Анализ угроз и разработка политики безопасности информационной системы организации

При учете описания угроз на всех возможных уровнях и физического  описания угроз, а так же описания типичных компонентов оценки рисков, было сделано описание зон локализации уязвимостей, то есть описание всех возможных лиц или предметов, через которые может выпасть возможность реализовать угрозы из списка примерного перечня угроз ISO/IEC PDTR 13335. Описание зон локализации уязвимостей представлено в таблице 11:

Таблица 11 – Описание зон локализации уязвимостей

Зона локализации уязвимостей	Описание
Катаклизмы природы (физический уровень)	Уязвимости этой зоны связаны с  неожиданными природными факторами, такими как ураганы, смерчи, бури, оползни и другие природные явления
Географическое положение(физический уровень)	Уязвимости этой зоны связаны с  нахождением организации в зонах повышенной опасности на данной местности
Технические коммуникации(физический уровень)	Уязвимости этой зоны связаны с незащищенностью дополнительного оборудования, физических строений или вовсе отсутствием таковых
Человеческий фактор (физический уровень)	Уязвимости этой зоны связаны с  недостаточной образованностью сотрудников в сфере ИБ. Либо с небрежностью, халатностью или непреднамеренным несанкционированным действием
Оборудование и аппаратура (физический уровень)	Уязвимости этой зоны связаны с  физической безопасностью рабочих зон и аппаратуры, а также доступа к ним
Программное обеспечение (уровни сетевых приложений, систем управления БД, функциональных приложений)	Уязвимости этой зоны связаны с  неправильной либо неполной настройкой программного обеспечения или программных средств, приложений, либо использование нелицензионного программного обеспечения
Приложения (уровни сетевых приложений, систем управления БД, функциональных приложений, бизнес - процессов)	Уязвимости этой зоны связаны с  неправильной либо неполной настройкой программного обеспечения или программных средств, приложений, либо использование нелицензионного программного обеспечения
Персонал (все уровни информационно  – технологической инфраструктуры)	Уязвимости этой зоны связаны со служащими, поставщиками оборудования, обслуживающим персоналом, а так  же с персоналом, работающем непосредственно за АРМ. Они касаются профессиональной квалификации служащего, опыта его работы в данной сфере

Категории возможных потерь представлены в таблице 12:

Таблица 12 – Категории возможных потерь

Категории возможных  потерь	Описание
Потеря производительности	Потеря производительности происходит тогда, когда персонал не способен продолжать выполнение своих обязанностей или когда необходимо повторять служебные обязанности. Прерывания работы или дублирование усилия могут приводить к недоступности функций или к некорректности результатов
Затруднения для организаций	Эта категория касается ситуаций, оказывающих влияние на установление общественного доверия. Следует  учитывать также конфиденциальность, точность и согласованность
Денежная потеря	Денежная потеря определяется как потеря ценностей или увеличение стоимости или расходов. В сомнительных случаях необходимо классифицировать более высокий риск денежной потери или более высокое возможное значение потери, более высокий риск функционирования организации

После всех приведенных выше описаний угроз, зон локализации, зон уязвимости, можно вывести общую таблицу, в которой были бы отражены все  возможные риски потерь для организации, и оценена их условная стоимость по категориям: высокий, средний, низкий:

Высокий: значительная денежная потеря, потеря производительности оборудования в самый разгар работы, серьезные затруднения в деятельности организации, а так же полная неработоспособность системы.

Средний: номинальная денежная потеря, частичная потеря производительности оборудования слабо влияющая на работу всей системы, частичные затруднения в деятельности организации, а так же возможность неработоспособности системы.

Низкий: минимальная денежная потеря или ее полное отсутствие, потеря производительности оборудования не влияющая на работу всей системы, затруднения в деятельности организации отсутствуют, а так же возможность отказа системы минимальна.

Рассмотрим оценка рисков угроз на разных уровнях:

Реализация угрозы техническая неисправность компонентов сети на физическом уровне произойдет в результате непреднамеренного, либо умышленного повреждения оборудования физического уровня (кабеля, розеток, и др. коммуникационного оборудования, либо самих АРМ или серверов). Отсюда следует, что при обнаружении такого повреждения, необходимо будет его устранить путем ремонта или замены. Это повлечет значительные в масштабах организации потери, т.к. может быть потеряна часть базы данных хранящаяся на сервере, испорчено сетевое оборудование или сам сервер, что приведет к затруднениям в работе сети, будет невозможен доступ к необходимой информации, в результате чего возможна полная неработоспособность организации. Значит риск денежной потери, потери производительности и неработоспособности ИС будет средний, а риск затруднений в сфере деятельности высокий, однако в нашем случае вероятность данной угрозы низкая.

Подобным образом разобраны все угрозы.

Матрица оценки рисков представлена в таблице 13:

Таблица 13 - Матрица оценки рисков

ЗОНА УЯЗВИМОСТИ: Физический уровень	Денежная потеря	Потеря производительности	Затруднения в деятельности организации	Вероятность угрозы
Наводнение	В	В	В	Н
Молния	В	В	В	Н
Преднамеренное повреждение	С	В	С	С
Авария источника мощности	В	С	Н	С
Неисправности аппаратных средств	С	С	С	С
Колебание мощности	В	С	Н	В
Ошибка технического обслуживания	С	С	С	Н
Зона уязвимости: Сетевой уровень	Риск потери производительности	Риск затруднения деятельности	Риск денежной потери	Вероятность угрозы
Преднамеренное повреждение	С	В	С	С
Ошибка технического обслуживания	С	С	С	Н
Техническая неисправность компонентов сети	В	В	С	С
Повреждения в линиях связи	С	Н	С	С
Перегрузка трафика	В	В	С	С
Проникновение в коммутации	В	В	С	Н
Неисправность услуг связи	С	Н	С	С
Зона уязвимости: Уровень сетевых приложений	Риск потери производительности	Риск затруднения деятельности	Риск денежной потери	Вероятность угрозы
Использование программного обеспечения неавторизованными пользователями	В	В	С	Н
Использование сетевых средств неавторизованным способом	В	В	С	Н
Ошибка при передаче	Н	Н	Н	С
Анализ трафика	С	Н	Н	Н
Ошибочная маршрутизация сообщений	С	Н	С	Н
Повторная маршрутизация сообщения	С	Н	Н	Н
Зона уязвимости: Уровень операционных систем	Риск потери производительности	Риск затруднения деятельности	Риск денежной потери	Вероятность угрозы
Авария программного обеспечения	В	В	В	В
Использование программного обеспечения неавторизованными пользователями	В	В	С	С
Использование программного обеспечения неавторизованным способом	В	В	С	С
Нелегальное использование программного обеспечения	С	В	В	В
Вредоносное программное обеспечение	В	С	С	В
Зона уязвимости: Уровень СУБД	Риск потери производительности	Риск затруднения деятельности	Риск денежной потери	Вероятность угрозы
Неавторизованное использование  среды хранения	С	С	Н	Н
Износ среды хранения	С	С	В	Н
Операционная ошибка персонала	Н	Н	Н	С
Авария программного обеспечения	В	В	В	С
Ошибка пользователя	С	Н	С	С
Неправильное использование ресурсов	С	С	С	С
Зона уязвимости: Уровень функциональных приложений	Риск потери производительности	Риск затруднения деятельности	Риск денежной потери	Вероятность угрозы
Операционная ошибка персонала	В	Н	Н	С
Авария программного обеспечения	В	В	В	Н
Использование программного обеспечения неавторизованными пользователями	С	С	С	Н
Использование программного обеспечения неавторизованным способом	С	С	С	Н
Нелегальное использование программного обеспечения	В	С	Н	Н
Зона уязвимости: Уровень бизнес - процессов	Риск потери производительности	Риск затруднения деятельности	Риск денежной потери	Вероятность угрозы
Пожар (огонь)	С	С	С	Н
Подделка идентификатора пользователя	Н	С	С	С
Дефицит персонала	С	С	Н	Н

 

 

По результатам оценки риска  для каждой угрозы необходимо составить  таблицу оценки риска для каждого уровня работы технологических процессов, в общем. Эта таблица представлена в таблице 14:

Таблица 14 – Таблица оценки риска

Зона уязвимости	Денежная потеря	Потеря производительности	Затруднения в деятельности организации	Общий риск
Физический уровень	С	С	Н	С
Сетевой уровень	С	С	С	С
Уровень сетевых приложений	С	Н	Н	Н
Уровень операционных систем	В	В	С	В
Уровень СУБД	С	Н	С	С
Уровень функциональных приложений	С	Н	Н	Н
Уровень бизнес-процессов	Н	С	Н	Н

После проделанной оценки рисков представим в таблице 15 перечень актуальных угроз для ИС организации:

Таблица 15 – Перечень актуальных для ИС угроз:

Список актуальных угроз	Уровень уязвимости	Уровень риска
Авария программного обеспечения	Уровень операционных систем	В
Нелегальное использование программного обеспечения		В
Вредоносное программное обеспечение		В

 

 

4 Разработка политики безопасности

 

Политика информационной безопасности представляет собой совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов организации. Целью разработки политики безопасности является определение способов использования программных, информационных и технических ресурсов, а также определение процедур и мер, предупреждающих нарушение политики безопасности, создание системы наказаний и поощрений.

На первом этапе разработки политики безопасности зафиксированы правила безопасности, действующие в организации.

Классификация правил осуществляется по актуальным угрозам.

Угроза: авария программного обеспечения

Правила:

• создание надежной системы антивирусной безопасности, максимально соответствующую конфигурации сети.
• разработка положения о защите информации и ее соблюдение. Назначение ответственного за информационную безопасность.

Соответствующие этим правилам требования:

• использование организационных мер и программно-аппаратных средств для ограничения доступа к файлам операторов или выше стоящих лиц.
• ведение системных журналов, и хранение информация о том, кто и для чего использует компьютер.
• внесение изменений в программы после предварительного утверждения руководством.
• должны быть внедрены меры защиты по предотвращению получения, изменения или добавления программ неавторизованными людьми через удаленные терминалы.
• использование антивирусных программ.
• постоянное обновление баз антивирусных программ.
• наказывать персонал при нарушении ими информационной безопасности.

 

 

Угроза: нелегальное использование программного обеспечения

Правила:

• проверка вводимые данные на корректность и точность, ведение записей в журналах об отвергнутых транзакциях.
• защита от несанкционированного доступа извне, копирование или изменение информации.
• функционирование межсетевых экранов - средств разграничения доступа, служащее для защиты от внешних угроз и от угроз со стороны пользователей других сегментов корпоративных сетей

Соответствующие этим правилам требования:

• использование организационных мер и программно-аппаратных средств для ограничения доступа к файлам операторов или выше стоящих лиц.
• отключения неиспользуемых терминалов
• должны быть внедрены меры защиты по предотвращению получения, изменения или добавления программ неавторизованными людьми через удаленные терминалы.

 

Угроза: внедрение вредоносного программного обеспечения.

Правила:

• разработка положения о защите информации и ее соблюдение. Назначение ответственного за информационную безопасность.
• создание надежной системы антивирусной безопасности, максимально соответствующую конфигурации сети.
• проверка всех участков входящих и исходящих сообщений на почтовом сервере, включая прикрепленные файлы (в т.ч. архивированные и упакованные) и другие сообщения любого уровня вложенности, внедренные OLE-объекты и само тело письма.