Актуальностьᅟ темыᅟ дипломнойᅟ работыᅟ определяетсяᅟ постояннымᅟ уровнемᅟ проблемᅟ связанныхᅟ с информационнойᅟ безопасностьюᅟ. Вопросᅟ информационнойᅟ безопасностиᅟ - одинᅟ из основныхᅟ дляᅟ любойᅟ организацииᅟ. Дляᅟ ее реализацииᅟ требуетсяᅟ совокупностьᅟ мероприятийᅟ, направленныхᅟ на обеспечениеᅟ конфиденциальностиᅟ, доступностиᅟ и целостностиᅟ обрабатываемойᅟ информацииᅟ. Такимᅟ образомᅟ, информационнуюᅟ безопасностьᅟ следуетᅟ пониматьᅟ какᅟ комплексᅟ организационныхᅟ, программныхᅟ, техническихᅟ и физическихᅟ мерᅟ, гарантирующихᅟ достижениеᅟ целостностиᅟ, конфиденциальностиᅟ и доступностиᅟ.
Многиеᅟ угрозыᅟ связанныеᅟ с безопасностьюᅟ возникаютᅟ вследствиеᅟ зависимостиᅟ организацийᅟ от информационныхᅟ системᅟ и услугᅟ. Взаимодействиеᅟ сетейᅟ общегоᅟ и частногоᅟ пользованияᅟ, а такжеᅟ совместноеᅟ использованиеᅟ информационныхᅟ ресурсовᅟ затрудняетᅟ управлениеᅟ доступомᅟ к информацииᅟ. Вопросᅟ эффективностиᅟ централизованногоᅟ контроляᅟ возникаетᅟ в связиᅟ с тенденциейᅟ использованияᅟ распределеннойᅟ системойᅟ обработкиᅟ данныхᅟ.
Приᅟ проектированииᅟ и построенииᅟ многихᅟ информационныхᅟ системᅟ, довольноᅟ частоᅟ, вопросыᅟ информационнойᅟ безопасностиᅟ попростуᅟ не учитываютсяᅟ. Уровеньᅟ безопасностиᅟ, которыйᅟ достигаетсяᅟ толькоᅟ техническимиᅟ средствамиᅟ, имеетᅟ рядᅟ ограниченийᅟ и недостатковᅟ и, следовательноᅟ, долженᅟ сопровождатьсяᅟ надлежащимиᅟ организационнымиᅟ мерамиᅟ. Дляᅟ достиженияᅟ необходимогоᅟ уровняᅟ информационнойᅟ безопасностиᅟ требуетсяᅟ реализацияᅟ комплексаᅟ мероприятийᅟ по управлениюᅟ информационнойᅟ безопасностьюᅟ, которыеᅟ могутᅟ бытьᅟ представленыᅟ политикамиᅟ, методамиᅟ, процедурамиᅟ, организационнымиᅟ структурамиᅟ и функциямиᅟ программногоᅟ обеспеченияᅟ.
Информацияᅟ — этоᅟ активᅟ организацииᅟ, которыйᅟ имеетᅟ ценностьᅟ и, следовательноᅟ, долженᅟ иметьᅟ необходимыйᅟ уровеньᅟ защитыᅟ. Цельᅟ информационнойᅟ безопасностиᅟ заключаетсяᅟ в защитеᅟ информацииᅟ от широкогоᅟ диапазонаᅟ угрозᅟ и обеспечениеᅟ непрерывностиᅟ бизнесаᅟ, минимизацииᅟ ущербаᅟ и получениеᅟ максимальнойᅟ прибылиᅟ.
В настоящееᅟ времяᅟ всеᅟ большееᅟ количествоᅟ организацийᅟ уделяетᅟ вниманиеᅟ вопросамᅟ информационнойᅟ безопасностиᅟ.. Особенноᅟ этоᅟ касаетсяᅟ автодиллерских компанийᅟ, занимающихсяᅟ розничнойᅟ торговлейᅟ, такихᅟ какᅟ ОООᅟ “АйТиПартнер”ᅟ, такᅟ какᅟ конфиденциальностьᅟ, целостностьᅟ и доступностьᅟ информацииᅟ являютсяᅟ важнымиᅟ характеристикамиᅟ непрерывностиᅟ бизнесаᅟ. Комплексᅟ мерᅟ направленныйᅟ на обеспечениеᅟ информационнойᅟ безопасностиᅟ можетᅟ существенноᅟ повлиятьᅟ на конкурентоспособностьᅟ, соответствиеᅟ законодательствуᅟ, ликвидностьᅟ и доходностьᅟ организацииᅟ.
Цельᅟ дипломнойᅟ работы ᅟ состоитᅟ в разработкеᅟ и внедренииᅟ системыᅟ защитыᅟ конфиденциальнойᅟ информацииᅟ в ОООᅟ “АйТиПартнер”
Достиженияᅟ целиᅟ дипломнойᅟ работыᅟ потребовалоᅟ решенияᅟ следующихᅟ задач:
1ᅟ. Анализᅟ существующихᅟ стандартовᅟ и подходовᅟ в областиᅟ обеспеченияᅟ информационнойᅟ безопасностиᅟ.
2.ᅟ Определениеᅟ информационнойᅟ структурыᅟ и анализᅟ информационныхᅟ рисковᅟ в ОООᅟ “АйТиПартнер”ᅟ.
3.ᅟ Разработкаᅟ проектаᅟ системыᅟ защитыᅟ конфиденциальнойᅟ информацииᅟ дляᅟ организацииᅟ ОООᅟ “АйТиПартнер”
4ᅟ. Внедрениеᅟ системыᅟ защитыᅟ информацииᅟ в ОООᅟ “АйТиПартнер”ᅟ и анализᅟ результатовᅟ.
Предметомᅟ исследованияᅟ в дипломнойᅟ работыᅟ являютсяᅟ системаᅟ защитыᅟ конфиденциальнойᅟ информацииᅟ в ОООᅟ “АйТиПартнер”ᅟ.
В ходеᅟ дипломнойᅟ работыᅟ использоваласьᅟ информацияᅟ из международныхᅟ и отечественныхᅟ стандартовᅟ в областиᅟ информационнойᅟ безопасностиᅟ.
Теоретическаяᅟ значимостьᅟ дипломногоᅟ исследованияᅟ состоитᅟ в реализацииᅟ комплексногоᅟ подходаᅟ приᅟ разработкеᅟ организационно-техническихᅟ мерᅟ в областиᅟ информационнойᅟ безопасностиᅟ.
Практическаяᅟ значимостьᅟ работыᅟ определяетсяᅟ темᅟ, чтоᅟ ее результатыᅟ позволяютᅟ повыситьᅟ степеньᅟ защитыᅟ информацииᅟ в организацииᅟ путемᅟ внедренияᅟ организационныхᅟ и техническихᅟ мерᅟ защитыᅟ информацииᅟ.
Новизнаᅟ дипломнойᅟ работыᅟ заключаетсяᅟ в разработкеᅟ комплексаᅟ методовᅟ и средствᅟ обеспеченияᅟ информационнойᅟ безопасностиᅟ в организацииᅟ.
Обзорᅟ стандартовᅟ и подходовᅟ в областиᅟ информационнойᅟ безопасности
1ᅟ.1 Стандартᅟ ГОСТᅟ Р ИСО/МЭКᅟ 17799-2005
Наᅟ сегодняшнийᅟ деньᅟ существуетᅟ множествоᅟ стандартовᅟ, которыеᅟ устанавливаютᅟ рекомендацииᅟ по управлениюᅟ информационнойᅟ безопасностьюᅟ. В даннойᅟ главеᅟ представленᅟ анализᅟ несколькихᅟ стандартовᅟ дающихᅟ представлениеᅟ об обеспечениеᅟ общихᅟ основᅟ дляᅟ разработкиᅟ стандартовᅟ безопасностиᅟ и выбораᅟ практическихᅟ мероприятийᅟ по управлениюᅟ безопасностьюᅟ в организацииᅟ. Средиᅟ нихᅟ естьᅟ какᅟ международныеᅟ, такᅟ и государственныеᅟ стандартыᅟ Российскойᅟ федерацииᅟ. Цельюᅟ данногоᅟ анализаᅟ являетсяᅟ выборᅟ стандартаᅟ наиболееᅟ подходящегоᅟ дляᅟ разработкиᅟ проектаᅟ системыᅟ защитыᅟ информацииᅟ в организацииᅟ ОООᅟ “АйТиПартнер”
Практическиеᅟ правилаᅟ управленияᅟ информационнойᅟ безопасностьюᅟ. Данныйᅟ стандартᅟ являетсяᅟ национальнымᅟ стандартомᅟ Российскойᅟ Федерацииᅟ и онᅟ идентиченᅟ международномуᅟ стандартуᅟ ISO/IECᅟ 17799:2000ᅟ.
Настоящийᅟ стандартᅟ устанавливаетᅟ рекомендацииᅟ по управлениюᅟ информационноᅟ безопасностьюᅟ лицамᅟ, ответственнымᅟ за планированиеᅟ, реализациюᅟ илиᅟ поддержкуᅟ решенийᅟ безопасностиᅟ в организацииᅟ.
Данныйᅟ стандартᅟ оперируетᅟ следующимиᅟ понятиямиᅟ, которыеᅟ непосредственноᅟ связаныᅟ с осуществлениемᅟ процессаᅟ управленияᅟ информационнойᅟ безопасностьюᅟ, а такᅟ же даетᅟ их определения:ᅟ информационнаяᅟ безопасностьᅟ, конфиденциальностьᅟ, целостностьᅟ, доступностьᅟ, оценкаᅟ рисковᅟ, управлениеᅟ рискамиᅟ.
Данныйᅟ стандартᅟ включаетᅟ в себяᅟ двенадцатьᅟ разделов:
· ᅟ Областьᅟ применения
· ᅟ Терминыᅟ и определения
· ᅟ Политикаᅟ безопасности
· ᅟ Организационныеᅟ вопросыᅟ безопасности
· ᅟ Классификацияᅟ и управлениеᅟ активами
· ᅟ Вопросыᅟ безопасностиᅟ, связанныеᅟ с персоналом
· ᅟ Физическаяᅟ защитаᅟ и защитаᅟ от воздействийᅟ окружающейᅟ среды
· ᅟ Управлениеᅟ передачейᅟ данныхᅟ и операционнойᅟ деятельностью
· ᅟ Контрольᅟ доступа
· ᅟ Разработкаᅟ и обслуживаниеᅟ систем
· ᅟ Управлениеᅟ непрерывностьюᅟ бизнеса
· ᅟ Соответствиеᅟ требованиям
Вᅟ разделахᅟ стандартаᅟ рассматриваютсяᅟ аспектыᅟ, которыеᅟ необходимоᅟ учитыватьᅟ приᅟ составленииᅟ проектаᅟ системыᅟ защитыᅟ информацииᅟ.
Разделᅟ 3. Политикаᅟ безопасностиᅟ.
Включаетᅟ в себяᅟ информациюᅟ об обязательномᅟ документальномᅟ оформлениеᅟ и утверждениеᅟ политикиᅟ информационнойᅟ безопасностиᅟ предприятияᅟ, а такᅟ же обязательноеᅟ назначениеᅟ ответственногоᅟ за политикуᅟ безопасностиᅟ должностногоᅟ лицаᅟ. Цельᅟ данногоᅟ раздела:ᅟ Обеспечениеᅟ решенияᅟ вопросовᅟ информационнойᅟ безопасностиᅟ и вовлечениеᅟ высшегоᅟ руководстваᅟ организацииᅟ в данныйᅟ процессᅟ.
Разделᅟ 4. Организационныеᅟ вопросыᅟ безопасностиᅟ.
Содержитᅟ информациюᅟ об организационныхᅟ вопросахᅟ безопасностиᅟ и необходимостиᅟ созданияᅟ управляющихᅟ советовᅟ с участиемᅟ высшегоᅟ руководствᅟ. Этоᅟ позволяетᅟ создатьᅟ четкоᅟ отлаженнуюᅟ структуруᅟ управленияᅟ ИБ вᅟ организацииᅟ. В разделᅟ включеныᅟ вопросыᅟ координацияᅟ вопросовᅟ безопасностиᅟ, распределениеᅟ обязанностейᅟ и регламентируетсяᅟ процессᅟ полученияᅟ разрешенияᅟ на использованиеᅟ средствᅟ обработкиᅟ информацииᅟ. Такᅟ же вᅟ данномᅟ разделеᅟ используетсяᅟ понятиеᅟ аудитаᅟ, закрепляетсяᅟ процессᅟ проведенияᅟ независимойᅟ проверкиᅟ документаᅟ о политикеᅟ ИБ сᅟ цельюᅟ выявленияᅟ, чтоᅟ даннаяᅟ политикаᅟ в организацииᅟ осуществляетсяᅟ и являетсяᅟ эффективнойᅟ.
Разделᅟ 5. Классификацияᅟ и управлениеᅟ активамиᅟ.
Вводитᅟ обязательныеᅟ учетᅟ и защитуᅟ активовᅟ организацииᅟ. Рассматриваетсяᅟ инвентаризацияᅟ активовᅟ, классификацияᅟ информацииᅟ и основныеᅟ принципыᅟ классификацииᅟ, маркировкаᅟ и обработкаᅟ информацииᅟ.
Разделᅟ 6.Вопросыᅟ безопасностиᅟ, связанныеᅟ с персоналомᅟ.
Включаетᅟ в себяᅟ вопросыᅟ, связанныеᅟ с важностьюᅟ правильногоᅟ подбораᅟ персоналаᅟ дляᅟ управленияᅟ ИБ.ᅟ Рассматриваетсяᅟ проверкаᅟ кандидатовᅟ на работуᅟ. Используетсяᅟ такоеᅟ понятиеᅟ, какᅟ соглашениеᅟ о конфиденциальностиᅟ илиᅟ соглашениеᅟ о неразглашенииᅟ, котороеᅟ составляетсяᅟ на этапеᅟ заключениеᅟ трудовогоᅟ договораᅟ с работникомᅟ. Указываетсяᅟ необходимостьᅟ на включениеᅟ вопросовᅟ информационнойᅟ безопасностиᅟ в должностныеᅟ обязанностиᅟ. Согласноᅟ данномуᅟ разделуᅟ, всеᅟ сотрудникиᅟ, еслиᅟ естьᅟ в томᅟ необходимостьᅟ, должныᅟ проходитьᅟ соответствующееᅟ обучениеᅟ. Такжеᅟ данныйᅟ разделᅟ закрепляетᅟ за собойᅟ такиеᅟ пунктыᅟ, как:ᅟ реагированиеᅟ на инцидентыᅟ нарушенияᅟ информационнойᅟ безопасностиᅟ и информированиеᅟ обоᅟ всехᅟ возникающихᅟ проблемахᅟ связанныхᅟ с информационнойᅟ безопасностьюᅟ.
Разделᅟ 7. Физическаяᅟ защитаᅟ и защитаᅟ от воздействийᅟ окружающейᅟ средыᅟ.
Рассматриваетᅟ вопросыᅟ физическойᅟ защитыᅟ и защитыᅟ от воздействийᅟ окружающейᅟ средыᅟ. Включаетᅟ рекомендацииᅟ в отношенииᅟ предотвращенииᅟ неавторизованногоᅟ доступаᅟ и поврежденийᅟ помещенийᅟ и информацииᅟ организацииᅟ.
Разделᅟ 8. Управлениеᅟ передачейᅟ данныхᅟ и операционнойᅟ деятельностьюᅟ.
В данномᅟ разделеᅟ закрепляетсяᅟ необходимостьᅟ документальногоᅟ оформленияᅟ операционныхᅟ процедурᅟ. Описываетсяᅟ необходимостьᅟ разграниченияᅟ обязанностейᅟ, средᅟ разработкиᅟ и промышленнойᅟ эксплуатацииᅟ, а такᅟ же планированиеᅟ нагрузкиᅟ на системыᅟ информацииᅟ. Такᅟ же затрагиваетсяᅟ вопросᅟ об обязательнойᅟ защитеᅟ программногоᅟ обеспеченияᅟ от вредоносныхᅟ программᅟ и резервированииᅟ информацииᅟ.
Разделᅟ 9. Контрольᅟ доступаᅟ.
Рассматриваетсяᅟ такоеᅟ понятиеᅟ какᅟ контрольᅟ доступаᅟ, чтоᅟ являетсяᅟ неотъемлемойᅟ частьюᅟ процессаᅟ управленияᅟ информационноᅟ безопасностьюᅟ. Уделяетсяᅟ вниманиеᅟ вопросамᅟ политикиᅟ логическогоᅟ доступаᅟ к информацииᅟ, контроляᅟ в отношенииᅟ доступаᅟ пользователейᅟ, управленияᅟ привилегиямиᅟ, а такжеᅟ контроляᅟ в отношенииᅟ паролейᅟ пользователейᅟ. Рассматриваютсяᅟ ситуацииᅟ с возможностьюᅟ аутентификацииᅟ пользователейᅟ в случаеᅟ внешнихᅟ соединенийᅟ.
Разделᅟ 10.ᅟ Разработкаᅟ и обслуживаниеᅟ системᅟ.
Обращаетᅟ вниманиеᅟ на корректностьᅟ входныхᅟ данныхᅟ дляᅟ прикладныхᅟ системᅟ. В разделеᅟ 10 используютсяᅟ такиеᅟ понятияᅟ как:ᅟ аутентификацияᅟ, криптографияᅟ, шифрованиеᅟ и цифровыеᅟ подписиᅟ. Такжеᅟ содержитᅟ информациюᅟ о криптографическихᅟ мерахᅟ защитыᅟ информацииᅟ.
Разделᅟ 11.ᅟ Управлениеᅟ непрерывностьюᅟ бизнесаᅟ.
Вводитᅟ такоеᅟ понятиеᅟ какᅟ непрерывностьᅟ бизнесаᅟ. Ееᅟ необходимоᅟ обеспечиватьᅟ с цельюᅟ минимизацииᅟ потерьᅟ, которыеᅟ могутᅟ бытьᅟ связаныᅟ с отказомᅟ оборудованияᅟ, природнымиᅟ бедствиямиᅟ и тᅟ. д.ᅟ Данныйᅟ процессᅟ такᅟ же нуждаетсяᅟ в управленииᅟ.
Разделᅟ 12.ᅟ Соответствиеᅟ требованиямᅟ.
Рассматриваетᅟ необходимостьᅟ должногоᅟ подходаᅟ к вопросамᅟ соответствияᅟ требованиямᅟ законодательстваᅟ, праваᅟ на интеллектуальнуюᅟ собственностьᅟ, защитыᅟ данныхᅟ и конфиденциальностьᅟ персональнойᅟ информацииᅟ в организацииᅟ. [2]
1ᅟ.2 Стандартᅟ ГОСТᅟ Р ИСО/МЭКᅟ 27001-2006
Методыᅟ и средстваᅟ обеспеченияᅟ безопасностиᅟ. Системыᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ. Данныйᅟ стандартᅟ являетсяᅟ национальнымᅟ стандартомᅟ Российскойᅟ Федерацииᅟ и онᅟ идентиченᅟ международномуᅟ стандартуᅟ ISO/IECᅟ 27001:2005ᅟ.
Настоящийᅟ стандартᅟ подготовленᅟ в качествеᅟ моделиᅟ дляᅟ разработкиᅟ, внедренияᅟ, функционированияᅟ, мониторингаᅟ, анализаᅟ, поддержкиᅟ и улучшенияᅟ системыᅟ менеджментаᅟ информационнойᅟ безопасностьюᅟ.
Данныйᅟ стандартᅟ предполагаетᅟ использованиеᅟ процессногоᅟ подходаᅟ, и выделяетᅟ особуюᅟ значимостьᅟ следующихᅟ факторов:
- ᅟ Пониманиеᅟ требованийᅟ информационнойᅟ безопасностиᅟ организацииᅟ и необходимостиᅟ установленияᅟ политикиᅟ и целейᅟ информационнойᅟ безопасностиᅟ.
- ᅟ Внедрениеᅟ и использованиеᅟ мерᅟ управленияᅟ дляᅟ менеджментаᅟ рисковᅟ информационнойᅟ безопасностиᅟ средиᅟ общихᅟ бизнес-рисковᅟ организацииᅟ.
- ᅟ Мониторингᅟ и проверкаᅟ производительностиᅟ и эффективностиᅟ системыᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ.
- ᅟ Непрерывноеᅟ улучшениеᅟ системыᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ, основанноеᅟ на результатахᅟ объективныхᅟ измеренийᅟ.
В стандартеᅟ представленаᅟ модельᅟ “Планированиеᅟ – Осуществлениеᅟ – Проверкаᅟ – Действие”
Данныйᅟ стандартᅟ включаетᅟ в себяᅟ восемьᅟ разделов:
1 ᅟ Областьᅟ примененияᅟ.
2 ᅟ Нормативныеᅟ ссылкиᅟ.
3 ᅟ Терминыᅟ и определенияᅟ.
4 ᅟ Системаᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ.
5 ᅟ Ответственностьᅟ руководстваᅟ.
6 ᅟ Внутренниеᅟ аудитыᅟ системыᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ.
7 ᅟ Анализᅟ системыᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ со стороныᅟ руководстваᅟ.
8 ᅟ Улучшениеᅟ системыᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ.
Разделᅟ 4. Системаᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ.
Данныйᅟ разделᅟ содержитᅟ в себеᅟ темыᅟ разработкиᅟ системыᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ и управлениеᅟ ею.ᅟ Далееᅟ рассмотренᅟ пунктᅟ внедренияᅟ и функционированияᅟ системыᅟ, приведеныᅟ обязанностиᅟ в отношенииᅟ организацииᅟ по проведениюᅟ мониторингаᅟ и анализаᅟ системыᅟ, а такжеᅟ рассмотреныᅟ требованияᅟ к документацииᅟ и управлениюᅟ документамиᅟ.
Разделᅟ 5. Ответственностьᅟ руководстваᅟ.
Устанавливаетᅟ обязательствоᅟ руководстваᅟ в отношенииᅟ разработкиᅟ, внедренияᅟ, обеспеченияᅟ функционированияᅟ, мониторингаᅟ, анализаᅟ, поддержкиᅟ и улучшенияᅟ системыᅟ менеджментаᅟ информационнойᅟ безопасностьюᅟ и мерыᅟ достиженияᅟ этихᅟ обязательствᅟ. А такжеᅟ затрагиваетсяᅟ вопросᅟ управленияᅟ ресурсамиᅟ.
Разделᅟ 6. Внутренниеᅟ аудитыᅟ системыᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ.
Вопросыᅟ в отношенииᅟ процедурыᅟ внутреннегоᅟ аудитаᅟ и отбораᅟ аудиторовᅟ. Цельᅟ – установлениеᅟ тогоᅟ, чтоᅟ целиᅟ управленияᅟ, мерыᅟ управленияᅟ, процессыᅟ и процедурыᅟ системыᅟ менеджментаᅟ информационнойᅟ безопасности:
- ᅟ Соответствуютᅟ требованиямᅟ стандартаᅟ и соответствующимᅟ законамᅟ илиᅟ нормативнымᅟ документам;
- ᅟ Соответствуютᅟ установленнымᅟ требованиямᅟ информационнойᅟ безопасности;
-ᅟ Результативноᅟ внедряютсяᅟ и поддерживаются;
- ᅟ Функционируютᅟ должнымᅟ образом;
Разделᅟ 7. Анализᅟ системыᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ со стороныᅟ руководстваᅟ.
В данномᅟ разделеᅟ рассматриваютсяᅟ требованияᅟ к руководствуᅟ по вопросамᅟ проведенияᅟ анализаᅟ и внесенияᅟ предложенийᅟ по изменениюᅟ системыᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ. Устанавливаетсяᅟ переченьᅟ входныхᅟ и выходныхᅟ данныхᅟ дляᅟ анализаᅟ системыᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ.
Разделᅟ 8. Улучшениеᅟ системыᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ.
В данномᅟ разделеᅟ говоритсяᅟ о необходимостиᅟ постоянногоᅟ улучшенияᅟ и корректировкиᅟ системыᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ, а такжеᅟ об устраненииᅟ причинᅟ потенциальныхᅟ несоответствийᅟ, с цельюᅟ предотвращенияᅟ повторногоᅟ появленияᅟ.
Вᅟ таблицеᅟ рассматриваютсяᅟ следующиеᅟ целиᅟ и мерыᅟ управления:
1 ᅟ Политикаᅟ безопасности
2ᅟ Организацияᅟ информационнойᅟ безопасности
3 ᅟ Управлениеᅟ активами
4 ᅟ Правилаᅟ безопасностиᅟ, связанныеᅟ с персоналом
5 ᅟ Физическаяᅟ защитаᅟ и защитаᅟ от воздействийᅟ окружающейᅟ среды
6 ᅟ Управлениеᅟ средствамиᅟ коммуникацийᅟ и ихᅟ функционированием
7 ᅟ Контрольᅟ доступа
8 ᅟ Правильнаяᅟ обработкаᅟ данныхᅟ в приложениях
9 ᅟ Управлениеᅟ инцидентамиᅟ информационнойᅟ безопасности
10 ᅟ Управлениеᅟ непрерывностьюᅟ бизнеса
11 ᅟ Соответствиеᅟ требованиямᅟ [3]
1ᅟ.3 Стандартᅟ СТОᅟ БР ИББС-1ᅟ.0-2008
Обеспечениеᅟ информационнойᅟ безопасностиᅟ организацийᅟ банковскойᅟ системыᅟ Российскойᅟ Федерацииᅟ. Данныйᅟ стандартᅟ являетсяᅟ стандартомᅟ банкаᅟ Россииᅟ, принятᅟ и введенᅟ в действиеᅟ распоряжениемᅟ банкаᅟ Россииᅟ от 25ᅟ декабряᅟ 2008ᅟ годаᅟ.
Данныйᅟ стандартᅟ распространяетсяᅟ на организацииᅟ банковскойᅟ системыᅟ Российскойᅟ Федерацииᅟ (БСᅟ РФ)ᅟ и устанавливаетᅟ положенияᅟ по обеспечениюᅟ ИБ вᅟ организацияхᅟ БС РФᅟ.
Настоящийᅟ стандартᅟ рекомендованᅟ дляᅟ примененияᅟ путемᅟ включенияᅟ ссылокᅟ на негоᅟ и(или)ᅟ прямогоᅟ использованияᅟ устанавливаемыхᅟ в немᅟ положенийᅟ во внутреннихᅟ нормативныхᅟ и методическихᅟ документахᅟ организацийᅟ БС РФᅟ, а такжеᅟ в договорахᅟ.
Положенияᅟ настоящегоᅟ стандартаᅟ применяютсяᅟ на добровольнойᅟ основеᅟ, еслиᅟ толькоᅟ в отношенииᅟ отдельныхᅟ положенийᅟ обязательностьᅟ их примененияᅟ не установленаᅟ законодательствомᅟ РФ,ᅟ инымиᅟ нормативнымиᅟ правовымиᅟ актамиᅟ, в томᅟ числеᅟ нормативнымиᅟ актамиᅟ Банкаᅟ Россииᅟ.
Основныеᅟ целиᅟ стандартизации:
- Развитиеᅟ и укреплениеᅟ БС РФᅟ.
- ᅟ Повышениеᅟ доверияᅟ к БСᅟ РФ.
- ᅟ Поддержаниеᅟ стабильностиᅟ организацийᅟ БС РФᅟ и наᅟ этойᅟ основеᅟ – стабильностиᅟ БС РФᅟ в целомᅟ.
- Достиженияᅟ адекватностиᅟ мерᅟ защитыᅟ реальнымᅟ угрозамᅟ ИБ.
- ᅟ Предотвращениеᅟ и(или)ᅟ снижениеᅟ ущербаᅟ от инцидентовᅟ ИБ.
- ᅟ Основныеᅟ задачиᅟ стандартизации:
- ᅟ Установлениеᅟ единыхᅟ требованийᅟ по обеспечениюᅟ ИБ организацийᅟ БС РФᅟ.
- ᅟ Повышениеᅟ эффективностиᅟ мероприятийᅟ по обеспечениюᅟ и поддержаниюᅟ ИБ организацийᅟ БС РФᅟ.
Стандартᅟ содержитᅟ в себеᅟ 9 разделов:
1 ᅟ Областьᅟ примененияᅟ.
2 ᅟ Нормативныеᅟ ссылкиᅟ.
3 ᅟ Терминыᅟ и определенияᅟ.
4ᅟ Обозначенияᅟ и сокращенияᅟ.
5ᅟ Исходнаяᅟ концептуальнаяᅟ схемаᅟ (парадигма)ᅟ обеспеченияᅟ информационнойᅟ безопасностиᅟ организацийᅟ банковскойᅟ системыᅟ Российскойᅟ Федерацииᅟ.
6 ᅟ Моделиᅟ угрозᅟ и нарушителейᅟ информационнойᅟ безопасностиᅟ организацийᅟ банковскойᅟ системыᅟ Российскойᅟ Федерацииᅟ.
7 ᅟ Системаᅟ информационнойᅟ безопасностиᅟ организацийᅟ банковскойᅟ системыᅟ Российскойᅟ Федерацииᅟ.
8 Системаᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ организацийᅟ банковскойᅟ системыᅟ Российскойᅟ Федерацииᅟ.
9 ᅟ Проверкаᅟ и оценкаᅟ информационнойᅟ безопасностиᅟ организацийᅟ банковскойᅟ системыᅟ Российскойᅟ Федерацииᅟ.
Разделᅟ 5. Исходнаяᅟ концептуальнаяᅟ схемаᅟ (парадигма)ᅟ обеспеченияᅟ информационнойᅟ безопасностиᅟ организацийᅟ банковскойᅟ системыᅟ Российскойᅟ Федерацииᅟ.
Разделᅟ 6. Моделиᅟ угрозᅟ и нарушителейᅟ информационнойᅟ безопасностиᅟ организацийᅟ банковскойᅟ системыᅟ Российскойᅟ Федерацииᅟ.
В данномᅟ разделеᅟ, какᅟ видноᅟ из названияᅟ, рассматриваетсяᅟ модельᅟ угрозᅟ и нарушителейᅟ информационнойᅟ безопасностиᅟ. Даетсяᅟ пониманиеᅟ тогоᅟ, чтоᅟ существуютᅟ различныеᅟ уровниᅟ информационнойᅟ инфраструктурыᅟ, и наᅟ каждомᅟ из уровнейᅟ методыᅟ и средстваᅟ защитыᅟ и подходыᅟ к оценкеᅟ эффективностиᅟ являютсяᅟ различнымиᅟ. Приведеныᅟ основныеᅟ источникиᅟ угрозᅟ информационнойᅟ безопасностиᅟ на различныхᅟ уровняхᅟ информационнойᅟ инфраструктурыᅟ.
Разделᅟ 7. Системаᅟ информационнойᅟ безопасностиᅟ организацийᅟ банковскойᅟ системыᅟ Российскойᅟ Федерацииᅟ.
Содержитᅟ рядᅟ требованийᅟ по обеспечениюᅟ, предъявляемыхᅟ к:
- ᅟ Информационнойᅟ безопасностиᅟ приᅟ назначенииᅟ и распределенииᅟ ролейᅟ и обеспеченииᅟ доверияᅟ к персоналуᅟ.
- ᅟ Информационнойᅟ безопасностиᅟ автоматизированныхᅟ банковскихᅟ системᅟ на стадияхᅟ жизненногоᅟ циклаᅟ.
- ᅟ Информационнойᅟ безопасностиᅟ приᅟ управленииᅟ доступомᅟ и регистрацииᅟ.
- ᅟ Информационнойᅟ безопасностиᅟ средствамиᅟ антивируснойᅟ защитыᅟ.
- ᅟ Информационнойᅟ безопасностиᅟ приᅟ использованииᅟ ресурсовᅟ сетиᅟ Интернетᅟ.
-ᅟ Информационнойᅟ безопасностиᅟ приᅟ использованииᅟ средствᅟ криптографическойᅟ защитыᅟ информацииᅟ.
- ᅟ Информационнойᅟ безопасностиᅟ банковскихᅟ платежныхᅟ технологическихᅟ процессовᅟ.
- ᅟ Информационнойᅟ безопасностиᅟ банковскихᅟ информационныхᅟ технологическихᅟ процессовᅟ.
Разделᅟ 8. Системаᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ организацийᅟ банковскойᅟ системыᅟ Российскойᅟ Федерацииᅟ.
Такᅟ же,ᅟ какᅟ и пунктᅟ 7, содержитᅟ переченьᅟ требованийᅟ к:
- ᅟ Организацииᅟ и функционированиюᅟ службыᅟ информационнойᅟ безопасностиᅟ организацииᅟ банковскойᅟ системыᅟ Российскойᅟ Федерацииᅟ.
- ᅟ Определению/коррекцииᅟ областиᅟ действияᅟ системыᅟ обеспеченияᅟ информационнойᅟ безопасностиᅟ.
- ᅟ Выбору/коррекцииᅟ подходаᅟ к оценкеᅟ рисковᅟ нарушенияᅟ информационнойᅟ безопасностиᅟ и проведениюᅟ оценкиᅟ рисковᅟ нарушенияᅟ информационнойᅟ безопасностиᅟ.
-ᅟ Разработкеᅟ плановᅟ обработкиᅟ рисковᅟ нарушенияᅟ информационнойᅟ безопаностиᅟ.
- ᅟРазработке/коррекцииᅟ внутреннихᅟ документовᅟ, регламентирующихᅟ деятельностьᅟ в областиᅟ обеспеченияᅟ информационнойᅟ безопасностиᅟ.
- ᅟ Принятиюᅟ руководствомᅟ организацииᅟ банковскойᅟ системыᅟ Российскойᅟ Федерацииᅟ решенийᅟ о реализацииᅟ и эксплуатацииᅟ системыᅟ обеспеченияᅟ информационнойᅟ безопасностиᅟ.
- ᅟ Организацииᅟ реализацииᅟ плановᅟ внедренияᅟ системыᅟ обеспеченияᅟ информационнойᅟ безопасностиᅟ.
-ᅟ Разработкеᅟ и организацииᅟ реализацииᅟ программᅟ по обучениюᅟ и повышениюᅟ осведомленностиᅟ в областиᅟ информационнойᅟ безопасностиᅟ.
- ᅟ Организацииᅟ обнаруженияᅟ и реагированияᅟ на инцидентыᅟ информационнойᅟ безопасностиᅟ.
-ᅟ Организацииᅟ обеспеченияᅟ непрерывностиᅟ бизнесаᅟ и егоᅟ восстановленияᅟ послеᅟ прерыванийᅟ.
- ᅟ Мониторингуᅟ и контролюᅟ защитныхᅟ мерᅟ.
- ᅟ Проведениюᅟ самооценкиᅟ информационнойᅟ безопасностиᅟ.
- ᅟ Проведениюᅟ аудитаᅟ информационнойᅟ безопасностиᅟ.
-ᅟ Анализуᅟ функционированияᅟ системыᅟ обеспеченияᅟ информационнойᅟ безопасностиᅟ.
- ᅟ Анализуᅟ системыᅟ обеспеченияᅟ информационнойᅟ безопасностиᅟ со стороныᅟ руководстваᅟ организацииᅟ банковскойᅟ системыᅟ Российскойᅟ Федерацииᅟ.
- ᅟ Принятиюᅟ решенийᅟ по тактическимᅟ улучшениямᅟ системыᅟ обеспеченияᅟ информационнойᅟ безопасности
- ᅟ Принятиюᅟ решенийᅟ по стратегическимᅟ улучшениямᅟ системыᅟ обеспеченияᅟ информационнойᅟ безопасности
Разделᅟ 9. Проверкаᅟ и оценкаᅟ информационнойᅟ безопасностиᅟ организацийᅟ банковскойᅟ системыᅟ Российскойᅟ Федерацииᅟ.
Описываетᅟ системуᅟ проведенияᅟ проверкиᅟ и оценкиᅟ информационнойᅟ безопасностиᅟ организацийᅟ БС РФᅟ, путемᅟ выполненияᅟ следующихᅟ процессов:
· ᅟ Мониторингᅟ и контрольᅟ защитныхᅟ мерᅟ.
· ᅟ Самооценкаᅟ информационнойᅟ безопасностиᅟ.
· ᅟ Аудитᅟ информационнойᅟ безопасностиᅟ.
· ᅟ Анализᅟ функционированияᅟ системыᅟ обеспеченияᅟ информационнойᅟ безопасностиᅟ. [4]
1ᅟ.4 Стандартᅟ BS 7799-3:2006
Системыᅟ управленияᅟ информационнойᅟ безопасностьюᅟ. Частьᅟ 3: Руководствоᅟ по управлениюᅟ рискамиᅟ информационнойᅟ безопасностиᅟ. Британскийᅟ Стандартᅟ, былᅟ опубликованᅟ BSIᅟ и вступилᅟ в силуᅟ 17 мартаᅟ 2006ᅟ годаᅟ. Онᅟ былᅟ подготовленᅟ Техническимᅟ Комитетомᅟ BDD/2ᅟ, Управлениеᅟ информационнойᅟ безопасностьюᅟ.
В качествеᅟ руководстваᅟ этотᅟ Британскийᅟ Стандартᅟ принимаетᅟ формуᅟ руководящихᅟ принциповᅟ и рекомендацийᅟ.
Этотᅟ стандартᅟ былᅟ подготовленᅟ дляᅟ руководителейᅟ бизнесаᅟ и ихᅟ сотрудниковᅟ, задействованныхᅟ в мероприятияхᅟ по управлениюᅟ рискамиᅟ в рамкахᅟ СУИБᅟ (Системыᅟ Управленияᅟ Информационнойᅟ Безопасностью)ᅟ. Онᅟ предоставляетᅟ конкретноеᅟ руководствоᅟ и рекомендацииᅟ по реализацииᅟ требованийᅟ, относящихсяᅟ к процессамᅟ управленияᅟ рискамиᅟ и связаннымᅟ с нимиᅟ мероприятиямᅟ.
Стандартᅟ содержитᅟ в себеᅟ 7 разделов:
1 ᅟ Областьᅟ действия
2 ᅟ Ссылкиᅟ на нормативныеᅟ документы
3 ᅟ Терминыᅟ и определения
4 ᅟ Рискиᅟ информационнойᅟ безопасностиᅟ в организационномᅟ контексте
5 ᅟ Оценкаᅟ рисков
6 ᅟ Обработкаᅟ рискаᅟ и принятиеᅟ решенияᅟ руководством
7 ᅟ Непрерывныеᅟ действияᅟ по управлениюᅟ рисками
Разделᅟ 4. Рискиᅟ информационнойᅟ безопасностиᅟ в организационномᅟ контекстеᅟ.
Данныйᅟ разделᅟ включаетᅟ в себяᅟ определениеᅟ областиᅟ действияᅟ системыᅟ управленияᅟ информационнойᅟ безопасностьюᅟ (какиеᅟ именноᅟ элементыᅟ будутᅟ включеныᅟ в СУИБ)ᅟ, и политикуᅟ СУИБᅟ, цельᅟ которойᅟ - Обеспечениеᅟ управленияᅟ и поддержкиᅟ информационнойᅟ безопасностиᅟ со стороныᅟ руководстваᅟ. Определяютсяᅟ основныеᅟ положенияᅟ по выборуᅟ подходаᅟ к оценкеᅟ рисковᅟ, описываяᅟ обязательныеᅟ элементыᅟ, которыеᅟ долженᅟ содержатьᅟ процессᅟ оценкиᅟ рисковᅟ.
Разделᅟ 5. Оценкаᅟ рисковᅟ.
Рассматриваетсяᅟ процессᅟ оценкиᅟ рисковᅟ, идентификацииᅟ ресурсовᅟ организацииᅟ, идентификацииᅟ требованийᅟ законодательстваᅟ и бизнесаᅟ, определениеᅟ стоимостиᅟ ресурсовᅟ, идентификацииᅟ и оценкиᅟ угрозᅟ и уязвимостейᅟ, а такжеᅟ процессᅟ вычисленияᅟ и оцениванияᅟ рисковᅟ.
Разделᅟ 6. Обработкаᅟ рискаᅟ и принятиеᅟ решенияᅟ руководствомᅟ.
В этомᅟ разделеᅟ обсуждаютсяᅟ подходыᅟ принятияᅟ решенияᅟ и обработкиᅟ рисковᅟ – путемᅟ комбинированияᅟ превентивныхᅟ и детектирующихᅟ механизмовᅟ контроляᅟ, тактикиᅟ избежанияᅟ и принятияᅟ илиᅟ путемᅟ передачиᅟ рискаᅟ другойᅟ организацииᅟ.
Разделᅟ 7. Непрерывныеᅟ действияᅟ по управлениюᅟ рискамиᅟ.
Включаетᅟ в себяᅟ пунктыᅟ – Непрерывноеᅟ управлениеᅟ рискамиᅟ безопасностиᅟ, сопровождениеᅟ и мониторингᅟ, анализᅟ со стороныᅟ руководстваᅟ, пересмотрᅟ и переоценкаᅟ рискаᅟ, аудитыᅟ, механизмыᅟ контроляᅟ документацииᅟ, корректирующиеᅟ и превентивныеᅟ мерыᅟ, отчетыᅟ и коммуникацииᅟ. [6]
1ᅟ.5 Обзорᅟ моделейᅟ построенияᅟ информационныхᅟ рисковᅟ
Анализᅟ рисковᅟ в областиᅟ информационнойᅟ безопасностиᅟ разделяетсяᅟ на качественныйᅟ и количественныйᅟ. Количественныйᅟ анализᅟ болееᅟ точныйᅟ, онᅟ позволяетᅟ получитьᅟ конкретныеᅟ значенияᅟ рисковᅟ, ноᅟ он занимаетᅟ большееᅟ количествоᅟ времениᅟ, чтоᅟ не всегдаᅟ являетсяᅟ оправданнымᅟ. Чащеᅟ используетсяᅟ качественныйᅟ анализᅟ, задачаᅟ которогоᅟ — распределениеᅟ факторовᅟ рискаᅟ по группамᅟ.
Качественныйᅟ анализ
Насчитываетсяᅟ несколькоᅟ моделейᅟ качественногоᅟ анализаᅟ. Различиеᅟ состоитᅟ в количествеᅟ градацийᅟ рискаᅟ. Однаᅟ из наиболееᅟ распространенныхᅟ моделейᅟ — трех ступенчатаяᅟ. Шкалаᅟ оценкиᅟ каждогоᅟ фактораᅟ выглядитᅟ следующимᅟ образом:ᅟ “низкийᅟ — среднийᅟ — высокий”ᅟ.
Существуетᅟ мнениеᅟ, чтоᅟ трехᅟ ступенейᅟ недостаточноᅟ, и предлагаетсяᅟ пятиуровневаяᅟ модельᅟ. Однакоᅟ этоᅟ не принципиальноᅟ, в целомᅟ любаяᅟ модельᅟ анализаᅟ сводитсяᅟ к разделениюᅟ угрозᅟ на критическиеᅟ и второстепенныеᅟ.
Приᅟ работеᅟ с моделямиᅟ с числомᅟ градацийᅟ большеᅟ трехᅟ, напримерᅟ с пятьюᅟ, возможноᅟ возникновениеᅟ затрудненийᅟ — отнестиᅟ рискᅟ к пятойᅟ илиᅟ к четвертойᅟ группеᅟ. Качественныйᅟ анализᅟ являетсяᅟ саморегулирующимсяᅟ и поэтомуᅟ допускаетᅟ подобныеᅟ “ошибки”ᅟ.
Количественныйᅟ методᅟ отнимаетᅟ значительноᅟ большееᅟ количествоᅟ времениᅟ, такᅟ какᅟ каждомуᅟ факторуᅟ рискаᅟ необходимоᅟ присваиватьᅟ конкретноеᅟ значениеᅟ. Ноᅟ следуетᅟ учитыватьᅟ то,ᅟ чтоᅟ во многихᅟ случаяхᅟ дополнительнаяᅟ точностьᅟ не требуетсяᅟ илиᅟ простоᅟ не стоитᅟ лишнихᅟ усилийᅟ. Необходимоᅟ такжеᅟ учитыватьᅟ то факторᅟ, чтоᅟ многиеᅟ организацииᅟ находятсяᅟ в постоянномᅟ развитииᅟ. И заᅟ то времяᅟ, чтоᅟ выполняетсяᅟ анализᅟ, фактическиеᅟ значенияᅟ рисковᅟ вполнеᅟ могутᅟ оказатьсяᅟ другимиᅟ.
Данныеᅟ факторыᅟ указываютᅟ на целесообразностьᅟ использованияᅟ качественногоᅟ анализаᅟ.
Выводы
Вᅟ первойᅟ главеᅟ былиᅟ рассмотреныᅟ основныеᅟ документыᅟ, являющиесяᅟ стандартамиᅟ в областиᅟ обеспеченияᅟ информационнойᅟ безопасностиᅟ, какᅟ в Российскойᅟ Федерацииᅟ, такᅟ и наᅟ международномᅟ уровнеᅟ.
Рассмотреноᅟ 3 стандарта:
- ᅟ ГОСТᅟ Р ИСО/МЭКᅟ 17799-2005
- ᅟ ГОСТᅟ Р ИСО/МЭКᅟ 27001-2006
- ᅟ СТОᅟ БР ИББС-1ᅟ.0-2008
Этиᅟ стандартыᅟ служатᅟ сборникомᅟ нормативныхᅟ, руководящихᅟ и прочихᅟ документовᅟ в областиᅟ обеспеченияᅟ информационнойᅟ безопасностиᅟ.
ГОСТᅟ Р ИСО/МЭКᅟ 17799-2005ᅟ устанавливаетᅟ рекомендацииᅟ по управлениюᅟ информационнойᅟ безопасностьюᅟ лицамᅟ, ответственнымᅟ за планированиеᅟ, реализациюᅟ илиᅟ поддержкуᅟ решенийᅟ безопасностиᅟ в организацииᅟ. Онᅟ предназначенᅟ дляᅟ обеспеченияᅟ общихᅟ основᅟ дляᅟ разработкиᅟ стандартовᅟ безопасностиᅟ и выбораᅟ практическихᅟ мероприятийᅟ по управлениюᅟ безопасностьюᅟ в организацииᅟ, а такжеᅟ в интересахᅟ обеспеченияᅟ доверияᅟ в деловыхᅟ отношенияхᅟ междуᅟ организациямиᅟ.
ГОСТᅟ Р ИСО/МЭКᅟ 27001-2006ᅟ подготовленᅟ в качествеᅟ моделиᅟ дляᅟ разработкиᅟ, внедренияᅟ, функционированияᅟ, мониторингаᅟ, анализаᅟ, поддержкиᅟ и улучшенияᅟ системыᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ.
СТОᅟ БР ИББС-1ᅟ.0-2008ᅟ распространяетсяᅟ на организацииᅟ банковскойᅟ системыᅟ Российскойᅟ Федерацииᅟ (БСᅟ РФ)ᅟ и устанавливаетᅟ положенияᅟ по обеспечениюᅟ ИБ вᅟ организацияхᅟ БС РФᅟ.
Подводяᅟ итогиᅟ можноᅟ сказатьᅟ, чтоᅟ стандартᅟ ГОСТᅟ Р ИСО/МЭКᅟ 17799-2005ᅟ имеетᅟ довольноᅟ широкоеᅟ применениеᅟ дляᅟ построенияᅟ политикиᅟ информационнойᅟ безопасностиᅟ дляᅟ компанийᅟ среднегоᅟ бизнесаᅟ и даетᅟ общиеᅟ рекомендацииᅟ по обеспечениюᅟ информационнойᅟ безопасностиᅟ в организацииᅟ. Стандартᅟ ГОСТᅟ Р ИСО/МЭКᅟ 27001-2006ᅟ основанᅟ на томᅟ, чтоᅟ организацияᅟ должнаᅟ разработатьᅟ, внедритьᅟ, обеспечитьᅟ функционированиеᅟ, вестиᅟ мониторингᅟ, анализироватьᅟ, поддерживатьᅟ и непрерывноᅟ улучшатьᅟ документированнуюᅟ системуᅟ менеджментаᅟ информационнойᅟ безопасностиᅟ (модельᅟ PDCA)ᅟ чтоᅟ подойдетᅟ скорееᅟ дляᅟ организацийᅟ крупногоᅟ бизнесаᅟ. Стандартᅟ СТОᅟ БР ИББС-1ᅟ.0-2008ᅟ имеетᅟ прямоеᅟ отношениеᅟ к банковскойᅟ системеᅟ Российскойᅟ Федерацииᅟ и нацеленᅟ в первуюᅟ очередьᅟ на организацииᅟ банковскойᅟ сферыᅟ.
В связиᅟ с этимᅟ, наиболееᅟ подходящимᅟ стандартомᅟ дляᅟ разработкиᅟ и внедренияᅟ системыᅟ защитыᅟ конфиденциальнойᅟ информацииᅟ в ОООᅟ “АйТиПартнер”ᅟ являетсяᅟ стандартᅟ ГОСТᅟ Р ИСО/МЭКᅟ 17799-2005ᅟ.
В качествеᅟ основыᅟ по управлениюᅟ рискамиᅟ информационнойᅟ безопасностиᅟ былᅟ выбранᅟ стандартᅟ BS 7799-3:2006ᅟ. Такᅟ какᅟ он являетсяᅟ достаточноᅟ общимᅟ, чтобыᅟ егоᅟ можноᅟ былоᅟ применитьᅟ в малыхᅟ, среднихᅟ и крупныхᅟ организацияхᅟ. В стандартеᅟ содержитсяᅟ довольноᅟ обширныйᅟ переченьᅟ рисковᅟ информационнойᅟ безопасностиᅟ и рисковᅟ организацииᅟ. Такжеᅟ данныйᅟ стандартᅟ можноᅟ использоватьᅟ в формеᅟ руководящихᅟ принциповᅟ и рекомендацийᅟ.
2. Анализᅟ информационныхᅟ рисковᅟ ОООᅟ “АйТиПартнер”ᅟ
2.1ᅟ Информационнаяᅟ сетьᅟ и оборудованиеᅟ офисаᅟ
Дляᅟ анализаᅟ информационныхᅟ рисковᅟ в организацииᅟ необходимоᅟ определитьᅟ компонентыᅟ инфраструктурыᅟ и установитьᅟ связиᅟ междуᅟ нимиᅟ, следующимᅟ шагомᅟ будетᅟ оценкаᅟ ущербаᅟ и вероятностиᅟ угрозᅟ безопасностиᅟ информацииᅟ и определениеᅟ наиболееᅟ значительныхᅟ из нихᅟ.
ОООᅟ «АйТиПартнер»ᅟ - Компанияᅟ специализирующаясяᅟ на поставкахᅟ компьютернойᅟ и организационнойᅟ техникиᅟ, расходныхᅟ материаловᅟ и комплектующихᅟ. В настоящееᅟ времяᅟ компанияᅟ состоитᅟ из центральногоᅟ офисаᅟ и двухᅟ розничныхᅟ магазиновᅟ.
Болееᅟ подробноᅟ, структурнаяᅟ схемаᅟ организацииᅟ изображенаᅟ на Рисункеᅟ 1.
�
Рисунокᅟ 1. Структурнаяᅟ схемаᅟ организации
Работаᅟ магазиновᅟ осуществляетсяᅟ путемᅟ подключенияᅟ с рабочегоᅟ местаᅟ к Терминальномуᅟ серверуᅟ (Serv_term)ᅟ и запускаᅟ Бизнес-приложенияᅟ Axaptaᅟ.
Данныйᅟ разделᅟ описываетᅟ существующуюᅟ информационнуюᅟ сетьᅟ Центральногоᅟ офисаᅟ организацииᅟ ОООᅟ ”АйТиПартнер”ᅟ (Рисунокᅟ 2).
Основныеᅟ параметрыᅟ информационнойᅟ сетиᅟ Центральногоᅟ офиса:
1 ᅟ Рабочаяᅟ сетьᅟ — обеспечиваетᅟ основнуюᅟ бизнес-деятельностьᅟ сотрудниковᅟ компанииᅟ.
2 ᅟ Адресацияᅟ рабочейᅟ сетиᅟ - 192ᅟ.168ᅟ.100ᅟ.0/24
Схемаᅟ сети:
�
Рисунокᅟ 2. Схемаᅟ Локальнойᅟ сетиᅟ Центральногоᅟ офисаᅟ.
2ᅟ.2 Информационнаяᅟ сетьᅟ и оборудованиеᅟ Магазинаᅟ 1
Данныйᅟ разделᅟ описываетᅟ существующуюᅟ информационнуюᅟ сетьᅟ Магазинаᅟ 1 организацииᅟ ОООᅟ ”АйТиПартнер”ᅟ (Рисунокᅟ 3).
Основныеᅟ параметрыᅟ информационнойᅟ сетиᅟ Магазинаᅟ 1:
1 ᅟ Рабочаяᅟ сетьᅟ — обеспечиваетᅟ основнуюᅟ бизнес-деятельностьᅟ менеджеровᅟ, а такᅟ же обеспечиваетᅟ основнуюᅟ бизнес-деятельностьᅟ стороннихᅟ сотрудниковᅟ (кредитныеᅟ инспектора)ᅟ, работуᅟ POS-терминаловᅟ, универсальногоᅟ местаᅟ тестированияᅟ.
2 ᅟ Адресацияᅟ рабочейᅟ сетиᅟ - 192ᅟ.168ᅟ.100ᅟ.0/24
3ᅟ Скоростьᅟ каналаᅟ связиᅟ до центральногоᅟ офисаᅟ – 100Мбит/с;
Схемаᅟ сети:
�Рисунокᅟ 3. Схемаᅟ Локальнойᅟ сетиᅟ Магазинаᅟ 1.
Оборудованиеᅟ локальнойᅟ сети
Дляᅟ подключенияᅟ клиентовᅟ рабочейᅟ сетиᅟ использованᅟ управляемыйᅟ коммутаторᅟ AT-8326GBᅟ (24+2ᅟ порта)ᅟ, trunk-портᅟ (26)ᅟ подключенᅟ к маршрутизаторуᅟ Ciscoᅟ 871ᅟ. Наᅟ кассовыхᅟ рабочихᅟ местахᅟ и рабочихᅟ местахᅟ менеджеровᅟ устанавливаютсяᅟ тонкиеᅟ клиентыᅟ Нормаᅟ. Наᅟ рабочееᅟ местоᅟ администратораᅟ устанавливаетсяᅟ рабочаяᅟ станцияᅟ. Работаᅟ фискальныхᅟ регистраторовᅟ на кассовыхᅟ рабочихᅟ местахᅟ производитсяᅟ черезᅟ IP-Serialᅟ конвертерыᅟ, портыᅟ которыхᅟ терминируютсяᅟ на терминальномᅟ сервереᅟ.
Основныеᅟ настройкиᅟ коммутатораᅟ AT-8326GB:
1 ᅟ Имяᅟ sw-bk-01;
2 ᅟ IP-адресᅟ 192ᅟ.168ᅟ.100ᅟ.111;
Основныеᅟ настройкиᅟ маршрутизатораᅟ Ciscoᅟ 871:
ᅟ Настройкаᅟ QoSᅟ с выделениемᅟ классовᅟ бизнес-трафикаᅟ.
Доступᅟ в сетьᅟ Интернет
Доступᅟ в сетьᅟ Интернетᅟ дляᅟ сотрудниковᅟ организованᅟ черезᅟ прокси-серверᅟ. Учетᅟ трафикаᅟ ведетсяᅟ в головномᅟ офисеᅟ.
Расширенноеᅟ описаниеᅟ используемыхᅟ сервисов
Серверᅟ DHCP:ᅟ используетсяᅟ ISCᅟ dhcpdᅟ, установленныйᅟ на видеосерверᅟ. Приᅟ выдачеᅟ IP-адресовᅟ дляᅟ клиентовᅟ рабочейᅟ сетиᅟ адресᅟ DNS-сервераᅟ и DNS-префиксᅟ выдаетсяᅟ 192ᅟ.168ᅟ.100ᅟ.5 иᅟ partnerᅟ. localᅟ соответственноᅟ. В подсетиᅟ на уровнеᅟ DHCP-сервераᅟ устанавливаетсяᅟ резервированиеᅟ и привязкиᅟ IP-адресовᅟ согласноᅟ адресномуᅟ плануᅟ.
2ᅟ.3 Информационнаяᅟ сетьᅟ и оборудованиеᅟ Магазинаᅟ 2.
Данныйᅟ разделᅟ описываетᅟ существующуюᅟ информационнуюᅟ сетьᅟ Магазинаᅟ 2 организацииᅟ ОООᅟ ”АйТиПартнер”ᅟ (Рисунокᅟ 4).
Основныеᅟ параметрыᅟ информационнойᅟ сетиᅟ Магазинаᅟ 2:
1 Рабочаяᅟ сетьᅟ — обеспечиваетᅟ основнуюᅟ бизнес-деятельностьᅟ менеджеровᅟ, а такᅟ же обеспечиваетᅟ основнуюᅟ бизнес-деятельностьᅟ стороннихᅟ сотрудниковᅟ (кредитныеᅟ инспектора)ᅟ, работуᅟ POS-терминаловᅟ, универсальногоᅟ местаᅟ тестированияᅟ.
2 ᅟ Адресацияᅟ рабочейᅟ сетиᅟ - 192ᅟ.168ᅟ.100ᅟ.0/24
3 ᅟ Скоростьᅟ каналаᅟ связиᅟ до центральногоᅟ офисаᅟ – 2048Кбит/с;
Схемаᅟ сети:
�
Рисунокᅟ 4. Схемаᅟ Локальнойᅟ сетиᅟ Магазинаᅟ 2.
Оборудованиеᅟ локальнойᅟ сети
Дляᅟ подключенияᅟ клиентовᅟ рабочейᅟ сетиᅟ использованᅟ управляемыйᅟ коммутаторᅟ AT-8326GBᅟ (24+2ᅟ порта)ᅟ, trunk-портᅟ (26)ᅟ подключенᅟ к маршрутизаторуᅟ Ciscoᅟ 1841ᅟ. Наᅟ кассовыхᅟ рабочихᅟ местахᅟ и рабочихᅟ местахᅟ менеджеровᅟ устанавливаютсяᅟ тонкиеᅟ клиентыᅟ Нормаᅟ. Наᅟ рабочееᅟ местоᅟ администратораᅟ устанавливаетсяᅟ рабочаяᅟ станцияᅟ. Работаᅟ фискальныхᅟ регистраторовᅟ на кассовыхᅟ рабочихᅟ местахᅟ производитсяᅟ черезᅟ IP-Serialᅟ конвертерыᅟ, портыᅟ которыхᅟ терминируютсяᅟ на терминальномᅟ сервереᅟ.
Основныеᅟ настройкиᅟ коммутатораᅟ AT-8326GB:
1 ᅟ Имяᅟ sw-prmr-01;
2 ᅟ IP-адресᅟ 192ᅟ.168ᅟ.100ᅟ.151;
Основныеᅟ настройкиᅟ маршрутизатораᅟ Ciscoᅟ 1841:
Настройкаᅟ QoSᅟ с выделениемᅟ классовᅟ бизнес-трафикаᅟ.
Доступᅟ в сетьᅟ Интернет
Доступᅟ в сетьᅟ Интернетᅟ дляᅟ сотрудниковᅟ организованᅟ черезᅟ прокси-серверᅟ. Учетᅟ трафикаᅟ ведетсяᅟ в головномᅟ офисеᅟ.
Расширенноеᅟ описаниеᅟ используемыхᅟ сервисов
Серверᅟ DHCP:ᅟ используетсяᅟ ISCᅟ dhcpdᅟ, установленныйᅟ на видеосерверᅟ. Приᅟ выдачеᅟ IP-адресовᅟ дляᅟ клиентовᅟ рабочейᅟ сетиᅟ адресᅟ DNS-сервераᅟ и DNS-префиксᅟ выдаетсяᅟ 192ᅟ.168ᅟ.100ᅟ.5 иᅟ partnerᅟ. localᅟ соответственноᅟ. В подсетиᅟ на уровнеᅟ DHCP-сервераᅟ устанавливаетсяᅟ резервированиеᅟ и привязкиᅟ IP-адресовᅟ согласноᅟ адресномуᅟ плануᅟ.
2.4 Оценкаᅟ рисков
Ресурсыᅟ – этоᅟ то,ᅟ чтоᅟ имеетᅟ ценностьᅟ дляᅟ организацииᅟ, ееᅟ деловыхᅟ операцийᅟ и ихᅟ непрерывностиᅟ. Поэтомуᅟ ресурсыᅟ необходимоᅟ защищатьᅟ дляᅟ тогоᅟ, чтобыᅟ обеспечитьᅟ корректностьᅟ деловыхᅟ операцийᅟ и непрерывностьᅟ бизнесаᅟ. Надлежащееᅟ управлениеᅟ и учетᅟ ресурсовᅟ являютсяᅟ жизненноᅟ важнымиᅟ и должныᅟ являтьсяᅟ основнойᅟ обязанностьюᅟ дляᅟ руководстваᅟ всехᅟ уровнейᅟ.
Важныеᅟ ресурсыᅟ организацииᅟ должныᅟ бытьᅟ четкоᅟ идентифицированыᅟ и должнымᅟ образомᅟ оцененыᅟ, а реестрыᅟ этихᅟ ресурсовᅟ должныᅟ бытьᅟ собраныᅟ вместеᅟ и поддерживатьсяᅟ в актуальномᅟ состоянииᅟ. Объединениеᅟ похожихᅟ илиᅟ связанныхᅟ ресурсовᅟ в управляемыеᅟ наборыᅟ позволяютᅟ облегчитьᅟ усилияᅟ, затрачиваемыеᅟ на процессᅟ оценкиᅟ рисковᅟ.
Подотчетностьᅟ за ресурсыᅟ позволяетᅟ обеспечитьᅟ поддержаниеᅟ адекватнойᅟ информационнойᅟ безопасностиᅟ. Дляᅟ каждогоᅟ из идентифицированныхᅟ ресурсовᅟ илиᅟ группыᅟ ресурсовᅟ долженᅟ бытьᅟ определенᅟ их владелецᅟ, и ответственностьᅟ за сопровождениеᅟ соответствующихᅟ механизмовᅟ безопасностиᅟ должнаᅟ бытьᅟ возложенаᅟ на этогоᅟ владельцаᅟ.
Вᅟ любойᅟ организацииᅟ, требованияᅟ безопасностиᅟ происходятᅟ из трехᅟ основныхᅟ источников:
Уникальныйᅟ наборᅟ угрозᅟ и уязвимостейᅟ, которыеᅟ могутᅟ привестиᅟ к значительнымᅟ потерямᅟ, в случаеᅟ их реализацииᅟ. Применимыеᅟ к организацииᅟ, ееᅟ коммерческимᅟ партнерамᅟ, подрядчикамᅟ и сервисᅟ провайдерамᅟ требованияᅟ законодательстваᅟ, нормативнойᅟ базыᅟ и договоровᅟ. Уникальныйᅟ наборᅟ принциповᅟ, целейᅟ и требованийᅟ к обработкеᅟ информацииᅟ, которыйᅟ организацияᅟ разработалаᅟ дляᅟ поддержкиᅟ своихᅟ деловыхᅟ операцийᅟ и процессовᅟ, и которыйᅟ применяетсяᅟ к информационнымᅟ системамᅟ организацииᅟ.
Послеᅟ тогоᅟ, какᅟ требованияᅟ законодательстваᅟ и бизнесᅟ требованияᅟ былиᅟ определеныᅟ, необходимоᅟ рассмотретьᅟ их вᅟ процессеᅟ определенияᅟ стоимостиᅟ ресурсовᅟ и сформулироватьᅟ их вᅟ терминахᅟ конфиденциальностиᅟ, целостностиᅟ и доступностиᅟ.
Определениеᅟ стоимостиᅟ ресурсов
Основныеᅟ факторыᅟ в оценкеᅟ рискаᅟ - идентификацияᅟ и определениеᅟ стоимостиᅟ ресурсовᅟ, исходяᅟ из потребностейᅟ бизнесаᅟ организацииᅟ. Дляᅟ определенияᅟ требуемогоᅟ уровняᅟ защитыᅟ ресурсовᅟ, необходимоᅟ оценитьᅟ их стоимостьᅟ исходяᅟ из степениᅟ их важностиᅟ дляᅟ бизнесаᅟ илиᅟ их ценностиᅟ дляᅟ различныхᅟ возможностейᅟ деловойᅟ деятельностиᅟ. Такжеᅟ необходимоᅟ учитыватьᅟ идентифицированныеᅟ законодательныеᅟ требованияᅟ, требованияᅟ бизнесаᅟ и последствияᅟ нарушенияᅟ конфиденциальностиᅟ, целостностиᅟ и доступностиᅟ.
Однимᅟ из способовᅟ выраженияᅟ стоимостиᅟ ресурсаᅟ являетсяᅟ использованиеᅟ последствийᅟ дляᅟ бизнесаᅟ, возникающихᅟ в отношенииᅟ ресурсаᅟ и связанныхᅟ с нимᅟ деловыхᅟ интересовᅟ, которымᅟ будетᅟ нанесенᅟ прямойᅟ илиᅟ косвенныйᅟ ущербᅟ в результатеᅟ нежелательныхᅟ инцидентовᅟ, такихᅟ какᅟ раскрытиеᅟ, модификацияᅟ, недоступностьᅟ и/илиᅟ уничтожениеᅟ ресурсовᅟ. Этиᅟ инцидентыᅟ могутᅟ, в своюᅟ очередьᅟ, привестиᅟ к потереᅟ доходаᅟ илиᅟ прибылиᅟ, поэтомуᅟ этиᅟ соображенияᅟ должныᅟ бытьᅟ отраженыᅟ в стоимостиᅟ ресурсовᅟ.
Исходныеᅟ данныеᅟ дляᅟ определенияᅟ стоимостиᅟ ресурсовᅟ должныᅟ бытьᅟ предоставленыᅟ владельцамиᅟ и пользователямиᅟ этихᅟ ресурсовᅟ, которыеᅟ могутᅟ авторитетноᅟ рассуждатьᅟ о стоимостиᅟ ресурсовᅟ и конкретнойᅟ информацииᅟ дляᅟ организацииᅟ и ееᅟ бизнесаᅟ. Дляᅟ тогоᅟ чтобыᅟ единообразноᅟ определятьᅟ стоимостьᅟ ресурсовᅟ, должнаᅟ бытьᅟ определенаᅟ шкалаᅟ стоимостиᅟ ресурсовᅟ.
Дляᅟ каждогоᅟ из ресурсовᅟ должнаᅟ бытьᅟ определенаᅟ егоᅟ стоимостьᅟ, отражающаяᅟ потенциальныеᅟ последствияᅟ дляᅟ бизнесаᅟ в случаеᅟ нарушенияᅟ конфиденциальностиᅟ, целостностиᅟ, доступностиᅟ илиᅟ любыхᅟ другихᅟ важныхᅟ свойствᅟ этогоᅟ ресурсаᅟ. Дляᅟ каждогоᅟ из этихᅟ свойствᅟ должноᅟ бытьᅟ определеноᅟ отдельноеᅟ значениеᅟ стоимостиᅟ, такᅟ какᅟ ониᅟ являютсяᅟ независимымиᅟ и могутᅟ варьироватьсяᅟ дляᅟ каждогоᅟ из ресурсовᅟ.
Информацияᅟ и другиеᅟ ресурсыᅟ должныᅟ бытьᅟ соответствующимᅟ образомᅟ классифицированыᅟ в соответствииᅟ с идентифицированнойᅟ стоимостьюᅟ ресурсовᅟ, законодательнымиᅟ и бизнесᅟ требованиямиᅟ и уровнемᅟ критичностиᅟ. Классификацияᅟ показываетᅟ потребностьᅟ, приоритетыᅟ и ожидаемыйᅟ уровеньᅟ защитыᅟ приᅟ обращенииᅟ с информациейᅟ. Определениеᅟ классификацииᅟ, а такжеᅟ ее пересмотрᅟ с цельюᅟ предоставленияᅟ гарантийᅟ тогоᅟ, чтоᅟ классификацияᅟ остаетсяᅟ на соответствующемᅟ уровнеᅟ, входитᅟ в обязанностиᅟ владельцаᅟ ресурсаᅟ.
Идентификацияᅟ угрозᅟ и уязвимостей
Ресурсыᅟ являютсяᅟ объектомᅟ дляᅟ многихᅟ видовᅟ угрозᅟ. Угрозаᅟ можетᅟ статьᅟ причинойᅟ нежелательногоᅟ инцидентаᅟ, в результатеᅟ которогоᅟ организацииᅟ илиᅟ ее ресурсамᅟ будетᅟ причиненᅟ ущербᅟ. Этотᅟ ущербᅟ можетᅟ возникнутьᅟ в результатеᅟ атакиᅟ на информациюᅟ, принадлежащуюᅟ организацииᅟ, напримерᅟ, приводящейᅟ к ееᅟ несанкционированномуᅟ раскрытиюᅟ, модификацииᅟ, повреждениюᅟ, уничтожениюᅟ, недоступностиᅟ илиᅟ потериᅟ. Угрозыᅟ могутᅟ исходитьᅟ от случайныхᅟ илиᅟ преднамеренныхᅟ источниковᅟ илиᅟ событийᅟ. Приᅟ реализацииᅟ угрозыᅟ используетсяᅟ однаᅟ илиᅟ болееᅟ уязвимостейᅟ используемыхᅟ организациейᅟ системᅟ, приложенийᅟ илиᅟ сервисовᅟ с цельюᅟ успешногоᅟ причиненияᅟ ущербаᅟ ресурсамᅟ. Угрозыᅟ могутᅟ исходитьᅟ какᅟ изнутриᅟ организацииᅟ, такᅟ и извнеᅟ.
Уязвимостиᅟ представляютᅟ собойᅟ слабостиᅟ защитыᅟ, ассоциированныеᅟ с ресурсамиᅟ организацииᅟ. Этиᅟ слабостиᅟ могутᅟ использоватьсяᅟ однойᅟ илиᅟ несколькимиᅟ угрозамиᅟ, являющимисяᅟ причинойᅟ нежелательныхᅟ инцидентовᅟ, которыеᅟ могутᅟ привестиᅟ к потереᅟ, повреждениюᅟ илиᅟ ущербуᅟ дляᅟ ресурсовᅟ и бизнесаᅟ организацииᅟ. Идентификацияᅟ уязвимостейᅟ должнаᅟ определятьᅟ связанныеᅟ с ресурсамиᅟ слабостиᅟ в:
физическомᅟ окружении;ᅟ персоналеᅟ, процедурахᅟ управленияᅟ, администрированияᅟ и механизмахᅟ контроля;ᅟ деловыхᅟ операцияхᅟ и предоставленииᅟ сервисов;ᅟ техническихᅟ средствахᅟ, программномᅟ обеспеченииᅟ илиᅟ телекоммуникационномᅟ оборудованииᅟ и поддерживающейᅟ инфраструктуреᅟ.
Оценкаᅟ угрозᅟ и уязвимостей
Послеᅟ идентификацииᅟ угрозᅟ и уязвимостейᅟ необходимоᅟ оценитьᅟ вероятностьᅟ их объединенияᅟ и возникновенияᅟ рискаᅟ. Этоᅟ включаетᅟ в себяᅟ оценкуᅟ вероятностиᅟ реализацииᅟ угрозᅟ, а такжеᅟ тогоᅟ, насколькоᅟ легкоᅟ ониᅟ могутᅟ использоватьᅟ имеющиесяᅟ уязвимостиᅟ.
Оценкаᅟ вероятностиᅟ угрозᅟ должнаᅟ учитыватьᅟ следующее:
Преднамеренныеᅟ угрозыᅟ. Вероятностьᅟ преднамеренныхᅟ угрозᅟ зависитᅟ от мотивацииᅟ, знанийᅟ, компетенцииᅟ и ресурсовᅟ, доступныхᅟ потенциальномуᅟ злоумышленникуᅟ, а такжеᅟ от привлекательностиᅟ ресурсовᅟ дляᅟ реализацииᅟ изощренныхᅟ атакᅟ. Случайныеᅟ угрозыᅟ. Вероятностьᅟ случайныхᅟ угрозᅟ можетᅟ оцениватьсяᅟ с использованиемᅟ статистикиᅟ и опытаᅟ. Вероятностьᅟ такихᅟ угрозᅟ можетᅟ зависетьᅟ от близостиᅟ организацииᅟ к источникамᅟ опасностиᅟ, такимᅟ какᅟ автомагистралиᅟ и железнодорожныеᅟ путиᅟ, а такжеᅟ заводыᅟ, имеющиеᅟ делоᅟ с опаснымиᅟ материаламиᅟ, такимиᅟ какᅟ химическиеᅟ веществаᅟ илиᅟ бензинᅟ. Вероятностьᅟ человеческихᅟ ошибокᅟ (однаᅟ из наиболееᅟ распространенныхᅟ случайныхᅟ угроз)ᅟ и поломкиᅟ оборудованияᅟ такжеᅟ должныᅟ бытьᅟ оцененыᅟ. Прошлыеᅟ инцидентыᅟ. Этоᅟ инцидентыᅟ, происходившиеᅟ в прошломᅟ, которыеᅟ иллюстрируютᅟ проблемыᅟ, имеющиесяᅟ в существующихᅟ защитныхᅟ мерахᅟ. Новыеᅟ разработкиᅟ и тенденцииᅟ. Этоᅟ включаетᅟ в себяᅟ отчетыᅟ, новостиᅟ и тенденцииᅟ, полученныеᅟ из Интернетᅟ, группᅟ новостейᅟ илиᅟ от другихᅟ организацийᅟ, которыеᅟ помогаютᅟ оцениватьᅟ ситуациюᅟ с угрозамиᅟ.
Вероятностьᅟ реализацииᅟ угрозᅟ должнаᅟ оцениватьсяᅟ на основеᅟ такойᅟ оценкиᅟ и наᅟ базеᅟ шкалыᅟ, выбраннойᅟ дляᅟ оценкиᅟ угрозᅟ и уязвимостейᅟ. Общаяᅟ вероятностьᅟ инцидентаᅟ такжеᅟ зависитᅟ от уязвимостейᅟ ресурсовᅟ, т.ᅟе. насколькоᅟ легкоᅟ уязвимостиᅟ могутᅟ бытьᅟ использованыᅟ.
Вычислениеᅟ уровнейᅟ рисковᅟ производитьсяᅟ путемᅟ комбинированияᅟ стоимостиᅟ ресурсовᅟ, выражающейᅟ вероятныеᅟ последствияᅟ нарушенияᅟ конфиденциальностиᅟ, целостностиᅟ и/илиᅟ доступностиᅟ, с оценочнойᅟ вероятностьюᅟ связанныхᅟ с нимиᅟ угрозᅟ и величинойᅟ уязвимостейᅟ, которыеᅟ приᅟ объединенииᅟ становятсяᅟ причинойᅟ инцидентаᅟ.
Организацияᅟ самаᅟ должнаᅟ определитьᅟ методᅟ оценкиᅟ рисковᅟ, наиболееᅟ подходящийᅟ дляᅟ ее бизнесᅟ требованийᅟ и требованийᅟ безопасностиᅟ. Вычисленныеᅟ уровниᅟ рисковᅟ позволяютᅟ ранжироватьᅟ рискиᅟ и идентифицироватьᅟ те рискиᅟ, которыеᅟ являютсяᅟ наиболееᅟ проблематичнымиᅟ дляᅟ организацииᅟ.
Существуютᅟ различныеᅟ способыᅟ установленияᅟ отношенийᅟ междуᅟ стоимостьюᅟ, присвоеннойᅟ ресурсамᅟ, вероятностьюᅟ угрозᅟ и величинойᅟ уязвимостейᅟ дляᅟ полученияᅟ единицᅟ измеренияᅟ рисковᅟ.
Рискᅟ определяетсяᅟ двумяᅟ факторамиᅟ, одинᅟ их нихᅟ выражаетᅟ последствияᅟ, наступающиеᅟ в случаеᅟ осуществленияᅟ рискаᅟ, а другойᅟ выражаетᅟ вероятностьᅟ тогоᅟ, чтоᅟ этоᅟ событиеᅟ можетᅟ произойтиᅟ.
Факторᅟ, определяющийᅟ последствияᅟ рискаᅟ, основанᅟ на определенииᅟ стоимостиᅟ ресурсаᅟ, а вероятностныйᅟ факторᅟ рискаᅟ, базируетсяᅟ на угрозахᅟ и уязвимостяхᅟ и ихᅟ оценочныхᅟ величинахᅟ.
Следующейᅟ частьюᅟ оцениванияᅟ рискаᅟ являетсяᅟ сравнениеᅟ вычисленныхᅟ уровнейᅟ рискаᅟ со шкалойᅟ уровняᅟ рискаᅟ. Уровниᅟ рискаᅟ должныᅟ бытьᅟ выраженыᅟ в терминахᅟ потерьᅟ дляᅟ бизнесаᅟ и времениᅟ восстановленияᅟ, какᅟ, напримерᅟ, «серьезныйᅟ ущербᅟ дляᅟ бизнесаᅟ организацииᅟ, отᅟ которогоᅟ организацияᅟ не можетᅟ восстановитьсяᅟ раньшеᅟ, чемᅟ за полгода»ᅟ. Установлениеᅟ связиᅟ междуᅟ уровнямиᅟ рискаᅟ и бизнесомᅟ организацииᅟ необходимоᅟ дляᅟ тогоᅟ, чтобыᅟ реалистичноᅟ оцениватьᅟ влияниеᅟ, котороеᅟ вычисленныеᅟ рискиᅟ оказываютᅟ на бизнесᅟ организацииᅟ, и доноситьᅟ смыслᅟ уровнейᅟ рискаᅟ до руководстваᅟ.
Оцениваниеᅟ рисковᅟ должноᅟ такжеᅟ идентифицироватьᅟ приемлемыеᅟ в большинствеᅟ случаевᅟ уровниᅟ рискаᅟ, т.ᅟ е. теᅟ уровниᅟ рискаᅟ, приᅟ которыхᅟ оцениваемыйᅟ ущербᅟ настолькоᅟ малᅟ, чтоᅟ организацияᅟ справляетсяᅟ с нимᅟ не прерываяᅟ своегоᅟ повседневногоᅟ бизнесаᅟ, и приᅟ которыхᅟ, поэтомуᅟ, дальнейшиеᅟ действияᅟ не требуютсяᅟ. [6]
2ᅟ.5 Анализᅟ информационныхᅟ рисковᅟ
Модельᅟ нарушителяᅟ представляетᅟ из себяᅟ некоеᅟ описаниеᅟ типовᅟ злоумышленниковᅟ, которыеᅟ намеренноᅟ илиᅟ случайноᅟ, действиемᅟ илиᅟ бездействиемᅟ способныᅟ нанестиᅟ ущербᅟ информационнойᅟ системеᅟ. Чащеᅟ всегоᅟ ониᅟ подразделяютсяᅟ на внешнихᅟ, внутреннихᅟ и прочихᅟ (соответственноᅟ, категорииᅟ А, Вᅟ и C)ᅟ. Однакоᅟ такоеᅟ делениеᅟ не являетсяᅟ достаточнымᅟ. Поэтомуᅟ ранжированиеᅟ проводитсяᅟ с диверсификациейᅟ указанныхᅟ категорийᅟ на подкатегорииᅟ. [17]
Таблицаᅟ 1. Модельᅟ нарушителяᅟ.
Идентификатор
�Наименование
�Описание возможностей
�
�A1
�Внешний нарушитель
�
�
�B1
�Внутренний нарушитель
�Лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступ к информационному ресурсу.
�
�B2
�Внутренний нарушитель
�Зарегистрированный пользователь информационного ресурса, имеющий ограниченные права доступа к данным.
�
�C1
�Вредоносная программа
�Программные закладки («Троянский конь», специальные программы: клавиатурные шпионы, программы подбора паролей удаленного доступа и др.)
Программные вирусы.
�
�C2
�Сбои, отказы оборудования
�
�
�Ресурсыᅟ информационнойᅟ системы
Вᅟ качествеᅟ объектовᅟ информационнойᅟ системыᅟ, к которымᅟ применялсяᅟ обзорᅟ угрозᅟ, былиᅟ выбраныᅟ основныеᅟ компонентыᅟ сети:
· ᅟ Domainᅟ Controller
· ᅟ Exchange
· ᅟ Серверᅟ БД
· ᅟ Терминальныйᅟ Сервер
· ᅟ Маршрутизатор
· ᅟ Коммутатор
· ᅟ Рабочееᅟ местоᅟ центральногоᅟ офиса
· ᅟ Рабочееᅟ местоᅟ магазина
· ᅟ Каналᅟ связи
Компьютерыᅟ рабочихᅟ местᅟ центральногоᅟ офисаᅟ и магазинаᅟ былиᅟ объединеныᅟ в группыᅟ Рабочееᅟ местоᅟ центральногоᅟ офисаᅟ и Рабочееᅟ местоᅟ магазинаᅟ соответственноᅟ, в видуᅟ схожестиᅟ рабочихᅟ местᅟ, отдельноеᅟ их рассмотрениеᅟ нецелесообразноᅟ. Такжеᅟ в группыᅟ былиᅟ объединеныᅟ Маршрутизаторыᅟ и Коммутаторыᅟ. Дляᅟ каждогоᅟ сервераᅟ организацииᅟ составлялсяᅟ собственныйᅟ списокᅟ угрозᅟ и оценкаᅟ рисковᅟ.
Былᅟ выбранᅟ обобщенныйᅟ списокᅟ угрозᅟ, дляᅟ их устраненияᅟ на данномᅟ, начальномᅟ этапеᅟ. Рядᅟ перечисленныхᅟ угрозᅟ включаетᅟ в себяᅟ определенныйᅟ переченьᅟ (BSᅟ 7799-3:2006)ᅟ.
Угрозаᅟ полученияᅟ полногоᅟ удаленногоᅟ контроляᅟ надᅟ системойᅟ включаетᅟ в себя:
- ᅟ несанкционированныйᅟ доступ;
- ᅟ несанкционированныйᅟ доступᅟ к журналамᅟ аудита;
- ᅟ присвоениеᅟ идентификатораᅟ пользователя;
- ᅟ доступᅟ к сетиᅟ неавторизованныхᅟ лиц;
Угрозаᅟ нарушенияᅟ целостностиᅟ, правильногоᅟ функционированияᅟ системыᅟ включаетᅟ в себя:
- ᅟ нарушениеᅟ целостности;
- ᅟ ошибки;
- ᅟ внедрениеᅟ несанкционированногоᅟ илиᅟ не протестированногоᅟ кода;
- ᅟ вредоносныйᅟ код;
Угрозаᅟ нарушенияᅟ доступностиᅟ системыᅟ включаетᅟ в себя:
- отказᅟ в обслуживанииᅟ, недоступностьᅟ системныхᅟ ресурсовᅟ, информации;
-ᅟ уничтожениеᅟ записей;
- ᅟ сбойᅟ оборудования;
- ᅟ сбойᅟ коммуникационныхᅟ сервисов;
Физическоеᅟ повреждениеᅟ аппаратныхᅟ средствᅟ включаетᅟ в себя:
- ᅟ сбойᅟ системыᅟ кондиционированияᅟ воздуха;
- ᅟ повреждениеᅟ носителейᅟ информации;
- ᅟ бедствияᅟ (стихийныеᅟ илиᅟ вызванныеᅟ действиямиᅟ людей);
- ᅟ несанкционированныйᅟ физическийᅟ доступ;
- ᅟ вандализм;
Возможностьᅟ негласногоᅟ полученияᅟ и разглашениеᅟ (публикация)ᅟ защищаемойᅟ информацииᅟ включаетᅟ в себя:
- ᅟ несанкционированноеᅟ раскрытиеᅟ информацииᅟ.
- ᅟ утечкаᅟ информации;
- ᅟ раскрытиеᅟ информации;
- ᅟ раскрытиеᅟ паролей;
- ᅟ перехватᅟ информации;
- ᅟ фальсификацияᅟ записей;
Расчетᅟ информационныхᅟ рисков
Стоимостьᅟ ресурсаᅟ (Assetᅟ Valueᅟ, AV)ᅟ. Характеристикаᅟ ценностиᅟ данногоᅟ ресурсаᅟ. 1 —ᅟ минимальнаяᅟ стоимостьᅟ ресурсаᅟ, 2 —ᅟ средняяᅟ стоимостьᅟ ресурсаᅟ, 3 —ᅟ максимальнаяᅟ стоимостьᅟ ресурсаᅟ.
Мераᅟ уязвимостиᅟ ресурсаᅟ к угрозеᅟ (Exposureᅟ Factorᅟ, EF)ᅟ. Этотᅟ параметрᅟ показываетᅟ, в какойᅟ степениᅟ тотᅟ илиᅟ инойᅟ ресурсᅟ уязвимᅟ по отношениюᅟ к рассматриваемойᅟ угрозеᅟ. 1 — минимальнаяᅟ мераᅟ уязвимостиᅟ, 2 —ᅟ средняяᅟ мераᅟ уязвимостиᅟ, 3 - максимальнаяᅟ мераᅟ уязвимости;
Оценкаᅟ вероятностиᅟ реализацииᅟ угрозыᅟ (Annualᅟ Rateᅟ of Occurrenceᅟ, ARO)ᅟ демонстрируетᅟ, насколькоᅟ вероятнаᅟ реализацияᅟ определеннойᅟ угрозыᅟ за определенныйᅟ периодᅟ времениᅟ, и такжеᅟ ранжируетсяᅟ по шкалеᅟ от 1ᅟ до 3ᅟ (низкаяᅟ, средняяᅟ, высокая)ᅟ.
Наᅟ основанииᅟ полученныхᅟ данныхᅟ выводитсяᅟ оценкаᅟ ожидаемыхᅟ потерьᅟ (уровеньᅟ риска):
Оценкаᅟ ожидаемогоᅟ возможногоᅟ ущербаᅟ от единичнойᅟ реализацииᅟ определеннойᅟ угрозыᅟ (Singleᅟ Lossᅟ Exposureᅟ, SLE)ᅟ рассчитываетсяᅟ по формуле:ᅟ SLEᅟ = AVᅟ x EF;
Итоговыеᅟ ожидаемыеᅟ потериᅟ от конкретнойᅟ угрозыᅟ за определенныйᅟ периодᅟ времениᅟ (Annualᅟ Lossᅟ Exposureᅟ, ALE)ᅟ характеризуютᅟ величинуᅟ рискаᅟ и рассчитываетсяᅟ по формуле:ᅟ ALEᅟ = SLEᅟ x AROᅟ.
Конечнаяᅟ формулаᅟ расчетаᅟ рисковᅟ представляетᅟ собойᅟ произведение:ᅟ ALEᅟ = ((AVᅟ x EFᅟ = SLE)ᅟ x ARO)ᅟ. [17]
Определениеᅟ значениеᅟ ущербаᅟ и вероятностейᅟ производиласьᅟ техническимиᅟ специалистамиᅟ и заместителемᅟ директораᅟ по информационнойᅟ безопасностиᅟ ОООᅟ «АйТиПартнер»ᅟ, в составеᅟ 3-хᅟ человекᅟ.
Таблицаᅟ2.Переченьᅟугроз, представляющихᅟ потенциальнуюᅟ опасностьᅟ дляᅟ данныхᅟ.
Ресурс
�AV
�
�Угроза
�Модельᅟ нарушителя
�E
�F
�ARO
�S
�ALE
�
�Domainᅟ Controller
�3
�
�Угрозаᅟ
полученияᅟ
полногоᅟ
удаленногоᅟ
контроляᅟ
надᅟ системой
�A1ᅟ, B2
�
�3
�2
�9
�18
�
�Угрозаᅟ нарушенияᅟ целостностиᅟ, правильногоᅟ функционированияᅟ системыᅟ.
�A1ᅟ, B2ᅟ, C1ᅟ, C2
�
�3
� 3
�
�9
�27
�
�
�
�Угрозаᅟ нарушенияᅟ доступностиᅟ системы
�A1ᅟ, B2ᅟ, C1
�3
�2
�9
�18
�
�
�
�Подменаᅟ сетевогоᅟ адресаᅟ.
�A1ᅟ, B2
�3
�3
�9
�27
�
�
�
�Физическоеᅟ повреждениеᅟ аппаратныхᅟ средствᅟ.
�B1
�1
�1
�3
�3
�
�
�
�Exchange
�3
�Угрозаᅟ полученияᅟ полногоᅟ удаленногоᅟ контроляᅟ надᅟ системой
�A1ᅟ, B2
�3
�2
�9
�18
�
�Возможностьᅟ негласногоᅟ полученияᅟ и разглашениеᅟ (публикация)ᅟ защищаемойᅟ информацииᅟ.
�A1ᅟ, B2ᅟ, C1
�2
�ᅟ ᅟ ᅟ 2
�6
�12
�
�
�
�Угрозаᅟ нарушенияᅟ целостностиᅟ, правильногоᅟ функционированияᅟ системыᅟ.
�A1ᅟ, B2ᅟ, C1ᅟ, C2
�3
�3
�9
�27
�
�
�
�Угрозаᅟ нарушенияᅟ доступностиᅟ системыᅟ.
�A1ᅟ, B2ᅟ, C1
�3
�2
�9
�18
�
�
�
�
�
�
�
�
�
�
�
�
� Выводыᅟ.
Былаᅟ рассмотренаᅟ существующаяᅟ схемаᅟ организацииᅟ сетиᅟ в ОООᅟ «АйТиПартнер»ᅟ. Наᅟ основеᅟ этойᅟ схемыᅟ былиᅟ выделеныᅟ основныеᅟ ресурсыᅟ организацииᅟ и выполненᅟ анализᅟ рисковᅟ.
В ходеᅟ проведенияᅟ анализаᅟ рисковᅟ былиᅟ определеныᅟ следующиеᅟ, наиболееᅟ актуальныеᅟ, угрозы:
· ᅟ Угрозаᅟ полученияᅟ полногоᅟ удаленногоᅟ контроляᅟ надᅟ системойᅟ.
· ᅟ Угрозаᅟ нарушенияᅟ целостностиᅟ, правильногоᅟ функционированияᅟ системыᅟ.
· ᅟ Угрозаᅟ нарушенияᅟ доступностиᅟ системыᅟ.
· ᅟ Подменаᅟ сетевогоᅟ адресаᅟ.
Былᅟ предложенᅟ рядᅟ мерᅟ по снижениюᅟ возникновенияᅟ этихᅟ угроз:
· ᅟ Своевременноеᅟ обновлениеᅟ операционнойᅟ системыᅟ.
· ᅟ Развертываниеᅟ лицензионногоᅟ антивирусногоᅟ ПО.
· ᅟ Фильтрацияᅟ сетевогоᅟ трафикаᅟ, доверенныйᅟ списокᅟ портовᅟ.
· ᅟ Выводᅟ в отдельныйᅟ сегментᅟ сетиᅟ.
· ᅟ Внедрениеᅟ системыᅟ сертификатовᅟ.
· ᅟ Инструкцияᅟ по обновлениюᅟ серверныхᅟ системᅟ.
· ᅟ Инструкцияᅟ по антивируснойᅟ защитеᅟ серверныхᅟ системᅟ.
· ᅟ Регламентᅟ ИБ.
3. Проектᅟ системыᅟ защитыᅟ конфиденциальнойᅟ информацииᅟ
3ᅟ.1 Проектᅟ по изменениюᅟ информационнойᅟ сетиᅟ офисаᅟ
Дляᅟ уменьшенияᅟ рисковᅟ угрозᅟ безопасностиᅟ коммерческойᅟ информацииᅟ в ОООᅟ «АйТиПартнер”ᅟ необходимоᅟ принятьᅟ следующиеᅟ мерыᅟ по защитеᅟ информации:
1ᅟ. Изменениеᅟ информационнойᅟ сетиᅟ Центральногоᅟ офисаᅟ – Выведениеᅟ основныхᅟ серверовᅟ в отдельнуюᅟ подсеть;ᅟ Выведениеᅟ рабочихᅟ компьютеровᅟ сотрудниковᅟ и принтеровᅟ в отдельнуюᅟ подсетьᅟ (Рисунокᅟ 5).
2ᅟ. Изменениеᅟ информационнойᅟ сетиᅟ Магазиновᅟ – Разделениеᅟ сетиᅟ на рабочуюᅟ и гостевуюᅟ подсети;ᅟ настройкаᅟ ACLᅟ листовᅟ на маршрутизаторах;ᅟ обеспечениеᅟ резервногоᅟ каналаᅟ связиᅟ.
3. ᅟ Системаᅟ цифровыхᅟ сертификатовᅟ – Внедрениеᅟ сервераᅟ сертификатовᅟ x.509;ᅟ Внедрениеᅟ Radiusᅟ сервераᅟ дляᅟ проверкиᅟ подлинностиᅟ сертификатовᅟ.
4. ᅟ Организационныеᅟ мерыᅟ по защитеᅟ информацииᅟ – Описаниеᅟ регламентовᅟ информационнойᅟ безопасности;ᅟ составлениеᅟ инструкцииᅟ по парольнойᅟ защите;ᅟ составлениеᅟ инструкцииᅟ по антивируснойᅟ защитеᅟ.
�Рисунокᅟ 5. Структурнаяᅟ схемаᅟ организации
Цельᅟ проекта:
Вᅟ настоящееᅟ времяᅟ в сетиᅟ ЗАОᅟ «АйТиПартнер»ᅟ всеᅟ сервераᅟ, а такжеᅟ компьютерыᅟ пользователейᅟ и принтерыᅟ в центральномᅟ офисеᅟ компанииᅟ находятсяᅟ вместеᅟ в однойᅟ подсетиᅟ (192ᅟ.168ᅟ.100ᅟ.0/24)ᅟ. Данноеᅟ обстоятельствоᅟ не являетсяᅟ обязательнымᅟ дляᅟ функционированияᅟ рабочихᅟ процессовᅟ и, кромеᅟ тогоᅟ, негативноᅟ сказываетсяᅟ на безопасностиᅟ серверовᅟ. Напримерᅟ, включениеᅟ черезᅟ патчкордᅟ (черезᅟ которыйᅟ былᅟ подключенᅟ принтерᅟ илиᅟ компьютерᅟ сотрудника)ᅟ принесенногоᅟ «левого»ᅟ ноутбукаᅟ позволяетᅟ получитьᅟ последнемуᅟ по DHCPᅟ адресᅟ из подсетиᅟ, в которойᅟ находятсяᅟ всеᅟ сервераᅟ компанииᅟ.
Принятоᅟ решениеᅟ разработатьᅟ данныйᅟ планᅟ, согласноᅟ которомуᅟ вывестиᅟ важныеᅟ дляᅟ бизнесаᅟ сервераᅟ в отдельнуюᅟ подсетьᅟ, а такжеᅟ отделитьᅟ рабочиеᅟ компьютерыᅟ сотрудниковᅟ и принтерыᅟ в отдельнуюᅟ подсетьᅟ (Рисунокᅟ 6).
Таблицаᅟ 9. Адресацияᅟ серверовᅟ центральногоᅟ офисаᅟ.
Название сервера
�
�Текущийᅟ
IP-адрес
�Новыйᅟ IP-адрес
�
�Serv_dcᅟ (Domainᅟ Controller)
�
�192ᅟ.168ᅟ.100ᅟ.5
�192ᅟ.168ᅟ.120ᅟ.5
�
�Serv_exchᅟ (Exchangeᅟ Server)
�
�192ᅟ.168ᅟ.100ᅟ.6
�192ᅟ.168ᅟ.120ᅟ.6
�
�Serv_termᅟ (Terminalᅟ Server)
�
�192ᅟ.168ᅟ.100ᅟ.10
�192ᅟ.168ᅟ.120ᅟ.10
�
�Serv_bdᅟ (DataBaseᅟ Server)
�
�192ᅟ.168ᅟ.100ᅟ.11
�192ᅟ.168ᅟ.120ᅟ.11
�
�Планᅟ разделенияᅟ на подсети
Таблицаᅟ 10.ᅟ Планᅟ разделенияᅟ центральногоᅟ офисаᅟ на подсетиᅟ.
№
�Подсеть
�
�Содержимое
�
�1
�vlan100ᅟ (DEFAULT)ᅟ – 192ᅟ.168ᅟ.100ᅟ.0/24
�
�Рабочиеᅟ места
�
�2
�vlan120ᅟ (ITNET)ᅟ – 192ᅟ.168ᅟ.120ᅟ.0/27
�
�Новаяᅟ подсетьᅟ дляᅟ серверов
�
�Схемаᅟ сети
�
Рисунокᅟ 6. Схемаᅟ сетиᅟ центральногоᅟ офисаᅟ.
3ᅟ.2 Проектᅟ по изменениюᅟ информационнойᅟ сетиᅟ Магазинаᅟ 1
Цельᅟ проекта:
Данныйᅟ проектᅟ предусматриваетᅟ модернизациюᅟ существующейᅟ информационнойᅟ сетиᅟ, с одновременнымᅟ решениемᅟ вопросаᅟ безопасностиᅟ подразделенияᅟ (Рисунокᅟ 7).
Вᅟ рамкахᅟ проектаᅟ решаютсяᅟ следующиеᅟ задачи:
-ᅟ работаᅟ сотрудников-менеджеровᅟ в бизнес-приложенииᅟ, осуществлениеᅟ имиᅟ рабочейᅟ деятельности;
- ᅟ работаᅟ стороннихᅟ сотрудниковᅟ (кредитныеᅟ инспекторы)ᅟ, ихᅟ оборудованияᅟ (POS-терминалыᅟ, специализированноеᅟ ПО);
- повышениеᅟ безопасностиᅟ сетиᅟ путемᅟ выделенияᅟ рабочейᅟ и гостевойᅟ зонᅟ локальнойᅟ сети;
Наложенныеᅟ ограниченияᅟ и условия
- ᅟ Необходимостьᅟ подключенияᅟ к сетиᅟ оборудованияᅟ стороннихᅟ сотрудниковᅟ, универсальногоᅟ местаᅟ тестированияᅟ и связанныеᅟ с этимᅟ риски;
- ᅟ Скоростьᅟ основногоᅟ каналаᅟ связиᅟ до центральногоᅟ офисаᅟ – 100Мбит/сᅟ, резервногоᅟ – 256Кбит/с;
- ᅟ Из гостевойᅟ сетиᅟ доступныᅟ интернет-сервераᅟ активацииᅟ продаваемогоᅟ ПО,ᅟ доступᅟ в Интернетᅟ черезᅟ прокси-серверᅟ, доступᅟ до серверовᅟ организацийᅟ стороннихᅟ сотрудников;
Основнаяᅟ задачаᅟ, котораяᅟ решаетсяᅟ проектомᅟ информационнойᅟ системыᅟ — обеспечитьᅟ с однойᅟ стороныᅟ изоляциюᅟ рабочейᅟ средыᅟ от деструктивнойᅟ активностиᅟ зараженныхᅟ илиᅟ неправильноᅟ настроенныхᅟ рабочихᅟ местᅟ, а сᅟ другойᅟ предоставитьᅟ максимальныйᅟ уровеньᅟ сервисаᅟ всемᅟ подключеннымᅟ клиентамᅟ системыᅟ.
Реализованныйᅟ вариантᅟ информационнойᅟ системыᅟ представляетᅟ собойᅟ логическиᅟ (наᅟ уровнеᅟ коммутатора)ᅟ поделеннуюᅟ на двеᅟ частиᅟ сеть:
1ᅟ. рабочаяᅟ сеть;
2ᅟ. гостеваяᅟ сетьᅟ.
Рабочаяᅟ сетьᅟ — обеспечиваетᅟ основнуюᅟ бизнес-деятельностьᅟ менеджеровᅟ. В рабочуюᅟ сетьᅟ подключаетсяᅟ толькоᅟ оборудованиеᅟ Компанииᅟ.
Гостеваяᅟ сетьᅟ - обеспечиваетᅟ основнуюᅟ бизнес-деятельностьᅟ стороннихᅟ сотрудниковᅟ (кредитныеᅟ инспектора)ᅟ, работуᅟ POS-терминаловᅟ, универсальногоᅟ местаᅟ тестированияᅟ. Наложенныеᅟ ограниченияᅟ — доступᅟ к Интернетᅟ черезᅟ прокси-серверᅟ, доступᅟ к серверамᅟ активацииᅟ продаваемогоᅟ ПО;
Таблицаᅟ 11.ᅟ Планᅟ разделенияᅟ Магазинаᅟ 1 наᅟ подсети
Типᅟ сети
�
�Адресᅟ сети
�Маршрутизатор
�
�Рабочаяᅟ сеть
�
�192ᅟ.168ᅟ.110ᅟ.64/255ᅟ.255ᅟ.255ᅟ.224
�192ᅟ.168ᅟ.110ᅟ.65
�
�Гостеваяᅟ сеть
�
�192ᅟ.168ᅟ.111ᅟ.32/255ᅟ.255ᅟ.255ᅟ.240
�192ᅟ.168ᅟ.111ᅟ.33
�
�Схемаᅟ сети
�Рисунокᅟ 7. Схемаᅟ Локальнойᅟ сетиᅟ и организацииᅟ связиᅟ Магазинаᅟ 1.
Оборудованиеᅟ локальнойᅟ сети
Дляᅟ подключенияᅟ клиентовᅟ рабочейᅟ и гостевойᅟ сетейᅟ использованᅟ управляемыйᅟ коммутаторᅟ AT-8326GBᅟ (24+2ᅟ порта)ᅟ, trunk-портᅟ (26)ᅟ подключенᅟ к маршрутизаторуᅟ Ciscoᅟ 871ᅟ. Наᅟ кассовыхᅟ рабочихᅟ местахᅟ и рабочихᅟ местахᅟ менеджеровᅟ устанавливаютсяᅟ тонкиеᅟ клиентыᅟ Нормаᅟ. Наᅟ рабочееᅟ местоᅟ администратораᅟ устанавливаетсяᅟ рабочаяᅟ станцияᅟ. Работаᅟ фискальныхᅟ регистраторовᅟ на кассовыхᅟ рабочихᅟ местахᅟ производитсяᅟ черезᅟ IP-Serialᅟ конвертерыᅟ, портыᅟ которыхᅟ терминируютсяᅟ на терминальномᅟ сервереᅟ.
VLANᅟ 1 –ᅟ рабочаяᅟ сетьᅟ, адресация:ᅟ 192ᅟ.168ᅟ.110ᅟ.64/27
VLANᅟ 2 –ᅟ гостеваяᅟ сетьᅟ, адресация:ᅟ 192ᅟ.168ᅟ.111ᅟ.32/28
Основныеᅟ настройкиᅟ коммутатораᅟ AT-8326GB:
- ᅟ Имяᅟ sw-bk-01;
- ᅟ IP-адресᅟ 192ᅟ.168ᅟ.110ᅟ.66;
- ᅟ Настройкаᅟ топологииᅟ — VLANᅟ, назначениеᅟ портовᅟ в VLAN;
- ᅟ Настройкаᅟ авторизацииᅟ пользователейᅟ — регистрацияᅟ на сервереᅟ RADIUSᅟ, определениеᅟ портовᅟ дляᅟ поддержкиᅟ авторизацииᅟ (заᅟ исключениемᅟ устройствᅟ, неᅟ поддерживающихᅟ авторизациюᅟ по сертификату);
- ᅟ Настройкаᅟ дополнительныхᅟ параметровᅟ — SNMP-communityᅟ (public)ᅟ, пароляᅟ администратораᅟ.
Основныеᅟ настройкиᅟ маршрутизатораᅟ Ciscoᅟ 871:
1ᅟ. Настройкаᅟ ACLᅟ дляᅟ рабочейᅟ сети;
2ᅟ. Применениеᅟ ACLᅟ рабочейᅟ сетиᅟ к sub-интерфейсуᅟ с направлениемᅟ in.
3ᅟ. Настройкаᅟ ACLᅟ дляᅟ гостевойᅟ сети;
4ᅟ. Применениеᅟ ACLᅟ гостевойᅟ сетиᅟ к sub-интерфейсуᅟ с направлениемᅟ in.
5ᅟ. Настройкаᅟ QoSᅟ с выделениемᅟ классовᅟ бизнес-трафикаᅟ.
Доступᅟ в сетьᅟ Интернет
Доступᅟ в сетьᅟ Интернетᅟ дляᅟ сотрудниковᅟ организованᅟ черезᅟ прокси-серверᅟ. Учетᅟ трафикаᅟ ведетсяᅟ в головномᅟ офисеᅟ.
Расширенноеᅟ описаниеᅟ используемыхᅟ сервисов
Серверᅟ DHCP:ᅟ используетсяᅟ ISCᅟ dhcpdᅟ, установленныйᅟ на видеосерверᅟ. Выдачаᅟ IP-адресовᅟ выполняетсяᅟ в рабочейᅟ и гостевойᅟ подсетяхᅟ. Приᅟ выдачеᅟ IP-адресовᅟ дляᅟ клиентовᅟ рабочейᅟ сетиᅟ адресᅟ DNS-сервераᅟ и DNS-префиксᅟ выдаетсяᅟ 192ᅟ.168ᅟ.120ᅟ.5 иᅟ partnerᅟ. localᅟ соответственноᅟ. Приᅟ выдачеᅟ IP-адресовᅟ дляᅟ клиентовᅟ гостевойᅟ сетиᅟ адресᅟ DNS-сервераᅟ 192ᅟ.168ᅟ.120ᅟ.5. Вᅟ каждойᅟ подсетиᅟ на уровнеᅟ DHCP-сервераᅟ устанавливаетсяᅟ резервированиеᅟ и привязкиᅟ IP-адресовᅟ согласноᅟ адресномуᅟ плануᅟ.
3ᅟ.3 Проектᅟ по изменениюᅟ информационнойᅟ сетиᅟ Магазинаᅟ 2
Цельᅟ проекта
Данныйᅟ проектᅟ предусматриваетᅟ модернизациюᅟ существующейᅟ информационнойᅟ сетиᅟ, с одновременнымᅟ решениемᅟ вопросаᅟ безопасностиᅟ подразделенияᅟ (Рисунокᅟ 8).
Вᅟ рамкахᅟ проектаᅟ решаютсяᅟ следующиеᅟ задачи:
- ᅟ работаᅟ сотрудников-менеджеровᅟ в бизнес-приложенииᅟ, осуществлениеᅟ имиᅟ рабочейᅟ деятельности;
- ᅟ работаᅟ стороннихᅟ сотрудниковᅟ (кредитныеᅟ инспекторы)ᅟ, ихᅟ оборудованияᅟ (POS-терминалыᅟ, специализированноеᅟ ПО);
- ᅟ повышениеᅟ безопасностиᅟ сетиᅟ путемᅟ выделенияᅟ рабочейᅟ и гостевойᅟ зонᅟ локальнойᅟ сети;
Наложенныеᅟ ограниченияᅟ и условия
- ᅟ Необходимостьᅟ подключенияᅟ к сетиᅟ оборудованияᅟ стороннихᅟ сотрудниковᅟ, универсальногоᅟ местаᅟ тестированияᅟ и связанныеᅟ с этимᅟ риски;
- ᅟ Скоростьᅟ основногоᅟ каналаᅟ связиᅟ до центральногоᅟ офисаᅟ – 100Мбит/сᅟ, резервногоᅟ – 256Кбит/с;
- ᅟ Из гостевойᅟ сетиᅟ доступныᅟ интернет-сервераᅟ активацииᅟ продаваемогоᅟ ПО,ᅟ доступᅟ в Интернетᅟ черезᅟ прокси-серверᅟ, доступᅟ до серверовᅟ организацийᅟ стороннихᅟ сотрудников.
Основнаяᅟ задачаᅟ, котораяᅟ решаетсяᅟ проектомᅟ информационнойᅟ системыᅟ — обеспечитьᅟ с однойᅟ стороныᅟ изоляциюᅟ рабочейᅟ средыᅟ от деструктивнойᅟ активностиᅟ зараженныхᅟ илиᅟ неправильноᅟ настроенныхᅟ рабочихᅟ местᅟ, а сᅟ другойᅟ предоставитьᅟ максимальныйᅟ уровеньᅟ сервисаᅟ всемᅟ подключеннымᅟ клиентамᅟ системыᅟ.
Реализованныйᅟ вариантᅟ информационнойᅟ системыᅟ представляетᅟ собойᅟ логическиᅟ (наᅟ уровнеᅟ коммутатора)ᅟ поделеннуюᅟ на двеᅟ частиᅟ сеть:
3ᅟ. рабочаяᅟ сеть;
4ᅟ. гостеваяᅟ сетьᅟ.
Рабочаяᅟ сетьᅟ — обеспечиваетᅟ основнуюᅟ бизнес-деятельностьᅟ менеджеровᅟ. В рабочуюᅟ сетьᅟ подключаетсяᅟ толькоᅟ оборудованиеᅟ Компанииᅟ.
Гостеваяᅟ сетьᅟ - обеспечиваетᅟ основнуюᅟ бизнес-деятельностьᅟ стороннихᅟ сотрудниковᅟ (кредитныеᅟ инспектора)ᅟ, работуᅟ POS-терминаловᅟ, универсальногоᅟ местаᅟ тестированияᅟ. Наложенныеᅟ ограниченияᅟ — доступᅟ к Интернетᅟ черезᅟ прокси-серверᅟ, доступᅟ к серверамᅟ активацииᅟ продаваемогоᅟ ПО;
Таблицаᅟ 12.ᅟ Планᅟ разделенияᅟ Магазинаᅟ 2 наᅟ подсетиᅟ.
Типᅟ сети
�
�Адресᅟ сети
�
�Маршрутизатор
�
�Рабочаяᅟ сеть
�
�192ᅟ.168ᅟ.110ᅟ.128/255ᅟ.255ᅟ.255ᅟ.224
�
�192ᅟ.168ᅟ.110ᅟ.129
�
�Гостеваяᅟ сеть
�
�ᅟ ᅟ 192ᅟ.168ᅟ.111ᅟ.16/255ᅟ.255ᅟ.255ᅟ.240
�
�192ᅟ.168ᅟ.111ᅟ.17
�
�Схемаᅟ сети
�Рисунокᅟ 8. Схемаᅟ Локальнойᅟ сетиᅟ и организацииᅟ связиᅟ Магазинаᅟ 2.
Оборудованиеᅟ локальнойᅟ сети
Дляᅟ подключенияᅟ клиентовᅟ рабочейᅟ и гостевойᅟ сетейᅟ использованᅟ управляемыйᅟ коммутаторᅟ AT-8326GBᅟ (24+2ᅟ порта)ᅟ, trunk-портᅟ (26)ᅟ подключенᅟ к маршрутизаторуᅟ Ciscoᅟ 1841ᅟ. Наᅟ кассовыхᅟ рабочихᅟ местахᅟ и рабочихᅟ местахᅟ менеджеровᅟ устанавливаютсяᅟ тонкиеᅟ клиентыᅟ Нормаᅟ. Наᅟ рабочееᅟ местоᅟ администратораᅟ устанавливаетсяᅟ рабочаяᅟ станцияᅟ. Работаᅟ фискальныхᅟ регистраторовᅟ на кассовыхᅟ рабочихᅟ местахᅟ производитсяᅟ черезᅟ IP-Serialᅟ конвертерыᅟ, портыᅟ которыхᅟ терминируютсяᅟ на терминальномᅟ сервереᅟ.
VLANᅟ 1 –ᅟ рабочаяᅟ сетьᅟ, адресация:ᅟ 192ᅟ.168ᅟ.110ᅟ.128/27
VLANᅟ 2 –ᅟ гостеваяᅟ сетьᅟ, адресация:ᅟ 192ᅟ.168ᅟ.111ᅟ.16/28
Основныеᅟ настройкиᅟ коммутатораᅟ AT-8326GB:
- ᅟ Имяᅟ sw-prmr-01;
- ᅟ IP-адресᅟ 192ᅟ.168ᅟ.110ᅟ.130;
-ᅟ Настройкаᅟ топологииᅟ — VLANᅟ, назначениеᅟ портовᅟ в VLAN;
- ᅟ Настройкаᅟ авторизацииᅟ пользователейᅟ — регистрацияᅟ на сервереᅟ RADIUSᅟ, определениеᅟ портовᅟ дляᅟ поддержкиᅟ авторизацииᅟ (заᅟ исключениемᅟ устройствᅟ, неᅟ поддерживающихᅟ авторизациюᅟ по сертификату);
- ᅟ Настройкаᅟ дополнительныхᅟ параметровᅟ — SNMP-communityᅟ (public)ᅟ, пароляᅟ администратораᅟ.
Основныеᅟ настройкиᅟ маршрутизатораᅟ Ciscoᅟ 1841:
- Настройкаᅟ ACLᅟ дляᅟ рабочейᅟ сети;
- Применениеᅟ ACLᅟ рабочейᅟ сетиᅟ к sub-интерфейсуᅟ с направлениемᅟ in.
- Настройкаᅟ ACLᅟ дляᅟ гостевойᅟ сети;
- Применениеᅟ ACLᅟ гостевойᅟ сетиᅟ к sub-интерфейсуᅟ с направлениемᅟ in.
- Настройкаᅟ QoSᅟ с выделениемᅟ классовᅟ бизнес-трафикаᅟ.
Доступᅟ в сетьᅟ Интернетᅟ дляᅟ сотрудниковᅟ организованᅟ черезᅟ прокси-серверᅟ. Учетᅟ трафикаᅟ ведетсяᅟ в головномᅟ офисеᅟ.
Расширенноеᅟ описаниеᅟ используемыхᅟ сервисов
Серверᅟ DHCP:ᅟ используетсяᅟ ISCᅟ dhcpdᅟ, установленныйᅟ на видеосерверᅟ. Выдачаᅟ IP-адресовᅟ выполняетсяᅟ в рабочейᅟ и гостевойᅟ подсетяхᅟ. Приᅟ выдачеᅟ IP-адресовᅟ дляᅟ клиентовᅟ рабочейᅟ сетиᅟ адресᅟ DNS-сервераᅟ и DNS-префиксᅟ выдаетсяᅟ 192ᅟ.168ᅟ.120ᅟ.5 иᅟ partnerᅟ. localᅟ соответственноᅟ. Приᅟ выдачеᅟ IP-адресовᅟ дляᅟ клиентовᅟ гостевойᅟ сетиᅟ адресᅟ DNS-сервераᅟ 192ᅟ.168ᅟ.120ᅟ.5. Вᅟ каждойᅟ подсетиᅟ на уровнеᅟ DHCP-сервераᅟ устанавливаетсяᅟ резервированиеᅟ и привязкиᅟ IP-адресовᅟ согласноᅟ адресномуᅟ плануᅟ.
3.4ᅟ Системаᅟ цифровыхᅟ сертификатовᅟ
Форматᅟ сертификатаᅟ открытогоᅟ ключаᅟ определенᅟ в рекомендацияхᅟ Международногоᅟ Союзаᅟ по телекоммуникациямᅟ ITUᅟ (X.509)ᅟ и документеᅟ RFCᅟ 3280ᅟ Certificateᅟ & CRLᅟ Profileᅟ организацииᅟ инженернойᅟ поддержкиᅟ Интернетаᅟ Internetᅟ Engineeringᅟ Taskᅟ Forceᅟ (IETF)ᅟ. В настоящееᅟ времяᅟ основнымᅟ принятымᅟ форматомᅟ являетсяᅟ форматᅟ версииᅟ 3, позволяющийᅟ задаватьᅟ дополненияᅟ, с помощьюᅟ которыхᅟ реализуетсяᅟ определеннаяᅟ политикаᅟ безопасностиᅟ в системеᅟ.
Сертификатᅟ открытогоᅟ ключаᅟ подписиᅟ илиᅟ шифрованияᅟ представляетᅟ собойᅟ структурированнуюᅟ двоичнуюᅟ записьᅟ в форматеᅟ абстрактнойᅟ синтаксическойᅟ нотацииᅟ ASNᅟ.1. Сертификатᅟ содержитᅟ элементыᅟ данныхᅟ, сопровождаемыеᅟ цифровойᅟ подписьюᅟ издателяᅟ сертификатаᅟ. В сертификатеᅟ имеетсяᅟ десятьᅟ основныхᅟ полей:ᅟ шестьᅟ обязательныхᅟ и четыреᅟ опциональныхᅟ. Большаяᅟ частьᅟ информацииᅟ, указываемойᅟ в сертификатеᅟ, неᅟ являетсяᅟ обязательнойᅟ, а содержаниеᅟ обязательныхᅟ полейᅟ сертификатаᅟ можетᅟ варьироватьсяᅟ.
К обязательнымᅟ полямᅟ относятся:
-ᅟ серийныйᅟ номерᅟ сертификатаᅟ Certificateᅟ Serialᅟ Number;
- ᅟ идентификаторᅟ алгоритмаᅟ подписиᅟ Signatureᅟ Algorithmᅟ Identifier;
- ᅟ имяᅟ издателяᅟ Issuerᅟ Name;
- ᅟ периодᅟ действияᅟ Validityᅟ (Notᅟ Before/After);
- ᅟ открытыйᅟ ключᅟ субъектаᅟ Subjectᅟ Publicᅟ Keyᅟ Information;
- ᅟ имяᅟ субъектаᅟ сертификатаᅟ Subjectᅟ Nameᅟ.
Подᅟ субъектомᅟ сертификатаᅟ понимаетсяᅟ сторонаᅟ, котораяᅟ контролируетᅟ секретныйᅟ ключᅟ, соответствующийᅟ данномуᅟ открытомуᅟ ключуᅟ. Наличиеᅟ необязательныхᅟ полейᅟ характерноᅟ дляᅟ сертификатовᅟ версийᅟ 2 иᅟ 3, кᅟ необязательнымᅟ полямᅟ сертификатаᅟ относятсяᅟ номерᅟ версииᅟ, дваᅟ уникальныхᅟ идентификатораᅟ и дополненияᅟ.
Дополненияᅟ сертификата
Дополненияᅟ позволяютᅟ включатьᅟ в сертификатᅟ информациюᅟ, котораяᅟ отсутствуетᅟ в основномᅟ содержанииᅟ. В дополненияхᅟ содержитсяᅟ технологическаяᅟ информацияᅟ, позволяющаяᅟ проверитьᅟ подлинностьᅟ сертификатаᅟ.
Опциональноеᅟ полеᅟ "Extensions"ᅟ появляетсяᅟ в сертификатахᅟ третьейᅟ версииᅟ. Каждоеᅟ дополнениеᅟ состоитᅟ из идентификатораᅟ типаᅟ дополненияᅟ Extensionᅟ identifierᅟ, признакаᅟ критичностиᅟ Criticalityᅟ flagᅟ и собственноᅟ значенияᅟ дополненияᅟ Extensionᅟ valueᅟ.
Дополненияᅟ сертификатовᅟ X.509ᅟ определеныᅟ рекомендациямиᅟ Х.509ᅟ версииᅟ 3 Международногоᅟ Союзаᅟ по телекоммуникациямᅟ и документомᅟ RFCᅟ 3280ᅟ. Всеᅟ этиᅟ дополненияᅟ можноᅟ разделитьᅟ на двеᅟ категории:ᅟ ограничивающиеᅟ и информационныеᅟ. Первыеᅟ ограничиваютᅟ областьᅟ примененияᅟ ключаᅟ, определенногоᅟ сертификатомᅟ, илиᅟ самогоᅟ сертификатаᅟ. Вторыеᅟ содержатᅟ дополнительнуюᅟ информациюᅟ, котораяᅟ можетᅟ бытьᅟ использованаᅟ в прикладномᅟ программномᅟ обеспеченииᅟ пользователемᅟ сертификатаᅟ.
К ограничивающимᅟ дополнениямᅟ относятся:
- ᅟ основныеᅟ ограниченияᅟ (Basicᅟ Constraints);
- ᅟ назначениеᅟ ключаᅟ (Keyᅟ Usage);
- ᅟ расширенноеᅟ назначениеᅟ ключаᅟ (Extendedᅟ Keyᅟ Usage);
- ᅟ политикиᅟ примененияᅟ сертификатаᅟ (Certificatesᅟ Policiesᅟ, Policyᅟ Mappingsᅟ, Policyᅟ Constraints);
- ᅟ ограниченияᅟ на именаᅟ (Nameᅟ Constraints)ᅟ.
К информационнымᅟ дополнениямᅟ относятся:
- ᅟ идентификаторыᅟ ключейᅟ (Subjectᅟ Keyᅟ Identifierᅟ, Authorityᅟ Keyᅟ Identifier);
- ᅟ альтернативныеᅟ именаᅟ (Subjectᅟ Alternativeᅟ Nameᅟ, Issuerᅟ Alternativeᅟ Name);
- ᅟ пунктᅟ распространенияᅟ спискаᅟ аннулированныхᅟ сертификатовᅟ (CRLᅟ Distributionᅟ Pointᅟ, Issuingᅟ Distributionᅟ Point);
- ᅟ способᅟ доступаᅟ к информацииᅟ УЦ (Authorityᅟ Accessᅟ Info)ᅟ. [22]
RADIUSᅟ – Сервер
Аббревиатураᅟ RADIUSᅟ расшифровываетсяᅟ какᅟ Remoteᅟ Authenticationᅟ Dial-Inᅟ Userᅟ Serviceᅟ (Службаᅟ удаленнойᅟ аутентификацииᅟ входящихᅟ пользователей)ᅟ. Изначальноᅟ концепцияᅟ RADIUSᅟ состоялаᅟ в обеспеченииᅟ удаленногоᅟ доступаᅟ черезᅟ коммутируемоеᅟ телефонноеᅟ соединениеᅟ. Сейчасᅟ же протоколᅟ RADIUSᅟ используетсяᅟ дляᅟ авторизацииᅟ, аутентификацииᅟ и учетаᅟ пользователейᅟ в различныхᅟ системахᅟ (в томᅟ числеᅟ и беспроводных)ᅟ. Протоколᅟ RADIUSᅟ полностьюᅟ абстрагированᅟ не толькоᅟ от технологииᅟ связиᅟ, ноᅟ и отᅟ протоколовᅟ передачиᅟ данныхᅟ в сетиᅟ, в которойᅟ происходитᅟ авторизацияᅟ. Фактическиᅟ функцияᅟ сервераᅟ RADIUSᅟ сводитсяᅟ к томуᅟ, чтоᅟ серверᅟ принимаетᅟ информациюᅟ, которуюᅟ пользовательᅟ сетиᅟ предоставляетᅟ в процессеᅟ аутентификацииᅟ, и авторизуетᅟ пользователяᅟ. Использованиеᅟ сервераᅟ RADIUSᅟ не можетᅟ сделатьᅟ безопаснееᅟ самᅟ процессᅟ передачиᅟ данныхᅟ в сетиᅟ, оноᅟ можетᅟ обезопаситьᅟ толькоᅟ процессᅟ передачиᅟ данныхᅟ в ходеᅟ аутентификацииᅟ. Послеᅟ тогоᅟ какᅟ процессᅟ авторизацииᅟ пользователяᅟ в сетиᅟ завершилсяᅟ, серверᅟ RADIUSᅟ емуᅟ большеᅟ не нуженᅟ, поᅟ крайнейᅟ мереᅟ, доᅟ техᅟ порᅟ, покаᅟ пользователюᅟ не понадобитсяᅟ сноваᅟ авторизоватьсяᅟ в системеᅟ.
Oсновныеᅟ составныеᅟ частиᅟ службыᅟ RADIUSᅟ описываютсяᅟ двумяᅟ RFCᅟ от IETF:ᅟ RFCᅟ 2865ᅟ подᅟ названиемᅟ Remoteᅟ Authenticationᅟ Dial-Inᅟ Userᅟ Serviceᅟ (RADIUS)ᅟ в формеᅟ проектаᅟ стандартаᅟ и RFCᅟ 2866ᅟ подᅟ названиемᅟ RADIUSᅟ Accountingᅟ в видеᅟ «информационногоᅟ RFC»ᅟ.
Концепцияᅟ службыᅟ идентификацииᅟ удаленныхᅟ пользователейᅟ подразумеваетᅟ, чтоᅟ клиентᅟ отсылаетᅟ серверуᅟ RADIUSᅟ параметрыᅟ доступаᅟ пользователяᅟ (в англоязычнойᅟ документацииᅟ ониᅟ частоᅟ называютсяᅟ Credentialsᅟ, т.ᅟ е. мандатᅟ, кудаᅟ, к примеруᅟ, входятᅟ егоᅟ настройкиᅟ безопасностиᅟ и праваᅟ доступа)ᅟ, а такжеᅟ параметрыᅟ соответствующегоᅟ соединенияᅟ. Дляᅟ этогоᅟ клиентᅟ используетᅟ специальныйᅟ форматᅟ, такᅟ называемыйᅟ RADIUS-Messageᅟ (сообщениеᅟ RADIUS)ᅟ. В ответᅟ серверᅟ начинаетᅟ проверкуᅟ, в ходеᅟ которойᅟ он аутентифицируетᅟ и авторизуетᅟ запросᅟ клиентаᅟ RADIUSᅟ, а затемᅟ пересылаетᅟ емуᅟ ответᅟ — RADIUS-Message-responseᅟ. Послеᅟ этогоᅟ клиентᅟ передаетᅟ на серверᅟ RADIUSᅟ учетнуюᅟ информациюᅟ (Рисунокᅟ 9).
�
Рисунокᅟ 9. Процессᅟ аутентификацииᅟ 802ᅟ.1x EAP-TLS
Самиᅟ по себеᅟ сообщенияᅟ RADIUSᅟ передаютсяᅟ в формеᅟ пакетовᅟ UDPᅟ. Причемᅟ информацияᅟ об аутентификацииᅟ направляетсяᅟ на портᅟ UDPᅟ с номеромᅟ 1812ᅟ. Некоторыеᅟ серверыᅟ доступаᅟ используютᅟ, однакоᅟ, портыᅟ 1645ᅟ (дляᅟ сообщенийᅟ об аутентификации)ᅟ илиᅟ, соответственноᅟ, 1646ᅟ (дляᅟ учета)ᅟ — выборᅟ долженᅟ определятьᅟ своимᅟ решениемᅟ администраторᅟ. В полеᅟ данныхᅟ пакетаᅟ UDPᅟ всегдаᅟ помещаетсяᅟ толькоᅟ одноᅟ сообщениеᅟ RADIUSᅟ. В соответствииᅟ с RFCᅟ 2865ᅟ и RFCᅟ 2866ᅟ определеныᅟ следующиеᅟ типыᅟ сообщений:
ᅟ Access-Requestᅟ - "запросᅟ доступа"ᅟ. Запросᅟ клиентаᅟ RADIUSᅟ, с которогоᅟ начинаетсяᅟ собственноᅟ аутентификацияᅟ и авторизацияᅟ попыткиᅟ доступаᅟ в сеть;
Access-Acceptᅟ - "доступᅟ разрешен"ᅟ. С помощьюᅟ этогоᅟ ответаᅟ на запросᅟ доступаᅟ клиентуᅟ RADIUSᅟ сообщаетсяᅟ, чтоᅟ попыткаᅟ соединенияᅟ былаᅟ успешноᅟ аутентифицированаᅟ и авторизована;ᅟ Access-Rejectᅟ - "доступᅟ не разрешен"ᅟ. Этотᅟ ответᅟ сервераᅟ RADIUSᅟ означаетᅟ, чтоᅟ попыткаᅟ доступаᅟ к сетиᅟ не удаласьᅟ. Такоеᅟ возможноᅟ в томᅟ случаеᅟ, еслиᅟ пользовательскихᅟ данныхᅟ недостаточноᅟ дляᅟ успешнойᅟ аутентификацииᅟ илиᅟ доступᅟ дляᅟ пользователяᅟ не авторизован;ᅟ Access-Challengeᅟ - "вызовᅟ запроса"ᅟ. Серверᅟ RADIUSᅟ передаетᅟ егоᅟ в ответᅟ на запросᅟ доступа;ᅟ Accounting-Requestᅟ - "запросᅟ учета"ᅟ, которыйᅟ клиентᅟ RADIUSᅟ отсылаетᅟ дляᅟ вводаᅟ учетнойᅟ информацииᅟ послеᅟ полученияᅟ разрешенияᅟ на доступ;ᅟ Accounting-Responseᅟ - "ответᅟ учета"ᅟ. Такимᅟ образомᅟ серверᅟ RADIUSᅟ реагируетᅟ на запросᅟ учетаᅟ и подтверждаетᅟ фактᅟ обработкиᅟ запросаᅟ учетаᅟ.
Сообщениеᅟ RADIUSᅟ всегдаᅟ состоитᅟ из заголовкаᅟ и атрибутовᅟ, каждыйᅟ из которыхᅟ содержитᅟ ту илиᅟ инуюᅟ информациюᅟ о попыткеᅟ доступа:ᅟ напримерᅟ, имяᅟ и парольᅟ пользователяᅟ, запрашиваемыеᅟ услугиᅟ и IP-адресᅟ сервераᅟ доступаᅟ. Такимᅟ образомᅟ, главнойᅟ задачейᅟ атрибутовᅟ RADIUSᅟ являетсяᅟ транспортировкаᅟ информацииᅟ междуᅟ клиентамиᅟ, серверамиᅟ и прочимиᅟ агентамиᅟ RADIUSᅟ. Атрибутыᅟ RADIUSᅟ определеныᅟ в несколькихᅟ RFC:ᅟ RFCᅟ 2865ᅟ, RFCᅟ 2866ᅟ, RFCᅟ 2867ᅟ, RFCᅟ 2868ᅟ, RFCᅟ 2869ᅟ и RFCᅟ 3162ᅟ.
Дляᅟ защитыᅟ сообщенийᅟ клиентᅟ и серверᅟ RADIUSᅟ обладаютᅟ «общимᅟ секретом»ᅟ илиᅟ, прощеᅟ говоряᅟ, ключомᅟ. Приᅟ этомᅟ речьᅟ, какᅟ правилоᅟ, идетᅟ о цепочкеᅟ символовᅟ, имеющейсяᅟ какᅟ на серверахᅟ, такᅟ и наᅟ клиентеᅟ RADIUSᅟ.
Вᅟ настройкахᅟ клиентскогоᅟ ПО беспроводнойᅟ сетиᅟ можноᅟ обнаружитьᅟ аббревиатурыᅟ EAPᅟ, EAP-TLSᅟ, PEAP-MSCHAP-V2ᅟ и другиеᅟ. Ониᅟ обозначаютᅟ различныеᅟ протоколыᅟ аутентификацииᅟ. Такᅟ, EAPᅟ (Extensibleᅟ Authenticationᅟ Protocolᅟ, Расширяемыйᅟ протоколᅟ аутентификации)ᅟ представляетᅟ собойᅟ контейнерᅟ дляᅟ протоколовᅟ, фактическиᅟ осуществляющихᅟ передачуᅟ запросовᅟ на аутентификациюᅟ и ответовᅟ аутентификатораᅟ. Посколькуᅟ EAPᅟ абстрагированᅟ от конкретныхᅟ процедурᅟ аутентификацииᅟ, сетевоеᅟ оборудованиеᅟ, поддерживающееᅟ EAPᅟ, тожеᅟ не связаноᅟ с какими-либоᅟ конкретнымиᅟ протоколамиᅟ.
Компанияᅟ Microsoftᅟ разработалаᅟ на основеᅟ EAPᅟ протоколᅟ EAP-TLSᅟ, принятыйᅟ позднееᅟ в качествеᅟ стандартаᅟ. Протоколᅟ EAP-TLSᅟ (Extensibleᅟ Authenticationᅟ Protocolᅟ – Transportᅟ Layerᅟ Security)ᅟ реализуетᅟ двустороннююᅟ аутентификациюᅟ с использованиемᅟ сертификатовᅟ X.509ᅟ обеимиᅟ сторонамиᅟ. PEAPᅟ (Protectedᅟ Extensibleᅟ Authenticationᅟ Protocol)ᅟ представляетᅟ собойᅟ расширениеᅟ протоколаᅟ EAPᅟ. В отличиеᅟ от EAPᅟ, протоколᅟ PEAPᅟ создаетᅟ безопасныйᅟ туннельᅟ передᅟ началомᅟ процессаᅟ аутентификацииᅟ. Далееᅟ по этомуᅟ туннелюᅟ передаютсяᅟ данныеᅟ дляᅟ аутентификацииᅟ. Наличиеᅟ безопасногоᅟ туннеляᅟ затрудняетᅟ перехватᅟ данныхᅟ злоумышленникомᅟ. Какᅟ и EAPᅟ, PEAPᅟ представляетᅟ собойᅟ контейнерᅟ дляᅟ высокоуровневыхᅟ протоколовᅟ аутентификацииᅟ, в которыхᅟ аутентификацияᅟ выполняетсяᅟ с помощьюᅟ имениᅟ учетнойᅟ записиᅟ и пароляᅟ. Ещеᅟ одинᅟ протоколᅟ, EAP-TTLSᅟ, такжеᅟ используетᅟ безопасныеᅟ туннелиᅟ дляᅟ передачиᅟ данныхᅟ. Какᅟ и вᅟ EAP-TLSᅟ, в EAP-TTLSᅟ реализованаᅟ двусторонняяᅟ аутентификацияᅟ (серверᅟ удостоверяетᅟ себяᅟ с помощьюᅟ сертификатаᅟ X.509)ᅟ.
Расширенныйᅟ протоколᅟ аутентификацииᅟ (Extensibleᅟ Authenticationᅟ Protocolᅟ, EAP)ᅟ изначальноᅟ задумывалсяᅟ какᅟ дополнениеᅟ к РРРᅟ дляᅟ поддержкиᅟ различныхᅟ механизмовᅟ аутентификацииᅟ доступаᅟ к сетиᅟ. Протоколыᅟ аутентификацииᅟ дляᅟ РРРᅟ, определяютᅟ механизмᅟ аутентификацииᅟ во времяᅟ фазыᅟ установленияᅟ соединенияᅟ. Наᅟ этомᅟ этапеᅟ необходимоᅟ применятьᅟ согласованныйᅟ протоколᅟ аутентификацииᅟ, с цельюᅟ «верификации»ᅟ соединенияᅟ. В данномᅟ случаеᅟ речьᅟ идетᅟ о заранееᅟ определеннойᅟ последовательностиᅟ сообщенийᅟ, причемᅟ ониᅟ должныᅟ отсылатьсяᅟ в соответствииᅟ с заданнойᅟ схемойᅟ, а точнееᅟ, в указаннойᅟ очередностиᅟ.
Приᅟ использованииᅟ EAPᅟ в процессеᅟ установленияᅟ соединенияᅟ в рамкахᅟ РРРᅟ специальныйᅟ механизмᅟ аутентификацииᅟ не определяетсяᅟ. Лишьᅟ на этапеᅟ аутентификацииᅟ участникиᅟ взаимодействуютᅟ по специальнойᅟ схемеᅟ аутентификацииᅟ EAPᅟ, обозначаемойᅟ такжеᅟ какᅟ «схемаᅟ типаᅟ EAP»ᅟ.
ЕАРᅟ позволяетᅟ осуществлятьᅟ обменᅟ сообщениямиᅟ междуᅟ клиентомᅟ, запрашивающимᅟ доступᅟ, и аутентифицирующимᅟ серверомᅟ (в егоᅟ ролиᅟ частоᅟ выступаетᅟ серверᅟ RADIUS)ᅟ. Приᅟ этомᅟ обменᅟ сообщениямиᅟ можетᅟ варьироватьсяᅟ с учетомᅟ особенностейᅟ различныхᅟ соединений;ᅟ он состоитᅟ собственноᅟ из запросовᅟ, в которыхᅟ требуетсяᅟ предоставлениеᅟ информацииᅟ об аутентификацииᅟ, а такжеᅟ из соответствующихᅟ ответовᅟ. Длительностьᅟ и конкретныеᅟ деталиᅟ сеансаᅟ аутентификацииᅟ зависятᅟ от заданнойᅟ схемыᅟ EAPᅟ.
В архитектурномᅟ планеᅟ ЕАРᅟ задумывалсяᅟ такимᅟ образомᅟ, чтобыᅟ аутентификациюᅟ можноᅟ былоᅟ выполнятьᅟ с помощьюᅟ подключенныхᅟ модулейᅟ с обеихᅟ сторонᅟ соединения:ᅟ от клиентаᅟ и отᅟ сервераᅟ. Еслиᅟ библиотечныйᅟ файлᅟ ЕАРᅟ установитьᅟ на обоихᅟ концахᅟ, тоᅟ в любойᅟ моментᅟ можноᅟ применитьᅟ новуюᅟ схемуᅟ аутентификацииᅟ. Темᅟ самымᅟ ЕАРᅟ предоставляетᅟ гибкуюᅟ средуᅟ дляᅟ внедренияᅟ безопасныхᅟ методовᅟ аутентификацииᅟ.
ЕАРᅟ удобенᅟ приᅟ такихᅟ видахᅟ аутентификацииᅟ, какᅟ токеныᅟ (Genericᅟ Tokenᅟ Card)ᅟ, однократныеᅟ паролиᅟ (Oneᅟ Timeᅟ Password)ᅟ, запрос/ответᅟ (MD5-Challenge)ᅟ илиᅟ защитаᅟ на транспортномᅟ уровнеᅟ (Transportᅟ Levelᅟ Security)ᅟ. Кромеᅟ тогоᅟ, этаᅟ концепцияᅟ открытаᅟ дляᅟ примененияᅟ лучшихᅟ технологийᅟ аутентификацииᅟ в будущемᅟ. Однакоᅟ ЕАРᅟ используетсяᅟ не толькоᅟ вместеᅟ с РРРᅟ. Онᅟ, помимоᅟ всегоᅟ, поддерживаетсяᅟ на канальномᅟ уровнеᅟ стандартаᅟ IEEEᅟ 802ᅟ. [23]
Установкаᅟ сервераᅟ Сертификатовᅟ и RADIUS-сервераᅟ.
Установкаᅟ производитсяᅟ на ОСᅟ Ubuntuᅟ. Пакетыᅟ freeradiusᅟ, opensslᅟ и сопутствующиеᅟ зависимостиᅟ.
3ᅟ.5 Организационныеᅟ мерыᅟ по защитеᅟ информацииᅟ
Вᅟ политикеᅟ безопасностиᅟ определяютсяᅟ целиᅟ процессаᅟ управленияᅟ информационнойᅟ безопасностьюᅟ, а такжеᅟ основныеᅟ этапыᅟ функционированияᅟ данногоᅟ процессаᅟ.
Политикаᅟ безопасностиᅟ предназначенаᅟ дляᅟ комплексногоᅟ управленияᅟ информационнойᅟ безопасностьюᅟ, а такжеᅟ дляᅟ поддержанияᅟ в актуальномᅟ и эффективномᅟ состоянииᅟ системᅟ защитыᅟ информацииᅟ. В Политикеᅟ безопасностиᅟ описываетсяᅟ разделениеᅟ обязанностейᅟ по управлениюᅟ и обеспечениюᅟ безопасностиᅟ, а такжеᅟ механизмыᅟ контроляᅟ надᅟ исполнениемᅟ процедурᅟ обеспеченияᅟ и управленияᅟ безопасностьюᅟ, возложенныхᅟ на сотрудниковᅟ компанииᅟ.
Кромеᅟ этогоᅟ, присутствуютᅟ основныеᅟ этапыᅟ процессногоᅟ подходаᅟ к обеспечениюᅟ безопасностиᅟ. В частностиᅟ, каждоеᅟ правилоᅟ политикиᅟ последовательноᅟ проходитᅟ этапыᅟ жизненногоᅟ цикла:ᅟ планированиеᅟ, внедрениеᅟ, проверкаᅟ эффективностиᅟ, совершенствованиеᅟ. Важноᅟ отметитьᅟ, чтоᅟ эффективныйᅟ процессᅟ управленияᅟ невозможенᅟ безᅟ документированияᅟ всехᅟ процедурᅟ, такᅟ какᅟ правильностьᅟ и контролируемостьᅟ выполненияᅟ процедурыᅟ зависитᅟ от наличияᅟ четкоᅟ сформулированныхᅟ правилᅟ ее выполненияᅟ.
В политикеᅟ безопасностиᅟ требуетсяᅟ краткоᅟ описатьᅟ правилаᅟ, выполнениеᅟ которыхᅟ являетсяᅟ основойᅟ обеспеченияᅟ и управленияᅟ информационнойᅟ безопасностьюᅟ. В частностиᅟ, следуетᅟ создатьᅟ правилаᅟ, описывающиеᅟ такиеᅟ процедурыᅟ, какᅟ контрольᅟ доступаᅟ к информационнымᅟ активамᅟ компанииᅟ, внесениеᅟ измененийᅟ в информационнуюᅟ системуᅟ, взаимодействиеᅟ с третьимиᅟ лицамиᅟ, расследованиеᅟ инцидентовᅟ, аудитᅟ информационнойᅟ безопасностиᅟ, обеспечениеᅟ непрерывностиᅟ веденияᅟ бизнесаᅟ и прочееᅟ. В описанииᅟ правилᅟ должноᅟ даватьсяᅟ четкоеᅟ определениеᅟ, наᅟ чтоᅟ этоᅟ правилоᅟ распространяетсяᅟ, а такжеᅟ должныᅟ бытьᅟ описаныᅟ условияᅟ, приᅟ которыхᅟ этоᅟ правилᅟ подлежитᅟ выполнениюᅟ.
В политикеᅟ безопасностиᅟ требуетсяᅟ описатьᅟ ответственностьᅟ сотрудниковᅟ компанииᅟ за обеспечениеᅟ и управлениеᅟ информационнойᅟ безопасностьюᅟ. Обязанностьᅟ обеспеченияᅟ безопасностиᅟ возложенаᅟ на всехᅟ сотрудниковᅟ компанииᅟ, а такжеᅟ, в соответствииᅟ с договоромᅟ, наᅟ стороннихᅟ лицᅟ, имеющихᅟ доступᅟ к информационнымᅟ активамᅟ компанииᅟ. Обязанностьᅟ управленияᅟ информационнойᅟ безопасностьюᅟ возложенаᅟ на руководствоᅟ компанииᅟ.
Вместеᅟ с изменениямиᅟ в информационнойᅟ системеᅟ компанииᅟ, которыеᅟ могутᅟ происходитьᅟ достаточноᅟ частоᅟ, требуетсяᅟ вноситьᅟ коррективыᅟ в политикуᅟ безопасностиᅟ какᅟ документированноеᅟ отражениеᅟ основныхᅟ правилᅟ работыᅟ системыᅟ управленияᅟ. Следовательноᅟ, необходимоᅟ предусмотретьᅟ возможностьᅟ пересмотраᅟ политикиᅟ безопасностиᅟ.
Посколькуᅟ политикаᅟ безопасностиᅟ, поᅟ сутиᅟ, являетсяᅟ каркасомᅟ, объединяющимᅟ всеᅟ остальныеᅟ документыᅟ, регламентирующиеᅟ обеспечениеᅟ и управлениеᅟ информационнойᅟ безопасностьюᅟ, приᅟ описанииᅟ правилᅟ следуетᅟ указыватьᅟ на необходимостьᅟ созданияᅟ регламентовᅟ и руководствᅟ, в которыхᅟ процессᅟ выполненияᅟ описываемыхᅟ процедурᅟ изложенᅟ подробноᅟ.
Такимᅟ образомᅟ, в политикеᅟ безопасностиᅟ описываютсяᅟ всеᅟ необходимыеᅟ требованияᅟ, дляᅟ обеспеченияᅟ и управленияᅟ информационнойᅟ безопасностиᅟ, структураᅟ управленияᅟ безопасностьюᅟ, а такжеᅟ обязанностиᅟ и ответственностьᅟ за обеспечениеᅟ безопасностиᅟ. В результатеᅟ следованияᅟ политикеᅟ безопасностиᅟ и сопутствующимᅟ документамᅟ по обеспечениюᅟ и управлениюᅟ безопасностиᅟ, защищенностьᅟ информационнойᅟ системыᅟ компанииᅟ должнаᅟ достигнутьᅟ требуемогоᅟ уровняᅟ, сотрудникиᅟ должныᅟ осознаватьᅟ своюᅟ рольᅟ и участиеᅟ в процессеᅟ обеспеченияᅟ безопасностиᅟ. Следованиеᅟ правиламᅟ позволитᅟ гарантироватьᅟ, чтоᅟ требуемыеᅟ информационныеᅟ ресурсыᅟ будутᅟ доступныᅟ в необходимыеᅟ моментыᅟ времениᅟ, а измененияᅟ в структуреᅟ информационнойᅟ системыᅟ будутᅟ вноситьсяᅟ толькоᅟ уполномоченнымиᅟ сотрудникамиᅟ.
Этапыᅟ созданияᅟ политикиᅟ безопасности
1ᅟ. Определитьᅟ, какиеᅟ объектыᅟ необходимоᅟ защищатьᅟ и почемуᅟ. В ролиᅟ объектовᅟ защитыᅟ могутᅟ выступать:ᅟ аппаратныеᅟ средстваᅟ, программноеᅟ обеспечениеᅟ, средстваᅟ доступаᅟ к информацииᅟ, людиᅟ, внутренниеᅟ коммуникацийᅟ, сетиᅟ, телекоммуникацииᅟ и такᅟ далееᅟ.
2. ᅟ Разработкаᅟ структурыᅟ политикиᅟ безопасностиᅟ. Политикаᅟ безопасностиᅟ должнаᅟ бытьᅟ разбитаᅟ на логическиᅟ самостоятельнееᅟ разделыᅟ, каждыйᅟ из которыхᅟ посвященᅟ отдельномуᅟ аспектуᅟ защитыᅟ. Такаяᅟ структураᅟ позволяетᅟ прощеᅟ пониматьᅟ и внедрятьᅟ политикуᅟ безопасностиᅟ, а такжеᅟ становитсяᅟ прощеᅟ ее корректироватьᅟ. Обязательноᅟ долженᅟ присутствоватьᅟ разделᅟ описывающийᅟ ответственностьᅟ за нарушениеᅟ правилᅟ безопасностиᅟ. Данныйᅟ разделᅟ, возможноᅟ, следуетᅟ проработатьᅟ с юристомᅟ. Формулировкиᅟ в текстеᅟ политикиᅟ безопасностиᅟ должныᅟ бытьᅟ четкимиᅟ, короткоᅟ изложеннымиᅟ. Подробномуᅟ описаниюᅟ структурыᅟ политикиᅟ безопасностиᅟ посвященᅟ следующийᅟ параграфᅟ.
3. ᅟ Проведениеᅟ всестороннегоᅟ исследованияᅟ архитектурыᅟ ИС.ᅟ Лучшийᅟ способᅟ этоᅟ сделатьᅟ –оценкаᅟ рисковᅟ, анализᅟ рисковыхᅟ ситуацийᅟ илиᅟ всестороннийᅟ аудитᅟ системыᅟ. Лучшеᅟ еслиᅟ такоеᅟ исследованиеᅟ будетᅟ проводитьсяᅟ стороннейᅟ организациейᅟ. В любомᅟ случаеᅟ приᅟ разработкеᅟ правилᅟ безопасностиᅟ первоначальноеᅟ обследованиеᅟ объектаᅟ проводитсяᅟ разработчикомᅟ политикиᅟ безопасностиᅟ ещеᅟ на первомᅟ этапеᅟ, с последующимᅟ болееᅟ детальнымᅟ изучениемᅟ совместноᅟ с сотрудникомᅟ в чьемᅟ веденииᅟ находитсяᅟ данныйᅟ объектᅟ с цельюᅟ возможнойᅟ корректировкиᅟ правилᅟ.
4. ᅟ Критическаяᅟ оценкаᅟ политикиᅟ безопасностиᅟ и ееᅟ утверждениеᅟ. В критикеᅟ должныᅟ приниматьᅟ участиеᅟ руководителиᅟ департаментовᅟ и отделовᅟ имеющиеᅟ непосредственноеᅟ отношениеᅟ к разрабатываемымᅟ правиламᅟ, а такжеᅟ юристыᅟ т. кᅟ. в процессеᅟ рецензированияᅟ должныᅟ рассматриватьсяᅟ не толькоᅟ техническиеᅟ, ноᅟ и юридическиеᅟ аспектыᅟ безопасностиᅟ. Процессᅟ утвержденияᅟ представляетᅟ собойᅟ простоеᅟ одобрениеᅟ руководствомᅟ окончательнойᅟ версииᅟ документаᅟ. Утверждениеᅟ должноᅟ состоятьсяᅟ послеᅟ рецензированияᅟ. Однакоᅟ еслиᅟ руководствоᅟ не утвердитᅟ этотᅟ документᅟ, егоᅟ эффективностьᅟ будетᅟ крайнеᅟ ограниченаᅟ.
Структураᅟ политикиᅟ безопасности
Общиеᅟ положения
Вᅟ даннойᅟ частиᅟ следуетᅟ описатьᅟ целиᅟ созданияᅟ политикиᅟ безопасностиᅟ, областьᅟ действияᅟ даннойᅟ политикиᅟ, краткоᅟ описатьᅟ, о чемᅟ идетᅟ речьᅟ в документеᅟ.
Описаниеᅟ информационнойᅟ системы
Необходимоᅟ определитьᅟ задачиᅟ, которыеᅟ выполняетᅟ информационнаяᅟ системаᅟ в компанииᅟ, датьᅟ определениеᅟ, чтоᅟ являетсяᅟ ее составнымиᅟ частямиᅟ.
Правила
Основнаяᅟ частьᅟ политикиᅟ безопасностиᅟ, содержащаяᅟ правилаᅟ которыеᅟ следуетᅟ соблюдатьᅟ сотрудникамᅟ компанииᅟ. Этаᅟ частьᅟ должнаᅟ бытьᅟ разбитаᅟ на самостоятельныеᅟ разделыᅟ, касающиесяᅟ отдельныхᅟ аспектовᅟ обеспеченияᅟ информационнойᅟ безопасностиᅟ. Структурированныйᅟ подходᅟ к написаниюᅟ данногоᅟ разделаᅟ позволитᅟ сотрудникамᅟ четкоᅟ пониматьᅟ, чтоᅟ от нихᅟ требуетсяᅟ в отдельныхᅟ случаяхᅟ, а такжеᅟ будетᅟ способствоватьᅟ процессуᅟ сопровожденияᅟ политикиᅟ.
Обработкаᅟ инцидентовᅟ безопасности
Вᅟ первуюᅟ очередьᅟ в данномᅟ разделеᅟ следуетᅟ описатьᅟ, чтоᅟ являетсяᅟ инцидентомᅟ безопасностиᅟ, а такжеᅟ описатьᅟ порядокᅟ действияᅟ сотрудниковᅟ в случаеᅟ возникновенияᅟ инцидентовᅟ, и обозначитьᅟ необходимостьᅟ назначенияᅟ сотрудниковᅟ ответственныхᅟ за реагированиеᅟ на инцидентыᅟ и ихᅟ регистрациюᅟ.
Ответственность
Любойᅟ нормативныйᅟ документᅟ врядᅟ ли будетᅟ иметьᅟ реальнуюᅟ силуᅟ, еслиᅟ в немᅟ не будетᅟ предусмотренаᅟ ответственностьᅟ за теᅟ илиᅟ иныеᅟ нарушенияᅟ положенийᅟ, прописанныхᅟ в немᅟ. Тожеᅟ касаетсяᅟ и политикиᅟ безопасностиᅟ. Должноᅟ бытьᅟ четкоᅟ определеноᅟ, заᅟ чтоᅟ сотрудникᅟ несетᅟ ответственностьᅟ, работаяᅟ в компанииᅟ, однакоᅟ, неᅟ стоитᅟ переписыватьᅟ в данныйᅟ разделᅟ мерыᅟ предусмотренныеᅟ законодательствомᅟ.
3.6ᅟ Внедрениеᅟ системыᅟ защитыᅟ конфиденциальнойᅟ информацииᅟ ОООᅟ «АйТиᅟ Партнер»
Первыйᅟ этапᅟ - Изменениеᅟ информационнойᅟ сетиᅟ Магазинаᅟ 1, цельюᅟ которогоᅟ являласьᅟ модернизацияᅟ существующейᅟ информационнойᅟ сетиᅟ, с одновременнымᅟ решениемᅟ вопросаᅟ безопасностиᅟ подразделенияᅟ. В ходеᅟ реализацииᅟ былиᅟ выполненыᅟ следующиеᅟ задачи:
1) ᅟ Перекоммутацияᅟ рабочихᅟ местᅟ.
2) ᅟ Составлениеᅟ планаᅟ коммутацииᅟ рабочихᅟ местᅟ.
3) ᅟ Изменениеᅟ настроекᅟ DHCP-сервераᅟ и настройкаᅟ DHCP-привязокᅟ.
4) ᅟ Изменениеᅟ списковᅟ доступаᅟ на маршрутизатореᅟ gw-bk-01ᅟ согласноᅟ изменениямᅟ.
5) ᅟ Разделениеᅟ рабочихᅟ местᅟ на vlan1ᅟ и vlan2ᅟ и проверкаᅟ связиᅟ.
Второйᅟ этапᅟ - Изменениеᅟ информационнойᅟ сетиᅟ Магазинаᅟ 2, цельюᅟ которогоᅟ являласьᅟ модернизацияᅟ существующейᅟ информационнойᅟ сетиᅟ, с одновременнымᅟ решениемᅟ вопросаᅟ безопасностиᅟ подразделенияᅟ. В ходеᅟ реализацииᅟ былиᅟ выполненыᅟ следующиеᅟ задачи:
1) ᅟ Перекоммутацияᅟ рабочихᅟ местᅟ.
2) ᅟ Составлениеᅟ планаᅟ коммутацииᅟ рабочихᅟ местᅟ.
3) ᅟ Изменениеᅟ настроекᅟ DHCP-сервераᅟ и настройкаᅟ DHCP-привязокᅟ.
4) ᅟ Изменениеᅟ списковᅟ доступаᅟ на маршрутизатореᅟ gw-prmr-01ᅟ согласноᅟ изменениямᅟ.
5) ᅟ Разделениеᅟ рабочихᅟ местᅟ на vlan1ᅟ и vlan2ᅟ и проверкаᅟ связиᅟ.
Третьимᅟ этапомᅟ происходилоᅟ изменениеᅟ информационнойᅟ сетиᅟ Центральногоᅟ офисаᅟ, цельюᅟ которогоᅟ являласьᅟ модернизацияᅟ существующейᅟ информационнойᅟ сетиᅟ, с одновременнымᅟ решениемᅟ вопросаᅟ безопасностиᅟ подразделенияᅟ. В ходеᅟ работыᅟ былоᅟ выполненоᅟ следующее:
1) ᅟ Перекоммутацияᅟ серверовᅟ и рабочихᅟ местᅟ пользователейᅟ.
2) ᅟ Составлениеᅟ планаᅟ коммутацииᅟ серверовᅟ и рабочихᅟ местᅟ пользователейᅟ.
3) ᅟ Переносᅟ DHCP-привязокᅟ из 100-йᅟ сетиᅟ в 120-юᅟ с сохранениемᅟ последнегоᅟ октетаᅟ адресаᅟ (напримерᅟ 192ᅟ.168ᅟ.100ᅟ.99 ->ᅟ 192ᅟ.168ᅟ.120ᅟ.99)
4) ᅟ Изменениеᅟ списковᅟ доступаᅟ на маршрутизатореᅟ gw-tyumen-01ᅟ согласноᅟ изменениямᅟ.
5) ᅟ Переписывание ᅟ IP-адресовᅟ серверовᅟ согласноᅟ новойᅟ адресацииᅟ.
6) ᅟ Переводᅟ портовᅟ с серверамиᅟ в vlan120ᅟ и проверкаᅟ связи
Четвертымᅟ этапомᅟ производилосьᅟ внедрениеᅟ системыᅟ сертификатовᅟ с цельюᅟ ограниченияᅟ доступаᅟ к локальнойᅟ сетиᅟ (к подключениюᅟ допускаютсяᅟ толькоᅟ корпоративныеᅟ компьютерыᅟ и ноутбукиᅟ с установленнымиᅟ сертификатамиᅟ, подписаннымиᅟ корневымᅟ сертификатомᅟ Компании):
1) ᅟ Установкаᅟ и настройкаᅟ Сервераᅟ Сертификатовᅟ.
2) ᅟ Установкаᅟ и настройкаᅟ RADIUS-Сервераᅟ.
3) ᅟ Генерацияᅟ корневогоᅟ сертификатаᅟ компанииᅟ и генерацияᅟ на егоᅟ базеᅟ сертификатовᅟ пользователейᅟ.
4) ᅟ Установкаᅟ сертификатовᅟ на Рабочиеᅟ местаᅟ пользователейᅟ.
Пятымᅟ этапомᅟ, былоᅟ внедрениеᅟ организационныеᅟ мерыᅟ по защитеᅟ информацииᅟ - Составлениеᅟ регламентаᅟ информационнойᅟ безопасности;ᅟ составлениеᅟ инструкцииᅟ по парольнойᅟ защите;ᅟ составлениеᅟ инструкцииᅟ по антивируснойᅟ защите;ᅟ с цельюᅟ определенияᅟ принциповᅟ и механизмовᅟ функционированияᅟ системыᅟ защитыᅟ информацииᅟ.
Проблемыᅟ и сложностиᅟ, с которымиᅟ столкнулисьᅟ, в ходеᅟ внедренияᅟ системыᅟ защитыᅟ конфиденциальнойᅟ информации:
Приᅟ разделенииᅟ сетиᅟ на подсетиᅟ основнойᅟ проблемойᅟ былаᅟ сложностьᅟ составленияᅟ корректногоᅟ access-listᅟ, послеᅟ примененияᅟ которогоᅟ, былоᅟ бы разрешеноᅟ то,ᅟ чтоᅟ требуетсяᅟ дляᅟ работыᅟ. Такᅟ, напримерᅟ, некоторыеᅟ пользовательскиеᅟ компьютерыᅟ обращалисьᅟ напрямуюᅟ к SQL-серверуᅟ, чтоᅟ запрещеноᅟ политикойᅟ безопасностиᅟ и требовалоᅟ либоᅟ перенастройкиᅟ рабочейᅟ станцииᅟ, либоᅟ корректировкиᅟ access-listᅟ. Такжеᅟ можноᅟ отметитьᅟ рабочиеᅟ станцииᅟ стороннихᅟ работниковᅟ (кредитныхᅟ инспекторов)ᅟ, которыеᅟ обращаютсяᅟ к банковскимᅟ серверамᅟ в Интернетеᅟ. Приᅟ внедренииᅟ списковᅟ доступаᅟ требовалосьᅟ дополнительноеᅟ согласованиеᅟ с техᅟ. службойᅟ каждогоᅟ конкретногоᅟ банкаᅟ о требуемыхᅟ дляᅟ работыᅟ IP-адресахᅟ.
ᅟ Проблемыᅟ с сертификатамиᅟ на рабочихᅟ станцияхᅟ, возникалиᅟ из-заᅟ неоднородностиᅟ программногоᅟ обеспеченияᅟ и операционныхᅟ системᅟ, установленныхᅟ на рабочихᅟ местахᅟ.
Дляᅟ реализацииᅟ системыᅟ сертификатовᅟ в локальнойᅟ сетиᅟ потребовалосьᅟ составитьᅟ полныйᅟ планᅟ коммутацииᅟ центральногоᅟ офисаᅟ, послеᅟ чегоᅟ постепенноᅟ переводитьᅟ портыᅟ конкретныхᅟ пользователейᅟ в режимᅟ авторизацииᅟ dot1xᅟ.
Такжеᅟ какᅟ и анализᅟ информационныхᅟ рисковᅟ, оценкаᅟ результатовᅟ внедренияᅟ системыᅟ защитыᅟ конфиденциальнойᅟ информацииᅟ, проводиласьᅟ техническимиᅟ специалистамиᅟ и заместителемᅟ директораᅟ по информационнойᅟ безопасностиᅟ ОООᅟ «АйТиПартнер»ᅟ, в составеᅟ 3-хᅟ человекᅟ.
Заᅟ счетᅟ следующихᅟ мерᅟ, удалосьᅟ снизитьᅟ угрозуᅟ полученияᅟ полногоᅟ удаленногоᅟ контроляᅟ надᅟ системойᅟ дляᅟ Серверов.
Своевременноеᅟ обновлениеᅟ операционнойᅟ системыᅟ Развертываниеᅟ лицензионного антивирусного ПО Фильтрация сетевого трафика. Периодическая проверка уровня безопасности Инструкция по антивирусной защите серверных систем. Инструкция по парольной защите. Регламент ИБ
За счет следующих мер, удалось снизить угрозу нарушения целостности, правильного функционирования системы для Серверов:
Своевременное обновление операционной системы Развертывание лицензионного антивирусного ПО Регулярное резервное копирование Инструкция по антивирусной защите серверных систем. Инструкция по резервному копированию серверных систем.
За счет следующих мер, удалось снизить угрозу нарушения доступности системы для Серверов:
Обеспечение резервного питания. Наличие резервного сервера. Контроль доступа в серверное помещение. Регламент ИБ.
За счет следующих мер, удалось снизить угрозу подмены сетевого адреса для Серверов:
- Вывод в отдельный сегмент сети
- Внедрение системы сертификатов
- Регламент ИБ.
За счет следующих мер, удалось снизить угрозу физического повреждения аппаратных средств для Серверов:
Контроль температуры, влажности серверного помещения. Обеспечение резервного питания. Контроль доступа в серверное помещение. Регламент ИБ.
За счет следующих мер, удалось снизить угрозу получения полного удаленного контроля над системой для Маршрутизаторов:
- Вывод управляющего интерфейса в отдельный сегмент сети.
- Использование ssh.
- Инструкция по парольной защите.
За счет следующих мер, удалось снизить угрозу нарушения целостности, правильного функционирования системы для Маршрутизаторов:
Своевременное обновление Регулярное резервное копирование конфигурации. Инструкция по резервному копированию.
За счет следующих мер, удалось снизить угрозу нарушения доступности системы для Маршрутизаторов:
Обеспечение резервного питания. Наличие резервного Маршрутизатора. Резервирование конфигурации оборудования.
- Контроль доступа.
- Инструкция по резервному копированию.
За счет следующих мер, удалось снизить угрозу физического повреждения аппаратных средств для Маршрутизаторов:
1 Обеспечение резервного питания.
2 Контроль доступа.
За счет следующих мер, удалось снизить угрозу нарушения целостности, правильного функционирования системы для Коммутаторов:
Применение ACL листов. Фильтрация трафика по доверенному списку портов. Использование стойких паролей.
- Инструкция по парольной защите.
За счет следующих мер, удалось снизить угрозу нарушения доступности системы для Коммутаторов:
Обеспечение резервного питания. Наличие резервного Коммутатора. Резервирование конфигурации оборудования. Контроль доступа. Регламент ИБ.
За счет следующих мер, удалось снизить угрозу физического повреждения аппаратных средств для Коммутаторов:
Обеспечение резервного питания. Контроль доступа.
За счет следующих мер, удалось снизить угрозу получения полного удаленного контроля над системой для Рабочих мест:
Своевременное обновление операционной системы. Развертывание лицензионного антивирусного ПО. Применение политик безопасности. Инструкция по антивирусной защите. Инструкция по парольной защите. Регламент ИБ.
За счет следующих мер, удалось снизить угрозу нарушения целостности, правильного функционирования системы для Рабочих мест:
Своевременное обновление операционной системы. Развертывание лицензионного антивирусного ПО.
· Инструкция по антивирусной защите.
За счет следующих мер, удалось снизить угрозу нарушения доступности системы для Рабочих мест:
Обеспечение резервного питания. Наличие резервного Рабочего места.
За счет следующих мер, удалось снизить угрозу подмены сетевого адреса для Рабочих мест:
Вывод в отдельный сегмент сети. Внедрение системы сертификатов Регламент ИБ.
За счет следующих мер, удалось снизить угрозу физического повреждения аппаратных средств для Рабочих мест:
· Обеспечение резервного питания.
· Контроль доступа в помещение.
За счет следующих мер, удалось снизить угрозу утечки видовой информации для Рабочих мест:
Контроль доступа в помещение. Правильное расположение мониторов на рабочих местах. Принудительное включение заставок экрана
За счет следующих мер, удалось снизить угрозу перехвата сетевого трафика с целью дальнейшего анализа для Каналов связи:
Организация IPsec site-to-site vpn Регламент ИБ Инструкция по подключению удаленных мест и филиалов.
За счет следующих мер, удалось снизить угрозу физического повреждения для Каналов связи:
· Организация резервного канала связи
· Инструкция по подключению удаленных мест и филиалов.
Выводы.
В данной главе для уменьшения рисков угроз безопасности коммерческой информации в ООО «АйТиПартнер” было предложено принять следующие меры по защите информации: