Размещено на http://www.allbest.ru/

Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение высшего образования «Поволжский государственный университет телекоммуникаций и информатики»

Факультет Телекоммуникаций и радиотехники

Направление (специальность) Информационная безопасность телекоммуникационных систем

Кафедра Мультисервисных сетей и информационной безопасности

Выпускная квалификационная работа (дипломная работа)

Моделирование риска при обеспечении информационной безопасности

Утверждаю зав. кафедрой д.т.н., проф. В.Г. Карташевский

Руководитель проф. д.т.н., проф. О.Н. Маслов

Н. контролер доцент к.т.н. Н.М. Бельская

Разработал ИБТС-11 Н.К. Степанян

Самара 2017



Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Поволжский государственный университет телекоммуникаций и информатики»

Задание по подготовке выпускной квалификационной работы

Студента Степанян Нвард Кареновны

1 Тема ВКР

Моделирование риска при обеспечении информационной безопасности

Утверждена приказом по университету от 28.10.2016 № 265-2

2 Срок сдачи студентом законченной ВКР 09.02.2017

3 Исходные данные и постановка задачи

1) ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

2) COBIT 5: Бизнес-модель по руководству и управлению ИТ на предприятии

3) Рассмотреть принципы обеспечения информационной безопасности корпорации

4) Рассмотреть принципы моделирования риска при обеспечении информационной безопасности для проектирования эффективной системы защиты

5) Рассмотреть новые информационные технологии в сфере управления бизнес-процессами

4 Перечень подлежащих разработке в ВКР вопросов или краткое содержание ВКР. Сроки исполнения 09.02.2017

1) Принципы обеспечения информационной безопасности корпорации

2) Оценка рисков инфокоммуникационной системы корпорации

3) Принятие решений в условиях риска

4) Методы исследования и моделирования риска

5) Принципы проектирования системы обеспечения информационной безопасности с учетом рисков

5 Перечень графического материала. Сроки исполнения 09.02.2017

1) Информационная безопасность корпорации

2) Схема бизнес-процесса обеспечения информационной безопасности объекта

3) Основа для проектирования системы обеспечения информационной безопасности с учетом рисков

4) Управление информационными технологиями

5) Методы моделирования

6 Дата выдачи задания « 28 » октября 2016 г.

Кафедра Мультисервисных сетей и информационной безопасности

Утверждаю зав. каф. д.т.н., проф. 28.10.16 В.Г. Карташевский

Руководитель проф. д.т.н., проф. 28.10.16 О.Н. Маслов

Задание принял к исполнению ИБТС-11 28.10.16 Н.К. Степанян



Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Поволжский государственный университет телекоммуникаций и информатики»

По ВКР студента Степанян Нвард Кареновны

На тему Моделирование риска при обеспечении информационной безопасности

Показатели качества ВКР

Студент	ИБТС-11		Н.К. Степанян
Руководитель ВКР	проф. д.т.н., проф.		О.Н. Маслов
1 Работа выполнена :
- по теме, предложенной студентом
- по заявке предприятия
		наименование предприятия
- в области фундаментальных и поисковых научных исследований
		указать область исследований
2 Результаты ВКР:
- рекомендованы к опубликованию
		указать где
- рекомендованы к внедрению
		указать где
- внедрены
		акт внедрения
3 ВКР имеет практическую ценность
		в чем заключается практическая ценность
4 Использование ЭВМ при выполнении ВКР:
(ПО, компьютерное моделирование, компьютерная обработка данных и др.)
5. ВКР прошла проверку на объем заимствований		% заимствований
		эл. версия сдана



Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Поволжский государственный университет телекоммуникаций и информатики»

Реферат

Название	Моделирование риска при обеспечении информационной безопасности
Автор	Степанян Нвард Кареновна
Научный руководитель	Маслов Олег Николаевич
Ключевые слова	Корпорация, корпоративное управление, бизнес-процесс, информационная безопасность, моделирование, риск
Дата публикации	2017
Библиографическое описание	Степанян, Н.К. Моделирование риска при обеспечении информационной безопасности [Текст]: дипломная работа / Н.К. Степанян. Поволжский государственный университет телекоммуникаций и информатики (ПГУТИ). Факультет телекоммуникаций и радиотехники (ФТР). Кафедра мультисервисных сетей и информационной безопасности (МСИБ): науч. рук. О.Н. Маслов - Самара. 2017. - 115 с.
Аннотация	В работе рассмотрели вопрос актуальности темы моделирования риска при обеспечении информационной безопасности на предприятии. Разобрали виды угроз, возникающих на предприятии, их источники и меры защиты от них. Выяснили, что является основополагающим для появления рисков. Показали, каким образом происходит управление рисками и принятие решений в их условии. Разобрали принципы исследования и моделирования рисков. Научились грамотно проектировать систему защиты информации с учетом рисков.

Руководитель ВКР О.Н. Маслов



Введение

Современный мир невозможно представить без бизнес-корпораций, которые представляют собой сложные системы, объединяющих людей с общими интересами. Целью их функционирования является производство и реализация продукции или оказание услуг потребителям. Проблема повышения эффективности корпоративного управления для устойчивого развития страны становится все более актуальной. Ведь в случае банкротства нескольких корпораций или захвата крупного бизнеса под угрозу будет поставлена вся национальная экономика, уменьшится инвестиционная привлекательность страны, усилится социальная напряженность.

Обеспечение корпоративной безопасности (КБ), одной из главных составляющих которой является информационная безопасность (ИБ), необходимо как для конкурентоспособности и эффективности конкретного предприятия, так и для устойчивого развития социально-экономической системы страны в целом. Корпоративная безопасность направлена на защиту от различного рода опасностей и угроз интересов корпорации.

Любая целенаправленная деятельность связана с неопределенностью конечного результата, порождающей риск, который может понести за собой ущерб. С увеличением производственно-потребительских отношений расчет риска для любой корпорации стал неотъемлемой частью организационных мер по обеспечению сохранности бизнеса. В настоящее время интенсивно развивается теория риска.

Все вышесказанное определило актуальность темы работы - моделирование риска для создания эффективной системы защиты информации.

Цель дипломной работы - обоснование актуальных задач анализа и моделирования риска при обеспечении ИБ для наилучшей защиты корпорации от потерь (финансовых, юридических, репутационных).

Для этого необходимо выполнить следующие задачи:

1. выявить связь между экономической и информационной составляющими безопасности, узнать какие могут быть источники, виды угроз и способы защиты от них;

2. понять, каким образом появляются риски, определить связь бизнес-рисков и рисков ИБ, узнать, как происходит управление рисками и как принимаются решения в условиях риска;

3. разобрать принципы моделирования рисков, научиться грамотно проектировать систему защиты информации с учетом рисков, используя новые информационные технологии (ИТ).

Объектом исследования является информационная безопасность корпорации, а предметом - риски при обеспечении ИБ.

Основу для выполнения работы составили книги:

§ монография профессора, д.т.н. Маслова О. Н. «Безопасность корпорации: моделирование и прогнозирование внутренних угроз методом риска», посвященная вопросам анализа, моделирования и прогнозирования угроз с позиций теории риска [11];

§ учебное пособие, авторами которого являются Мирославская Н. Г., Сенаторов М. Ю., Толстой А. И. «Управление рисками информационной безопасности», определяющее понятие риска ИБ и системы управления рисками ИБ [12].

Цель и задачи написания работы определили ее структуру, состоящую из введения, трех глав, заключения, списка используемых источников и приложений. Первая глава раскрывает принципы обеспечения ИБ корпорации, вторая глава посвящена теории риска, а третья - новым информационным технологиям, способствующим наилучшей защите интересов корпорации.



1. Принципы обеспечения информационной безопасности корпорации

1.1 Информационная безопасность корпорации

В настоящее время информация является одним из главных активов корпорации, обладающий определенной ценностью. Ее наличие или отсутствие способно привести к крупномасштабным авариям, военным конфликтам, дезорганизации государственного управления и финансовой системы. Но в то же время, если ее эффективно использовать, она может благоприятно повлиять на развитие всех сфер деятельности государства в целом и отдельно взятого предприятия в частности, что, в конечном счете, может привести к значительным успехам в экономике и бизнесе.

В каждой организации имеется свой перечень конфиденциальной информации (КИ), подлежащий защите. Специалистов по информационной безопасности практически всегда можно найти в любом крупном предприятии с учетом характера и ценности данных. Они несут ответственность за сохранность всех технологий в компании, защищающих от вредоносных кибератак на КИ и от получения злоумышленником контроля над внутренними системами.

Система безопасности корпорации включает в себя следующие подсистемы:

1) информационная безопасность;

2) кадровая безопасность;

3) экономическая безопасность;

4) физическая безопасность;

5) личная безопасность;

6) инженерно-техническая безопасность;

7) техническая безопасность;

8) IT-безопасность;

9) правовая защита бизнеса [14].

КБ как системный многопараметрический показатель можно разделить на четыре составляющие: экономическую, организационно-техническую, потребительскую и эксплуатационную [11, с. 6-7]. Как видно из рис. 1.1 практически все они сводятся к информационной, поскольку связаны с защитой КИ, принадлежащей как самой корпорации, так и ее клиентам.

Рис. 1.1 - Составляющие корпоративной безопасности

Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и/или на другие ресурсы автоматизированной информационной системы. Допустимые и недопустимые риски указаны в табл. 1 (Приложение Б).

В основе проектирования системы ИБ лежит концептуальная модель (рис. 1.2) [1, с. 12].

Рис. 1.2 - Корпоративная концепция ИБ

Основным фактором, определяющим отношение организации к вопросам ИБ, является степень ее зрелости, поэтому задача обеспечения ИБ будет решаться для организаций, находящихся на разных уровнях зрелости, по-разному. Таким образом, чем выше уровень зрелости организации, тем лучше должна быть развита система ИБ и тем выше потребность в поиске уязвимостей и анализе рисков (рис. 1.3).

Вне зависимости от размеров организации работы по обеспечению ИБ, в соответствии с ISO/IEC 17799 состоят из стандартных этапов, среди которых можно выделить следующие задачи управления ИБ:

§ определение политики ИБ корпорации;

§ аудит и оценка рисков ИБ корпорации;

§ выбор контрмер, обеспечивающих режим ИБ;

§ построение эффективной системы безопасности.

Рис. 1.3 - Соответствие уровня зрелости организации и развития системы ИБ

Стратегия ИБ должна обеспечивает сонаправленность ИБ и бизнеса, эффективное использование ресурсов и усилий для повышения выгод от работ и мер обеспечения ИБ (рис. 1.4).

Рис. 1.4 - Стратегия ИБ

Целью реализации ИБ корпорации является построение системы обеспечения информационной безопасности (СОИБ) (рис. 1.5). Для построения и эффективной эксплуатации СОИБ необходимо:

§ выявить требования защиты информации, специфические для данного объекта защиты;

§ учесть требования национального и международного Законодательства;

§ использовать наработанные практики построения похожих СОИБ;

§ определить подразделения, ответственные за реализацию и поддержку СОИБ;

§ распределить между подразделениями области ответственности в осуществлении требований СОИБ;

§ на базе управления рисками ИБ определить общие положения, технические и организационные требования, составляющие политику информационной безопасности объекта защиты;

§ реализовать требования политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;

§ реализовать систему менеджмента ИБ (СМИБ);

§ используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Рис. 1.5 - Система обеспечения ИБ

Главными составляющими ИБ, на которых могут быть осуществлены угроза, являются: информационный бизнес безопасность

§ доступность, т.е. своевременное получение требуемой информации;

§ целостность, т.е. неизменность, актуальность и непротиворечивость информации;

§ конфиденциальность - защита информации от несанкционированного доступа (рис. 1.6).

Рис. 1.6 - Способы нарушения ИБ

1.2 Угрозы информационной безопасности корпорации и их источники

Угроза - потенциальная возможность любым способом нарушить ИБ [10, с. 93]. Подробная классификация угроз описана в Приложении В, на рис. 1 указаны наиболее актуальные из них.

Основные виды угроз предпринимательской деятельности:

§ физические - преднамеренные (кражи, взломы) и непреднамеренные (природные и технические);

§ информационные - преднамеренные (внутренние и внешние угрозы) и непреднамеренные (некомпетентность пользователя, ошибки при разработке программного обеспечения, отказы технических средств);

§ экономические - преднамеренные (недобросовестная конкуренция, промышленный шпионаж, шантаж) и объективные (инфляция, конкуренция);

§ юридические - целенаправленные (заведомо неправильное оформление договоров, документов) и субъективные (юридические ошибки).

На рис. 1.7 указаны перечни субъектов, объектов и форм реализации угроз в зависимости от сферы профессиональной деятельности [2].

Рис. 1.7 - Перечень угроз в зависимости от сферы деятельности

Субъектами угроз ИБ корпорации могут выступать [11, с. 99-100]:

§ конкуренты, как самой корпорации, так и ее клиентов, пытающиеся улучшить собственные рыночные позиции путем либо опережения, либо компрометации своих противников;

§ криминальные структуры, пытающиеся получить сведения о самой корпорации или ее клиентах для решения разнообразных задач (например, для подготовки ограбления);

§ индивидуальные злоумышленники (наемные хакеры), выполняющие либо заказ соответствующего нанимателя (например, конкурента), либо действующие в собственных целях;

§ собственные нелояльные сотрудники корпорации, пытающиеся получить конфиденциальные сведения для их последующей передачи (по различным мотивам) сторонним структурам или шантажа своего работодателя;

§ государство в лице фискальных или правоохранительных органов, использующие специальные методы сбора информации для выполнения установленных им контрольных или оперативных функций.

Угрозы ИБ корпорации могут проявляться в следующих формах:

§ перехват КИ;

§ хищение КИ;

§ повреждение или уничтожение информации.

Основной угрозой, зависящей от вида объекта, подлежащего защите, является НСД к информации в электронном виде. Здесь могут быть реализованы все формы угроз (перехват, хищение, уничтожение). Также нужно сказать, что для достижения поставленных целей субъект угрозы вынужден использовать наиболее сложные с технологической точки зрения, следовательно, дорогостоящие методы. Одним из методов реализации угроз является использование специальных компьютерных программ, позволяющих преодолеть существующие у любой организации системы защиты баз данных, локальных сетей и иных компьютерных коммуникаций. Другой метод ?? использование специальных сканеров, позволяющих со значительного расстояния перехватывать информацию с работающих компьютеров, факсов, модемов. Часто субъекты угроз для наилучшего достижения поставленных целей используют услуги сотрудников самой организации, особенно из числа лиц, имеющих доступ к защищаемой информации или компьютерным системам защиты.

Для реализации угроз в отношении информации на бумажных носителях субъекты используют такие методы, как копирование (фотографирование), прямое хищение, а при необходимости уничтожения сведений. Наконец, для перехвата информации в устном виде используют разнообразные технические устройства ?? скрытые магнитофоны, видеокамеры, закладные устройства, специальные дальнодействующие сканеры и направленные микрофоны.

Криминальные структуры для обеспечения доступа к КИ обычно используют сотрудников атакуемой корпорации, применяя для этого прямые угрозы, шантаж и подкуп.

Индивидуальные злоумышленники применяют специальные компьютерные программы собственной или чужой разработки. Так, в период с августа 2015 по февраль 2016 года хакеры при помощи вируса Buhtrap совершили 13 успешных атак на российские банки, отправляя письма с вредоносным файлом на почтовые адреса сотрудников от имени Банка России. Было похищено 1,8 млрд. руб. [19].

Нелояльные сотрудники корпорации могут действовать в собственных целях (месть, корыстные интересы) или по поручению сторонних для корпорации структур. Чаще всего они используют собственное служебное положение, обеспечивающее им доступ к соответствующим конфиденциальным данным. В отдельных случаях они могут работать на сторонние структуры.

Фискальные или правоохранительные органы государства чаще используют метод внедрения в контролируемую ими корпорацию собственных сотрудников. Уровень их подготовки очень высок, поскольку осуществляется силами специализированных учебных структур государственных спецслужб.

Модель вероятного злоумышленника позволяет систематизировать данные о возможностях и типах субъектов, целях несанкционированных воздействий и выработки адекватных организационных и технических методов противодействия. При разработке модели нужно учитывать, к какой категории лиц относится нарушитель, какие он преследует цели, насколько они опасны, проанализировать его технические возможности и характер действий.

1.3 Уровни и меры защиты информации

Для защиты информации используется ряд мер, противодействующих угрозам -- законодательные, административные, процедурные и программно-технические.

Законы и нормативные акты ориентированы на всех субъектов информационных отношений независимо от их организационной принадлежности (юридические и физические лица) в пределах страны, административные меры -- на всех субъектов в пределах организации, процедурные -- на отдельных людей, программно-технические -- на оборудование и программное обеспечение (ПО).

Законодательный уровень является важнейшим для обеспечения ИБ. В Российской Федерации к нормативно-правовым актам в области ИБ относятся [5, с. 58-70]:

§ Международные договоры РФ;

§ Конституция РФ (статьи 23, 24, 29, 41,42);

§ Законы федерального уровня (включая федеральные конституционные законы, кодексы) (статья 139 ГК РФ, статьи 138, 183, 272--274 УК РФ, ФЗ «О государственной тайне», «Об информации, информатизации и защите информации» и другие);

§ Указы Президента РФ;

§ Постановления правительства РФ;

§ Нормативные правовые акты федеральных министерств и ведомств;

§ Нормативные правовые акты субъектов РФ, органов местного самоуправления.

Работникам компании может потребоваться подписание соглашения о неразглашении, которое запрещает им разглашать или обсуждать секретную информацию. Применение законодательства об ответственности может помочь компаниям предупреждать потери.

Главная цель административного уровня ИБ -- сформировать программу работ в области ИБ и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Политика информационной безопасности (ПИБ) - это совокупность требований, правил, ограничений, рекомендаций и норм, которые регулируют в корпорации порядок использования компьютерного оборудования и информации, а также регламентируют вопросы их защиты [5, с. 115]. ПБ строится на основе анализа рисков.

Субъектами информационных отношений при использовании автоматизированной системы (АС) корпорации и обеспечении безопасности информации являются: корпорация как собственник информационных ресурсов, структурные подразделения корпорации, обеспечивающие эксплуатацию системы автоматизированной обработки информации (Служба ИТ ООО) и ее защиту (Служба безопасности ООО, Департамент безопасности Корпорации), должностные лица, сотрудники корпорации, юридические и физические лица.

Служба ИБ несет ответственность за разработку, реализацию и поддержание в актуальном состоянии методологии оценки рисков ИБ с учетом специфики бизнеса организации.

Для достижения основной цели система ИБ должна обеспечивать эффективное решение следующих задач:

§ защиту от вмешательства в процесс функционирования АС посторонних лиц;

§ разграничение доступа зарегистрированных пользователей к информационным ресурсам АС;

§ защиту от несанкционированной модификации ПО, а также защиту системы от внедрения несанкционированного ПО, включая компьютерные вирусы;

§ защиту КИ корпорации от разглашения;

§ своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба корпорации;

§ создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц.

Цели защиты и решение перечисленных выше задач достигаются:

§ строгим учетом всех подлежащих защите ресурсов системы: серверов, рабочих станций;

§ наделением каждого пользователя минимальными полномочиями по доступу к информационным ресурсам корпорации для выполнения необходимых обязанностей;

§ четким знанием и соблюдением всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства АС корпорации, требований документов, регламентирующих безопасность организации;

§ персональной ответственностью за свои действия каждого сотрудника, имеющего доступ к КИ и к ресурсам АС корпорации;

§ принятием эффективных мер обеспечения физической целостности ресурсов АС корпорации;

§ применением программных и программно-аппаратных средств защиты ресурсов системы, которые предупреждают попадание информации высокого уровня конфиденциальности на сменные носители;

§ проведением постоянного анализа эффективности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в АС корпорации.

На процедурном уровне происходит управление персоналом, осуществляется физическая защита, поддерживается работоспособность, планируются восстановительные работы при нарушении режима безопасности [5, с. 142].

На этапе приема нового сотрудника желательна работа специалиста по ИБ для определения компьютерных привилегий, ассоциируемых с должностью. Принцип разделения обязанностей предписывает, как распределять роли и ответственность. Принцип минимизации привилегий предполагает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей, для того чтобы уменьшить ущерб от случайных или умышленных некорректных действий.

Одна из самых больших опасностей для безопасности компьютерной информации - это человеческая ошибка или незнание. Те, кто несет ответственность за использование компьютерной сети должны быть тщательно обучены для того, чтобы избежать случайного взлома системы хакерами. На рабочем месте необходимо создавать программу обучения, которая включает в себя информацию о существующих мерах безопасности, а также список разрешенной и запрещенной к использованию техники. Недостаточное обучение работников может создать нестабильную систему безопасности.

Важно всегда выполнять следующие действия:

§ поддержка пользователей (консультирование и оказание помощи пользователям при решении разного рода проблем);

§ поддержка ПО (установка проверенных программ, контроль над отсутствием неавторизованного изменения программ и прав доступа к ним);

§ конфигурационное управление (контроль и фиксация изменений, вносимых в программную конфигурацию);

§ резервное копирование критических данных (хранение резервных копий в безопасном месте, часть из них лучше хранить вне территории организации, защищаясь от крупных аварий, также иногда следует проверять возможность восстановления информации с копий);

§ управление носителями (обеспечение физической защиты и учета дискет, лент, печатных выдач и т.п.);

§ документирование (документация должна быть актуальной и непротиворечивой и обладать свойствами КИ (для каждого документа своими));

§ регламентные работы (важна высокая степень доверия к сотруднику, совершающему данные работы, так как трудно проконтролировать его действия).

Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принимать меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры, вычислительной техники, носителей данных.

Существуют следующие виды физической защиты:

§ физическое управление доступом (контроль и ограничение входа/выхода сотрудников и посетителей);

§ противопожарные меры (установка противопожарной сигнализации и автоматических средств пожаротушения);

§ защита поддерживающей инфраструктуры (системы электро-, водо- и теплоснабжения, системы охлаждения и средства коммуникаций);

§ защита от перехвата данных (использование криптографии (IPSec, криптографические протоколы сетевого управления SSH и SSL [13]), аутентификации, анти-снифферов, коммутируемая инфраструктура сети, анализ побочных электромагнитных излучений и наводок (ПЭМИН));

§ защита мобильных систем (шифрование данных на жестких дисках устройств).

При проектировании и реализации мер физического управления доступом, в первую очередь, необходимо определить периметр безопасности, ограничивающий контролируемую территорию, и продумать внешний интерфейс организации -- порядок входа/выхода штатных сотрудников и посетителей, вноса/выноса техники. Во-вторых, нужно произвести декомпозицию контролируемой территории, выделить объекты и связи между ними. При этом следует выделить среди подобъектов наиболее критичные с точки зрения безопасности и обеспечить им повышенное внимание. Также желательно, чтобы у сотрудников имелась своя униформа. Средства физического управления доступом -- это охрана, двери с замками, перегородки, телекамеры, датчики движения и многое другое. Для выбора оптимального (по критерию стоимость/эффективность) средства целесообразно провести анализ рисков. Кроме того, нужно следить за техническими новинками в данной области, стараясь максимально автоматизировать физическую защиту. В то же время, во многих случаях для принятия решения не требуется анализ. Так, например, меры противопожарной безопасности обязательны для всех организаций, и стоимость реализации многих мер многократно меньше, чем возможный ущерб.

Лучший способ минимизировать количество ошибок в работе -- это максимально автоматизировать ее: чем легче задача, тем эффективнее режим ИБ.

Программно-технические меры направленны на контроль компьютерного оборудования и программ. Как говорилось ранее, ущерб возможен из-за некомпетентности и неаккуратности при выполнении служебных обязанностей. Именно на них и направлены программно-технические меры. Компьютеры помогают автоматизировать многие области человеческой деятельности, включая и обеспечение безопасности, например, физическую защиту, которую чаще всего выполняют интегрированные компьютерные системы.

Важно помнить, что новые возможности информационных технологий могут и затруднять обеспечение ИБ. Причин тому несколько:

§ развитие сетей и сетевых технологий, увеличение числа связей между информационными системами, рост пропускной способности каналов увеличивают возможности злоумышленников организовывать атаки;

§ конкуренция среди производителей программного обеспечения заставляет сокращать сроки разработки, что приводит к снижению качества тестирования и выпуску продуктов с дефектами защиты.

Центральным для программно-технического уровня является понятие сервиса безопасности. Основные сервисы [5]:

§ идентификация;

§ аутентификация;

§ шифрование;

§ контроль целостности;

§ управление доступом;

§ протоколирование и аудит;

§ экранирование;

§ анализ защищенности;

§ обеспечение отказоустойчивости;

§ обеспечение безопасного восстановления;

§ туннелирование;

§ управление.

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя. Посредством аутентификации (проверки подлинности) вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает [18, с. 14]. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной).

Субъект может пройти аутентификацию на основании трех факторов:

§ что-то, что он знает (пароль, личный идентификационный номер);

§ что-то, чем он владеет (личную карточку или иное устройство аналогичного назначения);

§ что-то, что является его частью (голос, отпечатки пальцев, то есть свои биометрические характеристики).

Шифрование - важнейшее средство обеспечения конфиденциальности. На сегодняшний день существует масса алгоритмов шифрования, имеющих криптографическую стойкость. Существует три группы алгоритмов: симметричные алгоритмы, ассиметричные алгоритмы и алгоритмы хэш-функций [5, с. 154-157]. Симметричное шифрование предусматривает использование одного и того же ключа и для зашифрования, и для расшифрования (примеры: ГОСТ 28147-89, DES). Ассиметричные системы также называют криптосистемами с открытым ключом. При шифровании данных открытый ключ передается по открытому каналу (не скрывается) и используется для проверки электронной подписи и для шифрования данных. Для дешифровки же и создания электронной подписи используется второй ключ, секретный. Примеры асимметричных шифров: RSA, DSA. Хешированием называется преобразование исходного информационного массива произвольной длины в битовую строку фиксированной длины. Алгоритмы хеш-функций отличаются криптостойкостью, разрядностью, вычислительной сложностью. Примеры хеш-алгоритмов: Adler-32, MD2.

Протоколирование и аудит обеспечивают анализ последствий нарушения ИБ и выявление злоумышленников. Такой аудит можно назвать пассивным. К новым защитным средствам относится активный аудит [5, с. 149], направленный на выявление подозрительных действий в реальном масштабе времени. Он включает два вида действий: выявление нетипичного поведения (пользователей, программ или аппаратуры) и выявление начала злоумышленной активности.

Экранирование как сервис безопасности выполняет функции разграничения межсетевого доступа путем фильтрации передаваемых данных и преобразования передаваемых данных. Современные межсетевые экраны фильтруют данные на основе заранее заданной базы правил, что позволяет, по сравнению с традиционными операционными системами, реализовывать гораздо более гибкую ПБ [7, с. 280]. Наряду со стандартными средствами защиты, без которых немыслимо нормальное функционирование АС (таких как МЭ, системы резервного копирования и антивирусные средства), необходимы еще и IDS (системы выявления атак) [15, с. 202].

Туннелирование - способ скрытия одного пакета внутри другого. Данный сервис может применяться для осуществления перехода между сетями с разными протоколами (например, IPv4 и IPv6) и для обеспечения конфиденциальности и целостности всей передаваемой информации. Комбинация туннелирования и шифрования на выделенных шлюзах позволяет реализовать такое важное в современных условиях защитное средство, как виртуальные частные сети. Такие сети, наложенные обычно поверх Интернет, существенно дешевле и гораздо безопаснее, чем собственные сети организации, построенные на выделенных каналах [7, с. 281].

Контроль защищенности представляет собой попытку взлома информационной системы, осуществляемого силами самой организации или уполномоченными лицами. Идея в том, чтобы обнаружить слабости в защите раньше злоумышленников. Средства контроля защищенности позволяют накапливать и многократно использовать знания об известных атаках. Управление можно отнести к числу инфраструктурных сервисов, обеспечивающих нормальную работу функционально полезных компонентов и средств безопасности.

Аттестация объекта информатизации необходима для подтверждения выполнения на объекте требований по безопасности информации, заданных в нормативно-технической документации, утвержденные государственными органами обеспечения безопасности информации. Аттестация является обязательной для информации, составляющей государственную тайну, при защите государственного информационного ресурса, при управлении экологически опасными объектами, а также при ведении секретных переговоров.

На основании рассмотренного теоретического материала по обеспечению ИБ корпорации нужно сказать, что данная задача является одной из самых важных в современной экономической системе. Любая организация, вне зависимости от ее зрелости, имеет право на защиту своих интересов. Важно своевременно тестировать построенную систему ИБ и находить уязвимости для того, чтобы не допускать утечку КИ. Однако риски в бизнесе неизбежны, поскольку всегда есть и будут ситуации, в которых есть какая-либо неопределенность. Таким образом, для каждой корпорации необходим выбор наиболее эффективной системы защиты информации.



2. Теория риска

2.1 Оценка уязвимостей и рисков инфокоммуникационной системы корпорации

Для определения соответствующих мер защиты системы следует использовать системный подход. Решение вопросов, как и где реализовать защиту, какие использовать меры и средства защиты требует проведения анализа всех уязвимостей, возможных угроз и рисков.

Уязвимости в системе могут быть выявлены в следующих областях [16]:

§ организация работ;

§ процессы и процедуры;

§ установившийся порядок управления;

§ персонал;

§ физическая среда;

§ конфигурация информационной системы;

§ аппаратные средства, ПО и аппаратура связи;

§ зависимость от внешних сторон.

Более подробную классификацию уязвимостей можно увидеть в Приложении Г. Наличие уязвимости само по себе не наносит ущерба, поскольку необходимо наличие угрозы, которая сможет воспользоваться ею. Для уязвимости, которой не соответствует определенная угроза, может не потребоваться внедрение средства контроля и управления, но она всегда должна находится под контролем. Следует отметить, что неверно реализованное, неправильно функционирующее или неправильно используемое средство контроля и управления само может стать уязвимостью. Меры и средства контроля и управления могут быть эффективными или неэффективными в зависимости от среды, в которой они функционируют.

После определения возможных угроз необходимо рассчитать риски. Согласно статье 2 Федерального закона № 184-ФЗ «О техническом регулировании» риск - это вероятность причинения вреда с учетом его тяжести. Риск характеризуется возможными событиями, последствиями, к которым они ведут, или их сочетанием. Событие - это происшествие или случай, имеющее внутренний или внешний источник по отношению к организации и оказывающий влияние на достижение поставленных целей.

Риски могут быть объективными и субъективными. Объективные риски подразумевают вероятность негативных последствий вне зависимости от воли людей, подверженных этим рискам. Субъективные же, наоборот, подразумевают наличие отношения или оценки субъекта имеющейся неопределённости.

Предприятия с высоким уровнем организационной зрелости должны создавать дирекции управления рисками или департаменты безопасности. Эти подразделения работают со всеми типами бизнес-рисков: экономическими, финансовыми, информационными, физическими, технологическими, а также некоторыми специфическими рисками, которые характерны для отрасли, в которой ведет свою деятельность компания. Говоря другими словами, бизнес-риски и риски ИБ нужно воспринимать комплексно [8]. Так, например, составной частью бизнес-риска отзыва у компании лицензии является риск невыполнения закона о персональных данных, первопричиной которой является недостаточная защита систем, в которых персональные данные хранятся и обрабатываются, что в свою очередь является риском ИБ.

Каждая организация идентифицирует свои риски достижения заявленных целей. Выявленная в результате идентификации рисков система рисков есть риск-ориентированная модель организации, определяющая условия достижимости ее целей деятельности [3]. С точки зрения проблемы ИБ часть идентифицированных рисков образует базис, используемый далее для построения модели ИБ организации, отражающей причинно-следственные связи и отношения между рисками ИБ и рисками для целей деятельности организации.

В стандарте ГОСТ Р ИСО/МЭК 27005-2010 [6] риск ИБ описывается как потенциальная возможность использования уязвимостей актива или группы активов конкретной угрозой ИБ для причинения ущерба организации. Зона, где могут появляться риски ИБ, находится на пересечении таких составляющих, как уязвимости, активы, угрозы ИБ и нарушитель (рис. 2.1). Все они тесно взаимосвязаны. Так, например, из-за наличия в активе одной уязвимости может реализоваться одна или более угроз ИБ и одна угроза ИБ может стать атакой, если в активах есть необходимая для ее осуществления уязвимость.

Рис. 2.1 - Зона возможного риска ИБ

Последствиями событий могут быть снижение эффективности, неблагоприятные операционные условия, потеря бизнеса, ущерб, нанесенный репутации и т.д. В табл. 2 представлено распределение тяжести последствий от реализации сценариев инцидентов ИБ по шести балльной шкале (Приложение Д). Ущерб или последствия для организации могут быть обусловлены сценарием инцидента. Согласно национальному стандарту РФ ГОСТ Р ИСО/МЭК 27002-2012 сценарий инцидента - это описание угрозы, использующей определенную уязвимость или совокупность уязвимостей в инциденте. Активам (в частности, информационным) может назначаться ценность, обусловленная как их финансовой стоимостью, так и последствиями для бизнеса в случае их порчи или компрометации.

Последствия или влияние на бизнес могут определяться путем моделирования результатов события или совокупности событий, экстраполяции экспериментальных исследований или данных за прошедшее время. Кроме того они могут быть выражены с помощью денежных, технических персональных критериев влияния или других критериев, значимых для организации. Последствия, различающиеся по времени или финансам, должны измеряться с использованием того же подхода, который применяется в отношении вероятности угрозы и уязвимости. Должна поддерживаться последовательность количественного или качественного подхода.

Основными рисками ИБ являются:

§ риск утечки КИ;

§ риск потери или недоступности важных данных;

§ риск использования неполной или искаженной информации;

§ риск неправомочной скрытой эксплуатации информационно-вычислительных ресурсов;

§ риск распространения во внешней среде информации, угрожающей репутации организации.

Управление рисками или риск-менеджмент - вид деятельности по принятию и выполнению управленческих решений, направленных на снижение вероятности неблагоприятного результата и минимизацию возможных потерь.

Управление проходит в пять этапов:

1. выявить риски, оценить вероятность их реализации и масштаб потерь, к которым они могут привести;

2. выбрать методы и инструменты управления рисками;

3. разработать риск-стратегию с целью снижения вероятности реализации риска и минимизации возможных последствий;

4. реализовать риск-стратегию;

5. оценить достигнутые результаты и скорректировать риск-стратегию.

Так как риски ИБ не во всех организациях имеют важность, можно выделить условно три подхода к управлению рисками ИБ:

1. для некритичных систем организации, в которых применяются стандартные требования по обеспечению ИБ;

2. для критичных систем, в которых внимание уделяется системам с наибольшими рисками ИБ;

3. для особо критичных систем, где необходима детальная оценка рисков ИБ для всех активов.

Идеальным вариантом для достаточно зрелых компаний будет являться тот, при котором управление рисками ИБ будет встроено в общую систему управления рисками организации [9].

Процесс управления рисками ИБ можно определить как постоянное использование политики и процедур управления в задачах коммуникации, установления контекста, идентификации, анализа, оценивания, мониторинга и переоценки рисков ИБ (рис. 2.2) [12, с. 21, рис. 2.4].

Коммуникация риска представляет собой деятельность, связанную с достижением соглашения о том, как осуществлять менеджмент риска путем обмена и/или совместного использования информации о риске лицами, принимающими решения, и другими причастными сторонами.

Угрозы, уязвимости, вероятность или последствия могут изменяться неожиданно, без каких-либо признаков изменений. Поэтому для выявления изменений необходим непрерывный мониторинг.

Рис. 2.2 - Составляющие процесса управления рисками ИБ

Существуют различные подходы к оценке рисков. Выбор подхода зависит от уровня требований, предъявляемых в организации к режиму ИБ, характера принимаемых во внимание угроз (спектра воздействия угроз) и эффективности потенциальных контрмер. Анализ рисков предполагает изучение и систематизацию угроз ЗИ, идентификацию рисков ИБ, а также количественную оценку рисков (рис. 2.3) [4, с. 22].

Основные подходы к оценке рисков:

1) методы, основанные на статистическом анализе данных;

2) методы на основе мнений экспертов;

3) методы, основанные на комбинации данных и мнений экспертов.

По проведенному всемирной ассоциацией специалистов по риску (GARP) опросу большинство опрошенных (59%) выступают за комбинированные подходы.

Обработка рисков ИБ предполагает процессы изменения риска, выбора и реализации мер по их изменению, выбора защитных мер, снижающих риски ИБ, или мер по переносу, принятию, уходу от рисков. Основными факторами, влияющими на решение о принятии рисков ИБ, являются возможные последствия реализации рисков и ожидаемая частота подобных событий. На выходе получают список принимаемых рисков.

Рис. 2.3 - Последовательность проведения анализа риска

Минимальным требованиям к режиму ИБ соответствует базовый уровень ИБ. Описаны они в следующих стандартах: Международный стандарт ISO/IEC 27005:2011 и ГОСТ Р ИСО/МЭК 27005-2010 [12, с. 9], Британские стандарты BS 7799, Германский стандарт BSI. Используются данные стандарты в случае типовых ситуаций. В них рассматривается минимальный (типовой) набор наиболее вероятных угроз [17, с. 7], таких как вирусы, сбои оборудования, НСД и т.д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры вне зависимости от вероятности их осуществления и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно.

Международный стандарт ISO/IEC 27005:2011 содержит в себе общее руководство по управлению рисками ИБ, используемое в организациях. Стандарт определяет риск ИБ как влияние (отклонение от предполагаемого) неопределенности на цели. Считается, что он был разработан на основе Британского стандарта BS 7799-3:2006.

Британский стандарт BS 7799-3:2006 определяет процессы оценки управления рисками как составные элементы системы управления организации, при этом используя процессную модель PDCA [12, с. 11] (рис. 2.4).

Рис. 2.4 - Процессная модель PDCA

На рис. 2.5 представлены составляющие Германского стандарта BSI [17, с. 9]. Достоинством данного стандарта является то, что в нем более подробно рассмотрены различные элементы информационных технологий [15, с. 60].

Рис. 2.5 - Германский стандарт BSI

В случаях, когда нарушения режима ИБ чреваты тяжелыми последствиями, базовый уровень требований к режиму ИБ является недостаточным. Для того чтобы сформулировать дополнительные требования, необходимо:

§ рассмотреть бизнес-процессы с точки зрения ИБ;

§ определить ценность активов;

§ к стандартному набору добавить список угроз, актуальных для исследуемой информационной системы;

§ оценить угрозы;

§ определить уязвимости.

На основе собранных сведений должны быть получены оценки рисков для информационной системы организации, отдельных подсистем, баз данных, отдельных элементов данных. Следующий шаг - выбор контрмер, снижающих риски до приемлемых уровней.

Возможно несколько вариантов управления рисками: уменьшение риска, уклонение от риска, изменение характера риска и принятие риска.

Многие риски могут быть существенно уменьшены путем использования весьма простых и дешевых контрмер. Например, грамотное управление паролями снижает риск НСД.

От некоторых классов рисков можно уклониться. Например, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска НСД в локальную сеть со стороны Web-клиентов.

Если не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры страховки. Например, оборудование может быть застраховано от пожара; могут быть заключены договора с поставщиками СВТ о сопровождении и компенсации ущерба, вызванного нештатными ситуациями. Многие риски не могут быть уменьшены до пренебрежимо малой величины, поэтому необходимо знать остаточную величину риска (риск, остающийся после обработки).

Чтобы оценить, насколько уменьшатся бизнес-риски при снижении рисков нарушения ИБ, необходимо «зафиксировать» состояние актива как минимум в двух позициях. Например, если речь идет о резервном копировании, то первая позиция такова: система резервного копирования отсутствует, и массивы обрабатываемой критичной информации не резервируются. Вторая: система есть и работает, персонал обучен, производится периодический контроль резервных копий массивов. Ожидаемый эффект от внедрения -- сокращение времени восстановления информации и, соответственно, сокращение финансовых затрат.

Система управления рисками ИБ (СУРИБ) - это набор элементов управления организации в отношении средств управления рисками ИБ на всех уровнях, в то числе стратегическое планирование, принятие решений и другие процессы, затрагивающие риски ИБ [12, с. 27].

Процесс управления рисками ИБ при базовом и детальном анализе рисков ИБ указаны в табл. 3 и 4 соответственно (Приложение Е).

Целью проведения аудита системы управления ИБ является проверка соответствия выбранных контрмер декларированным в ПБ целям [1, с. 18]. В результате должен быть создан документ «Ведомость соответствия», в котором содержится анализ эффективности контрмер.

2.2 Инструментальные средства для анализа и управления рисками

Применение каких-либо инструментальных средств не является обязательным, однако оно позволяет уменьшить трудоемкость проведения анализа рисков и выбора контрмер. В настоящее время на рынке есть около десятка программных продуктов для анализа и управления рисками базового уровня безопасности, например, BSS (Baseline Security Survey).

При выполнении полного анализа рисков приходится решать ряд сложных проблем. Во-первых, как определить ценность ресурсов, во-вторых, как составить полный список угроз ИБ и оценить их параметры и, в-третьих, как правильно выбрать контрмеры и оценить их эффективность.

Для решения этих проблем существуют специально разработанные инструментальные средства, построенные с использованием структурных методов системного анализа и проектирования (SSADM) [18, с. 11], которые обеспечивают:

§ построение модели информационной системы с точки зрения ИБ;

§ методы для оценки ценности активов;

§ инструментарий для составления списка угроз и оценки их вероятностей;

§ выбор контрмер и анализ их эффективности;

§ анализ вариантов построения защиты;

§ документирование (генерацию отчетов).

В настоящее время на рынке присутствует несколько программных продуктов этого класса. Это CRAMM (разработчик - компания Logica, Великобритания), MARION (разработчик CLUSIF, Франция), RiskWatch (США), Гриф (разработчик Digital Security, Россия). Покажем работу метода анализа и контроля рисков на примере CRAMM (рис. 2.6).

Рис. 2.6 - Метод анализа и контроля рисков CRAMM

Целью разработки метода являлось создание формализованной процедуры, позволяющей:

§ убедиться, что требования, связанные с безопасностью, полностью проанализированы и документированы;

§ избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;

§ оказывать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла ИС;

§ обеспечить проведение работ в сжатые сроки;

§ автоматизировать процесс анализа требований безопасности;

§ представить обоснование для мер противодействия;

§ оценивать эффективность контрмер, сравнивать различные варианты контрмер;

§ генерировать отчеты.

Анализ рисков включает в себя идентификацию и вычисление уровней рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов. Контроль рисков состоит в идентификации и выборе контрмер, позволяющих снизить риски до приемлемого уровня. Формальный метод, основанный на этой концепции, должен позволить убедиться, что защита охватывает всю систему и существует уверенность в том, что все возможные риски идентифицированы, оценены угрозы и уязвимости, контрмеры эффективны и расходы, связанные с ИБ, оправданы.

Исследование ИБ системы с помощью CRAMM проводится в три стадии [15].

1) анализируется все, что касается идентификации и определения ценности ресурсов системы. В конце стадии заказчик исследования будет знать, достаточно ли ему существующей традиционной практики или он нуждается в проведении полного анализа безопасности.

2) рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы.

3) поиск адекватных контрмер - поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика. В конце стадии он будет знать, как следует модифицировать систему в терминах мер уклонения от риска, а также выбора и проработки специальных мер противодействия, ведущих к снижению или минимизации оставшихся рисков.

...