Информационная безопасность

 

 

Группа уязвимостей           Содержание  уязвимости	Персональные данные о сотрудниках	Кадровый учет	Персональные компьютеры	Сервера баз данных	Почтовый сервер	Коммуникационное оборудование	Учетная Система	Windows 7
4. Коммуникации
Отсутствие идентификации и аутентификации отправителя и получателя			Средняя	Низкая	Средняя		Высокая	Высокая
Незащищенные подключения  к сетям общего пользования			Средняя	Средняя	Средняя		Средняя	Средняя
Отсутствие идентификации и аутентификации отправителя и получателя			Средняя	Низкая	Средняя		Высокая	Высокая
5. Документы (документооборот)
Хранение в незащищенных местах	Среднее	Среднее
Бесконтрольное копирование	Высокая	Среднее
7. Общие уязвимые места
Отказ системы вследствие отказа одного из элементов				Средняя	Средняя		Высокая
Неадекватные результаты проведения технического обслуживания			Средняя	Низкая	Низкая	Средняя

 

 

 

Группа уязвимостей           Содержание  уязвимости	Персональные данные о сотрудниках	Кадровый учет	Персональные компьютеры	Сервера баз данных	Почтовый сервер	Коммуникационное оборудование	Учетная Система	Windows 7
4. Коммуникации
Отсутствие идентификации и аутентификации отправителя и получателя			Средняя	Низкая	Средняя		Высокая	Высокая
Незащищенные подключения  к сетям общего пользования			Средняя	Средняя	Средняя		Средняя	Средняя
Отсутствие идентификации и аутентификации отправителя и получателя			Средняя	Низкая	Средняя		Высокая	Высокая

 

 

 

 

 

 

 

3. Оценка угроз активам.

       Угроза (потенциальная возможность неблагоприятного воздействия) обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему. В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно. Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий.

             В конечном итоге противоправные  действия с информацией приводят  к нарушению ее конфиденциальности, полноты, достоверности и доступности,  что в свою очередь приводит  к нарушению, как режима управления, так и его качества в условиях  ложной или неполной информации. На рисунке 2 представлены основные  виды угроз.

 

 

Рисунок 2. Основные виды угроз информационной безопасности.

 

 

         Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.

         Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.

Ниже приведены некоторые наиболее часто встречающиеся варианты угроз: 
     -ошибки и упущения; 
     -мошенничество и кража; 
     -случаи вредительства со стороны персонала; 
     -ухудшение состояния материальной части и инфраструктуры; 
     -программное обеспечение хакеров, например имитация действий законного      пользователя; 
      - программное обеспечение, нарушающее нормальную работу системы; 
     - промышленный шпионаж. 
    При использовании материалов каталогов угроз или результатов ранее проводившихся оценок угроз следует иметь в виду, что угрозы постоянно меняются, особенно в случае смены организацией деловой направленности или информационных технологий. Например, компьютерные вирусы 90-х годов представляют гораздо более серьезную угрозу, чем компьютерные вирусы 80-х. Нужно также отметить, что следствием внедрения таких мер защиты, как антивирусные программы, вероятно, является постоянное появление новых вирусов, не поддающихся воздействию действующих антивирусных программ.  

 После  идентификации источника угроз  (кто и что является причиной  угрозы) и объекта угрозы (какой  из элементов системы может  подвергнуться воздействию угрозы) необходимо оценить вероятность  реализации угрозы.

            При этом следует учитывать:

- частоту  появления угрозы (как часто она  может возникать согласно статистическим, опытным и другим данным), если  имеются соответствующие статистические  и другие материалы;

- мотивацию,  возможности и ресурсы, необходимые  потенциальному нарушителю и,  возможно, имеющиеся в его распоряжении; степень привлекательности и  уязвимости активов системы информационных  технологий с точки зрения  возможного нарушителя и источника  умышленной угрозы; 
- географические факторы - такие как наличие поблизости химических или нефтеперерабатывающих предприятий, возможность возникновения экстремальных погодных условий, а также факторов, которые могут вызвать ошибки у персонала, выход из строя оборудования и послужить причиной реализации случайной угрозы.

Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных  вариантов действий источника угроз  определенными методами реализации с использованием уязвимостей, которые  приводят к реализации целей атаки. Цель атаки может не совпадать  с целью реализации угроз и  может быть направлена на получение  промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению»  противоправного действия. Результатом  атаки являются последствия, которые  являются реализацией угрозы и/или  способствуют такой реализации.

Результаты  оценки угроз активам представлена в таблице 4.

           

 

Группа уязвимостей           Содержание  уязвимости	Персональные данные о сотрудниках	Кадровый учет	Персональные компьютеры	Сервера баз данных	Почтовый сервер	Коммуникационное оборудование	Учетная Система	Windows 7
1. Угрозы, обусловленные преднамеренными  действиями
Похищение информации	Средняя	Средняя					Средняя
Вредоносное программное  обеспечение			Высокая	Средняя	Средняя			Средняя
Взлом системы			Средняя	Средняя	Высокая			Средняя
2. Угрозы, обусловленные случайными  действиями
Ошибки пользователей	Средняя	Средняя					Средняя
Программные сбои			Средняя				Средняя	Средняя
Неисправность в системе  кондиционирова ния     воздуха			Низкая	Низкая	Низкая
3. Угрозы, обусловленные естественными  причинами (природные, техногенные  факторы)
Колебания напряжения			Средняя	Низкая	Низкая
Воздействие пыли			Высокая	Средняя	Средняя	Средняя
Пожар			Высокая	Низкая	Низкая	Средняя

 

4. Оценка существующих и планируемых средств защиты.

 

Под защитой  информации – понимают комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.

     Организация защиты информации  в организации – это один  из важнейших моментов, который  ни в коем случае нельзя  упускать из вида. Последствия  будут очень серьезными, если  произойдет утрата баз данных, результатов аналитических исследований, исходных кодов, программных продуктов.  При плохой организации защиты  информации это возможно, что  приведет к достаточно проблематичному  дальнейшему ведению бизнеса,  а в определенных случаях невозможным вообще.

Задачи  по защите информации возлагаются на службу информационных технологий.

Организационная структура службы информационных технологий:

1. Структуру и штаты Службы информационных технологий, а также их изменения утверждает Генеральный директор по представлению заместителя генерального директора по информационным технологиям.
2. Служба состоит из одного подразделения, возглавляемого заместителем генерального директора по информационным технологиям.

Функции службы информационных технологий:

1. Анализ и изучение проблем обслуживания автоматизированных систем управления Компанией и ее подразделений;
2. Контроль состояния и безопасности сети и сетевого оборудования;
3. Назначение пользователям сети прав доступа;
4. Обеспечение бесперебойного функционирования системы и оборудования и принятие оперативных мер по устранению возникающих в процессе работы нарушений;
5. Установка, настройка и управление программными и аппаратными системами Организации;
6. Подготовка планов проектирования и внедрения автоматизированных систем управления Компанией и контроль за их выполнением;
7. Согласование технических заданий на разработку и внедрения нового программного обеспечения в отрасли на предмет обеспечения сетевого и системного взаимодействия;
8. Поддержка Internet-технологий в отрасли, обеспечение доступа к Internet-услугам;
9. Обеспечение правильности переноса исходных данных на машинные носители;
10. Проводит мониторинг развития и использования  информационно-коммуникационных технологий и подготавливает по его результатам аналитические и отчетные материалы;
11. Сопровождение системного, сетевого и сопутствующего программного обеспечения.

 

Техническая архитектура предприятия

 

На момент анализа на предприятии абсолютно  не были реализованы организационные  меры по защите информации, однако были представлены программно-аппаратные и  инженерно-технические средства защиты информации.

Информационные  ресурсы организации сконцентрированы в офисном помещении организации АО "Алатау Жарык Компаниясы".

Локальная вычислительная сеть организации состоит из сервера БД, почтового сервера, рабочих станций, принтеров. Для объединения компьютеров в локальную сеть используются хабы и свичи. Доступ  к сети Интернет осуществляется по волоконно-оптическому каналу Ethernet. На рисунке 1.2.4.1 показана техническая архитектура АО "Алатау Жарык Компаниясы".

 

 

 

Рисунок 1.2.4.1. Техническая архитектура АО "Алатау Жарык Компаниясы"

Технические и программные характеристики офисных  ПК:

Процессор: Intel Celeron Dual Core G530 (Sandy Bridge, 2.40ГГц, LGA1155, L3 2048Kb)

Память: DDR3 2048 Mb (pc-10660) 1333MHz

Материнская плата: S1155, iH61, 2*DDR3, PCI-E16x, SVGA, DVI, SATA, Lan, mATX, Retail

Видеокарта  встроенная Intel® HD Graphics 512Мб

Сетевая карта  есть (10/100 Ethernet).

Программное обеспечение:

ОС: Windows 7;

Office: Microsoft Office 2010;

Почтовый клиент Outlook 2010;

 

Технические и программные характеристики серверов:

Производитель Dell;

Процессор :Intel Xeon E3-1240 (Sandy Bridge, 3.3 ГГц, 8Мб, S1155);

Чипсет: Intel® 3420;

Оперативная память: 2 x DDR3 2048 Mb (pc-10660) 1333MHz;

Жесткий диск: 2 x 700Gb (SATA II);

Сетевая карта: 1 x 10/100/1000 Мбит/с;

Видеокарта: Matrox G200eW, 8 Мбайт памяти;

Программное обеспечение:

ОС: Windows Server 2008;

Сервер  электронной почты: Microsoft Exchange Server

СУБД: Microsoft SQL server + Mysql (WEB)

 

Система охранно-тревожной сигнализации.

 

Система охранно-тревожной сигнализации предназначена  для:

• постановки и снятия с охраны помещений;
• формирования и выдачи сигналов тревоги при несанкционированном появлении или попытке проникновения человека в закрытые и сданные под охрану помещения;
• просмотра состояния охраняемых помещений на планах в графической форме на автоматизированных рабочих местах интегрированной системы безопасности  и отображения на них сигналов тревоги или неисправности в графическом, текстовом и голосовом виде с привязкой к плану объекта;
• ведение протокола событий системы охранно-тревожной сигнализации в памяти компьютера с возможностью просмотра на мониторе и его распечатки;
• ведение электронного журнала, фиксирующего действия операторов в стандартных и нештатных ситуациях.