Нир Виталий. Выпускная квалификационная работа разработка модели оценки рисков информационной безопасности корпоративной сети
Скачать 0.65 Mb.
|
ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА РАЗРАБОТКА МОДЕЛИ ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНОЙ СЕТИ Введение Новые информационные технологии бурными темпами внедряются во все сферы народного хозяйства любой страны. Появление локальных и глобальных сетей передачи данных предоставило пользователям компьютеров новые возможности оперативного обмена информацией. Если до недавнего времени подобные сети создавались только в специфических и узконаправленных целях (университетские сети, сети военных ведомств, спецслужб и т.д.), то развитие Интернета и аналогичных систем привело к использованию глобальных сетей передачи данных в повседневной жизни практически каждого человека. Корпоративная сеть - коммуникационная система, принадлежащая и / или управляемая единой организацией в соответствии с правилами этой организации. Корпоративная сеть состоит из: - серверного оборудования (серверы, сетевые хранилища, ИБП); - коммуникационного оборудования (концентраторы, коммутаторы, маршрутизаторы); - сетевое коммуникационное программное обеспечение для обработки информации; - арендованный канал передачи данных по открытым сетям - Intrnet; - устройства получения, обработки, хранения и передачи информации на основе современных средств, породили множество методов и способов несанкционированного доступа к ней, так и средств защиты этой информации. Средства защиты могут включать комплекс мер по пассивной защите и по активному противостоянию в результате НСД. Эти меры состоят из ряда аппаратных, программных, административно-режимных, правовых и физических мер по обнаружению и нейтрализации воздействия на циркулирующую информацию. Основными требования к корпоративным сетям являются: - надежность - надежность сети является одним из факторов, определяющих непрерывность деятельности организации; - конвергенция - объединение нескольких, бывших ранее раздельными, услуг в рамках одной услуги. Например, Triple Play - объединение телефонии, интернета, телевидения в одном кабельном интернет-подключении. - стабильность предоставляемой услуги - подключение нескольких операторов интернета, телефонии, на случай выхода одного из них из строя; - производительность - рост числа узлов сети и объема обрабатываемых данных предъявляет постоянно возрастающие требования к пропускной способности используемых каналов связи и производительности устройств, образующих ИС; - экономическая эффективность - рост масштаба и сложности корпоративных сетей заставляет заботиться об экономии средств, как на их создание, так и на эксплуатацию и модернизацию; - информационная безопасность - хранение и обработка в сети конфиденциальной информации выводит информационную безопасность в число основных аспектов стабильности и безопасности бизнеса в целом. Информационная безопасность предприятия - это защищенность информации, которой располагает предприятие (производит, передает или принимает) от несанкционированного доступа, разрушения, модификации, раскрытия и задержек при поступлении. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью комплексной информационной безопасности является сохранение информационной системы предприятия в целости и сохранности, защита и гарантирование полноты и точности выдаваемой ею информации, минимизация разрушений и модификация информации, если таковые случаются. Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях, можно разделить на три основных типа: – перехват информации - целостность информации сохраняется, но её конфиденциальность нарушена; – модификация информации - исходное сообщение изменяется либо полностью подменяется другим и отсылается адресату; – подмена авторства информации. Данная проблема может иметь серьёзные последствия. Например, кто-то может послать письмо от вашего имени (этот вид обмана принято называть спуфингом) или Web - сервер может притворяться электронным магазином, принимать заказы, номера кредитных карт, но не высылать никаких товаров [12,13]. Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности. Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности - это оборотная сторона использования информационных технологий. Из этого положения можно вывести два важных следствия: – трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае «пусть лучше все сломается, чем враг узнает хоть один секретный бит», во втором - «да нет у нас никаких секретов, лишь бы все работало». – информационная безопасность не сводится только к защите от несанкционированного доступа к информации, это принципиально более обширное понятие. Субъект информационных отношений может пострадать (понести убытки и / или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте. Выборочная и бессистемная реализация мероприятий, направленных на повышение уровня IT-безопасности, не сможет обеспечить необходимого уровня защиты. Чтобы сформировать понимание приоритетности мероприятий по повышению уровня безопасности, необходимо разработать механизм управления рисками IT-безопасности, что позволит направить все усилия на защиту от наиболее опасных угроз и минимизацию затрат[25]. Проблема современных информационных систем при ведении бизнеса является обеспечение соответствующей безопасности передаваемой информации в пределах КС от подмены, изменения или утраты, как между сотрудниками, так и между средствами обработки. В случае предприятия - это как конфиденциальная, персональная и коммерческая тайна. Актуальность и важность проблемы обеспечения информационной безопасности обусловлена следующими факторами: - увеличение рисков информационной безопасности в связи с появлением новых и изощренных угроз для информационной безопасности; - современные темпы и уровни развития средств информационной безопасности значительно отстают от темпов и уровней развития информационных технологий; - быстрые темпы роста парка персональных компьютеров, применяемых в разнообразных сферах человеческой деятельности из-за увеличения обрабатываемой информации; - резкое расширение сферы пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных; - доступность корпоративной информации через мобильные устройства (ноутбук, КПК, смартфон). - доступность средств персональных ЭВМ, привела к распространению компьютерной грамотности в широких слоях населения. Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственных и коммерческих систем, как со злым умыслом, так и из чисто «спортивного интереса»; - значительное увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации. По оценкам специалистов в настоящее время около 70-90% интеллектуального капитала организации хранится в цифровом виде текстовых файлах, таблицах, базах данных; - стремительное развитие информационных технологий, открыло новые возможности эффективной работы предприятия, однако привело и к появлению новых угроз. Современные программные продукты из-за конкуренции попадают в продажу с ошибками и недоработками. Разработчики, включая в свои изделия всевозможные функции, не успевая выполнить качественную проверку и отладку создаваемых программных систем. Ошибки и недоработки, оставшиеся в этих системах, приводят к случайным и преднамеренным нарушениям информационной безопасности[15]. Анализа рисков позволяет определить, какие мероприятия эффективны для минимизации и предотвращения рисков, а какие нет. На основе анализа эффективности можно корректировать понимание риска, его оценки и требуемых действий. Кроме того, анализ эффективности предоставит возможность увидеть минимизацию параметров уязвимости и ущерб для всех рисков, что в целом усилит режим IT-безопасности. Например, причинами большинства случайных потерь информации являются отказы в работе программно-аппаратных средств, а большинство атак на компьютерные системы основаны на найденных ошибках и недоработках в программном обеспечении, реализованные через exploit коды; - бурное развитие глобальной сети Интернет с ее бесплатными и палатными ресурсами, социальными сетями и проектами, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире. Подобная глобализация позволяет злоумышленникам практически из любой точки земного шара, где есть Интернет, за тысячи километров, осуществлять нападение на корпоративную сеть; - современные методы накопления, обработки и передачи информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям; - проблемы доступа удаленных офисов к головному офису предприятия, зачастую происходит через телефон или электронную почту; - аренда предприятием части городской или части Интернет сети, для объединения отдаленных зданий, филиалов. Это в свою очередь ставит под угрозу сеть организации; - человеческий фактор - инсайдерские угрозы и актуальная угроза сотруднику - социальная инженерия. Которая рассчитана на людей со слабой психикой или через обман, для получения нужной информации для проведения атаки на корпоративную сеть предприятия. |