ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ СТАВРОПОЛЬСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ Утверждаю Заведующий кафедрой ИС к.т.н Д.В. Шлаев «___» 2014 года ЛЕКЦИЯ №6 СИСТЕМЫ ИТ - БЕЗОПАСНОСТИ по учебной дисциплине: «ИТ-инфраструктура предприятия» Для студентов специальности: 080500.62 Бизнес-информатика Рассмотрено УМК " " ___________ 2014 года протокол N ______________ Ставрополь - 2014 г. 1 Цель лекции Дать систематизированные основы научных знаний по указанной теме занятия. Организовать целенаправленную познавательную деятельность студентов по овладению программным материалом по данной теме. Познакомить с основными понятиями по теме лекции. Сформировать познавательный интерес к содержанию учебного материала помочь выработать у студентов стремление к самостоятельной работе и всестороннему овладению специальностью, развивать интерес к учебной дисциплине, содействовать активизации мышления студентов. Учебные вопросы: 1. Определение ИТ-безопасности для предприятия 2. Внутренняя ИТ-безопасность 3. Программные продукты защиты информации InfoWatch Время – 2часа 2 Введение “Согласно отчету компании Gartner, ИТ-безопасность входит в число основных приоритетов в бизнесе и фактически возглавляет список технологических приоритетов организаций. Вдобавок, с каждым годом возрастает по всему миру финансирование проектов ИТ-безопасности. Как считают эксперты, эти проекты смогут через совместимость с нормативными актами повысить конкурентоспособность организаций и привести к росту бизнеса”. (InfoWatch 08.02.2008). Тенденция к развитию системы информационной безопасности предприятиями очевидна и вполне понятна, постоянно растущая конкуренция между предприятиями заставляет их постоянно развивать свой бизнес, внедряя новые технологические решения, основная доля которых приходится на информационные технологии. Так успешный и перспективный бизнес сегодня ассоциируется, прежде всего, с электронной коммерцией, которая позволяет расширить ареал бизнес деятельности предприятия, что в свою очередь, повышает степень интеграции деловой активности между предприятиями, увеличивая тем самым степень риска ИБ. Но угрозы, возникающие при использовании сети Интернет на данный момент не являются основным стимулом развития системы информационной безопасности на предприятиях, хотя число вирусных инцидентов и активизация хакеров в 2014 году существенно возросли. Две трети респондентов по данным этого отчета посчитали совместимость с нормативными актами главным стимулом развития информационной безопасности (ИБ). Исходя из аналитического отчета "Global Information Security Survey ", международной компании Ernst&Young, инвестиции в проекты ИТбезопасности будут увеличиваться. При этом перед техническими специалистами, а также начальниками служб информационной безопасности стоит задача обоснования эффективности таких затрат, т.е. определение стоимости системы ИБ для бизнеса. 3 1. Определение ИТ-безопасности для предприятия ИБ определяется по-разному для различных предприятий и для каждого структурного элемента одного и того же предприятия. Часто, внедряемые методы контроля для достижения определенного уровня ИБ выбираются и управляются различными составными частями предприятия. Например: Обычно ИБ в компании базируется на использование Брандмауэра и управлении доступом. Приватность рассматривается в контексте законодательства, связей с общественностью и управления предприятием. В рамках бизнес процесса ответственность разделена. Часто это ответственность групп занимающихся ИБ; на других предприятиях это отдельная функция возложена финансового директора или директора по производственным вопросам. Требования к ИТ контролю Поскольку угрозы и риски, связанные с Интернет торговлей растут, предприятия сталкиваются с увеличивающимся количеством методов контроля для внедрения новых бизнес моделей. В большинстве случаях эти методы внедряются, несмотря на требования к информационной безопасности, которые не были адекватно решены. Большинство предприятий чрезмерно концентрируются на своем внешнем периметре, не предпринимая эффективных мер по защите ключевых данных внутри предприятия. В таблице 1 приведен краткий перечень требований ИТ контроля. Таблица 1 Требование Невмешательство Аутентификация Авторизация Определение Контроль безопасности Гарантирует, что контроль §Пользовательский осуществлен по входу с идентификатор/Пароль использованием электронных активов § Брандмауэр предприятия. §Неразглашение паролей §Несанкционированное Использование Баннеров Обеспечивает, что пользователи и §Пользовательский приложения соответственно идентификатор/Пароль идентифицированы перед получением § Пакет данных доступа к информационным активам §Биометрическое устройство §Сертификат Открытого Ключа § Местоположение Обеспечивает, что должным образом § Список Прав Доступа идентифицированный § Атрибуты Сертификатов пользователь/приложение может обратиться только к тем ресурсам ИТ, к 4 которым владелец информационных ресурсов открыл доступ. Конфиденциальность Гарантирует, что только те люди, § Шифрование которым предназначена информация в состоянии ее увидеть Гарантирует, что в случае изменения § Код подлинности Целостность транзакции между отправителем и сообщения (MAC)/Hash получателем это будет идентифицировано Гарантирует, что информация, § Политики и Процедуры Секретность предоставляемая служащими, § Шифрование клиентами и другими защищена таким § Инструменты образом, чтобы информация управления политикой использовалась исключительно в соответствии с политикой секретности клиентов предприятия. Гарантирует, что и отправитель и § Цифровая подпись Невозможность получатель могут недвусмысленно § Временная метка отказа доказать что между ними произошел обмен информацией Гарантирует, что ИТ инфраструктура § Резервирование Готовность предприятия имеет соответствующую § Балансировка нагрузки (пригодность) восстанавливаемость и защиту от § Политики и Процедуры отказов системы, стихийных бедствий § План непрерывности или злонамеренных воздействий. бизнеса § Место альтернативной обработки данных Угрозы информационной безопасности Требования ИТ контроля устанавливаются таким образом, чтобы предприятие могло защитить себя от уязвимостей используемых технических и программных средств. Воздействия уязвимостей при эксплуатации могут быть классифицированы на пять типов угроз: 1. Нарушение границ – нарушение условия невмешательства 2. Обнаружение – нарушение конфиденциальности, авторизации и секретности 3. Изменение – нарушение целостности 4. Отказ от обязательств – нарушение условия невозможности отказа. Отказ в связи с отклонением действительности транзакции 5. Отказ в обслуживании – нарушение пригодности Данные требования ИТ контроля применяются для зашиты от угроз информационной безопасности. Реализация управления информационной безопасностью требует людских, технических и программных ресурсов. Большинство предприятий не могут определить количество расходов на информационную безопасность; с постоянно увеличивающимся списком уязвимостей, стоимость защиты предприятия продолжает расти. 5 Следовательно, предприятия нуждаются в инструменте, который бы помогал отслеживать, управлять и анализировать их инвестиции. Определение ИТ-безопасности для предприятия Существует множество различных рисков ИТ-безопасности, в зависимости от специфики предприятия, соответственно необходимый уровень защиты также будет различаться. Факторы, влияющие на различие рисков: Культура управления – менеджеры, желающие принять на себя более высокие бизнес-риски, нуждаются в большем количестве информации об этих рисках. Классификация актива – планы по приобретению и слиянию, электронные активы, защищаемые законодательством о секретности и финансовые активы подвержены более высокому уровню угроз информационной безопасности, так как эта информация является наиболее желанной для недобросовестных сотрудников. Технологическая среда – предприятия, не имеющие связи с Интернетом, не нуждается в брандмауэре; большее количество автоматизированных процессов и сетевых соединений создают большее количество точек доступа, подлежащих защите от несанкционированного доступа/вторжения. Внутренняя информация – техническая экспертиза не всегда может быть преобразована к аудиту информационной безопасности. Предприятие, возможно, не знает обо всей гамме угроз, которым оно подвержено и осуществление внешнего аудита может быть необходимым для полной защиты его среды. Управление рисками информационной безопасности включает понимание и подготовку к потенциальной компрометации информационной безопасности и увеличению стоимости сокращения риска до приемлемого уровня. Риск может быть измерен в зависимости от уровня воздействия (низкий, средний, высокий) для следующих типов потерь: Финансовых Конкурентного преимущества Юридических/Регулирующих Операционных/Отказа в обслуживании Репутации на рынке Классификация предприятий по уровню зрелости Gartner Group классифицирует предприятия на пять типов, в зависимости от потребности в решениях для ИБ: 1. Малый бизнес – замедленный рост 2. Малый/средний бизнес – быстрый рост 6 3. Dot-com (бизнес-модель целиком основывается на работе в рамках сети Интернет) 4. Средняя розничная торговля 5. Финансовые учреждения. Большие транснациональные корпорации. Учреждения хранящие ценную (чувствительную) для других информацию: например Управление Социального Обеспечения. Для определения принадлежности предприятия к одному из перечисленных пяти типов проводится анализ соответствия по следующим характеристикам для каждого типа: · Использование ИТ в бизнес процессе – степень с которой предприятия используют ИТ в критичных бизнес процессах · Технологический профиль – типы технологий, используемых предприятием, ранжируя их от автономных персональных компьютеров (ПК) до универсальных ЭВМ (mainframe). · Установление доверия – процесс, используемый предприятием для налаживания отношений со своим деловым партнером, т.е. “Знаю Ваш Клиент” · Информационная ценность актива вне предприятия, или “Значение для Хакера” – ценность для хакера/внешней стороны, по отношению к предприятию, информационных активов если · Покрытие ИБ – персонал и управление в месте, необходимые чтобы защитить информационные активы предприятия · Удар при прорыве безопасности – воздействие на предприятие, в случае если безопасности была нарушена 2. Внутренняя ИТ-безопасность Проблема внутренней информационной безопасности оценивается конкретными финансовыми потерями. По данным Association of Certified Fraud Examiners, американские компании в среднем теряют 6% доходов из-за инцидентов, связанных с различными способами обмана и кражи информации, и в 2013 году общий объем потерь составил около 660 млрд. долл. По оценке компании InfoWatch, порядка 50-55% этой суммы составляют потери по причине неправомерных действий сотрудников. Другое исследование Ernst&Young — по проблемам электронного мошенничества — свидетельствует, что 20% наемных работников уверены в утечке конфиденциальной корпоративной информации со стороны коллег. Общую картину дополняет исследование компании InfoWatch, позволившее выявить важные аспекты внутренней информационной безопасности в России. В опросе приняли участие около 400 крупных и средних российских компаний. Исследование показало, что российские организации больше всего озабочены именно утечкой конфиденциальной 7 информации (рис. 1): 98% респондентов поставили этот риск на первое место. Остальные угрозы отстают со значительным разрывом: искажение информации (62%), сбои в работе ИС по причине халатности персонала (15%), утрата информации (7%), кража оборудования (6%), другие (28%). Рис. 1. Самые опасные внутренние ИТ-угрозы Чем крупнее организация, тем более актуальной для нее является проблема предотвращения утечки. Это связано с тем, что все важные данные дублируются на резервных накопителях для экстренного восстановления в случае искажения или утраты. В то же время на больших предприятиях затрудняется контроль над обращением информации и существенно возрастает цена утечки. Нарушение конфиденциальности влечет за собой материальный ущерб и потерю репутации, в особых случаях — риск раскрытия государственной тайны. Эти обстоятельства определяют высокий уровень озабоченности данной проблемой со стороны крупного бизнеса и правительственных организаций. Из технических путей утечки конфиденциальной информации (рис. 2) респонденты по степени критичности выделили: электронную почту, Интернет, сетевые пейджеры и мобильные накопители (компакт-диски, USBнакопители). Эти лазейки получили практически одинаковую оценку (8090%); остальные источники оказались далеко позади. 8 Рис. 2. Пути утечки данных Все существующие внутренние угрозы можно разделить на несколько видов по преследуемой цели и по техническим средствам для ее достижения. Основной угрозой является разглашение конфиденциальной информации. В этом случае данные, представляющие собой коммерческую тайну, могут покинуть сетевой периметр предприятия несколькими путями: по электронной почте, через чаты, форумы и другие службы Интернета, с помощью средств мгновенного обмена сообщениями, копирования информации на мобильные носители, а также посредством распечатки ее на принтере. Для обнаружения факта разглашения конфиденциальной информации необходимо контролировать все пути утечки данных, в частности анализировать исходящий трафик, передаваемый по протоколам SMTP, HTTP, FTP и TCP/IP. Еще одной серьезной угрозой является нецелевое использование ресурсов компании. Сюда входят: посещение сайтов общей и развлекательной направленности (не имеющих отношения к исполнению служебных обязанностей) в рабочее время; загрузка, хранение и использование мультимедиафайлов и ПО развлекательной направленности в рабочее время; использование ненормативной, грубой, некорректной лексики при ведении деловой переписки; загрузка, просмотр и распространение порнографии, а также материалов, содержащих нацистскую символику, агитацию или другие противозаконные материалы; использование ресурсов компании для рассылки информации рекламного характера, спама или информации личного характера, включая информацию о сотрудниках, номера кредитных карт и т.д. Для борьбы с угрозами подобного типа используются технические решения, фильтрующие исходящие веб-запросы и почтовый трафик. Для борьбы с разными типами внутренних угроз информационной безопасности используют различные технические средства. Но только 9 комплексное решение поможет действительно решить проблему защиты компьютерной инфраструктуры предприятия. 3. Программные продукты защиты информации InfoWatch InfoWatch, ЗАО «Инфовотч» — российская компания, выпускающая средства защиты корпоративной информации. Компания была создана в 2003 году на базе «Лаборатории Касперского». В 2001 году среди работников «Лаборатории Касперского» возникла идея создавать продукты для защиты не только от внешних, но и от внутренних угроз. С 2008 года компания (под брендом «Аналитический центр InfoWatch») ведет мониторинг официально опубликованных утечек информации в России и в мире и выпускает ежегодный аналитический отчет, включающий статистический анализ зафиксированных случаев утечки информации c комментариями экспертов. Предотвращение утечек осуществляется через мониторинг, перехват и анализ всех информационных потоков компании, с учетом установленных политик информационной безопасности и правил. Что происходит с передаваемыми данными? Технологии InfoWatch позволяют распознавать документы и понимать их смысл даже при анализе небольших фрагментов текста, которые могут быть вставлены в любой документ и отправлены в неформальной переписке или через систему мгновенного обмена сообщениями. 10 Возможные сценарии утечек Контроль мобильных сотрудников InfoWatch Traffic Monitor осуществляет: анализ и контроль всех сообщений при работе сотрудников с корпоративной почтой через мобильные устройства под управлением iOS, Android и т.д. мониторинг информации на ноутбуках в периметре и за пределами компании: агентская часть продукта продолжает работать, даже когда рабочие ноутбуки вынесены за пределы компании, и передает полученную информацию в подсистему анализа при их возращении в корпоративную сеть благодаря технологии контроля сетевых соединений, ноутбуки, находящиеся за периметром компании, могут выходить в Интернет только через шлюз корпоративной сети, что гарантирует контроль всего сетевого трафика 11 Контроль бумажных копий документов InfoWatch Traffic Monitor контролирует и перехватывает задания на печать независимо от типа и модели используемого принтера, а также позволяет отслеживать количество напечатанных копий документов. Помимо контроля бумажных копий InfoWatch Traffic Monitor отслеживает движение отсканированных документов благодаря технологии OCR (мгновенное распознавание изображений), выявляет принадлежность скан-копии документу, содержащему конфиденциальные данные, и контролирует их перемещение внутри организации и за ее пределы. Переманивание клиентов 12 Кража персональных данных 13 Заключение Риски в электронной коммерции являются наиболее критичными, чем те же риски в традиционной вычислительной среде. Эти риски напрямую влияют на стоимость защиты этих фирм. Поэтому оценку рисков и проект по обеспечению информационной безопасности целесообразно вести еще на начальных этапах проектирования будущей информационной системы предприятия. И продолжать данные мероприятия на всех этапах жизненного цикла предприятия. TCO может помочь оценить стоимость защиты фирмы, но не может рассчитать затраты в случаях чрезвычайных ситуаций. Несмотря на это методика TCO для оценки экономической эффективности системы ИБ позволяет учесть и включить в стоимость затрат все расходы предприятия по внедрению и эксплуатации системы ИБ включая скрытые. Тем самым данная методика является мощным инструментом обоснования и управления инвестициями в системе ИБ. Полученные в результате оценки затрат могут не отражать реального положения на предприятии это прежде всего будет связано со спецификой предприятия, его культурой, развитием нормативно-справочного обеспечения. Так наличие на предприятии политики безопасности разработанной или разрабатываемой, внутренних регламентов и нормативов может существенно снизить оценку TCO для ИБ предприятия. Так же на данную оценку влияет поведение и действия персонала, на что необходимо обратить особое внимание. 14