Модернизация системы информационной безопасности БТИ

 

Продолжение таблицы 1.1

1	2
9. По текущему  месту расположения информации, хранимой и обрабатываемой в  АСОД	Угрозы доступа  к информации на внешних запоминающих устройствах (например, угроза несанкционированного копирования секретной информации с жесткого диска).
	Угрозы доступа  к информации в оперативной памяти: чтение остаточной информации из оперативной памяти; чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме, используя недостатки мультизадачных АСОД и систем программирования; угроза доступа к системной области оперативной памяти со стороны прикладных программ.
	Угрозы доступа  к информации, циркулирующей в  линиях связи: незаконное подключение к линиям связи с целью работы "между строк", с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений; незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений; перехват всего потока данных с целью дальнейшего анализа не в реальном масштабе времени.
	Угрозы доступа  к информации, отображаемой на терминале  или печатаемой на принтере (например, угроза записи отображаемой информации на скрытую видеокамеру).

 

Все рассмотренные  классы и виды угроз в той или  иной мере присущи и АСОД в ФГУП.

Так же можно  классифицировать угрозы согласно Уголовному Кодексу Российской Федерации (УК РФ) и выделить следующие угрозы информационной безопасности.

Хищение (копирование) информации.

Уничтожение информации.

Модификация (искажение) информации.

Нарушение доступности (блокирование) информации.

Отрицание подлинности информации.

Навязывание ложной информации.

Хищение - совершенные  с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества/5/.

Копирование компьютерной информации - повторение и устойчивое запечатление информации на машинном или ином носителе/5/.

Уничтожение - внешнее  воздействие на имущество, в результате которого оно прекращает свое физическое существование либо приводятся в полную непригодность для использования по целевому назначению. Уничтоженное имущество не может быть восстановлено путем ремонта или реставрации и полностью выводится из хозяйственного оборота/5/.

Уничтожение компьютерной информации - стирание ее в памяти ЭВМ/5/.

Повреждение - изменение  свойств имущества при котором  существенно ухудшается его состояние, утрачивается значительная часть его  полезных свойств и оно становится полностью или частично непригодным для целевого использования/5/.

Модификация компьютерной информации - внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз  данных/5/.

Блокирование  компьютерной информации - искусственное  затруднение доступа пользователей к информации, не связанное с ее уничтожением/5/.

Несанкционированное уничтожение, блокирование модификация, копирование информации - любые не разрешенные законом, собственником или компетентным пользователем указанные действия с информацией.

Обман (отрицание подлинности, навязывание ложной информации) - умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество и таким образом добиться от него добровольной передачи имущества, а также сообщение с этой целью заведомо ложных сведений/5/.

Классификация угроз наиболее наглядно будет выглядеть, если рассматривать угрозы в связке с её источником. В соответствии с данным походом классификация угроз ИБ в ФГУП будет выглядеть следующим образом (рисунок 1.5):

Все представленные угрозы могут являть преднамеренными  либо непреднамеренными.

Так же необходимо рассмотреть угрозы направленные на конкретные объекты АСОД в ФГУП. Согласно структурной схеме ЛВС приведенной на рисунке 1.3, можно выделить следующие объекты автоматизированной системы.

1. АРМ сотрудника.

2. Сервер БД.

3. Файловый сервер.

4. Сервер управления.

Для каждого  из объектов в таблице 1.2 представлены конкретные угрозы ИБ.

1.3 Характеристика  возможного ущерба в ФГУП «Ростехинвентаризация – Федеральное БТИ» от реализации угроз информационной безопасности.

 

С позиции экономического подхода общий ущерб информационной безопасности предприятия складывается из двух составных частей: прямого и косвенного ущерба.

Прямой ущерб информационной безопасности предприятия возникает вследствие утечки конфиденциальной информации. Косвенный ущерб — потери, которые несет предприятие в связи с ограничениями на распространение информации, в установленном порядке, отнесенной к категории конфиденциальной.

 

Рисунок 1.5 – Классификация угроз ИБ в ФГУП

 

Таблица 1.2. –  Угрозы ИБ каждого из объектов АСОД

Объект АСОД	Угрозы ИБ
АРМ сотрудника	Копирование информации на носители
	Установка и  использование «левого» ПО
	Заражение компьютера вирусами
	Ошибки оператора при эксплуатации СВТ
	Ошибки оператора  при эксплуатации программных средств
	Несанкционированный доступ к ресурсам АС и дальнейшего  его использования (копирование, модификации, удаления)
Сервер БД	Копирование информации
	Доступ к  информации, путем нарушения функционирования
	Ошибки пользователей  при эксплуатации программных средств
Файловый сервер	Изменение информации
	Копирование информации
	Удаление информации
	Разглашение защищаемой информации путем передачи носителей  информации, лицам не имеющих права доступа
Сервер управления	Незаконное  получение паролей и других реквизитов разграничения доступа.
	Блокировка  доступа зарегистрированных пользователей

 

Для начала следует  выбрать методику, по которой будет  проводиться оценка ущерба. На сегодняшний день недостатка в таких методиках оценки рисков нарушения информационной безопасности нет. Это, к примеру, OCTAVE, CRAMM, RA2, отраслевая методика Банка России РС БР ИББС 2.2 – это лишь немногие из них.

Методики можно  разделить на качественные и количественные, в зависимости от шкал, применяемых для оценки вероятности реализации угрозы и тяжести последствий от её реализации. Кроме того, отличия методик заложены в подходах (базовый уровень или детальная оценка ущерба) и процедурах оценки ущерба. Для некоторых методик разработаны инструментальные средства, содержащие базу знаний по ущербу и механизмы их минимизации/13/.

В рамках разработки или анализа системы информационной безопасности наиболее целесообразной является качественная оценка ценности информационного ресурса со стороны владельца, но она имеет более абстрактное представление размере возможного ущерба. При этом, в зависимости от потребностей организации, её размера или иных факторов, качественная шкала оценки может использовать такие обозначения, как «незначительный», «низкий», «средний», «высокий», «критический», под которыми подразумевается определенный интервал количественной шкалы оценки. Например, «незначительный» - менее 10 тыс. рублей, «низкий» - от 10 до 100 тыс. рублей и т.д.

Так же существуют специальные методики, используемые оценочными компаниями для количественной оценки стоимости нематериальных ресурсов на основе рыночного, доходного или  затратного подходов. Однако их применение часто требует привлечения профессиональных оценщиков, так как в подавляющем большинстве случаев специалисты подразделений информации безопасности не обладают подобными знаниями.

В первую очередь  после составления списка угроз, необходимо степень вероятности  реализации (СВР) угроз. Для определения СВР той или иной угрозы на данном этапе можно воспользоваться качественной экспертной оценкой.

Оценивание  риска, в общем случае, происходит путем сопоставления оценок степени тяжести последствий с оценкой СВР угроз ИБ.

Для оценивания рисков нарушения ИБ, в зависимости от потребностей организации и критериев, определенных в Политике, может быть использована простая качественная шкала («допустимый», «недопустимый»), более продвинутая качественная шкала (таблица 1.4) (например, «критический», «высокий», «средний», «приемлемый») или даже количественная шкала, выраженная в процентах или деньгах.

На этапе  оценки риска определяется потенциальный  ущерб от угроз нарушения информационной безопасности для каждого ресурса или группы ресурсов. Обычно исходят из того, что уровень риска зависит от вероятности реализации определенной угрозы в отношении определенного объекта, а также от величины возможного ущерба/13/.

 

Таблица 1.4 –  Сопоставления оценок степени тяжести  последствий с оценкой СВР  угроз ИБ

Степень вероятности реализации угрозы ИБ	Степень тяжести  последствий нарушения ИБ
	минимальная	средняя	высокая	критическая
нереализуемая	допустимый	допустимый	допустимый	допустимый
минимальная	допустимый	допустимый	допустимый	недопустимый
средняя	допустимый	допустимый	недопустимый	недопустимый
высокая	допустимый	недопустимый	недопустимый	недопустимый
критическая	недопустимый	недопустимый	недопустимый	недопустимый

 

Информационный  ресурс – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении. У каждой организации свой набор ресурсов, относящихся к тому или иному типу, например:

− персональные данные;

− стратегическая информация, необходимая для достижения бизнес-целей;

− ноу-хау;

• конфиденциальная информация;

− коммерческая тайна;

− служебная тайна и т.д.

Стоит заметить, что на данном этапе большим подспорьем может служить документированное  описание бизнес-процессов организации. Это позволит быстро идентифицировать информационные активы (ресурсы подлежащие защите), вовлеченные в конкретный бизнес-процесс, а также определить задействованный в нем персонал.

Определение ценности ресурсов, а точнее, оценка степени  тяжести последствий от утраты ресурсом свойств информационной безопасности - конфиденциальности, целостности или доступности - необходима для того, чтобы определить: сколько будет стоить «простой» системы в течение времени, требующегося на её восстановление, каков будет ущерб, если эта информация станет известной конкурентам/12/.

При рассмотрение возможного ущерба необходимо так же рассмотреть ресурсы, используемые на предприятие.