Разработка модели угроз иб и модели нарушителей иб выбранного объекта

Название	Разработка модели угроз иб и модели нарушителей иб выбранного объекта
Дата	18.05.2022
Размер	26.25 Kb.
Формат файла
Имя файла	razrabotka_modeli_ugroz_ib_i_modeli_narushiteley_ib_vybrannogo_o.doc
Тип	Реферат #537367

Разработка модели угроз ИБ и модели нарушителей ИБ выбранного объекта

Введение

В качестве вступления приведу цитату из Доктрины информационной безопасности Российской Федерации от 5 декабря 2016 года №646: «Возрастают масштабы компьютерной преступности, прежде всего в кредитно-финансовой сфере, увеличивается число преступлений, связанных с нарушением конституционных прав и свобод человека и гражданина, в том числе в части, касающейся неприкосновенности частной жизни, личной и семейной тайны, при обработке персональных данных с использованием информационных технологий. При этом методы, способы и средства совершения таких преступлений становятся все изощреннее». Для подтверждения этой информации приведу официальную статистику, размещенную на сайте Генеральной Прокуратуры РФ : За январь-август 2018 года правоохранительными органами Российской Федерации зарегистрировано 107 980 преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации. Ущерб от преступлений составил 399 482 866 тысяч рублей, что на 43,6% больше аналогичного показателя прошлого года. Актуальность данной курсовой работы обусловлена ростом количества преступлений в сфере компьютерной информации. Финансовый ущерб от кибератак увеличивается с каждым годом. Для противодействия угрозам информационной безопасности организации должны принимать ряд технических и организационных мер. Фундаментальными мерами является разработка модели угроз и модели нарушителя. Модель угроз разрабатывается с целью формирования перечня актуальных угроз для организации. На основе актуальных угроз формируется стратегия защиты предприятия от преступлений в сфере компьютерной информации. Целью курсовой работы является формирование модели угроз и модели нарушителя на основании банка данных угроз ФСТЭК и нормативной документации в сфере защиты информации. В соответствии с целью курсовой работы необходимо решение следующих задач: Проанализировать нормативные документы в области разработки модели нарушителя; Проанализировать Банк Данных угроз ФСТЭК и нормативные документы в области разработки модели угроз; По результатам анализа определить типы нарушителей и актуальные угрозы, которые могут быть реализованы представленными типами нарушителей; Рассчитать количественные критерии актуальных угроз; Проанализировать средства защиты информации, внедрение которых необходимо для противодействия определенным угрозам; В качестве источников были использованы Федеральный закон «О персональных данных» [1] от 27.07.2006 №152-ФЗ, который регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации или без использования таких средств, Постановление Правительства от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [2], в котором установлены требования к защите персональных данных при их обработке в информационных системах персональных данных и уровни защищенности таких данных, Приказ ФСТЭК от 18.02.2013 №21 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [3], устанавливающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных для каждого из уровней защищенности персональных данных, ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения» [4], где указаны стандартизированные термины в области защиты информации, Проект методического документа ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» [5], Банк данных угроз ФСТЭК [6], используемый для формирования модели угроз. Структура данной работы включает введение, основные определения, три главы, заключение, список источников и литературы. Во введении отражается актуальность темы исследования, определяется цель, ставятся задачи. В первой главе разрабатывается модель нарушителя на основании нормативных документов в области защиты информации. Рассматриваются виды и типы нарушителей. Во второй главе для каждого типа нарушителей формируется модель актуальных угроз безопасности для защищаемых корпоративных сетевых сервисов, рассматриваемых в 1-й главе. Для определенных угроз рассчитываются количественные показатели. В третьей главе рассматриваются требования по обеспечению безопасности персональных данных. На основании ПП-1119 [2] производится категорирование уровня защищенности для информационной системы персональных данных. На основании Приказа ФСТЭК №21 [3] определяется перечень мер, необходимых для обеспечения безопасности персональных данных. Заключение содержит выводы по работе в целом. Объектом исследования является проблема обеспечения безопасности конфиденциальной информации, обрабатываемой в информационных системах предприятия. Предметом исследования является разработка организационных и технических мер для обеспечения безопасности конфиденциальной информации (в т.ч. и персональных данных). Разработка организационных и технических мер включает в себя формирование модели угроз и модели нарушителя для рассматриваемых информационных активов. Целью исследования является моделирование системы информационной безопасности. В условиях множества угроз информационной безопасности ни одна организация в мире не имеет какой-либо возможности защититься ото всех видов атак и уязвимостей. Некоторые угрозы информационной безопасности для конкретной организации будут критическими, а некоторые абсолютно неактуальными. Для определения, какие системы безопасности необходимо рассматривать для внедрения, а какие нет, составляется модель угроз и модель нарушителя для конкретной организации. Также производится оценка рисков информационной безопасности на основе модели угроз и определяется величина ущерба. Моделирование систем информационной безопасности производится с целью выбора оптимальных средств защиты информации с экономической точки зрения. Основной целью грамотного моделирования систем информационной безопасности является выбор оптимального комплекса контрмер, позволяющих снизить риски информационной безопасности в организации до приемлемых значений. При этом стоимость внедрения контрмер не должна превышать величину потенциального ущерба, нанесенного организации в результате реализации угроз безопасности. На определение оптимальных контрмер в конкретной организации влияет множество факторов, например: Средняя величина ущерба в результате реализации угроз безопасности Вероятность реализации угроз безопасности Финансовое состояние организации Требования законодательства в сфере защиты информации Количество сотрудников в организации Сфера деятельности предприятия Особенности ИТ-инфраструктуры Уровень автоматизации бизнес-процессов Защищаемые ресурсы В качестве исследуемой организации выберем крупную организацию общей численностью сотрудников более 20 тысяч человек. В корпорацию входит 8 крупных промышленных предприятий в разных регионах Российской Федерации. В организации реализована единая сеть с доменной аутентификацией, с единым адресным пространством. Основной центр обработки данных расположен в головной компании. В организации реализована единая Политика в области информационной безопасности. Общее количество сетевых компьютеров – 8000, по 1000 на каждое предприятие. Общее количество серверов – 80, по 10 на каждое предприятие. К защищаемым ресурсам организации относятся: Сервер приложений на базе Citrix, доступный, в том числе и из сети Интернет Сервер корпоративной электронной почты, доступный, в том числе и из сети Интернет Внутренний файловый сервер организации Иные функциональные серверы организации Конфиденциальные документы на бумажных носителях информации Для построения системы информационной безопасности в выбранной организации, прежде всего, составим модель нарушителя.

Актуальные угрозы безопасности для внешних нарушителей

По результатам проведенного внутреннего аудита определены следующие актуальные угрозы информационной безопасности защищаемых ресурсов со стороны внешних нарушителей:
Получение несанкционированного доступа к серверу приложений Citrix с последующим копированием защищаемой информации
Блокирование или уничтожение информации на сервере приложений Citrix
Нарушение доступности сервера приложений Citrix
Получение несанкционированного доступа к серверу корпоративной почты с последующим копированием массива электронных сообщений
Блокирование или уничтожение информации на почтовом сервере
Блокирование или уничтожение информации на файловом сервере
Перехват или подбор пароля от учетной записи системного администратора или администратора безопасности с последующим несанкционированным доступом на все сетевые сервисы организации
Обозначим их аналогично: Угроза №1, …, Угроза №7. Внешний нарушитель, в отличии от внутреннего, не имеет авторизованного доступа к сетевым ресурсам компании. Для получения данного доступа злоумышленник должен выявить уязвимости на защищаемых ресурсах, либо получить учетные данные или информацию методом социальной инженерии. С учетом модели нарушителя определены следующие конкретные методы, по которым внешний нарушитель сможет получить доступ к защищаемым ресурсам:
Сканирование ресурсов компании, доступных из сети Интернет программой поиска уязвимостей
Несанкционированное подключение к сети Wi-Fi организации
Размещение на веб-сайте компании вредоносного кода
Подкуп или шантаж работника организации
Массовая рассылка вредоносной программы по корпоративным почтовым ящикам сотрудников
Получение информации или учетных данных с использованием социальной инженерии (например – по телефонному разговору)
Реализация угроз внешним нарушителям возможна при эксплуатации уязвимостей. Проведено тестирование на проникновение с целью выявления имеющихся уязвимостей. По результатам определены следующие проблемные места:
Учетная запись test (на сервере приложений Citrix) имеет угадываемый пароль Citrixtest
Возможность подмены нарушителем .ICA файла и запуск командной строки (Citrix просматривает только поле [Application Name], поле [InitialProgram] не проверяется)
Уязвимость CVE-2016-3227 в сервисе Windows DNS

Математическая модель общего уровня угроз безопасности корпоративных ресурсов

Экспертной оценкой определены следующие показатели:
Уровень угрозы уязвимости, Th = P(v) * P(r) * K(r)
Уровень угрозы по всем уязвимостям для защищаемых объектов,
UUh = 1-i=1n(1-Th)
Данные по расчетам вышеуказанных показателей определены в следующей таблице:
Уровень угрозы Th Уровень угрозы по всем уязвимостям UUh
Угроза №1/ Уязвимость №1 0,266 0,3981
Угроза №1/Уязвимость №2 0,18
Угроза №2/ Уязвимость №1 0,266 0,3981
Угроза №2/Уязвимость №2 0,18
Угроза №3/Уязвимость №1 0,266 0,3981
Угроза №3/Уязвимость №2 0,18
Угроза №4/Уязвимость №3 0,216 0,3289
Угроза №4/Уязвимость №4 0,144
Угроза №5/Уязвимость №3 0,216 0,3289
Угроза №5/Уязвимость №4
0,144
Угроза №6/Уязвимость №3 0,216 0,3289
Угроза №6/Уязвимость №4 0,144
Угроза №7/Уязвимость №5 0,45 0,45
Таблица №7 – расчет показателей уровня угроз.
Экспертной оценкой установлен следующий показатель – общий уровень угроз UUhR = UUhR=1-i=1n(1-UUh).
На сервер приложений Citrix действуют угрозы №1, №2, №3, №7. На файловые и почтовые сервера действуют угрозы №4, №5, №6, №7.
Общий уровень угроз, UUhR
Угроза №1
0,88
Угроза №2
Угроза №3
Угроза №7
Таблица №8 – определение общего уровня угроз для сервера приложений Citrix
Общий уровень угроз, UUhR
Угроза №4
0,8338
Угроза №5
Угроза №6
Угроза №7
Таблица №9 – определение общего уровня угроз для файлового и почтового сервера.
Экспертной оценкой подсчитан ущерб (Ur, единица измерения - рубль), который понесет компания в случае реализации угроз безопасности информации нарушителем

Заключение

На основе определенных моделей угроз безопасности, а также во исполнение требований нормативно-правовых актов государственных регуляторов в области защиты персональных данных в корпоративной сети организации внедрены следующие средства защиты информации: Антивирусное программное обеспечение Kaspersky Endpoint Security на всех рабочих станциях и серверах организации Антивирусное программное обеспечение Symantec контролирующее почтовые сообщения на предмет сторонних ссылок и вредоносных программ Автоматическое резервное копирование защищаемых объектов Система обнаружения и предотвращения вторжений IBM Security Network Intrusion Prevention System Система предотвращения утечек конфиденциальной информации InfoWatch Traffic Monitor Система защищенного доступа к сети Интернет на базе Check Point По результатам проводимых мероприятий реализована полноценная система защиты информации, обеспечивающая надежную защиту, как персональных данных, так и коммерческой тайны организации.

Список литературы

Федеральный закон от 27.07.2006 №152-ФЗ (ред. 31.12.2017) «О персональных данных» [Электронный ресурс] Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения : 16.01.2020) Постановление Правительства от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс] Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_137356/ (дата обращения : 16.01.2020) Приказ ФСТЭК от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс] Режим доступа: URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691 (дата обращения : 18.01.2020) ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения» [Электронный ресурс] Режим доступа: URL: http://docs.cntd.ru/document/1200075565 (дата обращения: 11.01.2020) Проект методического документа ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» [Электронный ресурс] Режим доступа : URL: https://fstec.ru/component/attachments/download/812 (дата обращения : 13.01.2020) Банк данных угроз ФСТЭК России [Электронный ресурс] Режим доступа: URL : https://bdu.fstec.ru/threat (дата обращения : 15.01.2020).