
сравнительный анализ мер и средств крупного и малого предприятий. И на
основе этого анализа был разработан сводный комплекс мер и средств по
обеспечению информационной безопасности предприятия.
36
Список литературы
1. №149-ФЗ «ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ
И О ЗАЩИТЕ ИНФОРМАЦИИ»
2. "ГРАЖДАНСКИЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ" (ГК РФ)Часть 4
3. № 63-ФЗ «Об электронной подписи»
4. ГОСТ Р 50922-2006 — Защита информации.
5. Р 50.1.053-2005 — Информационные технологии.
6. ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на
наличие компьютерных вирусов. Типовое руководство.
7. ГОСТ Р 51275-2006 — Защита информации. Объект информатизации. Факторы,
воздействующие на информацию. Общие положения.
8. ГОСТ Р ИСО/МЭК 15408-1-2008 — Информационная технология. Методы и
средства обеспечения безопасности. Критерии оценки безопасности
информационных технологий. Часть 1. Введение и общая модель.
9. ГОСТ Р ИСО/МЭК 15408-2-2008 — Информационная технология. Методы и
средства обеспечения безопасности. Критерии оценки безопасности
информационных технологий. Часть 2. Функциональные требования безопасности.
10. ГОСТ Р ИСО/МЭК 15408-3-2008 — Информационная технология. Методы и
средства обеспечения безопасности. Критерии оценки безопасности
информационных технологий. Часть 3. Требования доверия к безопасности.
11. ГОСТ Р ИСО/МЭК 15408 — Общие критерии оценки безопасности
информационных технологий
12. ГОСТ Р ИСО/МЭК 17799 — Информационные технологии. Практические правила
управления информационной безопасностью
13. ГОСТ Р ИСО/МЭК 27001 — Информационные технологии. Методы безопасности.
Система управления безопасностью информации. Требования.
14. А.А. Парошин Нормативно-правовые аспекты защиты информации.
37
15. Гатчин Ю.А., Сухостат В.В. Теория информационной безопасности и методология
защиты информации: Учебное пособие.
16. Гайкович В.Ю., Ершов Д.В.Основы безопасности информационных технологий
17. Зайцев А.П., Шелупанов А.А.,Мещеряков Р.В., Скрыль С.В., Голубятников И.В., Технические
средства и методы защиты информации: Учебник для вузов
18. Макаренко С.И. Информационная безопасность: Учебное пособие
19. МалининаЛ.А Основы информатики: Учебник для вузов
20. Корнюшин П.Н., Костерин А.С. Информационная безопасность: Учебное пособие
21. Галатенко В.А. Идентификация и аутентификация, управление доступом. Лекция.
22. Шабуров А.С.ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ.
Учебно-методическое пособие
23. ru.wikipedia.org/wiki/Цифровая_подпись
24. securitypolicy.ru.
38
Приложение 1 Политика безопасности крупного предприятия.
39
40
41
42
43
44
45
Приложение 2 Политика безопасности малого предприятия
46