Угроза ИБ -- возможная причина нежелательного инцидента, который может нанести ущерб системе или организации.

Уязвимость -- слабое место актива или меры средства контроля и управления, которое может быть использовано угрозой.

Согласно ГОСТ Р ИСО/МЭК 27005-2010 [15] риск ИБ -- возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации.

Анализ риска -- систематическое использование информации для выявления источников и оценки риска. Анализ риска включает в себя идентификацию риска и установление значения риска.

3.8 Угрозы корпоративной сети предприятия

Распределенные ИТ-системы характеризуются тем, что наряду с локальными угрозами, к ним применим так называемый тип удаленных угроз [3, 9]. Удаленные угрозы представляют собой злонамеренное воздействие на корпоративную сеть программно по каналам связи. В общем смысле удаленные угрозы можно разделить на два вида:

1) удаленные угрозы на инфраструктуру и протоколы сети -- они используют уязвимости в инфраструктуре и сетевых протоколах;

2) удаленные угрозы на телекоммуникационные службы --используют уязвимости в телекоммуникационных службах.

По характеру воздействия удаленные угрозы делятся на:

1) активные, которые влияют на работу сети;

2) пассивные, которые не оказывают непосредственного влияния на работу сети (например, прослушивание).

По цели воздействия удаленные угрозы можно разделить на:

1) нарушающие конфиденциальность информации (раскрытие);

2) нарушающие целостность информации (целостность систем);

3) нарушающие доступность информации (отказ в обслуживании).

По условию начала осуществления ответственности:

1) атака по запросу от атакуемого объекта (например, DNS-запроса);

2) атака по наступлению ожидаемого события на атакуемом объекте (например, в операционной системе);

3) безусловная атака (немедленная атака).

По наличию обратной связи с атакуемым объектом:

1) с обратной связью (ожидается ответ от атакуемого объекта);

2) без обратной связи (однонаправленная атака).

По расположению источника (субъекта) атаки:

1) внутрисегментная атака (субъект и объект атаки находятся в одном сегменте сети);

2) межсегментная атака (субъект и объект атаки находятся в разных сегментах сети).

По уровню модели OSI, на котором осуществляется воздействие:

1) атака на физическом уровне;

2) атака на канальном уровне;

3) атака на сетевом уровне;

4) атака на транспортном уровне;

5) атака на сеансовом уровне;

6) атака на представительном уровне;

7) атака на прикладном уровне.

Полная классификация сетевых удаленных угроз (атак), методов противодействия, а также уязвимостей корпоративной сети НПО «Ассоциация К» приведена в главе 1 (раздел 1.3).

3.9 Анализ рисков информационной безопасности предприятия с помощью средства оценки безопасности Microsoft Security Assessment Tool

Описание MSAT

Инструмент оценки безопасности Microsoft Security Assessment Tool (MSAT) предназначен для помощи организациям в оценки уязвимостей ИТ-среды. Он позволяет предоставить список расставленных по приоритетам проблем и список рекомендаций по минимизации этих угроз, а затем регулярно проверять способность инфраструктуры отвечать на эти угрозы [13].

MSAT применяет целостный подход к измерению уровня безопасности и охватывает такие темы, как персонал, процессы и технологии. Основные возможности MSAT.

1. Предоставляет понятную, исчерпывающую и постоянную осведомленность об уровне безопасности.

2. Описывает инфраструктуру эшелонированной защиты, соответствующую отраслевым стандартам.

3. Предоставляет подробные, постоянные отчеты, сравнивающие базовые показатели с достигнутыми успехами.

4. Описывает проверенные рекомендации и расставленные по приоритетам действия по улучшению безопасности.

5. Предоставляет структурированные рекомендации от компании Microsoft в зависимости от отраслевой принадлежности.

Опросник MSAT состоит из более 200 вопросов, охватывающих инфраструктуру, приложения, операции и персонал. Вопросы, связанные с ними ответы и рекомендации выводятся из общепринятых практических рекомендаций, стандартов, таких как ISO 27000 и NIST-800.x, а также рекомендаций и предписаний от группы надежных вычислений Microsoft и других внешних источников по безопасности.

Начиная с серии вопросов о бизнес-модели компании, MSAT создает профиль бизнес-риска (BRP), измеряя риск, связанный с действиями компании, согласно отраслевым и бизнес-моделям, определенным BRP. Вторая серия вопросов предназначена для составления списка мер безопасности, развернутых компанией с течением времени. Вместе эти меры безопасности образуют уровни защиты, предоставляя большую защищенность от угроз безопасности и конкретных уязвимостей. Каждый уровень вносит вклад в комбинированную стратегию глубокой защиты. Их сумма называется индексом глубокой защиты (DiDI). Затем BRP и DiDI сравниваются, чтобы измерить распределение угроз по областям анализа -- инфраструктуре, приложениям, операциям и людям.

Помимо вышеупомянутых показателей MSAT также измеряет уровень безопасности организации. Уровень безопасности подразумевает развитие высокоэффективных и стабильных методик обеспечения безопасности. При низком значении используется ограниченное число методов защиты, а действия предпринимаются постфактум. При высоком значении практикуются устоявшиеся и проверенные процессы, которые позволяют компании предпринимать упреждающие меры и при необходимости реагировать еще эффективнее и согласованнее.

MSAT предназначена для широкого охвата областей потенциального риска в среде, а не для предоставления глубокого анализа конкретных технологий или процессов. Поэтому, средство не может оценивать эффективность примененных мер безопасности. Его следует использовать как предварительное руководство, помогающее в разработке базовых показателей для концентрации на конкретных областях, требующих более пристального внимания. MSAT можно запускать регулярно.

В таблице 6 перечислены области, включенные в оценку угроз безопасности.

Таблица 6. Категории оценки и их важность

Инфраструктура	Важность для безопасности
Защита периметра	Защита периметра касается безопасности на границах сети, где внутренняя сеть соединяется с внешним миром. Она составляет первую линию обороны против нарушителей.
Проверка подлинности	Строгие процедуры проверки подлинности для пользователей, администраторов и удаленных пользователей предотвращают получение доступа к сети чужаками путем использования локальных и удаленных атак.
Управление и наблюдение	Управление, наблюдение и правильное ведение журнала имеют ключевое значение для поддержки и анализа ИТ-сред. Эти средства еще более важны после того, как атака произошла и требуется анализ инцидента.
Рабочие станции	Защита отдельных рабочих станций является ключевым фактором в защите любой среды, особенно когда разрешен удаленный доступ. Рабочие станции должны обладать мерами безопасности для защиты от распространенных атак.
Приложения	Важность для безопасности
Развертывание и использование	Когда ключевые для бизнеса приложения развертываются в производственной среде, необходимо защитить безопасность и доступность этих приложений и серверов. Постоянное обслуживание важно для надежного исправления ошибок безопасности и избегания внесения в среду новых ошибок.
Проектирование приложений	Проектирование, которое не в должной мере решает вопросы с такими механизмами безопасности, как проверка подлинности, авторизация и проверка данных, может позволить взломщикам воспользоваться уязвимостями безопасности и таким образом получить доступ к важной информации. Безопасные методологии разработки приложений являются ключом к обеспечению того, что разработанные самостоятельно или подрядчиком приложения решают проблемы с моделью угроз, способной создать уязвимости в защите организации. Целостность и конфиденциальность данных является одной из крупнейших забот для любого бизнеса. Потеря или кража данных может отрицательно сказаться на прибыли организации, равно как и на ее репутации. Важно понимать, как приложения обрабатывают ключевые для бизнеса данные и как эти данные защищены.
Эксплуатация	Важность для безопасности
Среда	Безопасность компании зависит от рабочих процедур, процессов и рекомендаций, примененных к среде. Они повышают безопасность организации, включая в себя больше, чем просто технологии. Точное документирование среды и наличие руководств имеют ключевое значения для способности рабочей группы управлять, поддерживать и обслуживать безопасность среды.
Политика безопасности	Корпоративной политикой безопасности именуется коллекция отдельных политик и рекомендаций, существующих для управления безопасным и верным использованием технологии и процессов внутри организации. Эта область охватывает политики, касающиеся всех типов безопасности, таких как безопасность пользователя, системы и данных.
Резервное копирование и восстановление	Резервное копирование и восстановление имеют ключевое значение для поддержания бесперебойности бизнес-операций в случае несчастья или сбоя оборудования/программного обеспечения. Отсутствие должных процедур резервного копирования и восстановления может привести к значительным потерям данных и продуктивности. Под угрозой может оказаться репутация компании и торговой марки.
Управление исправлениями и обновлениями	Хорошее управление исправлениями и обновлениями важно в обеспечении безопасности ИТ-среды организации. Своевременное применение обновлений и исправлений необходимо, чтобы помочь в защите от известных и потенциальных уязвимостей.
Персонал	Важность для безопасности
Требования и оценки	Требования безопасности должны быть понятны всем, кто принимает решения, чтобы их технические и бизнес-решения улучшали безопасность, а не конфликтовали с ней. Регулярные оценки сторонними консультантами могут помочь компании в обозрении, оценке и определении областей для улучшений.
Политики и процедуры	Четкие, практичные процедуры по управлению отношениями с поставщиками и партнерами могут помочь в предотвращении создания угроз компании. Процедуры, охватывающие наем и увольнение сотрудников, могут помочь защитить компанию от беспринципных или обозленных сотрудников.
Подготовка и осведомленность	Сотрудники должны быть обучены и осведомлены о политиках безопасности и о том, как безопасность касается их обязанностей, чтобы они случайно не подвергли компанию большей угрозе.

Результаты оценки MSAT

На основании ответов на предложенные в опроснике MSAT вопросы был сформирован подробный отчет о текущем состоянии уровня безопасности на рассматриваемом предприятии. Этот отчет представлен в Приложении.

Далее выделю основные моменты.

-- профиль риска для бизнеса (ПРБ(BRP)): величина измерения риска, которому подвергается организация, в зависимости от бизнес-среды и отрасли, в условиях которых она конкурирует.

Показатель ПРБ находится в диапазоне от 0 до 100, где более высокая оценка подразумевает более высокий показатель потенциального риска для бизнеса в данной специфической области анализа. Важно отметить, что нулевое значение в данном случае невозможно, так как деловая деятельность сама по себе подразумевает наличие какого-то уровня риска. Кроме того, важно понимать, что существуют определенные аспекты ведения бизнеса, для которых отсутствует прямая стратегия снижения риска.

-- индекс эшелонированной защиты (DiDI): величина измерения защитных мер по обеспечению безопасности, используемых в отношении персонала, процессов и технологий для снижения рисков, выявленных на предприятии.

Индекс DiDI также находится в диапазоне от 0 до 100. Высокий показатель свидетельствует о среде, в которой было принято множество мер для развертывания стратегий эшелонированной защиты в конкретной области. Показатель DiDI не отражает общей эффективности безопасности или же ресурсы, затраченные на безопасность. Это, скорее, отражение общей стратегии, использованной для защиты среды.

На первый взгляд, может показаться, что низкий показатель ПРБ и высокий показатель DiDI -- это хороший результат, но это не всегда так. Масштаб данной самооценки не предусматривает все факторы, которые следует принять во внимание. При значительной диспропорции между показателями ПРБ и DiDI в конкретной области анализа рекомендуется изучить ее как можно глубже. При анализе результатов важно учитывать индивидуальные показатели, как для ПРБ, так и DiDI, по отношению друг к другу. Стабильная среда, вероятно, будет представлена сравнительно одинаковыми показателями во всех областях. Разница между показателями DiDI -- это явный признак того, что общая стратегия безопасности базируется на одной методике снижения риска. Если стратегия обеспечения безопасности не уравновешивает аспекты, связанные с персоналом, процессами и технологиями, то для среды существует вероятность повышенной уязвимости для злонамеренных атак.

Несмотря на то, что по всем областям анализа индекс DiDI превосходит индекс BRP и создается впечатление высокой защищенности предприятия, результирующая таблица уровня безопасности выглядит следующим образом.

Таблица 7. Общий анализ уровня безопасности

Области анализа	Сравнение риска и защиты	Уровень безопасности
Инфраструктура	?	?
Приложения	?	?
Операции	?	?
Персонал	?	?



Уровень безопасности -- это величина измерения способностей организации к эффективному использованию инструментов, доступных для создания стабильного уровня безопасности по многим дисциплинам.

Исходя из ответов на вопросы, связанных с оценкой рисков, имеющимся на предприятии защитным мерам присвоены рейтинги (таблица 8).

Таблица 8. Рейтинги существующих мер безопасности

Инфраструктура	?
Защита по периметру	?
Правила и фильтры межсетевого экрана	?
Антивирус	?
Антивирус - Настольные компьютеры	?
Антивирус - Серверы	?
Удаленный доступ	?
Сегментация	?
Система определения вторжения (IDS)	?
Беспроводная связь	?
Проверка подлинности	?
Административные пользователи	?
Внутренние пользователи	?
Пользователи с удаленным доступом	?
Политики паролей	?
Политики паролей - Учетная запись администратора	?
Политики паролей - Учетная запись пользователя	?
Политики паролей - Учетная запись для удаленного доступа	?
Неактивные учетные записи	?
Управление и контроль	?
Нарушения безопасности: реагирование и создание отчетов	?
Защищенная сборка	?
Физическая безопасность	?
Приложения	?
Развертывание и использование	?
Балансировка нагрузки	?
Кластеризация	?
Восстановление приложений и данных	?
Независимый сторонний поставщик программного обеспечения	?
Внутренняя разработка	?
Уязвимые места в системе	?
Схема приложения	?
Проверка подлинности	?
Политики паролей	?
Авторизация и управление доступом	?
Ведение журнала	?
Подтверждение ввода	?
Методологии разработки систем безопасности программного обеспечения	?
Хранение данных и связь	?
Шифрование	?
Шифрование - Алгоритм	?
Операции	?
Среда	?
Узел управления	?
Узел управления - Серверы	?
Узел управления - Сетевые устройства	?
Политика безопасности	?
Классификация данных	?
Утилизация данных	?
Протоколы и службы	?
Правильное использование ресурсов	?
Управление учетными записями	?
Управление	?
Политика безопасности	?
Управление средствами исправления и обновления	?
Документация о сети	?
Поток данных приложений	?
Управление средствами исправления	?
Управление изменениями и конфигурация	?
Архивация и восстановление	?
Файлы журнала	?
Планирование аварийного восстановления и возобновления деятельности предприятия	?
Архивация	?
Резервные носители	?
Архивация и восстановление	?
Персонал	?
Требования и оценки	?
Требования по безопасности	?
Оценки безопасности	?
Политика и процедуры	?
Проверка в фоновом режиме	?
Политика отдела кадров	?
Сторонние взаимосвязи	?
Обучение и осведомленность	?
Осведомленность о безопасности	?
Обучение в области безопасности	?

В некоторых областях анализа существует недостаток передовых методик, и для повышения безопасности среды они требуют усовершенствования. В таблице 9 представлены приоритетные меры по защите информации, которые необходимо предпринять.

Таблица 9. Приоритет необходимых мер безопасности

Высокий приоритет	Средний приоритет	Низкий приоритет
ѕ Защищенная сборка ѕ Сегментация ѕ Уязвимые места в системе ѕ Алгоритм шифрования ѕ Удаленный доступ	ѕ Ведение журнала ѕ Сторонние взаимосвязи ѕ Файлы журнала ѕ Резервные носители ѕ Оценки безопасности	ѕ Политика правильного использования ресурсов ѕ Архивация ѕ Антивирус - Настольные компьютеры ѕ Антивирус - Серверы ѕ Политики паролей - Учетная запись администратора



Глава 4. Рекомендации по повышению эффективности защиты информации в корпоративной сети передачи данных

В результате проведенного с помощью MSAT анализа рисков на рассматриваемом предприятии предлагаются следующие рекомендации по повышению уровня безопасности корпоративной среды, сгруппированные по областям анализа. информационный безопасность сеть защита

4.1 Инфраструктура

1. Необходимо развернуть межсетевые экраны во всех офисах и подразделениях компании, где они еще не развернуты, а также регулярно проверять их работу. Согласно описанной выше инфраструктуре рассматриваемого предприятия допускается организация локальных сетей без сетевого экрана, что повышает риск нарушения безопасности данных. Следует избегать таких топологий и стараться размещать в филиалах как минимум экраны уровня «малого бизнеса», такие как D-Link NetDefend UTM Firewall.

2. Желательно развернуть межсетевые экраны для конкретных серверных ресурсов внутри сети и обеспечить фильтрацию трафика для предотвращения несанкционированных подключений. В настоящий момент в корпоративной сети межсетевые экраны размещаются только по периметру.

3. Необходимо выделить публичные ресурсы в DMZ-зону и ограничить к ней доступ из общей сети. Для рассматриваемого предприятия этими ресурсами могу служить почтовый и терминальный сервер, а также сервер IP-телефонии.

4. Необходимо установить антивирусное программное обеспечение на все серверы и настольные компьютеры предприятия. В настоящий момент на почтовом сервере, шлюзе доступа, файловом сервере и сервере резервного копирования нет антивирусного ПО. Для этих серверов на операционной системе CentOS можно использовать, например, Clam AntiVirus (ClamAV) -- свободно распространяемый антивирус, работающий в UNIX-подобных операционных системах [22]. Также нужно регулярно обновлять сигнатуры вирусов и настроить централизованное управление.

5. Рекомендуется рассмотреть возможность развертывания многофакторной проверки подлинности для VPN-соединений. В настоящий момент используется доменная авторизация.

6. Необходимо обеспечить полную сегментацию сети посредством технологии VLAN. В рассматриваемой инфраструктуре VLAN не используется, хотя большая часть сетевого оборудования (производителя HP) эту функцию поддерживает. Необходимо выделить в отдельные VLAN-ы схожие ресурсы (серверные и другие), также целесообразно использовать сегментацию по подразделениям.

7. Необходимо рассмотреть возможность развертывания сетевых и узловых систем обнаружения вторжений (IDS) для определения и уведомления об атаках в корпоративной сети. Основная проблема заключается в том, что такие системы, как правило, слишком дороги и требуют более детальной проработки экономической целесообразности их применения, соотнося стоимость внедрения с возможными последствиями ущерба. Однако, можно попробовать использовать свободно распространяемые IDS/IPS. Примером такой системы может служить достаточно известная система Snort. Следует учитывать тот факт, что для развертывания и анализа полученной информации такой системы потребуются дополнительные компетенции.

8. Рекомендуется отключить широковещательную рассылку SSID в беспроводной сети (не отключено), проводить регулярную смену паролей и использовать стойкие алгоритмы шифрования (производится). Желательно рассмотреть возможность использования VPN и в беспроводной сети.

9. Для административных пользователей желательно рассмотреть возможность внедрения многофакторной проверки подлинности помимо использования сложного пароля.

10. Для удаленных пользователей сети необходимо рассмотреть возможность внедрения многофакторной проверки подлинности помимо использования сложного пароля и предоставлять удаленный доступ только тем сотрудникам, которым он реально необходим.

11. Рекомендуется регулярно проводить аудит удаленных пользователей на предмет актуальных обновлений своих систем. В настоящий момент данная процедура не регламентирована.

12. Для создания безопасных рабочих станций рекомендуется создать уникальный образ для каждого типа рабочих станций. Следует регулярно следить за актуализацией этих образов.

13. Необходимо рассмотреть возможность установки персональных межсетевых экранов на рабочие станции пользователей. В настоящий момент такие экраны развернуты только на некоторых компьютерах сети.

14. Рекомендуется использовать программное обеспечение шифрования данных на диске для рабочих станций пользователей. В рассматриваемой сети целесообразно выделять ряд наиболее критичных с точки зрения безопасности рабочих станций и установить там данное программное обеспечение. Такими рабочими станциями могут быть, например, компьютеры научно-исследовательской лаборатории.

15. Рекомендуется рассмотреть возможность отказа от использования систем удаленного наблюдения и контроля.

16. Необходимо обеспечить размещение сетевого оборудования в закрытых шкафах/стойках. В настоящий момент оборудование уровня доступа располагается на этажах в открытом доступе. Для выполнения этого пункта достаточно в местах размещения произвести монтаж закрытых шкафов с доступом только для ИТ-персонала.

17. Рекомендуется использовать средства обеспечения физической безопасности для персональных компьютеров. Для переносных компьютеров использовать дополнительные кабельные замки.

18. Для серверов, расположенных в серверной комнате также рекомендуется использовать запираемые шкафы или стойки. Это позволит уменьшить риск несанкционированного использования.

4.2 Приложения

1. Рекомендуется разворачивать средства балансировки нагрузки и кластеризации. В рассматриваемой сети такие средства могут быть полезны для регулирования доступа к терминальным серверам и серверам 1С.

2. Желательно рассмотреть возможность хранения резервных копий критически важных приложений за пределами корпоративной среды и в запираемых несгораемых корпусах.

3. Необходимо обеспечить заключение договоров на техническую поддержку приложений, разработанных сторонними поставщиками.

4. Рекомендуется регулярно предоставлять обновления и исправления для приложений, разработанных собственными ИТ-специалистами. В случае необходимости, целесообразно привлечь независимую организацию для этих целей.

5. Рекомендуется рассмотреть возможность использования политики паролей и политики учетных записей для всех приложений, используемых в корпоративной сети. В настоящий момент такие политики действуют только для доменной авторизации.

6. Рекомендуется рассмотреть возможность централизованного ведения журналов для всех ИТ-систем предприятия и обеспечить запись всех событий, а не только неудачных. На данный момент сервер централизованного сбора информации существует, но используется не для всех устройств сети.

7. Рекомендуется разработать и внедрить методологии разработки систем безопасности программного обеспечения для повышения безопасности приложений.

8. Желательно использовать алгоритм шифрования 3DES для особо критичных данных.

4.3 Операции

1. Необходимо рассмотреть возможность развертывания отдельных рабочих станций управления для администрирования сетевых серверов и устройств с использованием защищенного протокола. Для защиты текстовых протоколов необходимо использовать SSH или VPN. Рабочие станции, используемые для управления, должны быть особенно хорошо защищены. Должны быть реализованы надежные элементы управления паролями на основе функций узловой системы и приложения для управления.

2. Рекомендуется задокументировать допустимые протоколы и службы, которые можно использовать в корпоративной сети. После этого необходимо выполнить аудит сетевых устройств на предмет соответствия их настроек задокументированным правилам.

3. Необходимо обеспечить ознакомление всех сотрудников предприятия с имеющимися политиками безопасности и правильного использования ресурсов. Это можно сделать посредством размещения их на корпоративном WEB-портале.

4. Рекомендуется изменить существующую политику безопасности таким образом, чтобы она учитывала юридические, технические и бизнес-требования.

5. Необходимо актуализировать существующие схемы сетей и учредить политику регулярного их обновления в случае изменения топологий. Доступ к схемам должен иметь только ограниченный круг ИТ-специалистов и специалистов по безопасности.

6. Рекомендуется разработать процесс документирования и проверки всех обновлений конфигураций перед развертыванием.

7. Необходимо обеспечить регулярную проверку журналов регистрации всех систем предприятия. В настоящий момент такие проверки производятся по требованию.

8. Рекомендуется задокументировать политики архивации и восстановления в корпоративной сети.

4.4 Персонал

1. Рекомендуется использовать модель назначения уровня важности каждому компоненту ИТ-инфраструктуры. Это позволяет применять ресурсы безопасности наиболее эффективно для тех систем, где они более необходимы.

2. Рекомендуется использовать заслуживающую доверия стороннюю организацию для регулярных проверок безопасности организации.

3. Необходимо совместно с отделом кадров разработать официальную политику увольнения сотрудников. Наиболее важным компонентом этой политики является гарантированное прекращение действия физического доступа и привилегий специалиста отдела ИТ для данного сотрудника.

4. Необходимо создать группу (или выделить сотрудника) по обеспечению информационной безопасности компании, которая будет контролировать любые изменения вычислительной среды.

5. Рекомендуется создать политику по уведомлению сотрудников о вопросах безопасности для своевременного информирования об угрозах в ИТ среде.

6. Необходимо разработать план обучения сотрудников предприятия по вопросам безопасности.

Полный перечень рекомендаций находится в Приложении.



4.5 Эффективность рекомендуемых мер защиты

Ниже приведена диаграмма Risk-Defense, построенная с учетом предложенных выше рекомендаций (рисунок 24).

На диаграмме видно, что индекс эшелонированной защиты DiDI после применения рекомендованных защитных мер по всем областям анализа показывает большие значения, по отношению к текущему состоянию уровня безопасности. К тому же значения DiDI по всем четырем областям анализа показывают сравнительно одинаковые показатели, это свидетельствует о том, что общая стратегия безопасности уравновешивает аспекты, связанные с персоналом, процессами и технологиями, а значит, представляет стабильную среду. В таблице 10 видно, что основной результат заметен по области анализа «Персонал», в которой наблюдался недостаток применяемых мер защиты.

Таблица 10. Общий анализ уровня безопасности

Области анализа	Сравнение риска и защиты	Уровень безопасности
Инфраструктура	?	?
Приложения	?	?
Операции	?	?
Персонал	?	?

На основании этих данных можно сделать вывод об эффективности предлагаемых рекомендаций по усилению безопасности корпоративной сети передачи данных.



Заключение

Результатом проведенной аналитической и практической работы стал перечень рекомендаций по повышению эффективности защиты информации в корпоративной сети передачи данных.

Анализ рисков текущего состояния информационной безопасности на предприятии дал неплохие результаты, но, несмотря на это, в некоторых направлениях защиты наблюдается недостаток передовых методик, к тому же итоговая диаграмма рисков иллюстрирует необходимость перегруппировки защитных действий между этими направлениями.

Разработанные рекомендации сгруппированы по четырем основным областям: инфраструктура, приложения, операции, персонал. В каждой группе описаны меры, которые необходимо предпринять в имеющейся среде для достижения требуемого результата. В дополнении к этому сформирован перечень приоритетных действий для отдела ИТ.

Анализ рисков информационной безопасности, проведенный с учетом предложенных рекомендаций, показал их предполагаемую эффективность.

Таким образом, делаю вывод о практической значимости полученных результатов для рассматриваемого предприятия.



Список использованной литературы

1. Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. -- Альпина Паблишерз, 2011. -- 338 с.;

2. Баранова Е.К. Методики и программное обеспечение для оценки рисков в сфере информационной безопасности // Управление риском. 2009. № 1(49). С. 15-26;

3. Баранова Е.К., Бабаш А.В. Информационная безопасность и защита информации. -- М.: РИОР: ИНФРА-М, 2015. -- 315с.;

4. Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии: учебное пособие. -- М.: Издательский центр “Академия”, 2009. -- 416 с.;

5. Лукацкий А.В. Обнаружение атак. -- СПб.: БХВ -- Петербург, 2001. -- 624 с.;

6. Петренко С.А. Анализ рисков в области защиты информации: информационно-методическое пособие. -- Издательский дом «Афина», 2009. -- 153 с.;

7. Скудис Эд. Противодействие хакерам, полное руководство по компьютерным атакам и эффективной защите. -- М.: ДМК-Пресс, 2003. -- 502 с.;

8. Хоффман, Л. Д. Современные методы защиты информации. Под редакцией В.А. Герасименко. -- М.: Сов. радио, 1980. - 264 с.;

9. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. -- М: ДМК Пресс, 2012. -- 592 с.;

10. Обзор архитектуры безопасности. Информационный бюллетень. -- Cisco Press, 2010. -- 35 с.;

11. Пять шагов, которые необходимо предпринять для обеспечения безопасности беспроводной сети. -- Cisco Press, 2013. -- 10 с.;

12. Решения компании Cisco Systems по обеспечению безопасности корпоративных сетей (издание 4), составитель М. Кадер. -- Cisco Press, 2013. -- 100 с.;

13. ГОСТ Р ИСО/МЭК 27000-2012 Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология;

14. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности;

15. Федеральный закон от 27.07.2006 №149-ФЗ (ред. от 13.07.2015) “Об информации, информационных технологиях и о защите информации”;

16. Федеральный закон от 29.07.2004 №98-ФЗ (ред. от 12.03.2015) “О коммерческой тайне”;

17. Руководство по менеджменту качества НПО “Ассоциация К” (РК Асс К-- 03): третья редакция, 2015. -- 37с.;



Список используемых сокращений и аббревиатур

АТС -- автоматическая телефонная станция;

ИБ -- информационная безопасность;

ИС -- информационная система;

ИТ -- информационные технологии;

МФУ -- многофункциональное устройство;

НПО -- научно-производственное объединение;

НСД -- несанкционированный доступ;

ОС -- операционная система;

ПО -- программное обеспечение;

ПРБ -- профиль риска для бизнеса;

РФ -- Российская Федерация;

СКЗИ -- средства криптографической защиты информации;

ФЗ -- федеральный закон;

ACL -- Access Control List;

AD -- Active Directory;

ADSL -- Asymmetric Digital Subscriber Line;

ARP -- Address Resolution Protocol;

BRP -- Business Risk Profile;

CRC -- Cyclic redundancy check:

CSF -- Cisco Security Framework;

DES -- Data Encryption Standard;

DiDI -- Defense-in-Depth Index;

DMZ -- Demilitarized Zone:

DNS -- Domain Name System;

DoS -- Denial of Service;

DDos -- Distributed Denial of Service;

ERP -- Enterprise Resource Planning;

GRE -- Generic Routing Encapsulation;

HIPS -- Host-based Intrusion Prevention System;

HTTPS -- HyperText Transfer Protocol Secure;

ICMP -- Internet Control Message Protocol;

ID -- identifier;

IDS -- Intrusion Detection System;

IMAP -- Internet Message Access Protocol;

IP -- Internet Protocol;

IPS -- Intrusion Prevention System;

IPSec -- IP Security;

ISO -- International Organization for Standardization;

ISP -- Internet Service Provider;

IT -- Information Technology;

MAC -- Media Access Control;

MSAT -- Microsoft Security Assessment Tool;

NAT -- Network Address Translation;

NIDS -- Network Intrusion Detection System;

NLA -- Network Level Authentication;

OSI -- Open Systems Interconnection;

PBX -- Private Branch eXchange;

PGP -- Pretty Good Privacy;

PKI -- Public Key Infrastructure;

QoS -- Quality of Service;

RDP -- Remote Desktop Protocol;

SAFE -- Security Architecture for Enterprise Networks;

SID -- Security Identifier;

SIP -- Session Initiation Protocol;

SMB -- Server Message Block;

SQL -- Structured Query Language;

SSH -- Secure Shell;

SSID -- Service Set Identifier;

SSL -- Secure Sockets Layer;

SMTP -- Simple Mail Transfer Protocol;

SNMP -- Simple Network Management Protocol;

TLS -- Transport Layer Security;

UTM -- Universal Traffic Manager;

TCP -- Transmission Control Protocol;

UDP -- User Datagram Protocol;

VLAN -- Virtual Local Area Network;

VOIP -- Voice over IP;

VPN -- Virtual Private Network;

WAF -- Web Application Firewall;

WAN -- Wide Area Network;

WEB -- World Wide Web;

WPA -- Wi-Fi Protected Access;

WSUS -- Windows Server Update Services;



Приложения

Приложение 1

Полный отчет MSAT

Настоящий отчет содержит следующие разделы:

· Итоговый отчет

o Введение

o Вводные данные: процесс и масштабы оценки

o Ситуационный анализ

o Результаты

o Инициативы по обеспечению безопасности

· Подробная оценка

o Области анализа

o Оценочный анализ

§ Инфраструктура

§ Приложения

§ Операции

§ Персонал

· Список приоритетных действий

· Приложения

o Вопросы и ответы

o Глоссарий

o Интерпретация графиков

Партнер корпорации Майкрософт может разобрать этот отчет вместе с вами и помочь в разработке подробного плана действий по реализации рекомендаций.

Средств Microsoft для оценки риска, связанного с безопасностью, предназначено для оказания помощи в определении уровня риска, которому подвергается ваша вычислительная среда, и шагов, предпринятых вами с целью снижения этого уровня, а также для выработки предложений с описанием дополнительных шагов, которые можно предпринять, чтобы еще больше снизить уровень риска. Оно не заменяет аудит, который выполняется профессиональным консультантом в области безопасности.

Использование средства Microsoft для оценки риска, связанного с безопасностью, регулируется условиями лицензионного соглашения, которое прилагалось к программному обеспечению, и в отношении данного отчета также действуют исключения, отказы и ограничения, которые содержатся в лицензионном соглашении.

Этот отчет предоставляется только для информационных целей. Ни корпорация Майкрософт, ни ее поставщики и партнеры не делают никаких заявлений и не дают никаких гарантий, будь то явные или подразумеваемые, относительно средства Microsoft для оценки риска, связанного с безопасностью, его использования, точности или надежности результатов оценок и сведений, содержащихся в этом отчете.

Итоговый отчет

Введение

Средство Microsoft для оценки риска, связанного с безопасностью, предназначено для оказания помощи в определении и устранении угроз безопасности в существующей вычислительной среде. В данном средстве реализован целостный подход к оценке стратегии обеспечения безопасности с учетом персонала, процессов и технологий. Кроме полученных результатов, приводятся рекомендации по снижению риска, а также ссылки на дополнительную информацию, которая содержит другие необходимые советы. Эти ресурсы могут помочь в получении дополнительных знаний о специальных средствах и методах, позволяющих повысить безопасность среды.

Этот раздел, содержащий итоговые сведения, предназначен для того, чтобы дать ИТ-менеджерам и высшему руководству представление о текущей ситуации с общей безопасностью в компании. Подробные результаты и рекомендации приводятся в приведенном далее детальном отчете.

Вводные данные: процесс и масштабы оценки

Оценка предназначена для выявления риска для бизнеса организации и определения мер безопасности, предпринимаемых для снижения риска. Сосредоточение внимания на общих проблемах этого сегмента рынка позволило разработать вопросы для обеспечения высококачественной оценки рисков, которые представляют для ведения бизнеса используемые технологии, процессы и персонал.

Профиль риска для бизнеса (ПРБ) создается средством на основе серии предварительных вопросов о бизнес-модели компании, и тем самым измеряется риск для бизнеса, с которым компания сталкивается в данной отрасли и в условиях выбранной бизнес-модели. Вторая группа вопросов предлагается с целью составления списка мер безопасности, которые со временем должны быть предприняты компанией. В целом, эти меры безопасности формируют уровни защиты, обеспечивающие более серьезную защиту от угроз безопасности и конкретных уязвимых мест в системе. Каждый уровень способствует укреплению комбинированной стратегии эшелонированной защиты. В сумме это рассматривается как индекс эшелонированной защиты (DiDI). Затем ПРБ и DiDI сравниваются для измерения распределения риска по всем областям анализа -- инфраструктуре, приложениям, операциям, персоналу.

Кроме измерения соотношения угрозы безопасности и методов защиты, средство также измеряет уровень безопасности организации. Уровень безопасности подразумевает развитие высокоэффективных и стабильных методик обеспечения безопасности. При низком значении используется ограниченное число методов защиты, а действия предпринимаются постфактум. При высоком значении практикуются устоявшиеся и проверенные процессы, которые позволяют компании предпринимать упреждающие меры и при необходимости реагировать еще эффективнее и согласованнее.

Для конкретной среды предлагаются рекомендации по управлению рисками, учитывающие уже развернутые технологии, текущее состояние безопасности и стратегии эшелонированной защиты. Выработанные предложения предназначены для того, чтобы помочь перейти к общепризнанным передовым методикам.

Данная оценка -- включающая вопросы, меры и рекомендации -- предназначена для средних предприятий (организаций), в среде которых насчитывается от 50 до 500 настольных компьютеров. Она предполагает более обширную защиту областей потенциального риска во всей среде, а не проведение углубленного анализа конкретной технологии или процесса. Как результат, данное средство не рассчитано на измерение эффективности используемых мер безопасности. Таким образом, настоящий отчет следует использовать как предварительное руководство, позволяющее сосредоточить внимание на определенных областях, требующих более пристального изучения. Он не должен заменять оценки в специфических областях, предлагаемые компетентными сторонними группами оценки.

Ситуационный анализ

В этом разделе, исходя из представленных вами ответов, в графическом виде представлены концепции, описанные выше, для вашей организации. Напоминание:

· ПРБ является мерой, отражающей риск для бизнеса, с которым компания сталкивается в данной отрасли и в условиях выбранной бизнес-модели.

· DiDI - это величина измерения защитных мер по обеспечению безопасности, используемых в отношении персонала, процессов и технологий для снижения рисков, выявленных на предприятии.

· Уровень безопасности - это величина измерения способностей организации к эффективному использованию инструментов, доступных для создания стабильного уровня безопасности по многим дисциплинам.

[См. Приложения для получения дополнительных сведений об этих терминах и методах интерпретации графиков.]

Результаты:

Области анализа	Сравнение риска и защиты	уровень безопасности
Инфраструктура	?	?
Приложения	?	?
Операции	?	?
Персонал	?	?

Risk-Defense

Данная диаграмма отображает разность показателей эшелонированной защиты, упорядоченных по областям анализа.

Вообще, для одной и той же категории лучше всего иметь и рейтинг DiDI, и рейтинг ПРБ. Дисбаланс внутри одной категории или между разными категориями -- в любом направлении -- может означать необходимость перегруппировки инвестиций в ИТ.

уровень безопасности

Уровень безопасности включает элементы управления (как физические, так и технические), техническую интуицию ИТ-ресурсов, политику, процесс и стабильные методики. Уровень безопасности можно измерить только способностью организации к эффективному использованию инструментов, доступных для создания стабильного уровня безопасности по многим дисциплинам. Для определения областей, на которые должны быть нацелены программы безопасности организации, необходимо установить и применить базис уровня безопасности. Не все организации могут достичь оптимизированного уровня, однако все они должны оценить, на каком уровне они находятся и на каком должны находиться, учитывая существующий риск для бизнеса. Например, компании, осуществляющей деятельность в среде с низким риском, усовершенствования, находящиеся выше верхнего предела уровня "Базис" или ниже нижнего предела уровня "Стандарт", могут никогда не потребоваться. Компании же, осуществляющей деятельность в среде с высоким риском, возможно, потребуется выйти на уровень "Оптимизация". Показатели профиля риска для бизнеса помогают оценить уровень риска.

уровень безопасности	Величина, позволяющая сравнить методики, используемые компанией, с передовыми отраслевыми методиками с точки зрения стабильного уровня безопасности. Каждая компания должна стремиться к тому, чтобы ее уровень безопасности и связанная с ним стратегия безопасности соответствовали рискам, возникающим в процессе ведения бизнеса:
Базис	В качестве первичного механизма защиты применены некоторые упреждающие меры безопасности; в текущей деятельности и при реагировании на происшествия меры предпринимаются постфактум
Стандарт	В соответствии с определенной стратегией, развернуто несколько уровней защиты
Оптимизация	Эффективная защита по правильным направлениям с использованием надлежащих мер и постоянное использование передовых методик

Результаты

Исходя из ваших ответов на вопросы, связанные с оценкой рисков, вашим защитным мерам присвоены следующие рейтинги. В разделах Подробная оценка и Список рекомендуемых действий настоящего отчета содержатся более подробные сведения о результатах, передовых методиках и рекомендациях.

Инициативы по обеспечению безопасности

В разделах Подробная оценка и Список рекомендуемых действий настоящего отчета содержатся более подробные сведения о результатах, передовых методиках и рекомендациях.

Высокий приоритет	Средний приоритет	Низкий приоритет
· Защищенная сборка · Сегментация · Уязвимые места в системе · Шифрование - Алгоритм · Удаленный доступ	· Ведение журнала · Сторонние взаимосвязи · Файлы журнала · Резервные носители · Оценки безопасности	· Правильное использование · Архивация · Антивирус - Настольные компьютеры · Антивирус - Серверы · Политики паролей - Учетная запись администратора

Подробная оценка

В этом разделе отчета содержатся подробные результаты для каждой категории, а также описываются передовые методики, даются рекомендации и ссылки на дополнительную информацию. Рекомендации приведены в порядке приоритета в следующем разделе.

Области анализа

В следующей таблице перечислены области, использованные для обеспечения высокого качества анализа при оценке угроз безопасности, и описана значимость каждой области для безопасности. В разделе "Подробная оценка" настоящего документа описывается состояние организации с точки зрения безопасности (исходя из предоставленных во время оценки ответов) в каждой из этих областей, а также признанные в отрасли передовые методики и рекомендации по их выполнению.

Категория	Важность для обеспечения безопасности
Профиль риска для бизнеса
Профиль риска для бизнеса	Понимание того, каким образом характер вашей деятельности оказывает влияние на риск, имеет огромное значение для определения тех областей, в которых следует применить ресурсы, чтобы ослабить угрозу безопасности. Распознавание критических областей риска для бизнеса поможет оптимизировать выделение средств на обеспечение безопасности.
Инфраструктура
Защита по периметру	Защита по периметру направлена на обеспечение безопасности на границах сети, где внутренняя сеть соединяется с внешним миром. Благодаря этому создается первая линия защиты от нежелательного вторжения.
Проверка подлинности	Строгие процедуры проверки подлинности для пользователей, администраторов и удаленных пользователей гарантируют невозможность получения несанкционированного доступа к сети с помощью локальных или удаленных атак.
Управление и контроль	Управление, контроль и правильное ведение файлов журналов являются важными условиями для обслуживания и анализа среды ИТ. Важность этих инструментов еще более повышается после того, как имела место атака и требуется выполнить анализ происшествия.
Приложения
Развертывание и использование	При развертывании основных бизнес-приложений на производстве должна быть об...

Подобные документы

• Обеспечение безопасности в компьютерах и корпоративных сетях

  Изучение базовых понятий и общих сведений о компьютерных и корпоративных сетях с последующим комплексным изучением способов и методов защиты информации в них. Классификация данных видов сетей. Существующие службы безопасности доступа. Профиль защиты.
  
  контрольная работа [30,5 K], добавлен 24.01.2009
  

• Защита информации как часть информационной безопасности информационных систем

  Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
  
  реферат [51,5 K], добавлен 20.01.2014
  

• Обеспечение информационной безопасности предприятия

  Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
  
  курсовая работа [28,2 K], добавлен 17.05.2016
  

• Принципы построения и функционирования сетей передачи данных в распределенных корпоративных сетях

  Структура современных корпоративных сетей. Применение технологии Intranet в корпоративных сетях передачи данных. Принципы их построения и главные тенденции развития. Особенности стандартов Fast Ethernet и Gigabit Ethernet. Технология 100VG-AnyLAN.
  
  курсовая работа [1,5 M], добавлен 02.07.2011
  

• Построение системы информационной безопасности

  Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
  
  курсовая работа [319,1 K], добавлен 07.10.2016
  

• Механизмы защиты информации в вычислительных сетях

  Механизмы обеспечения информационной безопасности корпоративных сетей от угроз со стороны сети Интернет. Механизм защиты информации на основе использования межсетевых экранов. Принципы построения защищенных виртуальных сетей (на примере протокола SKIP).
  
  реферат [293,2 K], добавлен 01.02.2016
  

• Совершенствование системы информационной безопасности в помещениях ОАО "Расчет"

  Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
  
  дипломная работа [4,5 M], добавлен 19.12.2012
  

• Комплексные системы информационной безопасности

  Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
  
  реферат [30,0 K], добавлен 15.11.2011
  

• Информационная безопасность и защита информации

  Понятие и основные принципы обеспечения информационной безопасности. Понятие защищенности в автоматизированных системах. Основы законодательства РФ в области информационной безопасности и защиты информации, процессы лицензирования и сертификации.
  
  курс лекций [52,7 K], добавлен 17.04.2012
  

• Комплексная система защиты информации на предприятии

  Разработка политики безопасности компании в условиях информационной борьбы. Повышение информационной безопасности в системах обработки данных. Обеспечение устойчивости к противодействию диверсионной и технической разведке. Защита локальной сети.
  
  курсовая работа [841,2 K], добавлен 13.06.2012
  

• Методы защиты информации в телекоммуникационных сетях

  Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.
  
  дипломная работа [255,5 K], добавлен 08.03.2013
  

• Изучение проблемы обеспечения информационной безопасности предприятия

  Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
  
  курсовая работа [269,0 K], добавлен 24.04.2015
  

• Совершенствование системы защиты персональных данных ОАО "Альфа Банк"

  Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
  
  дипломная работа [2,6 M], добавлен 17.11.2012
  

• Методы защиты информации в телекоммуникационных сетях

  Сущность проблемы и задачи защиты информации в информационных и телекоммуникационных сетях. Угрозы информации, способы их воздействия на объекты. Концепция информационной безопасности предприятия. Криптографические методы и средства защиты информации.
  
  курсовая работа [350,4 K], добавлен 10.06.2014
  

• Исследование внешних угроз информационной безопасности. Промышленный шпионаж как один из видов нарушения информационной безопасности

  Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
  
  контрольная работа [30,5 K], добавлен 18.09.2016
  

• Организация защиты информации в локальной вычислительной сети (на примере ОАО "Марийский машиностроительный завод")

  Организация компьютерной безопасности и защиты информации от несанкционированного доступа на предприятиях. Особенности защиты информации в локальных вычислительных сетях. Разработка мер и выбор средств обеспечения информационной безопасности сети.
  
  дипломная работа [1,6 M], добавлен 26.05.2014
  

• Проблемы информационной безопасности в России

  Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.
  
  контрольная работа [27,8 K], добавлен 26.02.2016
  

• Проектирование системы защиты хранения данных в информационной базе

  Анализ основных угроз и методов обеспечения работы систем информационной безопасности. Характеристика разновидностей защиты баз данных. Особенности UML-моделирования: оценка основных функций и процесс работы, пути реализации информационной системы.
  
  курсовая работа [158,7 K], добавлен 15.06.2013
  

• Совершенствование системы информационной безопасности на предприятии ООО "УК "Ашатли"

  Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.
  
  курсовая работа [30,4 K], добавлен 03.02.2011
  

• Анализ защищенности сведений для СМИ, цензуры на различных носителях информации (твёрдая копия, фотография, электронный носитель и др.)

  Характеристика понятия и видов угроз информационной безопасности. Классы каналов несанкционированного доступа к конфиденциальной информации. Описание потенциально возможных злоумышленных действий. Методы резервирования данных и маскировки информации.
  
  курсовая работа [45,1 K], добавлен 25.06.2014
  

• главная
• рубрики
• по алфавиту
• вернуться в начало страницы
• вернуться к началу текста
• вернуться к подобным работам