1. Необходимость, цели и задачи анализа и управления информационными рисками. Анализ рисков ИБ – это, прежде всего, процесс, входящий в непрерывную процедуру защиты информации. Комплекс мероприятий по оценке состояния защищенности инфраструктуры, в которой осуществляется манипуляция чувствительной для бизнеса информацией. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам АС, в случае осуществления угрозы безопасности. Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им количественную оценку). Его можно разделить на несколько последовательных этапов: Идентификация ключевых ресурсов АС; Определение важности тех или иных ресурсов; Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз; Вычисление рисков, связанных с осуществлением угроз безопасности. Идентификация ресурсов Ресурсы АС делятся на три категории: Информационные ресурсы; Программное обеспечение; Технические средства (файловые серверы, рабочие станции, мосты, маршрутизаторы и т. п.). В каждой категории ресурсы можно разделить на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность АС и существенны с точки зрения обеспечения безопасности. Оценка стоимости ресурсов Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. В ходе оценки стоимости ресурсов определяется величина возможного ущерба для каждой категории ресурсов: Данные были раскрыты, изменены, удалены или стали недоступны; Аппаратура была повреждена или разрушена; Нарушена целостность ПО. Идентификации и определение уровня угроз безопасности Типичные угрозы безопасности включают в себя: локальные и удаленные атаки на ресурсы АС; стихийные бедствия; ошибки персонала; сбои в работе АС, вызванные ошибками в ПО или неисправностями аппаратуры. Под уровнем угрозы понимается вероятность ее осуществления. Идентификация и оценка уязвимостей Оценка уязвимостей предполагает определение вероятности успешного осуществления угроз безопасности. Успешное осуществление угрозы означает нанесение ущерба ресурсам АС. Наличие уязвимостей в АС обуславливается слабостями защиты. Таким образом вероятность нанесения ущерба определяется вероятностью осуществления угрозы и величиной уязвимости. Вычисление рисков Уровень риска определяется на основе стоимости ресурса, уровня угрозы и величины уязвимости. С увеличением стоимости ресурса, уровня угрозы и величины уязвимости возрастает и уровень риска. На основе оценки уровня рисков определяются требования безопасности. Управление рисками Задача управления рисками включает выбор и обоснование выбора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Управление рисками включает в себя оценку стоимости реализации контрмер, которая должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба. Контрмеры могут уменьшать уровни рисков различными способами: уменьшая вероятность осуществления угроз безопасности; ликвидируя уязвимости или уменьшая их величину; уменьшая величину возможного ущерба; выявление атак и других нарушений безопасности; способствуя восстановлению ресурсов, АС, которым был нанесен ущерб. 2. Инвентаризация и категорирование информационных активов. ООО «ДорСтрой» - дорожно-строительная компания. Основными направлениями деятельности организации является производство дорожных работ, а именно: Строительство автомобильных дорог и автомагистралей Инвентаризация «Стройка» информационных Вид актива База данных заказчиков 2 активов предприятия ООО Договоры с потребителями отчетного предприятия Договоры партнеров по основному виду деятельности Учредительные документы Бухгалтерская отчетность Финансовая отчетность Информационные данные бухучёта(бумажном/электронном) Договоры с поставщиками Лицензия на перевозку грузов Документооборот по таможенному оформлению грузов Путевые листы и отчёты водителей Трудовые книжки Документы по кадрам Персональные данные Документы по сертификации продукции Конструкторская документация Технические проекты Юридическая документация Категорирование информационных активы по возможности угроз и сроку хранения №п.п. Вид актива Возможность реализации угрозы Срок хранения 1 База данных заказчиков Средняя постоянно 2 Договоры с потребителями отчетного предприятия Средняя постоянно 3 Договоры партнеров по основно- Средняя постоянно 3 му виду деятельности 4 Учредительные документы Средняя постоянно 5 Бухгалтерская отчетность Средняя 10 лет 6 Финансовая отчетность Средняя 10 лет 7 Информационные данные бухучёта(бумажном/электронном) Средняя 10 лет 8 Договоры с поставщиками Средняя 5 лет 9 Лицензия на перевозку грузов Средняя 5 лет 10 Документооборот по таможенному оформлению грузов Средняя 5 лет 11 Путевые листы и отчёты водителей Средняя 5 лет 12 Трудовые книжки Высокая постоянно 13 Документы по кадрам Высокая постоянно 14 Персональные данные Высокая постоянно 15 Документы по сертификации продукции Средняя постоянно 16 Конструкторская документация Высокая постоянно 17 Технические проекты Высокая постоянно 18 Юридическая документация Высокая постоянно 3. Выявление угроз и уязвимостей информационных активов предприятия. Угрозы информационной безопасности проявляются не самостоятельно, а через возможное взаимодействие с наиболее слабыми звеньями системы защиты, то есть через факторы уязвимости. Угроза приводит к нарушению деятельности систем. Для данного предприятия могут быть актуальны следующие угрозы. Физические угрозы: 4 - Физический несанкционированный доступ в помещения организации, в кабинеты, серверные и т.д. - Кража или повреждение оборудования, комплектующих и носителей информации. - Подмена комплектующих в оборудовании. - Кража бумажных документов. - Доступ к консолям управления серверов. - Сохранение информации с экранов мониторов при помощи фото/видео оборудования (телефоны, камеры). - Подслушивание и записывание (диктофоны и т.п.) информации. Угрозы утечки конфиденциальной информации: - Утечка конфиденциальной информации с компьютеров сотрудников по каналам связи (web, email, чаты, облачные сервисы и т.п.). - Утечка конфиденциальной информации с переносных носителей информации (USB-флешки, диски и т.п.). - Внедрение в ИТ инфраструктуру фишинговых устройств (сервера, маршрутизаторы и т.п.) и программного обеспечения, с целью перенаправления на них трафика и последующей краже учетных данных сотрудников. - Печать или копирование конфиденциальной информации, с последующим выносом её за пределы организации. Угрозы, связанные с внешними и внутренними злоумышленниками: - Подбор паролей внутренними злоумышленниками к оборудованию и программному обеспечению во внутренней сети. - Сканирование внутренней сети организации с целью получения различной технической информации (Схемы сети, используемое ПО и т.п.). - Атака на web сайты и web сервисы с целью изменения информации, внедрения вредоносного кода, кражи паролей и т.п. (SQL инъекции, XSS атаки и т.п.). - Заражение компьютеров и серверов различным вредоносным кодом через подключаемые периферийные устройства (USB флешки, телефоны, фотоаппараты и т.п.). - Заражение компьютеров и серверов различным вредоносным кодом через интернет (спам письма, фишинговые сайты, взломанное ПО и т.п.). 5 - Социальная инженерия, с целью выявления учетных данных, паролей. Угрозы нарушения целостности информации или её недоступности: - Нарушение целостности данных из-за ошибок пользователей, администраторов. - Несанкционированное изменение системной конфигурации, файлов, баз данных. - Медленная работа оборудования, возникновение ошибок, в результаты неправильно произведенных настроек серверного и сетевого оборудования. - Перебои с электроэнергией. - Природные катастрофы (затопление, пожар, ураган, землетрясение и т.п.). Основные уязвимости возникают по причине действия следующих факторов: - несовершенство программного обеспечения, аппаратной платформы; - разные характеристики строения автоматизированных систем в информационном потоке; - часть процессов функционирования систем является неполноценной; - неточность протоколов обмена информацией и интерфейса; - сложные условия эксплуатации и расположения информации. Чаще всего источники угрозы запускаются с целью получения незаконной выгоды вследствие нанесения ущерба информации. Но возможно и случайное действие угроз из-за недостаточной степени защиты и массового действия угрожающего фактора. Существует разделение уязвимостей по классам, они могут быть: - объективными; - случайными; - субъективными. Если устранить или как минимум ослабить влияние уязвимостей, можно избежать полноценной угрозы, направленной на систему хранения информации. Для данного предприятия могут быть актуальны следующие виды уязвимостей. 6 Объективные уязвимости Этот вид напрямую зависит от технического построения оборудования на объекте, требующем защиты, и его характеристик. Полноценное избавление от этих факторов невозможно, но их частичное устранение достигается с помощью инженерно-технических приемов, следующими способами: Активизируемые: - вредоносные ПО, нелегальные программы, технологические выходы из программ, что объединяется термином «программные закладки»; - закладки аппаратуры – факторы, которые внедряются напрямую в телефонные линии, в электрические сети или просто в помещения. Те, что создаются особенностями объекта, находящегося под защитой: - расположение объекта (видимость и отсутствие контролируемой зоны вокруг объекта информации, наличие вибро или звукоотражающих элементов вокруг объекта, наличие удаленных элементов объекта); - организация каналов обмена информацией (применение радиоканалов, аренда частот или использование всеобщих сетей). Те, что зависят от особенностей элементов-носителей: - детали, обладающие электроакустическими модификациями (трансформаторы, телефонные устройства, микрофоны и громкоговорители, катушки индуктивности); - вещи, подпадающие под влияние электромагнитного поля (носители, микросхемы и другие элементы). Случайные уязвимости Эти факторы зависят от непредвиденных обстоятельств и особенностей окружения информационной среды. Их практически невозможно предугадать в информационном пространстве, но важно быть готовым к их быстрому устранению. Устранить такие неполадки можно с помощью проведения инженерно-технического разбирательства и ответного удара, нанесенного угрозе информационной безопасности: 1. Сбои и отказы работы систем: - вследствие неисправности технических средств на разных уровнях обработки и хранения информации (в том числе и тех, что отвечают за работоспособность системы и за контроль доступа к ней); - неисправности и устаревания отдельных элементов (размагничивание носителей данных, таких как дискеты, кабели, соединительные линии и микросхемы); - сбои разного программного обеспечения, которое поддерживает все звенья в цепи хранения и обработки информации (антивирусы, прикладные и сервисные программы); 7 - перебои в работе вспомогательного оборудования информационных систем (неполадки на уровне электропередачи). 2. Ослабляющие информационную безопасность факторы: - повреждение коммуникаций вроде водоснабжения или электроснабжения, а также вентиляции, канализации; - неисправности в работе ограждающих устройств (заборы, перекрытия в здании, корпуса оборудования, где хранится информация). Субъективные уязвимости Этот подвид в большинстве случаев представляет собой результат неправильных действий сотрудников на уровне разработки систем хранения и защиты информации. Поэтому устранение таких факторов возможно при помощи методик с использованием аппаратуры и ПО: 1. Неточности и грубые ошибки, нарушающие информационную безопасность: - на этапе загрузки готового программного обеспечения или предварительной разработки алгоритмов, а также в момент его использования (возможно во время ежедневной эксплуатации, во время ввода данных); - на этапе управления программами и информационными системами (сложности в процессе обучения работе с системой, настройки сервисов в индивидуальном порядке, во время манипуляций с потоками информации); - во время пользования технической аппаратурой (на этапе включения или выключения, эксплуатации устройств для передачи или получения информации). 2. Нарушения работы систем в информационном пространстве: - режима защиты личных данных (проблему создают уволенные работники или действующие сотрудники в нерабочее время, они получают несанкционированный доступ к системе); - режима сохранности и защищенности (во время получения доступа на объект или к техническим устройствам); - во время работы с техустройствами (возможны нарушения в энергосбережении или обеспечении техники); - во время работы с данными (преобразование информации, ее сохранение, поиск и уничтожение данных, устранение брака и неточностей). 8 Причины Актуальность угрозы Опасность угрозы Возможность реализации угрозы (Y) Вероятность реализации угрозы (Y2) Наименование угрозы 4. Модель угроз и нарушителя Угрозы от утечки по техническим каналам Угрозы утечки акустической информации Низкая Низкая - Неактуальна Паспортную информацию работник вводит в систему по паспорту клиента Угрозы утечки видовой информации Просмотр информации на дисплее сотрудниками, не допущенными к обработке персональных данных Высокая Высокая Просмотр информации на дисплее посторонними лица, находящимися в помещении, в котором ведется обработка персональных данных Низкая Средняя + Актуальная Мониторы отвернуты от клиентов, окна закрыты жалюзи, следовательно, информация с мониторов не отражается на них. Просмотр информации на дисплее посторонними лицами, находящимися за пределами помещения в котором ведется обработка персональных данных Низкая Низкая - Неактуальна Слишком сложно осуществима, требует больших затрат и навыков. + Актуальная Инструкция пользователя Технологический процесс Угрозы несанкционированного доступа к информации Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн Кража ПЭВМ Мало вероятная Низкая - Неактуальная Пропускной режим, охрана, информация хранится на сервере. Кража, модификация, уничтожение информации. Низкая Низкая - Неактуальна Допуск к информации имеется только у уполномоченных лиц Вывод из строя узлов ПЭВМ, каналов связи Средняя Средняя + Актуальная Пропускной режим, охрана. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтоже- Высокая Высокая + Актуальная Ремонт в организация имеющих лицензию на защиту информации Акт установки средств защиты 9 нии) узлов ПЭВМ Несанкционированное отключение средств защиты Высокая Высокая + Актуальная Настройка средств защиты, может привести к модификации информации. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий); Компьютерные вирусы Высокая Высокая Низкая Актуальная Антивирусное ПО «Касперский 6.0» Инструкция пользователя Инструкция ответственного Инструкция администратора безопасности Технологический процесс обработки Инструкция по антивирусной защите Не декларированные возможности системного ПО и ПО для обработки персональных данных Высокая Высокая Низкая Актуальная Настройка средств защиты Установка ПО, не связанного с исполнением служебных обязанностей Высокая Высокая Низкая Актуальная Настройка средств защиты Инструкция пользователя Инструкция ответственного Инструкция администратора безопасности Технологический процесс обработки Внедрение аппаратных закладок посторонними лицами после начала эксплуатации ИСПДн Мало вероятная Низкая Внедрение аппаратных закладок сотрудниками организации Мало вероятная Низкая Низкая Неактуальная Защита помещения Опломбирование Низкая Неактуальная Опломбирование Инструкция пользователя Технологический процесс Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз не антропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. 10 Утрата ключей доступа Высокая Высокая Низкая Актуальная Хранение в сейфе Инструкция пользователя Инструкция администратора безопасности Журнал учета паролей Непреднамеренная модификация (уничтожение) информации сотрудниками Высокая Непреднамеренное отключение средств защиты Высокая Высокая Низкая Актуальная Настройка средств защиты Резервное копирование Инструкция пользователя Высокая Низкая Актуальная Доступ к установлению режимов работы средств защиты предоставляется только администратору безопасности Настройка средств защиты Инструкция пользователя Инструкция администратора безопасности Инструкция по антивирусной защите Выход из строя аппаратнопрограммных средств Высокая Высокая Низкая Актуальная Резервное копирование Сбой системы электроснабжения Высокая Высокая Низкая Актуальная Использование источника бесперебойного электропитания Резервное копирование Стихийное бедствие Высокая Высокая Низкая Актуальная Пожарная сигнализация Угрозы преднамеренных действий внутренних нарушителей Доступ к информации, модификация, уничтожение лиц, не допущенных к ее обработке Мало вероятная Низкая Низкая Неактуальная Шифрование данных при помощи ViPNet SafeDisk Система защиты от НСД ViPNet Personal Firewall Акт установки средств защиты Разрешительная система допуска Технологический процесс обработки Разглашение информации, модификация, уничтоже- Высокая Высокая Низкая 11 Актуальная Обязательство о не разглашении ние сотрудниками, допущенными к ее обработке Инструкция пользователя Угрозы несанкционированного доступа по каналам связи Утечка атрибутов доступа Высокая Высокая Низкая Актуальная Межсетевой экран ViPNet Firewall Антивирусное ПО Технологический процесс Инструкция пользователя Инструкция администратора безопасности Акт установки средств защиты Угрозы перехвата при передаче по проводным (кабельным) линиям связи Перехват за переделами с контролируемой зоны Перехват в пределах контролируемой зоны внешними нарушителями Мало вероятная Низкая Мало вероятная Низкая Низкая Низкая Неактуальная Средства криптографической защиты Неактуальная Средства криптографической защиты Технологический процесс Физическая зашита канала связи Пропускной режим Технологический процесс Перехват в пределах контролируемой зоны внутренними нарушителями Мало вероятная Низкая Низкая Неактуальная Средства криптографической защиты Физическая зашита канала связи Технологический процесс 12