Риск информационной безопасности

Содержание

Статьи по теме: «Информационная безопасность»

Одними из самых распространенных в мире методик управления рисками информационной безопасности являются CRAMM, COBIT for Risk, FRAP, Octave и Microsoft. Наряду с определенными преимуществами они имеют и свои ограничения. В частности, перечисленные зарубежные методики могут эффективно использоваться коммерческими компаниями, в то время как государственным организациям при оценке и управлении рисками информационной безопасности необходимо руководствоваться положениями нормативных актов ФСТЭК России. Например, для автоматизированных систем управления производственными и технологическими процессами на критически важных объектах следует руководствоваться приказом ФСТЭК России от 14 марта 2014 г. № 31. Вместе с тем этот документ в качестве дополнительного материала мог бы использоваться и федеральными органами исполнительной власти.

  • Риски информационной безопасности в современном обществе
  • Цели и подходы к управлению рисками информационной безопасности
  • Обзор методики CRAMM
  • Обзор методологии COBIT for Risk

Риски информационной безопасности в современном обществе

За последнее время число атак на организации удвоилось. Атаки, ведущие к экстраординарному ущербу, становятся обычным явлением. Финансовый ущерб от атак возрастает и одни из самых больших потерь связаны с атаками вирусов-вымогателей. Ярким примером этого являются атаки вирусов-вымогателей WannaCry и NotPetya, затронувшие более 300 тыс. компьютеров в 150 странах мира и приведшие к финансовым потерям более 300 млн долл.

Еще одной тенденцией является увеличение количества атак на объекты критической инфраструктуры и стратегические промышленные объекты, что может привести к выводу из строя злоумышленниками систем, поддерживающих жизнеобеспечение человечества и возникновению глобальных техногенных катастроф.

Таким образом, риски информационной безопасности входят в тройку наиболее вероятных рисков (вместе с рисками природных катаклизмов и экстремальных погодных условий) и в список из шести наиболее критичных рисков по возможному ущербу (вместе с рисками применения оружия массового поражения, природными катаклизмами, погодными аномалиями и нехваткой питьевой воды). Поэтому управление рисками информационной безопасности является одним из приоритетных направлений развития организаций по всему миру и абсолютно необходимо для их дальнейшего функционирования.

Цели и подходы к управлению рисками информационной безопасности

Целью любой организации является достижение определенных показателей, характеризующих результаты ее деятельности. Например, для коммерческих компаний это извлечение прибыли, рост капитализации, доли рынка или оборота, а для правительственных организаций – предоставление государственных услуг населению и решение задач управления. В любом случае, независимо от цели деятельности организации, достижению этой цели может помешать реализация рисков информационной безопасности. При этом каждая организация по-своему оценивает риски и возможность инвестирования в их снижение.

Таким образом, целью управления рисками информационной безопасности является поддерживание их на приемлемом для организации уровне. Для решения данной задачи организации создают комплексные системы информационной безопасности (СИБ).

При создании таких систем встает вопрос выбора средств защиты, обеспечивающих снижение выявленных в процессе анализа рисков информационной безопасности без избыточных затрат на внедрение и поддержку этих средств. Анализ рисков информационной безопасности позволяет определить необходимую и достаточную совокупность средств защиты информации, а также организационных мер направленных на снижение рисков информационной безопасности, и разработать архитектуру СИБ организации, максимально эффективную для ее специфики деятельности и направленную на снижение именно ее рисков информационной безопасности.

Все риски, в том числе риски информационной безопасности, характеризуется двумя параметрами: потенциальным ущербом для организации и вероятностью реализации. Использование для анализа рисков совокупности этих двух характеристик позволяет сравнивать риски с различными уровнями ущерба и вероятности, приводя их к общему выражению, понятному для лиц, принимающих решение относительно минимизации рисков в организации. При этом процесс управления рисками состоит из следующих логических этапов, состав и наполнение которых зависит от используемой методики оценки и управления рисками:

  1. Определение приемлемого для организации уровня риска (риск-аппетита) – критерия, используемого при решении о принятии риска или его обработке. На основании этого критерия определяется, какие идентифицированные в дальнейшем риски будут безоговорочно приняты и исключены из дальнейшего рассмотрения, а какие подвергнуты дальнейшему анализу и включены в план реагирования на риски.
  2. Идентификация, анализ и оценка рисков. Для принятия решения относительно рисков они должны быть однозначно идентифицированы и оценены с точки зрения ущерба от реализации риска и вероятности его реализации. При оценке ущерба определяется степень влияния риска на ИТ-активы организации и поддерживаемые ими бизнес-процессы. При оценке вероятности производится анализ вероятности реализации риска. Оценка данных параметров может базироваться на выявлении и анализе уязвимостей, присущим ИТ-активам, на которые может влиять риск, и угрозам, реализация которых возможная посредством эксплуатации данных уязвимостей. Также в зависимости от используемой методики оценки рисков, в качестве исходных данных для их оценки может быть использована модель злоумышленника, информация о бизнес-процессах организации и других сопутствующих реализации риска факторах, таких как политическая, экономическая, рыночная или социальная ситуация в среде деятельности организации. При оценке рисков может использоваться качественный, количественный или смешанный подход к их оценке. Преимуществом качественного подхода является его простота, минимизация сроков и трудозатрат на проведение оценки рисков, ограничениями – недостаточная наглядность и сложность использования результатов анализа рисков для экономического обоснования и оценки целесообразности инвестиций в меры реагирования на риски. Преимуществом количественного подхода является точность оценки рисков, наглядность результатов и возможность сравнения значения риска, выраженного в деньгах, с объемом инвестиций, необходимых для реагирования на данный риск, недостатками – сложность, высокая трудоемкость и длительность исполнения.
  3. Ранжирование рисков. Для определения приоритета при реагировании на риски и последующей разработки плана реагирования все риски должны быть проранжированы. При ранжировании рисков, в зависимости от используемой методики, могут применяться такие критерии определения критичности, как ущерб от реализации рисков, вероятность реализации, ИТ-активы и бизнес-процессы, затрагиваемые риском, общественный резонанс и репутационый ущерб от реализации риска и др.
  4. Принятие решения по рискам и разработка плана реагирования на риски. Для определения совокупности мер реагирования на риски необходимо провести анализ идентифицированных и оцененных рисков с целью принятия относительно каждого их них одного из следующих решений:
    • Избегание риска;
    • Принятие риска;
    • Передача риска;
    • Снижение риска.

    Принятое по каждому риску решение должно быть зафиксировано в плане реагирования на риски. Также данный план может содержать, в зависимости от используемой методики, следующие информацию, необходимую для реагирования на риски:

    • Ответственный за реагирование;
    • Описание мер реагирования;
    • Оценка необходимых инвестиций в меры реагирования;
    • Сроки реализации этих мер.
  5. Реализация мероприятий по реагированию на риски. Для реализации мер реагирования на риски ответственные лица организуют выполнение описанного в плане реагирования на риск действия в необходимые сроки.
  6. Оценка эффективности реализованных мер. Для достижения уверенности, что применяемые в соответствии с планом реагирования меры эффективны и уровень рисков соответствует приемлемому для организации, производится оценка эффективности каждой реализованной меры реагирования на риск, а также регулярная идентификация, анализ и оценка рисков организации.

Рассмотрим наиболее известные методики управления рисками информационной безопасности: CRAMM, COBIT for Risk, FRAP, Octave, Microsoft.

Обзор методики CRAMM

Методика CRAMM (CCTA Risk Analysis and Management Method), разработанная Службой безопасности Великобритании в 1985 году, базируется на стандартах управления информационной безопасности серии BS7799 (в настоящее время переработаны в ISO 27000) и описывает подход к качественной оценке рисков. При этом переход к шкале значений качественных показателей происходит с помощью специальных таблиц, определяющих соответствие между качественными и количественными показателями. Оценка риска производится на основе анализа ценности ИТ-актива для бизнеса, уязвимостей, угроз и вероятности их реализации.

Процесс управления рисками по методике CRAMM состоит из следующих этапов:

  1. Инициирование (Initiation). На этом этапе проводится серия интервью с заинтересованными в процессе анализа рисков информационной безопасности лицами, в том числе с ответственными за эксплуатацию, администрирование, обеспечение безопасности и использование ИТ-активов, для которых производится анализ рисков. В результате дается формализованное описание области для дальнейшего исследования, ее границ и определяется состав вовлеченных в анализ рисков лиц.
  2. Идентификация и оценка ИТ-активов (Identification and Valuation of Assets). Определяется перечень ИТ-активов, используемых организацией в определенной ранее области исследования. В соответствии с методологией CRAMM ИТ-активы могут быть одного из следующих типов:
    • Данные;
    • Программное обеспечение;
    • Физические активы.

    Для каждого актива определятся его критичность для деятельности организации и совместно с представителями подразделений, использующих ИТ-актив для решения прикладных задач, оцениваются последствия для деятельности организации от нарушения его конфиденциальности, целостности и доступности.

  3. Оценка угроз и уязвимостей (Threat and Vulnerability Assessment). В дополнение к оценке критичности ИТ-активов, важной частью методологии CRAMM является оценка вероятности угроз и уязвимостей ИТ-активов. Методология CRAMM содержит таблицы, описывающие соответствие между уязвимостями ИТ-активов и угрозами, которые могут влиять на ИТ-активы через эти уязвимости. Также имеются таблицы, описывающие ущерб для ИТ-активов в случае реализации этих угроз. Данный этап выполняется только для наиболее критичных ИТ-активов, для которых недостаточно внедрения базового набора мер обеспечения информационной безопасности. Определения актуальных уязвимостей и угроз производится путем интервьюирования лиц, ответственных за администрирование и эксплуатацию ИТ-активов. Для остальных ИТ-активов методология CRAMM содержит набор необходимых базовых мер обеспечения информационной безопасности.
  4. Вычисление риска (Risk Calculation). Вычисление риска производится по формуле: Риск = Р (реализации) * Ущерб. При этом вероятность реализации риска вычисляется по формуле: Р (реализации) = Р (угрозы) * Р (уязвимости). На этапе вычисления рисков для каждого ИТ-актива определяются требования к набору мер по обеспечению его информационной безопасности по шкале от «1» до «7», где значению «1» соответствует минимальный необходимый набор мер по обеспечению информационной безопасности, а значению «7» – максимальный.
  5. Управление риском (Risk Management). На основе результатов вычисления риска методология CRAMM определяет необходимый набор мер по обеспечению информационной безопасности. Для этого используется специальный каталог, включающий около 4 тыс. мер. Рекомендованный методологией CRAMM набор мер сравнивается с мерами, которые уже приняты организацией. В результате идентифицируются области, требующие дополнительного внимания в части применения мер защиты, и области с избыточными мерами защиты. Данная информация используется для формирования плана действий по изменению состава применяемых в организации мер защиты — для приведения уровня рисков к необходимому уровню.

С точки зрения практического применения можно выделить следующие достоинства методики CRAMM:

  • Многократно апробированный метод, по которому накоплен значительный опыт и профессиональные компетенции; результаты применения CRAMM признаются международными институтами;
  • Наличие понятного формализованного описания методологии сводит к минимуму возможность возникновения ошибок при реализации процессов анализа и управления рисками;
  • Наличие средств автоматизации анализа рисков позволяет минимизировать трудозатраты и время выполнения мероприятий по анализу и управлению рисками;
  • Каталоги угроз, уязвимостей, последствий, мер обеспечения информационной безопасности упрощают требования к специальным знаниям и компетентности непосредственных исполнителей мероприятий по анализу и управлению рисками.

При этом методике CRAMM присущи следующие недостатки:

  • Высокая сложность и трудоемкость сбора исходных данных, требующая привлечения значительных ресурсов внутри организации или извне;
  • Большие затраты ресурсов и времени на реализацию процессов анализа и управления рисками информационной безопасности;
  • Вовлеченность большого количества заинтересованных лиц требует значительных затрат на организацию совместной работы, коммуникаций внутри проектной команды и согласование результатов;
  • Невозможность оценить риски в деньгах затрудняет использование результатов оценки рисков ИБ при технико-экономическом обосновании инвестиций, необходимых для внедрения средств и методов защиты информации.

CRAMM широко применяется как в правительственных, так и в коммерческих организациях по всему миру, являясь фактически стандартом управления рисками информационной безопасности в Великобритании. Методика может быть успешно применена в крупных организациях, ориентированных на международное взаимодействие и соответствие международным стандартам управления, осуществляющих первоначальное внедрение процессов управления рисками информационной безопасности для покрытия ими всей организации сразу. При этом организации должны иметь возможность выделения значительных ресурсов и времени для применения CRAMM.

Обзор методологии COBIT for Risk

Методология COBIT for Risk разработана ассоциацией ISACA (Information Systems Audit and Control Association) в 2013 году и базируется на лучших практиках управления рисками (COSO ERM, ISO 31000, ISO\IEC 27xxx и др.). Методология рассматривает риски информационной безопасности применительно к рискам основной деятельности организации, описывает подходы к реализации функции управления рисками информационной безопасности в организации и к процессам качественного анализа рисков информационной безопасности и управления ими.

    При реализации функции и процесса управления рисками в организации методология выделяет следующие компоненты, влияющие как на риски информационной безопасности, так и на процесс управления ими:

    • Принципы, политики, процедуры организации;
    • Процессы;
    • Организационная структура;
    • Корпоративная культура, этика и правила поведения;
    • Информация;
    • ИТ-сервисы, ИТ-инфраструктура и приложения;
    • Люди, их опыт и компетенции.

    В части организации функции управления рисками информационной безопасности методология определяет и описывает требования к следующим компонентам:

    • Необходимый процесс;
    • Информационные потоки;
    • Организационная структура;
    • Люди и компетенции.

    Основным элементом анализа и управления рисками информационной безопасности в соответствии с методологией являются рисковые сценарии. Каждый сценарий представляет собой «описание события, которое в случае возникновения, может привести к неопределенному (позитивному или негативному) воздействию на достижение целей организации». Методология содержит более 100 рисковых сценариев, охватывающих следующие категории воздействия:

    • Создание и обслуживание портфелей ИТ-проектов;
    • Управление жизненным циклом программы / проекта;
    • Инвестиции в ИТ;
    • Экспертиза и навыки персонала ИТ;
    • Операции с персоналом;
    • Информация;
    • Архитектура;
    • ИТ-инфраструктура;
    • Программное обеспечение;
    • Неэффективное использование ИТ;
    • Выбор и управление поставщиками ИТ;
    • Соответствие нормативным требованиям;
    • Геополитика;
    • Кража элементов инфраструктуры;
    • Вредоносное программное обеспечение;
    • Логические атаки;
    • Техногенное воздействие;
    • Окружающая среда;
    • Природные явления;
    • Инновации.

    Для каждого рискового сценария в методологии определена степень его принадлежности к каждому типу рисков:

    • Стратегические риски – риски, связанные с упущенными возможностями использования ИТ для развития и повышения эффективности основной деятельности организации;
    • Проектные риски – риски, связанные с влиянием ИТ на создание или развитие существующих процессов организации;
    • Риски управления ИТ и предоставления ИТ-сервисов – риски, связанные с обеспечением доступности, стабильности и предоставления пользователям ИТ-сервисов с необходимым уровнем качества, проблемы с которыми могут привести к ущербу для основной деятельности организации.

    Каждый рисковый сценарий содержит следующую информацию:

    • Тип источника угрозы — внутренний/внешний.
    • Тип угрозы — злонамеренное действия, природное явление, ошибка и др.
    • Описание события — доступ к информации, уничтожение, внесение изменений, раскрытие информации, кража и др.
    • Типы активов (компонентов) организации, на которые влияет событие — люди, процессы, ИТ-инфраструктура и др.
    • Время события.

    В случае реализации рискового сценария деятельности организации причиняется ущерб. Таким образом, при анализе рисков информационной безопасности в соответствии с методологией COBIT for Risk, производится выявление актуальных для организации рисковых сценариев и мер снижения рисков, направленных на уменьшение вероятности реализации этих сценариев. Для каждого из выявленных рисков проводится анализ его соответствия риск-аппетиту организации с последующим принятием одного из следующих решений:

    • Избегание риска;
    • Принятие риска;
    • Передача риска;
    • Снижение риска.

    Дальнейшее управление рисками осуществляется путем анализа остаточного уровня рисков и принятия решения о необходимости реализации дополнительных мер снижения рисков. Методология содержит рекомендации по внедрению мер снижения рисков применительно к каждому из типов компонентов организации.

    С точки зрения практического применения можно выделить следующие достоинства методологии СOBIT for Risk:

    • Связь с общей библиотекой COBIT и возможность использовать подходы и «ИТ-контроли» (мер по снижению рисков) из смежных областей, позволяющие рассматривать риски информационной безопасности и меры по их снижению применительно к воздействию рисков на бизнес-процессы организации;
    • Многократно апробированный метод, по которому накоплены значительный опыт и профессиональные компетенции, и результаты которого признаются международными институтами;
    • Наличие понятного формализованного описания методологии позволяет свести к минимуму ошибки при реализации процессов анализа и управления рисками;
    • Каталоги рисковых сценариев и «ИТ-контролей» позволяют упростить требования к специальным знаниям и компетентности непосредственных исполнителей мероприятий по анализу и управлению рисками;
    • Возможность использования методологии при проведении аудитов позволяет снизить трудозатраты и необходимое время для интерпретации результатов внешних и внутренних аудитов.

    При этом методологии СOBIT for Risk присущи следующие недостатки и ограничения:

    • Высокая сложность и трудоемкость сбора исходных данных требует привлечения значительных ресурсов или внутри организации, или извне;
    • Вовлеченность большого количества заинтересованных лиц требует значительных затрат на организацию совместной работы, выделения времени вовлеченных лиц на коммуникации внутри проектной команды и согласование результатов со всеми заинтересованными лицами;
    • Отсутствие возможности оценки рисков в деньгах затрудняет использование результатов оценки рисков информационной безопасности при обосновании инвестиций, необходимых для внедрения средств и методов защиты информации.

    Данный метод применяется как в правительственных, так и в коммерческих организациях по всему миру. Метод является наиболее подходящим для крупных технологических организаций или организаций с высокой степенью зависимости основной деятельности от информационных технологий, для тех, кто уже используют (или планируют использовать) стандарты и методики COBIT для управления информационными технологиями и имеют необходимые для этого ресурсы и компетенции. В этом случае возможна эффективная интеграция процессов управления рисками информационной безопасности и процессов общего управления ИТ и достижение синергетического эффекта, который позволит оптимизировать затраты на реализацию процессов анализа и управления рисками информационной безопасности.

Анализ информационной безопасности предприятия

Размещено на http://www.allbest.ru/

18

Введение

1. Аналитическая часть

1.1 Технико-экономическая характеристика предметной области и предприятия(Установление границ рассмотрения)

1.1.1 Общая характеристика предметной области

1.1.2 Организационно-функциональная структура предприятия

1.2 Анализ рисков информационной безопасности

1.2.1 Идентификация и оценка информационных активов

1.2.2 Оценка уязвимостей активов

1.2.3 Оценка угроз активам

2. Проектная часть

2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия

2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

Введение

Цель данной преддипломной практики заключается в изучении аспектов защиты информации на предприятии ООО «FACILICOM».

Поставленная цель предопределила постановку и решение ряда взаимосвязанных задач:

· изучение предметной области и выявление недостатков в существующей системе обеспечения информационной безопасности и защите информации на примере организации ООО «FACILICOM»

· разработку постановки задачи на автоматизирование защиты персональных данных и коммерческой информации, а так же анализ рисков на предприятии ООО «FACILICOM»

· обоснование выбора основных проектных решений;

· разработку автоматизации обеспечивающих подсистем для защиты и шифрования данных;

· обоснование экономической эффективности проекта.

Данная дипломная работа состоит из трех частей.

В первой части отражена аналитическая часть проекта, в которой представлены технико-экономическая характеристика ООО «FACILICOM» и существующего на предприятии процесс анализа рисков и защиты персональных данных и коммерческой информации; характеристика комплекса задач, требующих решения, и обоснование необходимости автоматизации описанного процесса в ООО «FACILICOM»; анализ существующих разработок, обоснование проектных решений и выбор стратегии анализа рисков ООО «FACILICOM» и защите информации.

Вторая часть работы содержит непосредственно проектную часть, которая состоит из разработки проекта автоматизации защиты информации и анализ рисков ООО «Фасиликом», информационного и программного обеспечения автоматизации описанного процесса, а также описания контрольного примера реализации проекта.

И, наконец, третья часть дипломной работы представляет собой обоснование экономической эффективности проекта, где описываются выбор методик расчёта, а также представляется математический расчёт показателей экономической эффективности защиты информации и анализ рисков ООО «FACILICOM».

1.1 Технико-экономическая характеристика предметной области и предприятия(Установление границ рассмотрения)

1.1.1 Общая характеристика предметной области

Группа Компаний FACILICOM — работает на российском рынке с 1994 года. За 20 лет деятельности заняли лидирующие позиции в сфере предоставления профессиональных услуг по управлению и обслуживанию различных объектов недвижимости. Под управлением находится более 30 млн. м2. Обслуживаемые объекты располагаются более чем в 300 населенных пунктах в различных регионах России, а также крупных городах Белоруссии и Украины. Широкая география охвата вместе с большим опытом, современной техническо-ресурсной базой и большим количеством собственных наработок позволяют FACILICOM принимать на управление объекты с любым расположением и масштабом.

Основой нашей работы является сервисный подход: выстраивание долгосрочных партнерских взаимоотношений с клиентом, сопровождение и решение всех задач, возникающих на протяжении всего жизненного цикла сотрудничества. Это подход, которого клиенты сегодня ожидают от лидеров рынка, и у нас есть все возможности для соответствия этим ожиданиям.

«Ценность, которую мы предоставляем нашим клиентам — возможность сфокусироваться на основной бизнес-задаче, не тратя ресурсы на вспомогательные процессы»

Широкий спектр услуг компании позволяет нам предоставлять необходимые сервисы компаниям любого масштаба: от стартапов, среднего и малого бизнеса до структур федерального масштаба. Клиентами «FACILICOM» являются компании из различных отраслей и сфер экономики, в числе которых:

· Государственный сектор

· Телекоммуникационные компании

· Финансовый сектор

· Производство

· Транспорт и логистика

Так же «Альфа-Банк», доверивший Компании недвижимость своей федеральной сети, расположенную в более чем 75 регионах.

В компании работают более 350 инженеров, 300 консультантов, 200 аналитиков. Высокую квалификацию специалистов подтверждают более 1400 сертификатов, в том числе — уникальных для России. Мы выполняем проекты любого масштаба в области недвижимости.

Компания FACILICOM предлагает различные схемы обслуживания объектов, что позволяющая каждому Клиенту подбирать оптимальный вариант сотрудничества, максимально соответствующий его текущим потребностям и возможностям. Все работы выполняются преимущественно силами подразделений нашей Компании, что обеспечивает высокое качество услуг и соблюдение единых стандартов на всех объектах, независимо от их локализации.

Система автоматизированного контроля и постоянное внедрение инновационных решений позволяют компании FACILICOM добиваться лучшего результата, соответствующего международным стандартам. Созданное собственными силами программное обеспечение FACILICOM-24 гарантирует прозрачность и удобство взаимодействия Клиента со службами компании.

Также заказчику предоставляются прекрасные возможности для контроля затрат и оптимизации расходов при сохранении высокого качества обслуживания, большого выбора услуг и индивидуального подхода при решении различных вопросов.

1.1.2 Организационно-функциональная структура предприятия

Организационная структура управления ООО «FACILICOM» представлена на рис. 1.

Под организационной структурой предприятия понимаются состав, соподчиненность, взаимодействие и распределение работ по подразделениям и органам управления, между которыми устанавливаются определенные отношения по поводу реализации властных полномочий, потоков команд и информации.

Различают несколько типов организационных структур: линейные, функциональные, линейно-функциональные, дивизиональные, адаптивные.

Организационная структура фирмы соответствует линейному типу.

Линейная структура характеризуется тем, что во главе каждого подразделения стоит руководитель, сосредоточивший в своих руках все функции управления и осуществляющий единоличное руководство подчиненными ему работниками. Его решения, передаваемые по цепочке «сверху вниз», обязательны для выполнения нижестоящими звеньями. Он, в свою очередь, подчинен вышестоящему руководителю.

Размещено на http://www.allbest.ru/

18

Рис. 1 Организационная структура управления ООО «FACILICOM»

Организационная структура, построенная в соответствии с этими принципами, получила название иерархической или бюрократической структуры.

Отдел бухгалтерии: расчёт зарплат, различных выплат, свод баланса, контроль соответствия деятельности утверждённым нормам, нормативам и сметам.

Коммерческий отдел: поиск и взаимодействие с клиентами, участие в тендерах, составление и подписание договоров, технических заданий, встречи с поставщиками, закупка оборудования;

Отдел информационных технологий: поддержка IT инфраструктуры компании, сопровождение программного обеспечения, мелкий ремонт ПК и периферии, закупка техники для офиса и удаленных объектов.

Функции отдела информационных технологий и ПО:

· Конфигурация операционных систем на серверах, а также поддерживание рабочего состояния программного обеспечения серверов.

· Контроль установки программного обеспечения на серверы и рабочие станции.

· Обеспечение интегрирования программного обеспечения на файл-серверах, серверах систем управления базами данных и на рабочих станциях.

· Осуществление планирования информационных ресурсов и контроль использования сетевых ресурсов.

· Контроль обмена информацией локальной сети с внешними организациями по телекоммуникационным каналам. Обеспичение доступа пользователей системы к локальной (INTRANET) и глобальной (INTERNET) сетям.

· Обеспечение бесперебойного функционирования системы и принятие оперативных мер по устранению возникающих в процессе работы нарушений. Устранение нарушения работы сервисов.

· Регистрация пользователей, назначение идентификаторов и паролей.

· Установление ограничений для пользователей по:

o а) использованию рабочей станции или сервера;

o б) времени;

o в) степени использования ресурсов.

· Выявление ошибок пользователей и сетевого программного обеспечения и восстановление работоспособность системы.

· Обучение пользователей работе в информационной системе предприятия.

· Обеспечение безопасность работы в системе:

· Принимать меры для сетевой безопасности (защита от несанкционированного доступа к информации, просмотра или изменения системных файлов и данных), а также безопасности межсетевого взаимодействия.

· Производить своевременное копирование и резервирование данных.

· Выполнять регулярную проверку на наличие компьютерных вирусов в системе.

· Участвовать в решении задач технического обслуживания при выявлении неисправностей сетевого оборудования, а также в восстановлении работоспособности системы при сбоях и выходе из строя сетевого оборудования.

· Осуществлять контроль монтажа сетевого оборудования специалистами сторонних организаций.

· Осуществлять мониторинг компьютерной сети, разрабатывает предложения по развитию инфраструктуры сети.

· Осуществлять контроль соблюдения порядка работы в информационной сети и стандартов в области информационных технологий.

· Организовывать и устанавливать новые или оптимизировать рабочие места пользователей.

Таким образом, в настоящее время обеспечение информационной безопасности предприятия является функцией IT-отдела.

Процесс анализа рисков включает в себя определение того, что следует защищать, от чего защищать и как это делать. Необходимо рассмотреть все возможные риски и ранжировать их в зависимости от потенциального размера ущерба. Этот процесс состоит из множества экономических решений. Давно замечено, что затраты на защиту не должны превышать стоимости защищаемого объекта.

Анализ рисков в области ИБ может быть качественным и количественным. Количественный анализ точнее, он позволяет получить конкретные значения рисков, но он отнимает заметно больше времени, что не всегда оправданно. Чаще всего бывает достаточно быстрого качественного анализа, задача которого — распределение факторов риска по группам. Шкала качественного анализа может различаться в разных методах оценки, но всё сводится к тому, чтобы выявить самые серьезные угрозы.

В задачи сотрудников подразделений ИБ входит оповещение руководства предприятий о существующих и потенциальных угрозах. Отчеты должны сопровождаться фактами, цифрами, аналитическими выкладками. Это наиболее эффективный способ довести информацию до глав организаций.

Качественный анализ

Существует несколько моделей качественного анализа. Все они достаточно просты. Варианты различаются лишь количеством градаций риска. Одна из самых распространенных моделей — трехступенчатая. Каждый фактор оценивается по шкале “низкий — средний — высокий”.

Противники данного способа считают, что трех ступеней для точного разделения рисков недостаточно, и предлагают пятиуровневую модель. Однако это не принципиально, ведь в целом любая модель анализа сводится к простейшему разделению угроз на критические и второстепенные. Трех-, пятиуровневые и прочие модели используются для наглядности.

При работе с моделями с большим числом градаций, например с пятью, у аналитиков могут возникнуть затруднения — отнести риск к пятой или к четвертой группе. Качественный анализ допускает подобные “ошибки”, поскольку является саморегулирующимся. Не критично, если первоначально риск необоснованно отнесли к четвертой категорию вместо пятой. Качественный метод позволяет проводить анализ за считанные минуты. Предполагается, что такая оценка рисков будет осуществляться регулярно. И уже на следующем шаге категории будут переназначены, фактор перейдет в пятую группу. Поэтому качественный анализ также называется итерационным методом.

Количественный анализ

Количественный метод требует значительно больше времени, так как каждому фактору риска присваивается конкретное значение. Результаты количественного анализа могут быть более полезны для бизнес-планирования. Однако в большинстве случаев дополнительная точность не требуется или просто не стоит лишних усилий. Например, если для оценки фактора риска надо потратить четыре месяца, а решение проблемы займет только два, ресурсы используются неэффективно.

Также следует учитывать, что многие организации постоянно развиваются, изменяются. И за то время, что выполняется анализ, фактические значения рисков окажутся другими.

Перечисленные факторы говорят в пользу качественного анализа. Кроме того, эксперты считают, что, несмотря на всю свою простоту, качественный метод является весьма эффективным инструментом анализа.

Главной целью деятельности в области информационной безопасности является обеспечение доступности, целостности и конфиденциальности каждого информационного актива. При анализе угроз следует принимать во внимание их воздействие на активы по трем названным направлениям. Необходимым и существенным этапом в анализе рисков является оценка уязвимостей активов, которая и была проведена в данной дипломной работе. Решение о проведении оценки уязвимостей принимает ответственный за информационную безопасность ООО «Facilicom» начальник отдела информационных технологий и ПО.

Оценка уязвимостей активов в компании, как правило, проводится совместно с анализом рисков ИБ, т.е. с периодичностью 2 раза в год. Отдельная оценка уязвимостей не проводится. Её проводят назначенные сотрудники по распоряжению начальника отдела информационных технологий и ПО. информационный безопасность актив фонд

Оценка уязвимостей активов представляется в форме электронного документа. Документ называется «Оценка уязвимостей информационных активов ООО «Facilicom» на момент 2005 года» с указанием времени проведения анализа.

1.2.1 Идентификация и оценка информационных активов

Один из этапов анализа рисков состоит в идентификации всех объектов, нуждающихся в защите. Некоторые активы (например, коммуникационное оборудование) идентифицируются очевидным образом. Про другие (например, про людей, использующих информационные системы) нередко забывают. Необходимо принять во внимание все, что может пострадать от нарушений режима безопасности.

Может быть использована следующая классификация активов:

· Аппаратура: процессоры, модули, клавиатуры, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы, мосты, маршрутизаторы;

· Программное обеспечение: исходные тексты, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные программы;

· Данные: обрабатываемые, непосредственно доступные, архивированные, сохраненные в виде резервной копии, регистрационные журналы, базы данных, данные, передаваемые по коммуникационным линиям;

· Люди: пользователи, обслуживающий персонал.

Результаты оценки информационных активов сведены в таблицу 2.

22

Таблица Оценка информационных активов предприятия ООО «Facilicom»

Вид деятельности

Наименование актива

Форма представления

Владелец актива

Критерии определения стоимости

Размерность оценки

Качественная

Информационные активы

1. Коммерческая деятельность

Отчеты о деятельность подразделений

Электронная

Коммерческий директор

Ущерб от потери коммерческой информации

очень высокая

2. Все виды деятельности

Сервер БД электронных писем

Электронная

Департамент ИТ

Ущерб от потери информации в электронной почте

очень высокая

3. Основная

деятельность

Сервер БД с информацией о клиентах

Бумажный и электронный документ

Секретарь

Первоначальная стоимость

очень высокая

4. Работа с персоналом

Договора, контракты

Бумажный и электронный документ

Отдел кадров

Первоначальная стоимость

высокая

5.Общее руководство администрацией и оперативно-хозяйственной деятельностью предприятия

Приказы, распоряжения

Бумажный и электронный документ

Генеральный директор

Первоначальная стоимость

очень высокая

6. Бухгалтерский учет

База данных бухгалтерии

1С предприятие

Департамент бухучета и ценообразования

Первоначальная стоимость

Очень высокая

Физические активы

1.Все виды деятельности

Сервер с базой электронных писем

Электронная

Департамент ИТ

Ущерб от потери информации в электронной почте

очень высокая

2. Основная деятельность

Здания сооружения, материалы

Здания, сооружения, транспортные средства, материалы

Департамент развития

Основные средства

Высокая

3.Заключение договоров на оказание услуг

Договора, контракты

Бумажный и электронный документ

Генеральный директор

Конечная стоимость

Высокая

В таблице 3 представлены результаты ранжирования информационных активов ООО «Facilicom»

Таблица Результаты ранжирования активов ООО «Facilicom»

Наименование актива

Ценность актива (ранг)

Сервер БД с информацией о клиентах

Сервер с базой электронных писем;

База данных ДО

Приказы, распоряжения Генерального директора

База данных бухгалтерии

Отчеты о деятельность подразделений

Договора, контракты

Работа с персоналом

Здания сооружения, материалы

Таким образом, активы, имеющие наибольшую ценность и подлежащие защите, следующие:

1. Сервер БД с информацией о клиентах и писем;

2. База данных ДО;

3. Приказы, распоряжения Генерального директора;

4. База данных бухгалтерии.

В дальнейшем именно для этих активов проводилась оценка уязвимостей, угроз и рисков информационной безопасности.

1.2.2 Оценка уязвимостей активов

Оценка уязвимости может быть выполнена по отношению ко многим объектам, не только компьютерным системам/сетям. Например, физические здания могут быть подвергнуты оценке, по результатам которой будет понятно, какие части здания имеют изъяны. Если взломщик может обойти охранника у парадной двери и проникнуть внутрь здания через заднюю дверь — это, определённо, уязвимость. Если он на самом деле сделает это — это эксплойт. Физическая безопасность — один из наиболее важных аспектов, которым нужно придавать значение. Поскольку если сервер украден, атакующему не нужно обходить IDS (система обнаружения вторжений), не нужно обходить IPS (система предотвращения вторжений), не нужно думать над способом, с помощью которого можно передать 10 ТБ данных, — они уже здесь, на сервере. Полное шифрование диска может помочь, но обычно его не используют на серверах.

В качестве объектов защиты выступают следующие виды информационных ресурсов предприятия:

· информация (данные, телефонные переговоры и факсы) передаваемая по каналам связи;

· информация, хранимая в базах данных, на файловых серверах и рабочих станциях, на серверах каталогов, в почтовых ящиках пользователей корпоративной сети и т.п.;

· конфигурационная информация и протоколы работы сетевых устройств, программных систем и комплексов.

Размещено на http://www.allbest.ru/

В таблице 4 представлено сопоставление физических угроз и уязвимости активов.

Таблица Сопоставление физических угроз и уязвимостей автоматизированной системы ООО «Facilicom»

УГРОЗЫ АРМ

УЯЗВИМОСТИ АРМ

1). Физический доступ нарушителя к АРМ

1). Отсутствие системы контроля доступа сотрудников к чужим АРМ

2). Отсутствие системы видеонаблюдения в организации

3). Несогласованность в системе охраны периметра

2). Разглашение конфиденциальной информации, хранящейся на рабочем месте сотрудника организации

1). Отсутствия соглашения о неразглашении между работником и работодателем

2). Нечеткая регламентация ответственности сотрудников организации

2. УГРОЗЫ СЕРВЕРОВ

2. УЯЗВИМОСТИ СЕРВЕРОВ

1). Физический неавторизованный доступ нарушителя в серверную комнату

1). Неорганизованный контрольно-пропускной режим в организации

2). Отсутствие видеонаблюдения в серверной комнате

3). Отсутствие охранной сигнализации

2). Разглашение конфиденциальной информации

1). Отсутствие соглашения о нераспространении конфиденциальной информации

2). Нечеткая регламентация ответственности сотрудников организации

3. УГРОЗЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

3. УЯЗВИМОСТИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

1). Физический доступ нарушителя к носителям с конфиденциальной информации

1). Неорганизованность контрольно-пропускного пункта

2). Отсутствие системы видеонаблюдения в организации

3). Отсутствие системы охранной сигнализации

2). Разглашение конфиденциальной информации, в документах, вынос носителей за пределы контролируемой зоны

1). Отсутствие соглашения о неразглашении конфиденциальной информации

2). Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками организации

3).Несанкционированное копирование, печать и размножение носителей конфиденциальной информации

1).Нечеткая организация конфиденциального документооборота в организации

2). Неконтролируемый доступ сотрудников к копировальной и множительной технике

4. Угрозы сетевых устройств и коммутационного оборудования

4. Уязвимости сетевых устройств и коммутационного оборудования

1). Физический доступ к сетевому устройству

1). Неорганизованный контрольно-пропускной режим в организации

2). Отсутствие системы видеонаблюдения в организации

3). Несогласованность в системе охраны периметра

4). Нечеткая регламентация ответственности сотрудников предприятия

2). Разрушение (повреждение, утрата) сетевых устройств и коммутационного оборудования

1). Отсутствие ограничения доступа к сетевым устройствам и коммутационному оборудованию, внутренней сети предприятия

2). Нечеткая регламентация ответственности сотрудников предприятия

В таблице 5 представлены результаты оценки уязвимости активов.

Таблица Результаты оценки уязвимости информационных активов ООО «Facilicom»

Группа уязвимостей

Отчеты о деятельность подразделений

Сервер с базой электронных писем

База данных бухгалтерии

Сервер БД с информацией о клиентах

1. Среда и инфраструктура

Отсутствие системы контроля доступа сотрудников к чужим АРМ.

низкая

средняя

низкая

средняя

Отсутствие системы видеонаблюдения в организации.

средняя

высокая

средняя

высокая

Несогласованность в системе охраны периметра.

средняя

средняя

средняя

средняя

Отсутствия соглашения о неразглашении между работником и работодателем.

Нечеткая регламентация ответственности сотрудников организации.

высокая

высокая

высокая

высокая

средняя

средняя

высокая

высокая

2. Аппаратное обеспечение

Неорганизованный контрольно-пропускной режим в организации.

среднее

высокая

средняя

высокая

Отсутствие видеонаблюдения в серверной комнате.

низкая

средняя

низкая

средняя

Отсутствие охранной сигнализации.

низкая

средняя

низкая

средняя

Отсутствие соглашения о нераспространении конфиденциальной информации.

высокая

среднее

высокая

среднее

Нечеткая регламентация ответственности сотрудников организации.

средняя

средняя

средняя

средняя

3. Программное обеспечение

Неорганизованность контрольно-пропускного пункта.

Отсутствие системы видеонаблюдения в организации.

низкая

низкая

низкая

низкая

средняя

низкая

средняя

низкая

Отсутствие системы охранной сигнализации.

низкая

низкая

низкая

низкая

Отсутствие соглашения о неразглашении конфиденциальной информации.

низкая

низкая

низкая

низкая

Нечеткое распределение ответственности за

документы (носители конфиденциальной информации) между сотрудниками организации.

средняя

низкая

средняя

низкая

Нечеткая организация конфиденциального документооборота в организации.

средняя

низкая

средняя

низкая

Неконтролируемый доступ сотрудников к копировальной и множительной технике

средняя

низкая

средняя

низкая

4. Коммуникации

Неорганизованный контрольно-пропускной режим в организации.

Отсутствие системы видеонаблюдения в организации.

высокая

средняя

высокая

средняя

средняя

высокая

средняя

высокая

Несогласованность в системе охраны периметра.

высокая

средняя

высокая

средняя

Нечеткая регламентация ответственности сотрудников предприятия.

средняя

высокая

средняя

высокая

Отсутствие ограничения доступа к сетевым устройствам и коммутационному оборудованию, внутренней сети предприятия.

средняя

средняя

средняя

средняя

1.2.3 Оценка угроз активам

Рассмотрим перечень возможных угроз для информации и активов:

Группа угроз

Риски ИБ

#Информационная безопасность 1

Риск информационной безопасности — это вероятность возникновения негативного события, которое нанесет ущерб организации или физическому лицу. Применительно к сфере информационной безопасности (ИБ) выделяют следующие последствия:

  • Утечка конфиденциальных данных в организации
  • Внешние атаки на информационные системы компании
  • Действия неблагонадежных сотрудников (человеческий фактор)
  • Доступ к потенциально опасным объектам во внешней сети
  • Получение информации при помощи технических средств
  • Вредоносное ПО (трояны, бэкдоры, блокировщики, шифраторы и т. д.)
  • Использование нелицензионных программных решений, зачастую содержащие не декларируемые возможности

Аудит информационной безопасности

Утечка данных в большинстве случаев связана с непониманием сотрудников возможных последствий при нарушении правил ИБ. Пример: рассылка коммерческой информации через незащищенный канал связи. Сетевые атаки, как правило, проводятся с целью воровства коммерческой тайны, шпионажа за конкурентами, вывода из строя критически важных для жертвы ресурсов и пр.

Человеческий фактор включает в себя не только ошибки сотрудников, но и умышленные действия, которые приводят к распространению конфиденциальной информации.

К опасным объектам относятся сайты, содержащие фишинговые скрипты, зловредное ПО или другие средства, которые нарушают информационную безопасность физического или юридического лица. К примеру, сотрудник зашел на веб-ресурс, созданный мошенниками, и оставил аутентификационные данные, которые в дальнейшем будут использоваться для шантажа.

Один из самых опасных типов вирусного ПО — шифровальщики. Они, например, могут зашифровать все важные служебные данные на компьютерах сотрудников. За дешифровку злоумышленники обычно требуют выкуп. Далеко не все антивирусные продукты способны обнаружить шифровальщика и тем более расшифровать зараженный файлы.

Инциденты ИБ могут сильно повредить бюджету и репутации компании, вплоть до банкротства. Для того, чтобы минимизировать вероятность инцидентов, проводится комплекс превентивных мероприятий, направленных на снижение рисков — аудит ИБ.

Аудит подразумевает анализ текущей ситуации в компании и выявление уязвимостей в ИТ-инфраструктуре. Разрабатывается концепция информационной безопасности объекта. Она включает в себя нормативные документы, политику информационной безопасности, а также приоритезацию рисков. Для повышения уровня ИБ применяют организационные и технические средства.

Следующий перечень содержит некоторые примеры угроз и уязвимостей, связанных с целями и механизмами контроля из ISO/IEC 27002:2005. Этот перечень не является исчерпывающим и должен рассматриваться только в качестве примера, однако его более чем достаточно для проведения высокоуровневой оценки рисков.

Один из наиболее важных принципов заключается в том, что организация должна самостоятельно выбрать подходы к оценке и управлению рисками, которые должным образом учитывают и идентифицируют полный диапазон угроз и уязвимостей, имеющих отношение к ее бизнес-окружению и могут включать все или часть угроз и уязвимостей, приведенных в следующем перечне.

Физические угрозы

  • Физический несанкционированный доступ в помещения организации, в кабинеты и серверные комнаты, к оборудованию, бумажным документам, запоминающим устройствам, носителям информации и т.п.

  • Кража или повреждение компьютерного оборудования и носителей информации инсайдерами.

  • Кража или повреждение компьютерного оборудования и носителей информации внешними злоумышленниками.

  • Постороннее лицо может получить физический доступ к комплексу средств защиты с целью переконфигурирования либо создания возможности обхода средств защиты.

  • Кража бумажных документов инсайдерами.

  • Кража бумажных документов внешними злоумышленниками.

Нецелевое использование компьютерного оборудования и сети Интернет сотрудниками организации

  • Злоупотребление средствами аудита.

  • Злоупотребление средствами обработки информации.

  • Злоупотребление ресурсами или активами.

  • Несанкционированное использование программного обеспечения.

  • Использование сетевых средств несанкционированным образом.

  • Неосторожное или умышленное злоупотребление оборудованием по причине отсутствия разделения обязанностей или их неисполнения.

Угрозы утечки конфиденциальной информации

  • Утечка конфиденциальной информации из сети по каналам связи (e-mail, web, chat/IM и т.п.).

  • Утечка конфиденциальной информации на мобильных устройствах, носителях информации, ноутбуках и т.п.

  • Прослушивание внешних каналов связи злоумышленниками.

  • Нарушение конфиденциальности данных, передаваемых по линиям связи, проходящим вне контролируемой зоны, осуществляемого внешними нарушителями путем пассивного прослушивания каналов связи (подключение к каналам связи и перехват информации возможен во многих местах).

  • Нарушение конфиденциальности данных, передаваемых по линиям связи, проходящим внутри контролируемой зоны, осуществляемого внутренними нарушителями путем пассивного прослушивания каналов связи с использованием специализированных программных средств («снифферов»).

  • Аутентификационная информация или конфиденциальные данные могут быть модифицированы либо перехвачены вследствие активного или пассивного прослушивания в системе внешних коммуникаций либо во внутренней сети.

  • Перехват информации на линиях связи путем использования различных видов анализаторов сетевого трафика.

  • Замена, вставка, удаление или изменение данных пользователей в информационном потоке.

  • Перехват информации, например пользовательских паролей, передаваемой по каналам связи, с целью ее последующего использования для обхода средств сетевой аутентификации.

  • Статистический анализ сетевого трафика (например, наличие или отсутствие определенной информации, частота передачи, направление, типы данных и т.п.

  • Неумышленное раскрытие конфиденциальной информации сотрудниками компании.

  • Несанкционированное раскрытие информации о местонахождении площадок/зданий/офисов, содержащих критичные или конфиденциальные средства обработки информации.

  • Раскрытие конфиденциальной информации подрядчиками или партнерами компании.

Угрозы утечки информации по техническим каналам

  • Побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации.

  • Наводки информативного сигнала, обрабатываемого техническими средствами, на провода и линии, выходящие за пределы контролируемой зоны предприятия (учреждения), в том числе на цепи заземления и электропитания.

  • Изменения тока потребления, обусловленные обрабатываемыми техническими средствами информативными сигналами

  • Изменения тока потребления, обусловленные обрабатываемыми техническими средствами, информативными сигналами.

  • Радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств.

  • Электрические сигналы или радиоизлучения, обусловленные воздействием на технические средства высокочастотных сигналов, создаваемых с помощью разведывательной аппаратуры, и модуляцией их информативным сигналом (облучение, «навязывание»).

  • Радиоизлучения или электрические сигналы от внедренных в технические средства и выделенные помещения специальных электронных устройств перехвата информации («закладок»), модулированные информативным сигналом.

  • Радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации.

  • Акустическое излучение информативного речевого сигнала или сигнала, обусловленного функционированием технических средств обработки информации.

  • Электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям передачи информации.

  • Вибрационные сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации выделенных помещений.

  • Просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств.

  • Акустическая разведка, обеспечивающая добывание информации, содержащейся непосредственно в произносимой либо воспроизводимой речи (акустическая речевая разведка), с использованием аппаратуры, регистрирующей акустические (в воздухе) и виброакустические (в упругих средах) волны, а также электромагнитные излучения и электрические сигналы, возникающие за счет акустоэлектрических преобразований в различных технических средствах под воздействием акустических волн.

  • Разведка побочных электромагнитных излучений и наводок электронных средств обработки информации (ПЭМИН), обеспечивающая добывание информации, содержащейся непосредственно в формируемых, передаваемых или отображаемых (телефонных и факсимильных) сообщениях и документах с использованием радиоэлектронной аппаратуры, регистрирующей непреднамеренные прямые электромагнитные излучения и электрические сигналы средств обработки информации, а также вторичные электромагнитные излучения и электрические сигналы, наводимые прямыми электромагнитными излучениями в токопроводящих цепях различных технических устройств и токопроводящих элементах конструкций зданий и сооружений.

  • Телевизионная, фотографическая и визуальная оптическая разведка, обеспечивающая добывание информации, содержащейся в изображениях объектов, получаемых в видимом диапазоне электромагнитных волн с использованием телевизионной аппаратуры.

Угрозы несанкционированного доступа

  • «Маскарад» (присвоение идентификатора пользователя), использование чужих пользовательских идентификаторов, раскрытие паролей и другой аутентификационной информации.

  • Несанкционированный доступ (НСД) к ресурсам ЛВС компании со стороны внутренних злоумышленников.

  • НСД к ресурсам ЛВС компании со стороны внешних злоумышленников.

  • НДС к журналам аудита.

  • НДС к средствам аудита.

  • Внешний нарушитель может выдавать себя за легального пользователя путем подделывания адресов в заголовках сетевых пакетов либо информации канального уровня.

  • Сбои в работе средств защиты могут предоставить возможность реализации попытки НСД для потенциального нарушителя (переход в небезопасное состояние). Кроме того, при восстановлении системы безопасное состояние может быть восстановлено некорректно либо может быть утеряна часть данных аудита.

  • НСД к веб-сайту компании и внешним хостам со стороны внешних злоумышленников.

  • НСД к беспроводной сети компании.

  • НСД к резервным копиях данных.

  • Использование внутренними и внешними нарушителями уязвимых мест в компонентах системы защиты. Нарушители могут случайно или в результате целенаправленного поиска обнаружить уязвимые места в средствах защиты, которыми можно воспользоваться для получения НСД к информации.

  • Использование ошибок проектирования, кодирования либо конфигурации ПО.

  • Анализ и модификация ПО.

  • Использование недекларированных возможностей в ПО, оставленных для отладки либо умышленно внедренных.

  • Внедрение несанкционированного, непроверенного или вредоносного программного кода (вирусов, троянских программ и т.п.).

  • Логические бомбы, пересылаемые по e-mail.

Угрозы недоступности ИТ сервисов и разрушения (утраты) информационных активов

  • Атаки на отказ в обслуживании против внешних хостов компании.

  • Недоступность ИТ сервисов и информации по причине физического или логического сбоя компьютерного или периферийного оборудования (например, электричество, водоснабжение, отопление, вентиляция, кондиционирование и т.п.).

  • Сбой системы кондиционирования воздуха.

  • Запыление.

  • Повреждение носителей информации.

  • Сбой сетевого оборудования.

  • Флуктуации в сети электропитания.

  • Установка непроверенных технических средств или замена вышедших из строя аппаратных компонент на неидентичные компоненты.

  • Недоступность внешних ИТ ресурсов и информации по причине технического сбоя в каналах связи.

  • Сбой коммуникационных сервисов.

  • Физическое повреждение сетевого и каналообразующего оборудования внутренними нарушителями.

  • Физическое повреждение линий связи внешними или внутренними нарушителями.

  • Разрушение данных по причине системного сбоя или ошибки ПО, использование непротестированного ПО.

  • Внедрение несанкционированного или непротестированного кода.

  • Сбой в системах безопасности.

  • Внесение случайных или непреднамеренных изменений в программное обеспечение и средства совместного использования данных в вычислительной среде.

  • Неумышленное разрушение критичной для бизнеса информации (файлов данных, программ, баз данных, конфигурационной информации и т.п.) со стороны инсайдеров.

  • Ущерб, наносимый тестами на проникновение.

  • Потеря (уничтожение) записей.

  • Нарушение безопасности по причине несоблюдения операционных процедур.

  • Нарушение безопасности по причине неточных, неполных или неподходящих планов обеспечения непрерывности, недостаточного тестирования или несвоевременного обновления планов.

  • Умышленное разрушение критичной для бизнеса информации (файлов данных, программ, баз данных, конфигурационной информации и т.п.) со стороны инсайдеров.

  • Умышленное разрушение критичной для бизнеса информации (файлов данных, программ, баз данных, конфигурационной информации и т.п.) со стороны внешних злоумышленников.

  • Уничтожение планов обеспечения непрерывности бизнеса.

  • Умышленная порча ПО и резервных копий внутренними нарушителями.

  • Воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств, средств защиты информации, адресности и своевременности информационного обмена (электромагнитное, через специально внедренные электронные и программные средства («закладки»).

Угрозы нарушения целостности и несанкционированной модификации данных

  • Нарушение целостности данных из-за ошибок пользователей.

  • Нарушение целостности систем и данных, неумышленная модификация системной конфигурации, файлов данных, баз данных, отчетов и т.п. в результате ошибок технического персонала.

  • Ошибка в процессах сопровождения.

  • Ошибка персонала технической поддержки.

  • Изменение конфигурации активного сетевого оборудования.

  • Нарушение целостности систем или данных, несанкционированное изменение системной конфигурации, файлов данных, баз данных, отчетов и т.п. со стороны инсайдеров.

  • Фальсификация записей.

  • Мошенничество.

  • Несанкционированная модификация журналов аудита.

  • Несанкционированная или непреднамеренная модификация.

Угрозы антропогенных и природных катастроф

Юридические угрозы

  • Нарушение прав интеллектуальной собственности.

  • Нелегальное использование программного обеспечения.

  • Несанкционированное использование информационных материалов, являющихся интеллектуальной собственностью.

  • Нарушение патентного права.

  • Нарушение (несоответствие требованиям) законодательства и нормативной базы.

  • Нелегальный импорт/экспорт программного обеспечения.

  • Невыполнение контрактных обязательств.