Под угрозами ИБ понимаются потенциально возможные негативные воздействия на защищаемую информацию, к числу которых относятся:
1. Недоступность информации в результате ее блокирования, сбоя оборудования или программ, дезорганизации функционирования операционных систем рабочих станций, серверов, маршрутизаторов, систем управления баз данных, распределенных вычислительных сетей, воздействия вирусов, стихийных бедствий и иных форс-мажорных обстоятельств.
2. Утрата сведений, составляющих коммерческую тайну, секреты и иную защищаемую информацию, а также искажение (несанкционированная модификация, подделка) такой информации;
3. Утечка – несанкционированное ознакомление с защищаемой информацией посторонних лиц (несанкционированный доступ, копирование, хищение и т.д.), а также утечка информации по каналам связи и за счет побочных электромагнитных излучений;
Источники угроз ИБ компании подразделяются на:
- внутренние, вызванные действиями сотрудников, авторизованных пользователей информационной системы – доступ и кража конфиденциальной информации, преднамеренное искажение или уничтожение информации в системе, выполнение манипуляций, приводящих к искажению работы системы или ее сбою, несоблюдение элементарных правил безопасной работы с почтой, активными элементами на web-страницах, повреждение данных в результате неосторожных действий и др.;
- внешние, вызванные внешними воздействиями – сетевые атаки и несанкционированное проникновение в компьютерные сети, вирусы и черви из электронной почты и web-страниц, спам, перехват незашифрованного трафика и т.д.;
- естественно-технические и чрезвычайные, вызванные неправильной эксплуатацией оборудования и неправильным хранением данных, кражей или изъятием компьютеров, бумажных и электронных носителей, форс-мажорными обстоятельствами, выходом из строя и пр.
|
|
Весь перечень источников угроз может быть следующий:
- стихийные бедствия (пожары, наводнения и т.п.);
- технические аварии (внезапное отключение электропитания, протечки и т.п.);
- несанкционированное получение идентификаторов пользователей и их паролей, паролей доступа к общим ресурсам;
- несанкционированная передача защищаемой информации из внутренней (локальной) сети в глобальную сеть Интернет;
- умышленное или неумышленное разглашение защищаемой информации;
- хищение / изъятие носителей информации или несанкционированное копирование информации;
- хищение / изъятие, физический вывод из строя технических средств;
- посылка в сеть пакетов, нарушающих нормальную работу сети (ложные ARP-запросы и ARP-ответы, перегрузка стеков IP, широковещательные «штормы» и т.д.);
- внедрение программ-троянов, резидентных программ, обеспечивающих получение полного контроля над компьютером; внедрение деструктивных программ – вирусов, сетевых червей и пр.;
- проникновение зловредных программ через интернет (копирование «зараженных» файлов, через апплеты языка Java и объекты ActiveX), электронную почту, гибкие диски, CD-диски;
- получение информации о топологии сети, принципах ее функционирования, характеристической информации сети или участка сети;
- прослушивание сетевого трафика (с целью получения информации о сетевых ресурсах, кешированных паролях, идентификаторах пользователей и пр.) с использованием легальных рабочих станций;
|
|
- прослушивание сетевого трафика с использованием нелегальных компьютеров, подключенных к сети физически (локально) или удаленно (Telnet, HTTP);
- внедрение технических и программных средств скрытного съема информации с рабочих станций, средств связи, из помещений компании, в которых обрабатывается защищаемая информация;
- использование специальных методов и технических средств (побочные излучения, наводки по цепям питания, электронные закладки, дистанционное скрытое видео наблюдение или фотографирование, применение подслушивающих устройств, перехват электромагнитных излучений и наводок и т.п.);
- использование для доступа к информации так называемых «люков», «дыр» и «лазеек» и других возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения операционных систем, систем управления базами данных и др., неоднозначностями языков программирования, применяемых в автоматизированных системах обработки данных;
- незаконное подключение специальной регистрирующей аппаратуры к устройствам или линиям связи (перехват модемной и факсимильной связи);
- умышленное изменение используемого программного обеспечения с целью несанкционированного сбора защищаемой информации и т.д.
V. ОПРЕДЕЛЕНИЕ РИСКОВ
Негативные последствия угроз:
- финансовые потери, связанные с утечкой или разглашением защищаемой информации (ущерб, связанный с нарушением конфиденциальности);
|
|
- финансовые потери, связанные с уничтожением и последующим восстановлением утраченной информации и ресурсов (ущерб, связанный с нарушением целостности, доступности информационных ресурсов и т.д.);
- ущерб от дезорганизации деятельности компании, простоев и потери, связанные с невозможностью выполнения им своих обязательств;
- моральные потери, ущерб репутации компании.
Решение о защите конкретных информационно-технологических ресурсов и степени защиты, финансовые и технические решения принимаются исходя из ценности ресурсов по критериям возможных рисков и вероятности угроз.
VI. МЕРЫОБЕСПЕЧЕНИЯ ИБ
Общими мерами по обеспечению ИБ компании являются:
- административно-правовые, организационные и режимные;
- технические, основанные на использовании аппаратно-программных и специальных средств.
Обобщенный перечень административно-правовых и организационных мер:
1. Определение правового статуса всех субъектов отношений в информационной среде, установление их ответственности перед компанией через соблюдение нормативных актов, регламентов и политик в сфере ИБ.
2. Включение в должностные инструкции сотрудников обязанностей и ответственности по ИБ. Разработка правил эксплуатации технических и программных средств (регламентов, порядков) и правил реагирования при нарушении режима безопасности (подозрений на нарушение).
3. Обучение всех сотрудников вопросам обеспечения ИБ компании. Подготовка и повышение квалификации ИТ-сотрудников в области ИБ. Регламентирование работы сотрудников охраны.
4. Детальная проверка сотрудников (отсутствие криминального прошлого, связей с конкурирующими организациями, патологических зависимостей и т.п.) при приеме на ответственные должности или при планировании доступа к конфиденциальной информации.
5. Внесение в трудовые договоры всех сотрудников обязательств по неразглашению конфиденциальной информации и мер, которые будут приняты в случае разглашения.
6. Внесение в трудовые договоры всех сотрудников пункта о продолжении несения ответственности за ИБ предприятия после увольнения в течение промежутка времени, определенного при заключении трудового договора.
7. Удаление всех прав доступа к ресурсам ИС при увольнении сотрудников.
8. Аттестация информационных объектов на защищенность при необходимости.
9. Обеспечение преемственности при разработке технологических и программных решений. Оперативное реагирование (внедрение) на появление новых разработок в области информационных технологий.
10. Обеспечение принципа разграничения доступа: информация должна быть доступна только тем, кому она предназначена и разрешена. Предоставление сотрудникам минимально достаточных прав по доступу к информации, необходимых для выполнения ими своих функциональных обязанностей.
11. Создание эффективной системы контроля за выполнением требований локальных нормативных актов ИБ. Пользователи информационных ресурсов должны знать о наличии системы контроля и защиты информации.
12. Разработка перечня возможных нарушений ИБ и локальных нормативных актов. Совершенствование нормативно-правовой базы по работе с конфиденциальной информацией и сведениями внутри компании и со сторонними организациями.
13. Разработка Руководства по ИБ – оперативного документа ежедневного использования, содержащего детальные рабочие инструкции.
Обобщенный перечень режимных мер:
1. Определение пропускного и внутриобъектового режима в компании, разграничение доступа и контроль за доступом в выделенные помещения; инструктаж сотрудников охраны;
2. Определение перечня критичной внутренней документации компании, мест и сроков ее хранения, порядок доступа и уничтожения.
3. Определение мероприятий и действий при чрезвычайных обстоятельствах для всех подразделений и служб.
Обобщенный перечень технических мер:
1. Обеспечение безотказной работы аппаратных средств, резервирование, спецпомещения.
2. Использование лицензионного программного обеспечения; заказного программного обеспечения, прошедшего этап тестирования и опытной эксплуатации.
3. Использование сертифицированных средств защиты информации для обработки, хранения и передачи конфиденциальной информации, при необходимости использование защищенных соединений с шифрованием, в частности, для удаленных соединений.
4. Проведение комплексной антивирусной защиты.
5. Внедрение в сеть современной системы обнаружения вторжений, мониторинг несанкционированного подключения к информационным ресурсам.
6. Проведение эффективной парольной защиты. Использование единственной системы авторизации пользователей и разграничения прав доступа к ресурсам сети на базе доменной поддержки операционной системы.
7. Проведение контроля состояния программного и информационного обеспечения компьютеров (состава и целостности программного обеспечения, корректности настроек и т.д.) и маршрутизаторов (маршрутных таблиц, фильтров, паролей).
8. Обеспечение резервного копирования.
9. Проведение мониторинга за деятельностью пользователей (вход-выход в систему, доступ к сетевым ресурсам и пр.), проведение контроля трафика сети на отдельных ее сегментах.
10. Использование внутренних IP-адресов из диапазона, специально выделенного для построения частных сетей. Создание «демилитаризованной зоны» на стыке локальной сети компании и внешней сети.
11. Выделение отдельной изолированной подсети для экспериментов по освоению новых технологий и тестированию программного обеспечения, либо использования VMware сред.
12. Определение действий по резервному копированию и защите информации при чрезвычайных обстоятельствах.
Задача обеспечения ИБ должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т. д.) должны применяться одновременно, на всех уровнях информационного взаимодействия и под централизованным управлением. При этом компоненты системы должны "знать" о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз.
Арсенал технических методов обеспечения ИБ широк и подбирается после анализа всех рисков:
| Уровни безопасности | Применяемые меры безопасности |
| Периметр | Межсетевой экран, антивирус для шлюзов, VPN (Virtual Private Network — виртуальная частная сеть — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети, например, Интернет), анализаторы контента, IPS (Intrusion Prevention Systems — системы предотвращения вторжений), PKI-решения (Public Key Infrastructure — доверительные отношения с помощью цифровых сертификатов, подписываемых центром сертификации). |
| Сеть | IDS (Intrusion Detection Systems — системы обнаружения вторжений), межсетевое экранирование, сканнеры оценки уязвимости (Vulnerability-Assessment - VA), аутентификация, управление доступом, управление политиками безопасности, средства контроля содержимого электронной почты, средства контентной фильтрации, защита от утечки по техническим каналам, системы мониторинга событий, защита телефонных систем. |
| Хост | Host IDS, системные сканеры, анализаторы политик безопасности, антивирусы, управление доступом, аутентификация. |
| Приложения | Контроль ввода данных, Host IDS, анализаторы политик безопасности, контроль доступа, аутентификация. |
| Данные | Криптографическая защита (шифрование, подпись), управление доступом, аутентификация. |
Приложение 1_2
Приложение 1_3
Приложение 1_4
Анкета
1. Фамилия Имя Отчество _________________________________________________________________
2. Должность _________________________________________________________________
3. Дата рождения _________________________________________________________________
4. Семейное положение
Холост/не замужем В браке В гражданском браке
5. ФИО, возраст, место работы супруга(-и)
_________________________________________________________________
6. Количество детей, их имена и возраст
_________________________________________________________________
7. Имеете ли Вы домашних животных
Да Нет Если «Да», то каких? ________________
8. Считаете ли Вы себя религиозным человеком?
Да Нет Если «Да», то какую религию исповедуете? ____________________________________
9. Назовите Ваших любимых писателей. Поясните, пожалуйста, чем они Вас привлекают. __________________________________________________________________
10. Какая музыка Вам нравится?
__________________________________________________________________
11. Перечислите Ваши любимые фильмы.
__________________________________________________________________
12. Самая привлекательная черта Вашего характера?
__________________________________________________________________
13. Чем Вы любите заниматься в свободное от работы время?
__________________________________________________________________
14. Состоите ли Вы в какой-либо политической партии? Опишите кратко свои политические убеждения.
__________________________________________________________________
15. Занимаетесь ли Вы каким-либо видом спорта? Являетесь ли активным болельщиком? Если да, то за какими спортивными соревнованиями постоянно следите?
__________________________________________________________________
16. Какие недостатки Вы видите в работе издательства?
__________________________________________________________________
17. Изложите кратко Ваши предложения по улучшению деятельности нашей организации.
__________________________________________________________________