Анализ рисков информационной безопасности в отделении ОАО "Банк Москвы" - Внедрение системы контроля и управления доступом

Идентификация и оценка информационных активов

Информационный актив является компонентом системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации.

Типы активов Академического филиала ОАО "Банк Москвы":

    1. Информация (база данных бухгалтерии - содержит информацию обо всех сотрудниках компании, финансовых операциях которые происходят как внутри, так и вне компании, а так же информацию о проведенных транзакциях и их статусе). 2. Документы (разнообразные договора, контракты и служебные записки). 3. Программное обеспечение (в т. ч. прикладные программы). 4. Аппаратные средства (персональные компьютеры - необходимые для работы сотрудников). Сервер баз данных, телефоны, медные и оптоволоконные кабели, коммутаторы, принтеры, почтовый сервер.

Полный перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, представлены в таблице 1.2.1.

Таблица 1.2.1 - Оценка информационных активов

Наименование актива

Форма представления

Тип актива

Вид деятельности

Владелец актива

Критерии определения стоимости

Размерность оценки

Количественная оценка (руб.)

Качественная

Информационные активы

База данных бухгалтерии

Электронная

Информация / данные

Учет в организации.

Бухгалтерия

Степень важности

100 000

Критическое значение

БД информационно-правовых документов

Электронная

Информация / данные

Обработка заявок клиентов. Продажи и маркетинг

Директор

Степень важности

100 000

Критическое значение

Персональные данные о сотрудниках

Электронная

Информация / данные

Учет в организации.

Кадровый отдел

Степень важности

100 000

Высокая

Штатное расписание и кадровый учет

Бумажный документ, электронный документ

Информация / данные

Учет в организации.

Кадровый отдел

Стоимость обновления или воссоздания

50 000

Критическое значение

База данных текущих заявок (MySQL)

Материальный объект

Информация / данные

Хранение и обработка заявок клиентов

IT-отдел

Первоначальная стоимость

10 000

Высокая

Активы аппаратных средств

Принтеры

Материальный объект

Аппаратные средства

Обработка заявок клиентов

IT-отдел

Первоначальная стоимость

75 000

Малая

Сетевое оборудование

Материальный объект

Оборудование для обеспечения связи

Доступ к информационным ресурсам

IT-отдел

Первоначальная стоимость

20 000

Средняя

Сервер баз данных

Материальный объект

Аппаратные средства

Доступ к информационным ресурсам

IT-отдел

Первоначальная стоимость

15 000

Критическое значение

Почтовый сервер

Материальный объект

Аппаратные средства

Обеспечение непрерывной работы Web-портала, Обработка заявок клиентов

IT-отдел

Первоначальная стоимость

15 000

Критическое значение

Персональный компьютер

Материальный объект

Аппаратные средства

Обработка заявок клиентов, обмен корреспонденцией

Консультанты, товароведы, администрация.

Первоначальная стоимость

250 000

Средняя

Активы программного обеспечения

Учетная Система

Электронная

Программное обеспечение

Обработка заявок клиентов, обмен корреспонденцией

IT-отдел

Обновление и воссоздание

50 000

Высокое

Программы целевого назначения

Электронная

Программное обеспечение

Обработка заявок клиентов, обмен корреспонденцией

IT-отдел

Обновление и воссоздание

70 000

Высокое

Windows 7 Ultimate

Электронная

Программное обеспечение

Доступ к информационным ресурсам, Обработка заявок клиентов, обмен корреспонденцией

IT-отдел

Первоначальная стоимость

80 000

Малая

MS Office 2010

Электронная

Программное обеспечение

Обработка заявок клиентов, обмен корреспонденцией

IT-отдел

Первоначальная стоимость

50 000

Малая

Таблица 1.2.2 - Результаты ранжирования активов

Наименование актива

Ценность актива (ранг)

База данных бухгалтерии

5

Почтовый сервер

5

БД информационно-правовых документов

5

Персональные данные о сотрудниках

5

Кадровый учет

5

Учетная Система

4

БД текущих заявок (MySQL)

4

Программы целевого назначения

4

Оборудование для обеспечения связи

4

Windows 7 Ultimate

3

MS Office 2010

2

Принтеры

2

Таблица 1.2.3 - Перечень сведений конфиденциального характера

№ п/п

Наименование сведений

Гриф конфиденциальности

Нормативный документ, реквизиты, №№ статей

1.

Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа

Информация ограниченного доступа

-

2.

Требования по обеспечению сохранения служебной тайны сотрудниками предприятия

Информация ограниченного доступа

Ст. 139, 857 ГК РФ

3.

Персональные данные сотрудников

Информация ограниченного доступа;

Подлежат разглашению с согласия сотрудника

Федеральный закон №152-ФЗ; Глава 14 Трудового кодекса РФ

4.

Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства, имеющая действительную коммерческую ценность в силу неизвестности ее третьим лицам).

Подлежит разглашению только по решению предприятия

Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне

Оценка уязвимостей активов

Уязвимость информационных активов является серьезным недостатком. Из-за него возможным становится нежелательное воздействие на актив со стороны злоумышленников, неквалифицированного персонала или вредоносного кода (вирусы, программы-шпионы и др.).

В общем случае, уязвимость - это некое событие, возникающее как результат такого стечения обстоятельств, когда в силу каких-то причин используемые в защищаемых системах обработки данных средства защиты не в состоянии оказать достаточного противодействия проявлению дестабилизирующих факторам и нежелательного их воздействия на защищаемую информацию.

В терминологии информационной безопасности, "уязвимость" чаще применяется для обозначения недостатка в системе, используя который, можно нарушить ее целостность и вызвать неправильную работу.

Уязвимости информационной системы организации можно определить несколькими способами. Их может описать сотрудник компании (системный администратор или специалист службы компьютерной безопасности) на основании собственного опыта (возможно, в качестве подсказки для наиболее полного описания множества уязвимостей информационной системы используя классификации уязвимостей). Также могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей.

Показателями уязвимости актива и его особо важных зон являются степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая). После проведения оценки уязвимости предоставляется отчет, который должен в себя включать описание уязвимостей и уязвимых систем.

Таблица 1.2.4 - Оценка уязвимости активов

Группа уязвимостей. Содержание уязвимости

БД бухгалтерии

Почтовый сервер

БД информационно-правовых документов

Перс. данные о сотр.

Кадровый учет

Учетная Система

БД текущих заявок

ПО целевого назначения

Оборудование связи

1. Среда и инфраструктура

Отсутствие физической защиты зданий, дверей и окон

Средняя

Средняя

Средняя

Средняя

Нестабильная работа электросети

Средняя

Средняя

Низкая

Средняя

Средняя

Низкая

2. Аппаратное обеспечение

Отсутствие схем периодической замены

Средняя

Средняя

Подверженности воздействию влаги, пыли, загрязнения

Средняя

Высокая

Отсутствие контроля за эффективным изменением конфигурации

Средняя

Высокая

Средняя

Средняя

3. Программное обеспечение

Отсутствие тестирования или недостаточное тестирование программного обеспечения

Высокая

Сложный пользовательский интерфейс

Средняя

Плохое управление паролями

Высокая

Среднее

Высокая

Среднее

Высокая

Высокая

4. Коммуникации

Отсутствие идентификации и аутентификации отправителя и получателя

Высокая

Среднее

Высокая

Среднее

Высокая

Высокая

Незащищенные подключения к сетям общего пользования

Высокая

Среднее

Высокая

Среднее

Высокая

Высокая

Отсутствие идентификации и аутентификации отправителя и получателя

Высокая

Среднее

Высокая

Среднее

Высокая

Высокая

5. Документы (документооборот)

Хранение в незащищенных местах

Среднее

Среднее

Бесконтрольное копирование

Высокая

Среднее

6. Общие уязвимые места

Отказ системы из-за отказа одного из элементов

Средняя

Средняя

Средняя

Высокая

Средняя

Средняя

Некорректные результаты проведения технического обслуживания

Средняя

Средняя

Оценка угроз активам

Угроза (гипотетическая возможность неблагоприятного воздействия) обладает способностью наносить реальный ущерб ИТ-системе организации и ее активам. Если такая угроза реализуется, то она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему.

Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.

Ниже приведены некоторые наиболее часто встречающиеся варианты угроз:

    - ошибки и упущения; - мошенничество и кража; - случаи вредительства со стороны персонала; - ухудшение состояния материальной части и инфраструктуры; - программное обеспечение хакеров, например имитация действий законного пользователя; - программное обеспечение, нарушающее нормальную работу системы; - промышленный шпионаж.

После идентификации источника угроз (кто или что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы.

Классификация возможностей реализации угроз и атак, представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки.

Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Таблица 1.2.5 - Оценка угроз активам

Группа уязвимостей. Содержание уязвимости

БД бухгалтерии

Почтовый сервер

БД информационно-правовых документов

Перс. данные о сотр.

Кадровый учет

Учетная Система

БД текущих заявок

ПО целевого назначения

Оборудование связи

1. Угрозы, обусловленные преднамеренными действиями

Похищение информации

Средняя

Средняя

Средняя

Вредоносное программное обеспечение

Высокая

Средняя

Средняя

Высокая

Высокая

Взлом системы

Высокая

Высокая

Высокая

Средняя

Средняя

2. Угрозы, обусловленные случайными действиями

Ошибки пользователей

Средняя

Средняя

Средняя

Программные сбои

Средняя

Средняя

Неисправность в системе кондиционирования воздуха

Низкая

Низкая

Низкая

3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)

Колебания напряжения

Низкая

Низкая

Низкая

Воздействие пыли

Низкая

Низкая

Низкая

Средняя

Пожар

Средняя

Средняя

Средняя

Средняя

Средняя

Средняя

Высокая

Низкая

Средняя

Оценка существующих и планируемых средств защиты

Грамотное функционирование системы защиты информации в организации является ключевым моментом, который ни в коем случае нельзя упускать из вида. Потенциальные негативные последствия могут стать очень серьезными, если произойдет утрата данных или целых баз данных, результатов разнообразных аналитических исследований, исходных кодов и целых программных продуктов. При недостаточном уровне организации системы защиты информации это может привести к большим проблемам в дальнейшем ведении бизнеса, а в определенных случаях - просто невозможным.

Задачи по защите информации в "Банке Москвы" возлагаются на специальный IT-отдел организации.

Локальная вычислительная сеть организации состоит из сервера БД, почтового сервера, рабочих станций, принтеров. Для объединения компьютеров в локальную сеть используются хабы (hubs). Организация доступ к Internet организуется с использованием волоконно-оптического канала Ethernet.

Технические и программные характеристики офисных ПК (PC):

    - Процессор: Intel Celeron Dual Core G530 (Sandy Bridge, 2.40ГГц, LGA1155, L3 2048Kb) - Память: DDR3 2048 Mb (pc-10660) 1333MHz - Материнская плата: S1155, iH61, 2*DDR3, PCI-E16x, SVGA, DVI, SATA, Lan, mATX, Retail - Видеокарта встроенная Intel® HD Graphics 512Мб (из RAM) - Сетевая карта есть (100/1000 Ethernet). - Программное обеспечение: - ОС: Windows 7 Ultimate; - Office: Microsoft Office 2010/2013; - Почтовый клиент Outlook 2010; - Технические и программные характеристики серверов: - Производитель Dell; - Процессор :Intel Xeon E3-1240 (Sandy Bridge, 3.3 ГГц, 8Мб, S1155); - Чипсет: Intel® 3420; - Оперативная память: 2 x DDR3 2048 Mb (pc-10660) 1333MHz; - Жесткий диск: 2 x 700Gb (SATA II); - Сетевая карта: 1 x 10/100/1000 Мбит/с; - Видеокарта: Matrox G200eW, 8 Мбайт памяти.

Программное обеспечение серверов:

    - ОС: Windows Server 2008; - Сервер электронной почты: Microsoft Exchange Server; - СУБД: Microsoft SQL server + Mysql (WEB).

Охранная система рассчитана на предупреждение несанкционированного доступа в помещение. Применяемая охранная система состоит из охранной панели (централи) - прибор, который собирает и анализирует информацию, поступившую от охранных датчиков, а так же выполняет заранее запрограммированные в ней функции, исполняемые при срабатывании датчиков. В состав оборудования входит пульт управления, который отображает состояние сигнализации, служит для ее программирования и осуществляет постановку и снятие объекта с охраны.

Применяемая система пожарной сигнализации состоит из следующих компонентов:

    1. Контрольная панель - это прибор, занимающийся анализом состояния пожарных датчиков и шлейфов, а также отдает команды на запуск пожарной автоматики. 2 Блок индикации или автоматизированное рабочее место на базе компьютера - служит для отображения событий и состояния пожарной сигнализации. 3. Источник бесперебойного питания служит для обеспечения непрерывной работы сигнализации, даже при отсутствии электропитания. 4. Различные типы пожарных датчиков (извещатели) служат для обнаружения очага возгорания или продуктов горения (дым, угарный газ и т. д.).

Основные факторы, на которые реагирует пожарная сигнализация - это концентрация дыма в воздухе, повышение температуры, наличие угарного газа и открытый огонь. И на каждый из этих признаков существуют пожарные датчики.

Тепловой пожарный датчик реагирует на изменение температуры в защищаемом помещении. Он может быть пороговым, с заданной температурой срабатывания, и интегральным, реагирующим на скорость изменения температуры. Дымовой пожарный датчик реагирует на наличие дыма в воздухе, самый распространенный тип датчиков. Датчик пламени реагирует на открытое пламя. Используется в местах, где возможен пожар без предварительного тления, например столярные мастерские, хранилища горючих материалов и т. д.

Ручные пожарные извещатели имеют форму закрытой прозрачной коробки с "красной кнопкой", размещаются на стенах в легкодоступных местах. Это делается для того, чтобы в случае обнаружения пожара работник без труда мог оповестить все предприятие об опасности. Требование наличия ручных извещателей относится к общим требованиям установки пожарной сигнализации на предприятиях.

Архитектура программного обеспечения СКУД строится на основе ряда механизмов, определяемых требованиями, предъявляемыми к системе. Трактовка СКУД как системы реального времени требует реализации механизмов диспетчеризации, межобъектного взаимодействия и средств работы с таймерами.

Параллелизм в обработке одновременно происходящих внешних событий должен обеспечивается за счет использования многопоточности. Клиент-серверный подход вносит необходимость реализации механизма и способов взаимодействия между сервером и приложениями, а общие требования безопасности и надежности заставляют выбирать особые способы хранения данных и работы с ними.

Сегменты сети, могут существовать в рамках системы в единственном экземпляре, либо таких сегментов может быть много, то есть оборудование СКУД может подключаться не к единственному ПК, а к любому из ПК, объединенных, в свою очередь, в компьютерную сеть.

Разработка архитектуры является неотъемлемой частью этапа разработки системы. Разрабатываемая система представляет собой службу для большого количества пользователей, т. к. согласно техническому заданию, максимальное количество пользователей разрабатываемой СКУД.

Все данные разрабатываемой СКУД (данные обо всех проходах через УПУ - время, дата, Ф. И. О. и должность пользователя) должны храниться в одном месте, т. е. в одной базе данных. Наиболее соответствующей архитектурой для разрабатываемой системы будет являться архитектура клиент-сервер.

Серверная часть состоит из web-сервера и сервера БД. Часть, отвечающая за контроль и управление доступом, представлена в виде "толстого" клиента. "Толстый" клиент выполняет идентификацию и аутентификацию пользователей. Аппаратная подсистема состоит из серверного оборудования, средств контроля и управления доступом и исполнительных устройств. Серверная часть программной подсистемы работает на серверном оборудовании.

Средства КУД представляют собой: считывающее устройство (для считывания RFID идентификатора), блок памяти и внешняя периферия (для хранения ядра системы). Для приема и обработки информации необходим управляющий элемент. Для передачи/получения данных с сервера, необходим интерфейс передачи данных, в нашем случае - предполагается использовать Ethernet. В качестве исполнительных устройств, в разрабатываемой системе предполагается использовать замки и датчики открытия двери.

В основе задач, решаемых проектируемой системой контроля и управления доступом должна лежать возможность разграничения полномочий персонала по времени и точкам доступа. Таким образом, типичными задачами, возлагаемыми на проектируемую СКУД будут задачи, указанные в таблице.

Таблица 1.2.6 - Анализ выполнения основных задач по обеспечению информационной безопасности

Основные задачи по обеспечению информационной безопасности

Степень выполнения

Обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной.

Высокая степень выполнения.

Организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны.

Средняя степень выполнения. Есть некоторые недостатки в уровне безопасности.

Организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной.

Средняя степень выполнения. Есть некоторые недостатки в уровне безопасности.

Предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну.

Средняя степень выполнения. Есть недостатки в системе защиты информации и БД.

Выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях.

Средняя степень выполнения. Есть некоторые недостатки в уровне безопасности.

Обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне.

Высокая степень выполнения.

Обеспечение охраны территории, зданий помещений, с защищаемой информацией.

Высокая степень выполнения.

Оценка рисков

Процессы оценки и управления рисками служат фундаментом для построения системы управления информационной безопасностью организации. Эффективность этих процессов определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.

Под риском понимается некоторая вероятность реализации угрозы информационной безопасности. В классическом представлении оценка рисков включает в себя оценку угроз, уязвимостей и ущерба, наносимого при их реализации.

Вне зависимости от использованного способа оценки измерения риска результатом оценки прежде всего должно стать составление перечня оцененных рисков для каждого возможного случая раскрытия, изменения, ограничения доступности и разрушения информации в рассматриваемой системе информационных технологий. Полученный перечень оцененных рисков затем используют при идентификации рисков, на которые следует обращать внимание в первую очередь при выборе защитных мер.

Оценка рисков нарушения информационной безопасности проводится для всех информационных активов. Анализ рисков включает идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов.

Распространенным способом оценки рисков являются грамотно спланированные интервью с использованием "опросников", в которых участвуют необходимые структурные подразделения. По окончании анализа и расшифровки рисков необходимо составить специальный отчет. Далее отчет предоставляется высшему руководству организации.

Таблица 1.2.8 - Результаты оценки рисков активам

Риск

Наименование актива

Ранг риска

Вредоносное программное обеспечение; взлом системы

База данных бухгалтерии

5

Пожар; воздействие пыли

Почтовый сервер

5

Взлом системы

БД информационно-правовых документов

5

Похищение информации; пожар

Персональные данные о сотрудниках

5

Похищение информации; ошибки пользователей

Кадровый учет

5

Похищение информации; ошибки пользователей

Учетная Система

4

Вредоносное программное обеспечение; взлом системы

БД текущих заявок (MySQL)

4

Вредоносное программное обеспечение

Программы целевого назначения

4

Пожар; воздействие пыли

Оборудование для обеспечения связи

4

Похожие статьи




Анализ рисков информационной безопасности в отделении ОАО "Банк Москвы" - Внедрение системы контроля и управления доступом

Предыдущая | Следующая