Наша жизнь постоянно усложняется во всех сферах. Возникают новые и невиданные ранее подходы, технологии, активы. Для современных крупных предприятий большую роль играют информационные активы. Что они собой представляют?
Прежде чем приступать к основной теме, давайте затронем необходимый теоретический минимум. А именно, поговорим об информации. Она является одним из наиболее важных производственных активов, от которого в значительной мере зависит эффективность деятельности предприятия и его жизнеспособность. Это может быть как секрет создания определенного товара, так и внутренние финансовые данные. Любая более-менее крупная организация имеет свои информационные активы, относительно которых очень нежелательно, чтобы они попали в сторонние руки. Поэтому остро стоят вопросы хранения и безопасности.
Чтобы успешно разобраться со всеми представленными данными, необходимо знать несколько моментов:
Как можно понять, важны не только отдельные цифры и их пояснения, но и возможность оперативно использовать, защита от несанкционированного доступа и ряд других моментов. Когда выделены и сформированы информационные активы предприятия, остро встает вопрос их правильной классификации с последующим обеспечением безопасности. Почему именно так? Дело в том, что с помощью классификации можно оформить ключевые метрики для используемой информации - ее ценность, сила влияния на предприятие, требования к обеспечению/сопровождению/защите и тому подобное. Во многом от этого зависит, как данные будут обрабатываться и защищаться. Кроме этого, существует ряд нормативных стандартов, которые предусматривают проведение обязательной инвентаризации информационных активов организации. Хотя единой процедуры для этого и не существует.
Подход к данным зависит от того, в каких условиях и с чем мы имеем дело. Рассмотрим информационные активы на примере частного предприятия. Классификация проводится с целью обеспечить дифференцированный подход к данным с учетом уровня их критичности, что влияют на деятельность, репутацию, деловых партнеров, работников и клиентов. Это позволяет определить экономическую целесообразность и приоритетность различных мероприятий по формированию информационной безопасности предприятия. В соответствии с законодательством Российской Федерации выделяют:
Как оценить их важность? Для этого используют специальные модели. Давайте рассмотрим их более внимательно.
Чаще всего встречаются две из них:
Чтобы оценка информационных активов была максимально эффективной и сдвинутой от количества к качеству, можно ввести классы, что будут отражать ценность данных и уровень требований к ним. В таких случаях обычно выделяют:
Такую информацию условно можно разделить на несколько категорий. Первые две используются в коммерческих структурах, остальные, как правило, исключительно государством:
Давайте рассмотрим один из возможных алгоритмов:
Вот такой путь проходит перед своей классификацией этот ценный актив. Информационная безопасность, поверьте, играет немалую роль, и не нужно пренебрегать ею. При этом значительное внимание необходимо уделять жизненному циклу. Что это такое? Жизненный цикл - это набор определенных периодов, по истечении которых важность объекта, как правило, понижается. Условно можно выделить такие стадии:
Вот, пожалуй, и все. Какие данные хранятся - информационная база активов или что-то другое - это не важно. Главное - обеспечить конфиденциальность, доступность, целостность. Тогда не придется переживать за репутацию и считать убытки.
В этой статье мы попытались описать проблему защиты информационных активов от атаки изнутри сети и дать рекомендации по предотвращению кражи интеллектуальной собственности предприятия. Испытуемая нами утилита дала возможность осуществить на практике теоретические высказывания о безопасности информации внутри фирмы.
Введение
Одна из самых важных причин создания политики безопасности компьютеров – это уверенность в том, что затраченные средства на безопасность помогут компании защитить более ценную информацию.
В наше время бизнес компаний напрямую связан с информационными технологиями, для многих именно информация является главным средством получения денег. Излишне говорить, что, как и любые материальные активы, информационные активы нуждаются в безопасности. Высокий профессионализм атакующего и отсутствие оного у пользователей говорит не в пользу уровня защиты информации, и делает вашу фирму, а так же весь ваш бизнес, уязвимым. Но, к сожалении, это лишь часть проблемы, которую предстоит решать отделу безопасности и системному администратору. Согласно исследованиям Ernst & Young за 2003 год самый большой урон компаниям принесли вредоносные программы и нарушения со стороны сотрудников. Никогда не можно быть уверенным на все сто, что сотрудник, работающий с ценной информацией не похитит или уничтожит ее. Согласно RFC 2196 для информационных активов существуют следующие угрозы:
Очень часто доступ к данным намного легче получить изнутри, чем снаружи сети. Многие администраторы защищают свою сеть от атак неизвестных взломщиков с помощью различных систем обнаружения вторжения, межсетевых экранов, забывая о том, что пользователи их сети могут принести намного больший урон информационным активам.
2. Ненамеренное и/или неправомерное раскрытие информации
Здесь речь идет о пользователях, способных случайно или специально раскрыть атакующему важную информацию о политике безопасности или даже передать конфиденциальные данные в руки взломщиков.
3. Отказ в обслуживании
Приведение актива в нерабочее состояние вследствие неумышленных или специальных действий пользователей (удаление, повреждение файла или нескольких файлов общей БД)
Давайте рассмотрим варианты защиты от этих угроз подробнее.
В данной статье мы будем рассматривать вторую угрозу, так как именно от этой угрозы сложнее всего защитить информационные активы.
Для сохранности информационных активов используются комплексные меры защиты:
Аппаратный (снифферы, маршрутизаторы, свитчи)
Программный (снифферы, контентные фильтры, системы обнаружения вторжения)
Аппаратный (системы видео наблюдения, прослушивания и т.д.)
Программный (кейлогеры, системы мониторинга и т.д.)
Аппаратный
Программный
Понимание инцидента.
Для системного администратора и сотрудника отдела безопасности понимание инцидента и наличие политики защиты от него являются самыми главными средствами в борьбе за информационные ресурсы предприятия.
Пользователи, которые работают с важной информацией, являются объектами наблюдения для службы безопасности. Контроль за почтовыми сообщениями пользователей, за использованием Интернета, попыткам доступа к ресурсам можно осуществить с помощью различных снифферов, систем обнаружений вторжения, всевозможных лог файлов и т.д. Но как выявить нарушителя, который пытается украсть информационные активы путем их записи на съемные носители? Аудит файлов и папок не позволяет обнаружить простую операцию копирования содержимого секретного файла в новый.
Защита от кражи информации. DeviceLock.
В этой статье рассматривается решение по защите информационных активов средствами утилиты DeviceLock.
Утилита DeviceLock от SmartLine позволяет контролировать доступ к различным устройствам в системе: дисководам, магнитно-оптическим дискам, CD-ROM, ZIP, USB, FireWire, serial и parallel портам, WiFi и Bluetooth адаптерам и т.д.
Характеристики ПО:
Версия: 5.52
Платформы: Windows NT 4.0/2000/XP/2003
Удаленное управление: Да
Удаленная установка: Да
Взаимодействие с Active Directory: Да
Обычно компьютеры покупаются со стандартной комплектацией аппаратного обеспечения, в которой присутствуют порты USB, дисковод CD-ROM или CD-RW, порты serial и parallel и т.д., что позволяет пользователю без проблем воспользоваться одним из этих устройств для копирования информации. Бороться с этим можно как аппаратными так и программными средствами, именно последним и отдают предпочтение, так как часто требуется создание политики доступа к подобным ресурсам для каждого отдельного пользователя.
1. Установка
Утилита поддерживает три вида установки: обычная установка с графическим интерфейсом, установка с помощью Microsoft Systems Management Server (SMS), установка из командной строки.
Для установки с помощью Microsoft Systems Management Server следует использовать файлы, которые находятся в архиве sms.zip дистрибутива.
Установка с использование командной строки:
Для этого типа установки важно, чтобы конфигурационный файл devicelock.ini находился в том же каталоге, что и файл setup.exe
Синтаксис файла devicelock.ini:
| Ключ | Параметр | Описание |
| Floppy | 1 или 0 | Запрещает доступ ко всем дисководам. |
| Removable | 1 или 0 | Запрещает доступ ко всем съемным носителям. |
| CDROM | 1 или 0 | Запрещает доступ ко всем устройствам CD-ROM |
| Serial | 1 или 0 | Запрещает доступ ко всем портам serial |
| Parallel | 1 или 0 | Запрещает доступ ко всем портам parallel |
| Tape | 1 или 0 | Запрещает доступ ко всем устройствам записи на магнитную пленку |
| USB | 1 или 0 | Запрещает доступ ко всем устройствам USB |
| IRDA | 1 или 0 | Запрещает доступ ко всем устройствам IRDA. |
| FireWire | 1 или 0 | Запрещает доступ ко всем портам IEEE 1394 |
| Bluetooth | 1 или 0 | Запрещает доступ ко всем адаптерам Bluetooth |
| WiFi | 1 или 0 | Запрещает доступ ко всем адаптерам WiFi |
| CreateGroups | 1 или 0 | Создает локальные группы для каждого типа устройств |
| AccessTo... | {Имя пользователя или группы с правами полного доступа к устройству} | Разрешает доступ отдельных пользователей для каждого типа устройств |
| CtrlUSBHID | 1 или 0 | Контролирует USB порты для клавиатуры, мыши… |
| CtrlUSBPrint | 1 или 0 | Контролирует USB порты для принтеров, сканеров |
| CtrlUSBBth | 1 или 0 | Контролирует адаптеры USB Bluetooth |
| CtrlFWNet | 1 или 0 | Контролирует сетевые адаптеры USB и FireWire |
| Service | 1 или 0 | Устанавливает службу DeviceLock |
| Manager | 1 или 0 | Устанавливает менеджер для DeviceLock |
| Documents | 1 или 0 | Устанавливает документацию к программе |
| InstallDir | {путь к каталогу} | Определяет путь к установочному каталогу |
| RegFileDir | {путь к файлу} | Определяет путь к лицензионному ключу |
| Run | {путь к файлу} | Запускает приложение в случае успешной установки |
Пример файла конфигураций devicelock.ini:
;Конфигурация для установки DeviceLock на пользовательские компьютеры:
AccessToFloppy= Domain\privileged
AccessToRemovable= Domain\privileged
AccessToCDROM= Domain\privileged
AccessToUSB=Domain\privileged
InstallDir=C:\Program files\devicelock\
RegFileDir=C:\RegistrationKey\xxxxxx
Для установки программы в этом режиме следует запустить файл setup.exe с ключом /s (silent)
D:\Distributives\DeviceLock\setup.exe /s
К сожалению в процессе установки утилита позволяет создать лишь локальные группы пользователей. Если у вас доменная сеть, значительно удобней создать группы для всего домена. Для этого воспользуйтесь оснасткой Active Directory Users and Computers: dsa.msc или утилитой net group.
2. Использование. Возможности программы.
Для нормального функционирования программы на машинах в вашей сети должны быть открыты следующие порты:
С помощью менеджера DeviceLock утилита устанавливается на нужные машины в сети двойным щелчком мыши на объекте. Управление проводится централизованно с машины, на которой установлен менеджер
Определение политик доступа для определенного устройства осуществляется с помощью диалогового окна Permissions, которое вызывается двойным нажатием левой кнопки мыши на устройстве или через меню File->Set Permissions.
Утилита позволяет управлять доступом как для групп, так и для отдельных пользователей. Возможные виды доступа к устройству:
Также возможно управлять доступом пользователей к устройствам по времени.
Разрешения Allow Eject действительны лишь для программного изъятия носителя из устройства, по этому особой нужды в таком правиле по нашему мнению нет, так как пользователь всегда сможет нажать на кнопку привода и изъять или вставить носитель.
Обратите внимание, что политика доступа назначается для всей группы устройств, а не для отдельного устройства. Т.е. если на машине присутствуют 2 устройства CD-ROM, то невозможно для одного пользователя создать разные разрешения для каждого устройства.
Программа позволяет одновременно создавать политики для определенного типа устройств на всех компьютерах в сети. Для этого используется диалоговое окно Batch Permissions (File->Batch Permissions).
Преимущества программы:
1. Позволяет создавать правила доступа к устройствам, что делает ее незаменимой в среде, где требуется жесткий контроль над информационными активами
2. Проста в обращении
3. Не требует больших ресурсов для работы
Недостатки:
1. Немного неудобный интерфейс
2. Было бы неплохо выставлять разрешения для каждого устройства, а не для группы устройств. Например, виртуальный CD-ROM и физический распознаются как одна группа устройств, что не позволяет запретить некоторым пользователям доступ на чтение с физического устройства.
Заключение
В этой статье мы попытались описать проблему защиты информационных активов от атаки изнутри сети и дать рекомендации по предотвращению кражи интеллектуальной собственности предприятия. Испытуемая нами утилита дала возможность осуществить на практике теоретические высказывания о безопасности информации внутри фирмы.
Цель.
Анализ информационных ресурсов, используемых компанией, и выработка концептуальных основ деятельности по обеспечению корпоративной информационной безопасности.
Задачи.
1. Установить номенклатуру информационных ресурсов и оценить их значимость для компании в целом и ее структурных подразделений.
2. Выявить виды и разновидности тайн, которые используются в деятельности компании.
3. Оценить риски информационной безопасности.
Порядок оформления.
1. Шрифт Arial 10. Интервал 1. Поля стандартные. Страницы работы должны быть пронумерованы сверху. Формат документа - MS Office
2. Работы в электронном виде отправляются на электронную почту преподавателя:
[email protected].
Тема письма «Практикум ИБ/ФИО студента - группа». В теле письма необходимо продублировать ФИО и группу.
3. Крайний срок сдачи лабораторного практикума: 2 ноября . Практикумы, сданные после этого срока, не засчитываются. При выявлении работ, текст которых совпадает, не засчитывается ни одна из них
Задание 1.
Описание компании и ее структурных подразделений
1. Укажите наименование компании и адрес ее корпоративного сайта.
2. Дайте описание деятельности компании, её направлений и бизнес-целей.
3. Опишите основные показатели деятельности компании, характеризующие её масштабы (5-6 показателей), и приведите их числовые значения за какой-то период или дату;
4. В MS Visio или другом графическом редакторе составьте функциональную блок-схему компании в выбранном варианте. Детализацию производить до уровня отделов.
5. Постройте схему, характеризующую архитектуру ИТ-сети компании, ее программные и аппаратные компоненты.
Если Вы испытываете трудности с выбором компании для анализа, воспользуйтесь перечнем компании з Приложения 1 в конце файла.
Описание компании не должно занимать более 1 страницы.
Задание 2.
Определение номенклатуры информационных активов
a. Определите базовые уязвимости и угрозы в сфере информационной безопасности для деятельности компании.
b. Для каждого структурного подразделения определите информационные активы. Заполните Таблицу 1 .
Таблица 1
Для выполнения данного пункта необходимо внимательно ознакомиться с пунктом 5 стандарта ГОСТ Р ИСО/МЭК 17799-2005 (Приложение 2). Не менее трех активов.
Задание 3.
Определение номенклатуры видов и разновидностей тайн
a. Определите перечень сведений, которые используются в деятельности компании и образуют тайны различных видов и разновидностей.
b. Для каждого вида (разновидности) тайны заполните Таблицу 2 . В первой строке таблицы приведен условный пример.
Таблица 2
| Вид (разновидность) тайны | Содержание сведений, составляющих тайну | В состав какого информационного актива входят соответствующие данные | Численность пользователей (П), рабочих мест (РМ), филиалов (Ф), вовлеченных в обработку КИ | Наиболее значимые ДФ для каждого пункта (по мере убывания важности) | На каких носителях распространяются соответствующие данные |
| Персональные данные | Сведения о сотрудниках | База данных 1С | Отдел кадров - 2П, 2РМ Бухгалтерия - 2П, 1 РМ | ||
Должны быть указаны минимум ТРИ тайны. Для каждой тайны следует указать КОНКРЕТНЫЕ ДФ и носители
Задание 4.
Для информационных активов определите:
· условия разведывательного контакта (укажите конкретные условия);
· методы доступа к добываемой информации (определите конкретные методы);
· способы дистанционного добывания информации (перечислите конкретные способы);
· зону, в которой должен находиться актив (укажите конкретную зону).
Заполните Таблицу 3 .
Таблица 3
Задание 5
Определите наиболее опасные каналы утечки информации, способы и средства противодействия утечке. Заполните Таблицу 4 . Укажите конкретные каналы, способы и средства. Абстрактные рекомендации (быть внимательными, осторожными, осмотрительными и т.п.) не засчитываются.
Таблица 4
Начисление баллов:
· за правильно и полно заполненную Таблицу 1 - 7 баллов;
· за правильно и полно заполненную Таблицу 2 - 8 баллов;
· за правильно и полно заполненную Таблицу 3 - 12 баллов;
· за правильно и полно заполненную Таблицу 4 - 11 баллов;
· за выполненное Задание 1 - 2 балла (начисляются, если заполнены минимум две таблицы).
Приложение 1
Варианты компаний:
1. Московский финансово-промышленный университет «Синергия».
2. Компания занимается розничной торговлей мультимедийной продукцией
3. Компания занимается оказанием логистических услуг
4. Компания занимается учебной деятельностью
5. Компания занимается производством мебели
6. Компания является туроператором
7. Компания занимается оказанием услуг в сфере здравоохранения деятельностью
8. Компания разрабатывает средства защиты информации
9. Компания занимается изготовлением полиграфической продукции
10. Компания оказывает услуги по инкассации торговых объектов
11. Компания занимается разработкой и сопровождением отраслевого программного обеспечения
12. Компания занимается кинопрокатом фильмов
13. Компания занимается книгоизданием
14. Компания занимается выпуском журналов (Издательский дом)
15. Компания осуществляет подключение к сети Интернет и IP телефонии
16. Компания занимается разработкой и администрованием веб-сайтов
17. Компания занимается изготовлением POS-терминалов
18. Компания занимается бронированием гостиниц по России
19. Компания занимается бронированием и доставкой железнодорожных и авиабилетов.
20. Компания занимается локализацией программных продуктов
21. Компания занимается тиражированием оптических дисков
Приложение 2
Классификация активов, связанных с информационными системами
Описание активов дает уверенность в том, что обеспечивается эффективная защита активов, и оно может также потребоваться для целей обеспечения безопасности труда, страхования или решения финансовых вопросов (управление активами). Процесс составления описи активов - важный аспект управления риском. Организация должна быть в состоянии идентифицировать свои активы с учетом их относительной ценности и важности. Основываясь на этой информации, организация может обеспечивать заданные уровни защиты, соответствующие ценности и важности активов. Описи следует составлять и поддерживать для важных активов, связанных с каждой информационной системой. Каждый актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности, его владельцы должны быть авторизованы, а данные о них документированы. Кроме того, должно быть указано фактическое местоположение актива (это важно в случае восстановления активов при потере или повреждении). Примерами активов, связанных с информационными системами, являются:
Информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы по обеспечению непрерывности функционирования информационного обеспечения, процедуры действий при сбоях, архивированная информация;
Активы программного обеспечения: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты;
Физические активы: компьютерное оборудование (процессоры, мониторы, переносные компьютеры, модемы), оборудование связи (маршрутизаторы, частные автоматические телефонные станции с выходом в сеть общего пользования, факсы, автоответчики), магнитные носители (ленты и диски), другое техническое оборудование (электропитание, кондиционеры), мебель, помещения;
Услуги: вычислительные услуги и услуги связи, основные коммунальные услуги, например, отопление, освещение, электроэнергия, кондиционирование.
Рассмотрим кратко современные проблемы идентификации активов и внешней оценки (сертификации) систем менеджмента информационной безопасности (СМИБ) в соответствии с требованиями ГОСТ Р ИСО/МЭК 270011 и СТО Газпром серии 4.22. При реализации только требований СТО Газпром серии 4.2 возможны упущения в процессе анализа рисков информационной безопасности (ИБ), фрагментарное выявление и оценка части активов — только объектов защиты (ОЗ), а впоследствии — при выборе адекватного перечня мер (средств) обеспечения ИБ
УДК 004.94
Методика определения активов при внедрении и сертификации СМИБ в соответствии с требованиями ГОСТ Р ИСО/МЭК 27001-2006 и СТО Газпром серии 4.2
И.И. Лившиц, к.т.н., ведущий инженер ООО «Газинформсервис»
Ключевые слова
Информационная безопасность (ИБ); система менеджмента информационной безопасности (СМИБ); система обеспечения информационной безопасности (СОИБ); объект защиты (ОЗ); аудит; цикл PDCA; менеджмент рисков.
Keywords:
Information Security (IT-Security); Information Security Management System(ISMS); Information securityproviding system(ISPS); object of protection(ObP); audit;PDCA cycle;risk management.
Аннотация
В данной публикации кратко рассмотрены современные проблемы при идентификации активов и сертификации систем менеджмента информационной безопасности (СМИБ) в соответствии с требованиями стандартов ГОСТ Р ИСО/МЭК серии 27001 и отраслевых стандартов Системы обеспечения информационной безопасности СТО Газпром серии 4.2 (СОИБ). Предложен подход к формированию моделей и методов выявления, идентификации и классификацииугроз нарушения информационной безопасности (ИБ) для защищаемых активов различного вида. Основное внимание обращено на сложности при совмещении требований двух различных систем стандартизации (ГОСТ Р ИСО/МЭК и СОИБ), которые могут вызвать затруднения при идентификации и оценке активов СМИБ, а также в процессах планирования и успешного проведения сертификационного аудита.
This issue covers briefly the current problemsof asset identification andcertification ofthe information security management systems(ISMS) in accordancewith the requirements ofGOST R ISO/IEC27001seriesof standardsand industryinformation security providing systemSTO Gazpromseries4.2(ISPS). Proposed approach providingdevelopment ofmodels andmethods for detection, identification and classification ofthreats tobreachinformation security (IS) fordifferent typesassets.Focuses on thedifficulties inreconcilingthe requirementsof two different systemsfor Standardization (ISMS andISPS), which can cause difficultiesin the identificationand evaluationof assetsISMS, as well as in the planning andsuccessfulcertification audit.
Введение
Проблема внедрения результативной СМИБ в соответствии с требованиями стандартов ГОСТ Р серии 27001 является достаточно известной. Требования к проведению аудитов систем менеджмента (СМ) изложены в известном стандарте . В ряде источников (www.snti.ru/snips_sto51.htm, s3r.ru/2010/10/standarty/Gazprom, txcom.ru/gazpro) доступны стандарты СОИБ , которые в своей основе содержат и ряд требований указанных стандартов . Объективно существуют различия в требованиях СОИБ, которые могут препятствовать успешному внедрению СМИБ (например, различия в понятиях «актив » и «объект защиты ») и проведению успешной независимой оценки (сертификации) по требованиям базового «сертификационного» стандарта . В том случае, когда высший менеджмент организации принимает решение о подготовке существующей СМИБ к сертификационному аудиту, представляется необходимым проанализировать требования СОИБ и принять решение о комплексе мероприятий, которые следует предпринять для целей обеспечения соответствия требованиям . Для реализации управляемых условий данного процесса предлагается методика идентификации и оценки активов, прошедшая практическую апробацию.
Учет различий при выявлении и оценке активов (объектов защиты) СМИБ
Для ряда организаций вполне естественно принимать «как есть» отраслевые требования, а внедрение дополнительных стандартов требует отдельного решения высшего менеджмента. Это обстоятельство не является экстраординарным, т.к., во-первых, изложено в преамбуле почти всех международных стандартов (ISO) и их российских переводов ГОСТ Р, во-вторых, является функцией формирования добавочной стоимости и, в-третьих, подтверждается мировой статистикой сертификации ISO . Соответственно, в случае принятия такого решения - о внедрении конкретного национального или международного стандарта, организация вынуждена выполнять сопоставление (“mapping ”) своих процессов, реализованных изначально только лишь под требования конкретных отраслевых требований. При этом возможны упущения (неполнота) при выполнении анализа рисков нарушения ИБ и недостаточно полное изучение уязвимостей процессов переработки информации вАС.Ситуация может иметь более серьезные последствия, если конкретная отраслевая система (в частности, СОИБ), создавалась изначально на базе зарубежных стандартов (например, BS серии 7799), но по ряду причин не актуализировалась при изменении соответствующих стандартов или применимых законов (регламентов). В частности, стандарт СОИБ содержит ссылку на отмененный Федеральный закон N 1-ФЗ «Об электронной цифровой подписи» (см. http://base.garant.ru/), а стандарт СОИБ содержит ссылку на отмененный стандарт BS 7799:3-2006 (см. http://www.standards.ru/document/3858996.aspx) - на дату подготовки публикации.
В тоже время существуют методики , основанные на стандартах ISO , которые учитывают основные требования по управлению рисками ИБ, достаточно подробно описывая практическую реализацию требований как базового «сертифицирующего» стандарта , так и целевого стандарта по управлению рисками ИБ . Применение данной методики способствует получению численных оценок рисков ИБ и, в целом, возможно, успешной сертификации СМИБ на соответствие стандарту .
Для целей данной публикации будут рассмотрены два основных фундаментальных различия, которые, по мнению автора, могут иметь критичные последствия для целей создания и успешной сертификации СМИБ на соответствие требованиям стандарта . Эти несоответствия могут привести к «консервации» замысла создания СОИБ и потери важного преимущества любой успешно внедренной СМ - адекватное обеспечение выполнение целей бизнеса . Второе негативное последствие выявленных различий, имеющее измеримое значение - дополнительные издержки при приведении СМИБ к уровню, достаточному для адекватного выполнения требований стандарта . Отметим, что в практике создания СМИБ представляется важным сконцентрировать экспертные усилия на целях формирования достоверных моделей и методов обеспечения внутреннего аудита и эффективного «мониторинга» состояния объектов, находящихся под воздействием угроз ИБ.
Различие 1. Идентификация (классификация) активов
Для анализа первого различия рассмотрим требования стандарта в части управления активами и требования стандарта по классификации объектов защиты. Известно определение: «активы (asset): все, что имеет ценность для организации» (п. 3.1 ). Дополнительно рассмотрим Приложение «В» стандарта : «для установления ценности активов организация должна определить все свои активы на соответствующем уровне детализации ». При этом дается пояснение о том, что могут различаться два вида активов: «основные активы, включающие бизнес-процессы, бизнес-деятельность и информацию и вспомогательные (поддерживающие) активы, от которых зависят основные составные части области применения всех типов, включающие аппаратные средства, программное обеспечение, сеть, персонал, место функционирования организации и структуру организации ».
В фазе «План» цикла PDCA (п. 4.2.1 ) указано, что организация должна, например, «определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий». В Приложении А() даны примеры реализации конкретных мер (средств) обеспечения ИБ (“controls ”) в части касающейся управления активами, например: «Инвентаризация активов: «Опись всех важных активов организации должна быть составлена и актуализирована (A.7.1.1)».
В свою очередь, в требованиях СОИБ по классификации объектов защиты (ОЗ) приводятся иные термины и определения (Раздел 3), где ОЗ трактуется в терминах ;
Согласно под термином ОЗ понимают информационные активы, технические и программные средства их обработки, передачи, хранения (п. 3.3.3 ). Этот перечень ОЗ является закрытым, объективно явно меньшим, чем дефиниция активов , представленная выше. Соответственно, одним из критичных рисков при сертификации может являться объективно явная неполнота идентифицированных и принятых к защите ОЗ в СОИБ, в частности, в никак не учтены активы по следующим категориям - персонал, место расположения (объекты) и структура организации. Необходимо обратить внимание, что предложенный подход в системе СОИБ Газпром вносит существенные сложности в текущий процесс поддержания и обеспечения ИБ, в частности, в области управления инцидентами ИБ и рисками ИБ. Например, и стандарт ГОСТ Р ИСО/МЭК 18044-2007 оперирует примерами инцидентов ИБ, связанных с персоналом, и новейший международный стандарт ISO серии 27040 по обеспечению безопасности хранящихся данных принимает во внимание важнейшую роль персонала (внутреннего, внешнего) в обеспечении требуемого уровня ИБ на объектах инфраструктуры.
В стандарте определены правила идентификации ОЗ идолжны быть определены собственник, владелец и пользователи конкретного ОЗ (п. 5.6. ), каждый из них должен быть отнесён только к одному из следующих типов (п. 5.8 ):
В стандарте перечислены правила определения критичности ОЗ и согласно им определяется критичность ОЗ (п. 6.7. ) и далее, на основании полученного уровня критичности, ОЗ относят к одной из групп (п. 7.1. ):
В Разделе 8 стандарта приведены правила учёта ОЗ. Основными задачами учёта ОЗ являются сбор, обработка и систематизация данных об ОЗ. Отмечается, что должна выполняться обязательная регистрация фактов создания, приобретения, передачи, дублирования, снятия с эксплуатации и уничтожения ОЗ. Таким образом, можно сделать предварительный вывод по 1-му различию - для разработки и успешной сертификации СМИБ по требованиям , только выполнения требований, предъявляемыхСОИБ, объективно недостаточно, т.к. учитывается крайне ограниченное множество сущностей, объективно являющихся критичными активами для бизнеса.
Различие 2. Оценка рисков ИБ
Для анализа 2-го различия рассмотрим требования в части управления рисками ИБ и требования СОИБ по анализу и оценке рисков. Основные определения, необходимые для анализа 2-го различия, приведены в (п.п. 3.7 - 3.15). Основные требования по управления рисками ИБ удобно рассмотреть по фазам цикла PDCA, аналогично Различию 1: в фазе «План» (п. 4.2.1 ), фазе «Делай» (п. 4.2.2 ), в фазе «Проверяй» (п. 4.2.3 ), соответственно. В Приложении А () даны примеры реализации конкретных мер (средств) обеспечения ИБ (“controls ”) в части касающейся менеджмента рисков, например: «Проверка всех кандидатов на постоянную работу, подрядчиков и пользователей сторонней организации должна быть проведена в соответствии с законами, инструкциями и правилами этики, с учетом требований бизнеса, характера информации, к которой будет осуществлен их доступ, и предполагаемых рисков» (А. 8.1.2.).
В свою очередь, в требованиях СОИБ по анализу и оценке рисков выполняются следующие основные процедуры (п. 4.4):идентификация, анализ и оценивание риска.Оценка рисков осуществляется дляАС, в состав которых входит хотя бы один ОЗ с максимальным уровнем критичности, определяемым в соответствии с (п. 4.8 ). Таким образом, объективно существует критичный риск для целей успешной сертификации СМИБ, при котором деятельность по оценке рисков в терминах только СОИБ может вообще не проводиться. Соответственно, деятельность, предусмотренная СОИБ , не будет осуществляться на «законных» основаниях, что может привести к ошибкам в процессах выявления, идентификации и классификации угроз нарушения ИБдляОЗ, а также к недостоверному анализу рисков нарушения ИБ и уязвимостейв процессах переработки информации в АС вустановленной области применения (“scope”). Особенно важно, что может наблюдаться «вложенность» критичных рисков - невыполнение оценки рисков (Различие 2) может быть прямым следствием исключения персонала из активов в СОИБ (Различие 1) и такая «вложенность» может привести, объективно, к значительным несоответствиям на внешнем сертификационном аудите СМИБ.В рамках работ по идентификации рисков необходимо выполнить идентификацию элементов риска, а именно ОЗ, угроз ОЗ и уязвимостей ОЗ(п. 5.1 ).В рамках работ по анализу рисков определяют (п. 6.1. ):
Оценка возможного ущерба производится по 3-уровневой качественной шкале (6.2.2 ):
Обратим внимание, что, как правило,при решении конкретных прикладных задачи значения критериев измеряются в пределах определенной шкалы и выражаются в установленных единицах. Известно, что качественные шкалы используют, например, для измерения различных психофизических величин, силы землетрясения, а также степени разрушения материала или конструкции (3.3.1 ). Соответственно, применение качественной шкалыдля целей оценки возможного ущерба ИБ представляется не вполне оправданным и методически уязвимым с позиции обеспечения достижения измеримых (!) целей - создание СМИБ, обеспечение постоянного повышения результативности СМИБ и успешная сертификация СМИБ на соответствие требованиям .
В стандарте отмечается, что максимальная величина возможного ущерба характеризуется максимальным уровнем критичности ОЗ, средняя величина возможного ущерба - средним уровнем критичности ОЗ, минимальная величина возможного ущерба - минимальным уровнем критичности ОЗ. Объективно, существуют затруднения для определения уровня возможного ущерба для активов (в терминах стандартов ИСО), но не учтенных как ОЗ в системе СОИБ, например: персонал (собственный и посторонний), серверные помещения, помещения для проведения конфиденциальных переговоров и пр.
Следующим шагом оценки рисков является сравнение полученных величин риска с заранее определенной шкалой уровня риска - этап оценивания риска (п. 7.1 ). Должны быть идентифицированы уровни риска, которые являются приемлемыми (п. 7.4 ) и риски, не превышающие приемлемого уровня, должны быть приняты. Также должны приниматься риски, превышающие допустимый уровень, если для данных рисков отсутствует подходящий способ обработки. Все остальные риски должны обрабатываться (п. 7.5 ).Это положение создает существенное затруднение для подготовки СМИБ к сертификации, т.к. известное требование - выполнение анализа СМИБ со стороны руководства (стандарт , раздел 7) предусматривает явно принятие во внимание в качестве входной информации о: «уязвимостях или угрозах, которые не были адекватно рассмотрены в процессе предыдущей оценки риска » (п. 7.2. е) и в системе СОИБ Газпром не выполняется в силу применяемой парадигмы формирования ОЗ.
Методика идентификации активов
Как уже отмечалось выше, существует ряд различий между системами СМИБ и СОИБ, одним из важнейших и принципиальных является различие в терминах «актив» () и «объект защиты» ().Соответственно, необходимо предложить методический подход, который позволит мягко преобразовать существующую СОИБ к требованиям СМИБ и обеспечить результативное проведение различных аудитов, так и мониторинга состояния объектов, находящихся под воздействием угроз нарушения ИБ. Прежде всего, как было указано выше, необходимо преобразовать базовую систему ОЗ к требованиям идентификации всех групп активов СМИБ на соответствиестандарта . Например, может быть предложена следующая классификация групп активов СМИБ (см. Табл. 1).
Таблица 1. Классификация групп активов СМИБ
Пример реестра группы активов «АС» приведен в табл. 2.
Таблица 2. Реестр группы активов «АС»
Примечания:
* Владелец - определенная служба в области сертификации СМИБ, которая отвечает за указанный актив в части поддержания функциональности;
** Уровень критичности - на основании «Перечня ОЗ» в соответствии с требованиями СОИБ.
Пример оценки рисков ИБ для примера актива АС «Босс-Кадровик»приведен в табл. 3.
Таблица 3. Оценка рисков ИБ для актива АС
|
№ риска |
Наименование риска |
Критичность актива |
Уровень уязвимости |
Уровень вероятности реализации угрозы |
Величина риска |
Уровень риска |
|
Нарушение конфиденциальности информации вАС «Босс-Кадровик» | ||||||
|
Нарушение целостности информации вАС «Босс-Кадровик» |
Максимальный |
Минимальный | ||||
|
Нарушение доступности информации вАС «Босс-Кадровик» |
Минимальный |
Оценка результативности ИСМ с учетом требований СМИБ
Учет активов в соответствии с требованиями стандарта ISO позволит привнести в ИСМ элемент управляемости по единым целям, измеримым в терминах бизнеса . Для ИСМ, в составе которой есть СМИБ, могут быть применены соответствующие метрики. Широко известны примеры формирования простых метрик ИБ, которые могут обеспечить формирование количественных оценок (метрик)как доказательства «полезности» для бизнеса. Здесь представляется особенно важным сразу сделать сопоставление с механизмами внутреннего аудита, которые именно предназначены для представления «объективных доказательств» для высшего руководства с целью принятия эффективных управленческих решений . Различные виды метрик для целей обеспечения ИБ представляется целесообразным сгруппировать следующим образом:
С целью снижения издержек (это одна из приоритетных задач любого бизнеса и наиболее «презентабельная» форма оценки результативности службы ИБ), могут быть применены метрики, показывающие степень достижения возможного максимума (плана продаж, выполнения в срок проектов и пр.) . Соответственно, могут быть предложены различные типы метрик:
Выводы
1. При планировании и реализации проектов по сертификации СМИБ необходимо принять во внимание, что множество требований произвольной системы отраслевой сертификации, в общем случае, не соответствует требованиям сертификационного стандарта ISO серии 27001. Для адаптации СОИБ необходима продуктивная методика, основанная на сопоставлении (“mapping ”) стандартных требований в области ИБ и обеспечивающая достижение целей по обеспечению внутреннего аудита и эффективного «мониторинга» состояния объектов, находящихся под воздействием угроз ИБ - на основании сформированных достоверных моделей и методов.
2. Реализация требований современных стандартов к СМИБ, «наложенных» на существующую СОИБ, приводит к необходимости пересматривать фундаментальные требования (например, понятий «актив » и «менеджмент риско в»).Это обстоятельство напрямую связано с определяемой высшим руководством областью сертификации («scope ») и, соответственно, с перечнем активов, признанных жизненно важным для бизнеса организации, и по этой причине подлежащих защите в составе СМИБ.
Библиография
ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. С истемы менеджмента информационной безопасности. Требования»
ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»
ГОСТ Р ИСО 19011-2011 «Руководящие указания по проведению аудитов систем менеджмента».
СТО Газпром 4.2-1-001-2009 Система обеспечения информационной безопасности ОАО «Газпром». Основные термины и определения
СТО Газпром 4.2-2-002-2009 Система обеспечения информационной безопасности ОАО «Газпром». Требования к АСУ ТП
СТО Газпром 4.2-3-002-2009 Требования по технической защите информации при использовании информационных технологий
СТО Газпром 4.2-3-003-2009 Система обеспечения информационной безопасности ОАО «Газпром». Анализ и оценка рисков
СТО Газпром 4.2-3-004-2009 Классификация объектов защиты
СТО Газпром 4.2-3-005-2013 Управление инцидентами информационной безопасности
Лившиц И.И. Оценки соотношения количественных показателей сертификации систем менеджмента предприятий // Менеджмент качества, 2014, вып. 2;
Лившиц И. И. Совместное решение задач аудита информационной безопасности и обеспечения доступности информационных систем на основании требований международных стандартов BSI и ISO // Информатизация и Связь, 2013, вып. 6;
Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества, 2013, вып. 1;
Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов - аэропортовых комплексов // Труды СПИИРАН, 2014, вып. 6
В.Д. Ногин Принятие решений при многих критериях // Государственный Университет - Высшая школа экономики, Санкт-Петербург, 2007, 103 стр.
М.К. Янчин. Управление информационными рисками на основе методологии MEHARI, Источник публикации: http://pvti.ru/data/file/bit/bit_4_2011_29.pdf (на дату 19.01.2015)
ISO/IEC 27040:2015 Information technology — Security techniques — Storage security.
ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements.
ISO/IEC 27000:2014 Information technology — Security techniques — Information security management systems — Overview and vocabulary.
ISO/IEC 27004:2014 Information technology — Security techniques — Information security management — Measurement.
Идентификация и оценка информационных активов
Идентифицируем информационные активы организации. Для этого сначала приведем понятие информационного актива.
Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении. У каждой организации свой набор активов, относящихся к тому или иному типу.
Рассмотрим информационные активы организации. Для более удобного рассмотрения активов сгруппируем их согласно типам.
1. Информация/данные.
Данные о разработках;
Данные по продукции.
2. Аппаратные средства.
8 серверов;
374 компьютера;
36 принтеров;
22 сканера.
3. Программное обеспечение.
1C: Предприятие;
MS Windows XP/7
4. Документы.
Контракты с вендорами;
Контракты с клиентами;
Бухгалтерская отчетность;
Рассмотрим выделенные активы более подробно, т.е. приведем форму представления, владельца актива, критерии определения стоимости и осуществим оценку активов.
В таблице 1.1. представлена информация по выделенным активам организации.
Таблица 1.1.
Оценка информационных активов предприятия
| Вид деятельности | Наименование актива | Форма представления | Владелец актива | Критерии определения стоимости | Размерность оценки | |
| Количественная оценка | Качественная | |||||
| Информационные активы | ||||||
| Кадровое обеспечение | Электронная | Специалист по кадрам | Стоимость воссоздания | 170 тыс. руб. | Средняя | |
| Реализация продукции | Данные по продукции | Электронная | Бухгалтер | Стоимость воссоздания | 500 тыс. руб. | Критическая |
| Активы аппаратного обеспечения | ||||||
| Обработка информации | Сервера | Материальная | Системный администратор | Первоначальная стоимость | 300 тыс. руб. | Критическая |
| Обработка информации | Компьютеры | Материальная | Системный администратор | Первоначальная стоимость | 100 тыс. руб. | Средняя |
| Обработка информации | Принтеры | Материальная | Системный администратор | Первоначальная стоимость | 25 тыс. руб. | Малая |
| Обработка информации | Сканера | Материальная | Системный администратор | Первоначальная стоимость | 15 тыс. руб. | Малая |
| Активы программного обеспечения | ||||||
| Обработка информации | Microsoft Windows | Электронная | Системный администратор | Стоимость воссоздания | 15 тыс. руб. | Малая |
| Обработка информации | Microsoft Office | Электронная | Системный администратор | Стоимость воссоздания | 17 тыс. руб. | Малая |
| Обработка информации | 1C: Предприятие | Электронная | Системный администратор | Стоимость воссоздания | 120 тыс. руб. | Средняя |
| Обработка информации | SAP WMS | Электронная | Системный администратор | Стоимость воссоздания | 400 тыс. руб. | Критическая |
| Физические активы | ||||||
| Реализация продукции | Документация по разработкам | Бумажная | Стоимость воссоздания | 55 тыс. руб. | Малая | |
| Реализация продукции | Контракты с клиентами | Бумажная | Менеджер по работе с клиентами | Стоимость воссоздания | 82 тыс. руб. | Малая |
| Бухгалтерия | Бухгалтерская отчетность | Бумажная | Бухгалтер | Стоимость воссоздания | 75 тыс. руб. | Малая |
Рассмотрим перечень информационных активов, обязательное ограничение доступа, к которым регламентируется законодательством РФ. Данный перечень представлен в таблице 1.2.
Таблица 1.2.
Перечень сведений конфиденциального характера
Подведем итоги ранжирования выделенных активов. Результаты ранжирования представлены в таблице 1.3.
Таблица 1.3.
Результаты ранжирования активов.
| Наименование актива | Ценность актива (ранг) |
| Данные контрагентов | |
| Данные по продажам | |
| 8 серверов | |
| Персональные данные сотрудников | |
| Данные по продукции | |
| 1C: Предприятие | |
| Компьютеры | |
| Microsoft Windows | |
| SAP WMS | |
| Microsoft Office | |
| Принтеры | |
| Сканеры | |
| Контракты с клиентами | |
| Бухгалтерская отчетность |
Итак, подводя итог можно сказать, что активы имеющие наибольшую ценность:
Данные контрагентов;
Данные по продажам;
Сервера;
Компьютеры;
Персональные данные сотрудников;
Данные по продукции;
1C: Предприятие;
Контракты с клиентами;
Бухгалтерская отчетность
Остальные активы представляют минимальную ценность по сравнению с выделенными.
Сгруппируем активы «Принтеры» и «Сканеры» в группу «Принтеры и сканеры», также сгруппируем активы «Microsoft Windows» и «Microsoft Office» в группу «ПО Microsoft», а также все физические активы организации в группу «Документация», поскольку ранги ценности у данных активов одинаковы, а подобная группировка заметно упростит дальнейший анализ.
Оценка уязвимостей активов
Осуществим оценку уязвимостей выделенных активов предприятия. Результаты данной оценки представлены в таблице 1.4.
Таблица 1.4.
Результаты оценки уязвимости активов
| Группа уязвимостей | Данные контрагентов | Данные по продажам | Сервера | Персональные данные сотрудников | SAP WMS | 1С: Предприятие | Компьютеры | Принтеры и сканеры | ПО Microsoft | Документация |
| 1. Среда и инфраструктура | ||||||||||
| Ненадежная охрана здания | Низкая | Низкая | Низкая | Низкая | ||||||
| Проблемы с электропитанием | Средняя | Средняя | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | |
| 2. Аппаратное обеспечение | ||||||||||
| Передача или повторное использование средств хранения информации без надлежащей очистки | Средняя | Средняя | Низкая | Средняя | ||||||
| 3. Программное обеспечение | ||||||||||
| Недостаточное обслуживание носителей данных | Средняя | Средняя | Низкая | Средняя | Низкая | |||||
| Отсутствие обновления программного обеспечения, используемого для защиты от вредоносного кода | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Низкая | ||
| 4. Коммуникации | ||||||||||
| Незащищенные соединения с сетями общего пользования | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | |||
| 5. Физический доступ | ||||||||||
| Незащищенное хранение | Низкая | Низкая | Низкая | Низкая | ||||||
| 6. Персонал | ||||||||||
| Неосведомленность в вопросах безопасности | Средняя | Средняя | Средняя | Средняя | Средняя | Средняя | Низкая | |||
| 7. Общие уязвимые места | ||||||||||
| Внедрение аппаратных и программных закладок | Высокая | Высокая | Высокая | Высокая |
Оценка угроз активам
Угроза (потенциальная возможность неблагоприятного воздействия) обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему. В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно. Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий.
Оценка угроз безопасности производится экспертным путем в зависимости от текущего уровня информационной безопасности и вероятности реализации угроз.
Выделим угрозы активам организации, а также осуществим их оценку. Результаты данных действий представлены в таблице 1.5.
Таблица 1.5.
Результаты оценки угроз активам
| Группа уязвимостей | Данные контрагентов | Данные по продажам | Сервера | Персональные данные сотрудников | SAP WMS | 1С: Предприятие | Компьютеры | Принтеры и сканеры | ПО Microsoft | Документация |
| 1. Угрозы обусловленные преднамеренными действиями | ||||||||||
| Кража документов и других носителей | Низкая | Низкая | Низкая | Низкая | ||||||
| Подмена документов и других носителей | Низкая | Низкая | Низкая | Низкая | ||||||
| Высокая | Высокая | Высокая | Низкая | |||||||
| Несанкционированное копирование документов и носителей информации | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | ||||
| Несанкционированное обращение к данным. | Высокая | Высокая | Высокая | Низкая | Низкая | Высокая | ||||
| Раскрытие данных путем их выгрузки с носителя данных неуполномоченным лицом | Низкая | Низкая | Низкая | Низкая | Низкая | |||||
| 2. Угрозы, обусловленные случайными действиями | ||||||||||
| Утечка информации из сети по каналам связи | Низкая | Низкая | Низкая | Низкая | Низкая | |||||
| Неумышленное раскрытие информации сотрудниками компании | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | ||||
| Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | ||
| 3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы) | ||||||||||
| Антропогенные катастрофы (взрыв, терроризм, вандализм, другие способы умышленного причинения ущерба) | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая | Низкая |
1.2.4. Оценка существующих и планируемых средств защиты
Осуществим анализ уже используемых на предприятии средств защиты информации. Для этого необходимо провести анализ технической и программной архитектуры предприятия.
Под архитектурой компьютерной системы будем понимать концепцию организации информационной системы, ее элементы, а также характер взаимодействия этих элементов.
Целесообразно рассматривать отдельно техническую и программную архитектуру существующей информационной системы.
В компании довольно широко используются компьютерные средства. В техническую архитектуру входит:
Сервера. Используются сервера, обеспечивающие создание и функционирование единой локальной сети.
Рабочие станции. Около 380 рабочих станций, различных марок, производителей и с абсолютно различными техническими характеристиками, т.к. используются в подразделениях с различной направленностью.
Ноутбуки. Используется порядка 20 ноутбуков, также различной производительности.
Коммутаторы. Установлено 10 коммутаторов, необходимых для создания единой локальной сети.
Модем-роутер. Используется для обеспечения всех компьютеров доступом к сети Интернет.
Схема технической архитектуры информационной системы представлена на рисунке 1.2.
Рис. 1.2. Техническое обеспечение предприятия
На рисунке 1.3 представлена схема программного обеспечения предприятия.
Рис. 1.3. Схема программного обеспечения
В компании используются операционные системы Windows 7 и XP от компании Microsoft. Интегрированные офисный пакет Microsoft 2003/2007. Интернет-браузер Google Chrome. Антивирусная защита представлена антивирусом Avast! Business Pro. Также используется информационная система «1С: Бухгалтерия», которая установлена на компьютерах бухгалтерии.
Рассмотрим защиту от физического проникновения. На рисунке 1.4 представлено здание главного офиса и расположение датчиков движения.
Рис. 1.4. Расположение датчиков движение
Исходя из представленных схем можно сделать вывод об относительно слабой защите с точки зрения физического проникновения, а также с точки зрения вирусных и хакерских атак
Подведем итог всех действий организации по обеспечению информационной безопасности. Сводная таблица анализа выполнения основных задач по обеспечению информационной безопасности представлена в таблице 1.6.
Таблица 1.6.
Анализ выполнения основных задач по обеспечению информационной безопасности
| Основные задачи по обеспечению информационной безопасности | Степень выполнения |
| Обеспечение безопасности производственно-торговой деятельности, защита информации, являющихся коммерческой тайной; | Частично |
| Организация работы по правовой, организационной и инженерно-технической защите коммерческой тайны; | Частично |
| Организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной; | Частично |
| Предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну; | Частично |
| Выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных ситуациях; | Частично |
| Обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне; | Не выполняется |
| Обеспечение охраны территории, зданий помещений, с защищаемой информацией. | Частично |
Оценка рисков
Осуществим оценку выделенных рисков. Результаты оценки активов приведены в таблице 1.7.
Таблица 1.7.
Результаты оценки рисков информационным активам организации
| Риск | Актив | Ранг риска |
| Уничтожение документов и других носителей | Данные контрагентов | Высокий |
| Данные по продажам | Высокий | |
| Персональные данные сотрудников | Высокий | |
| Данные по продукции | Высокий | |
| Несанкционированное обращение к данным | Данные контрагентов | Высокий |
| Данные по продажам | Высокий | |
| Персональные данные сотрудников | Высокий | |
| Данные по продукции | Высокий | |
| Недостаточное обслуживание компьютерной техники | Данные контрагентов | Высокий |
| Данные по продажам | Высокий | |
| Персональные данные сотрудников | Высокий | |
| Данные по продукции | Высокий | |
| Программное обеспечение | Высокий | |
| Сервера | Высокий | |
| 1С: Предприятие | Высокий | |
| SAP WMS | Высокий | |
| Компьютеры | Высокий |
Таким образом, основываясь на результатах проведенного анализа рисков угроз, можно сделать вывод, что в первую очередь необходимо повысить защиту информации от вирусных и хакерских атак, т.е. модернизировать существующую антивирусную защиту на предприятии. Уже в дальнейшем рекомендуется организации повысить и физическую безопасность активов организации.
