Содержание 

       Введение

      Проблемы  защиты информации в автоматизированных системах (АС) не теряют своей актуальности вот уже почти 50 лет. Это объясняется тем, что накапливаемая, хранимая и обрабатываемая в АС информация является достаточно уязвимой как с точки зрения опасности ее искажения или уничтожения (нарушения физической целостности), так и с точки зрения несанкционированного доступа к ней лиц, не имеющих на это полномочий.

      Если  первую опасность можно было предположить с самого начала развития технологии автоматизированной обработки информации, то вторая возникла не так давно  и явилась в значительной степени  неожиданностью для специалистов и пользователей АС.

      Развитие  методов защиты информации в АС от нарушения ее физической и логической целостности, а также от несанкционированного доступа происходило параллельно  с развитием самих электронных  средств обработки данных, что обусловливалось их тесной взаимосвязью. Совершенствуясь и развиваясь от сравнительно простых вычислительных устройств 50-х годов до современных суперЭВМ и компьютерных сетей, вычислительные машины в принципе сохранили те же основные элементы: блоки памяти, процессоры, устройства ввода и вывода. Аналогично формировались и основные подходы к разработке методов и способов защиты данных и программ, которые в настоящее время предполагают использование специально создаваемых аппаратных и программных средств, а также определенных организационных процедур обработки. Однако это ен исключает возможности коренного изменения в будущем самого подхода  к разработке новых изначально защищенных информационных технологий, попытки создания которых подготавливаются бурным процессом информатизации общества.

      Целю  данной контрольной работы является:

      - рассмотреть основные вопросы  информационной безопасности предприятия  на примере ООО «МТЦ»;

      - построить информационную защиту  данного предприятия.

      1. Сведения о предприятии

      В качестве объекта исследования было выбрано  Общество с ограниченной ответственностью «Межотраслевой технический центр» (ООО «МТЦ»).

      Юридический адрес предприятия: г.Москва, Барабанный пер., д.9

      Миссией предприятия является продажа и обслуживание кассового оборудования.

      Предметом деятельности ООО «МТЦ» является выполнение работ по информационно-вычислительному обслуживанию предприятий в сфере торговли, и взаимодействию с налоговыми органами.

      К основным видам деятельности ООО «МТЦ» можно отнести:

      - продажу кассового и торгового оборудования;

      - обслуживание кассового и торгового оборудования;

      - замены электронной контрольной ленты защищенной;

      На  данный момент в рассматриваемой организации работает 150 человек.

      ООО «МТЦ» состоит из:

            - отделов – экономико-договорного отдела, отдела сопровождения, юридического отдела, отдела ремонта и отдела автоматизации и программирования;

      - бухгалтерии;

      -отдела продаж.

      Организационная структура предприятия представлена на схеме (см. рис. 1.1). 
 
 
 
 
 
 

      Рис. 1.1. Организационная структура  ООО «МТЦ 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

      2. Анализ угроз безопасности

      2.1. Ресурсы подверженные воздействию угроз

      ООО «МТЦ» имеет единый информационно-вычислительный комплекс основной задачей которого является регистрация торговых организаций и обращений их в компанию МТЦ.

      В связи с этим были выделены следующие  ресурсы: 

      Наиболее  важными для обеспечения деятельности организации являются информационные ресурсы – БД «Контрагенты» и «Задачи»

      Не  менее значимыми являются:

      - аппаратные ресурсы – серверы БД «Контрагенты», серверы БД «Задачи», аппаратное обеспечение ЛВС;

      - ПО – ОС Windows Server 2008, СУБД SQL Server 20050, СУБД dBase (основной расчет), программное обеспечение ЛВС, утилиты для работы с базами данных.

      2.2. Выявление угроз

      Угрозы  безопасности информации – события или действий, которые могу вызвать нарушение функционирования автоматизированной системы, связанное с уничтожением или несанкционированным использованием обрабатываемой в ней информации.

      2.2.1. Классификация источников угроз

      Носителями  угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации - внутренние источники, так и вне ее - внешние источники. Деление источников на субъективные и объективные оправдано исходя из рассуждений по поводу вины или риска ущерба информации. А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутренних источников могу быть разными.

        Все источники угроз безопасности информации можно разделить на три основные группы:

1. Обусловленные действиями субъекта (антропогенные источники угроз).
2. Обусловленные техническими средствами (техногенные источники угрозы).
3. Обусловленные стихийными источниками.

      Антропогенные источники угроз

      Антропогенными  источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы  как умышленные или случайные  преступления.

      В качестве антропогенного источника  угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние [I.A.], так и внутренние [I.B.].

      Внешние источники могут быть случайными или преднамеренными и иметь  разный уровень квалификации. К ним  относятся:

• [I.A.1] криминальные структуры;
• [I.A.2] потенциальные преступники и хакеры;
• [I.A.3] недобросовестные партнеры;
• [I.A.4] технический персонал поставщиков телематических услуг;
• [I.A.5] представители надзорных организаций и аварийных служб;
• [I.A.6] представители силовых структур.

      Внутренние  субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:

• [I.B.1] основной персонал (пользователи, программисты, разработчики);
• [I.B.2] представители службы защиты информации;
• [I.B.3] вспомогательный персонал (уборщики, охрана);
• [I.B.4] технический персонал (жизнеобеспечение, эксплуатация).

      Необходимо  учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные  агенты, которые могут быть из числа  основного, вспомогательного и технического персонала, а также представителей службы защиты информации. 

      Техногенные источники угроз

      Вторая  группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление.

      Технические средства, являющиеся источниками потенциальных  угроз безопасности информации так же могут быть внешними [II.A.]:

• [II.A.1] средства связи;
• [II.A.2] сети инженерных коммуникации (водоснабжения, канализации);
• [II.A.3] транспорт.

      и внутренними [II.B.]:

• [II.B.1] некачественные технические средства обработки информации;
• [II.B.2] некачественные программные средства обработки информации;
• [II.B.3] вспомогательные средства (охраны, сигнализации, телефонии);
• [II.B.4] другие технические средства, применяемые в учреждении;

      Стихийные источники угроз

      Третья  группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда. Стихийные источники потенциальных угроз информационной безопасности как правило являются внешними по отношению к защищаемому объекту и под ними понимаются прежде всего природные катаклизмы [III.A.]:

• [III.A.1] пожары;
• [III.A.2] землетрясения;
• [III.A.3] наводнения;
• [III.A.4] ураганы;
• [III.A.5] различные непредвиденные обстоятельства;
• [III.A.6] необъяснимые явления;
• [III.A.7] другие форс-мажорные обстоятельства.

      2.2.2. Ранжирование источников угроз

      При выборе метода ранжирования источников угроз использовалась методология, изложенная в международных стандартах (Стандарт ISO:17799-00), а также практический опыт российских экспертов в области информационной безопасности.

      Все источники угроз имеют разную степень опасности (К_оп)_i, которую можно количественно оценить, проведя их ранжирование. При этом, оценка степени опасности проводится по косвенным показателям. В качестве критериев сравнения (показателей) можно, к примеру, выбрать:

• Возможность возникновения источника (К₁)_i - определяет степень доступности к защищаемому объекту (для антропогенных источников), удаленность от защищаемого объекта (для техногенных источников) или особенности обстановки (для случайных источников).
• Готовность источника (К₂)_i - определяет степень квалификации и привлекательность совершения деяний со стороны источника угрозы (для антропогенных источников), или наличие необходимых условий (для техногенных и стихийных источников).
• Фатальность (К₃)_i - определяет степень неустранимости последствий реализации угрозы.

      Каждый  показатель оценивается экспертно-аналитическим  методом по пятибалльной системе. Причем, 1 соответствует самой минимальной  степени влияния оцениваемого показателя на опасность использования источника, а 5 - максимальной.

      (К_оп)_i для отдельного источника можно определить как отношение произведения вышеприведенных показателей к максимальному значению (125).

      Проведем расчеты для нашего предприятия:

      Антропогенные угрозы:

      1. внешние:

      - криминальные структуры:   ;

      - хакеры:   ;

      - недобросовестные партнеры (разглашение информации поставщиками, передача (продажа) информации):   ;

      - надзорные организации и аварийные службы:    ;

      - силовые структуры:  ;

      традиционный  шпионаж и диверсии – получение  сведений о системе защиты с целью проникновения к КС, хищения и уничтожения информационных ресурсов:

      - визуальное наблюдение или видео разведка: ;

      - хищение документов и машинных носителей информации: ;

      - хищение программ и атрибутов системы защиты ;

      - подкуп и шантаж сотрудников: ;

      - сбор и анализ отходов машинных носителей информации: .

      2 .внутренние:

      - основной персонал (возможность модификации и уничтожения информации):    ;

      - представители службы защиты информации (возможность модификации и уничтожения информации в ходе сбоя в технической среде):    ;

      - вспомогательный персонал:    ;

      - уборщики и охрана:    ;

      - технический персонал:    .

      Техногенные угрозы:

      1. внешние:

      - средства связи:   ;

      2. внутренние:

      - некачественные технические средства обработки информации (модификация или уничтожение информации вследствие сбоя в технического обеспечении):   ;

      - некачественные программные средства обработки информации (модификация или уничтожение информации вследствие сбоя в программном обеспечении):    ;

      - вспомогательные средства (охрана, телефония):   .

      Стихийные:

      - изменение законодательства:   ;

      - природные:

      - пожары:   ;

      - наводнения:   ;

      - ураганы:   .

      После ранжирования угроз видно, что наибольшую опасность представляет:

• основной персонал (возможность модификации и уничтожения информации);
• представители службы защиты информации (возможность модификации и уничтожения информации в ходе сбоя в технической среде);
• средства связи;
• некачественные технические средства обработки информации (модификация или уничтожение информации вследствие сбоя в технического обеспечении);
• некачественные программные средства обработки информации (модификация или уничтожение информации вследствие сбоя в программном обеспечении);
• вспомогательные средства (охрана, сигнализация, телефония);
• пожары;
• ураганы.

      Так же угрозы можно выявить на основании экспертных оценок. Экспертные оценки получены методом интервьюирования сотрудников ООО «МТЦ». В результате этого были выявлены следующие объекты угроз:

• угрозы информационным ресурсам;
• угрозы программным ресурсам;
• угрозы аппаратным ресурсам.

         Угрозы информационным ресурсам

      Среди угроз информационным ресурсам  можно назвать следующие:

1. Несанкционированный доступ к информации. Возможен вследствие отсутствия системы однозначного определения пользователя информационной системы (отсутствие системы аутентификации). Например, пароль выдается сотрудником Отдела технического обслуживания один раз, при приеме на работу, и действует до увольнения. К базам данных имеют доступ почти все сотрудники МТЦ.

      Возможность несанкционированного доступа к информации рано или поздно приведет к утечке конфиденциальных сведений о предприятии или гражданах, в том числе с криминальными целями.

2. Похищение информации содержащейся в базе данных «Контрагенты». Эта информация особо ценна и политически критична; большой интерес она может представлять и криминальным структурам.
3. Нарушение технологии обработки информации. Эта угроза может привести к нарушению работы или к разрушению и обусловлена возможными ошибками в архитектуре БД, а также возможностью воздействия вредоносных программ.

            Угрозы  программным ресурсам

      Выведение из строя программного обеспечения  возможно вследствие воздействия вредоносных программ (компьютерных вирусов, троянских программ, сетевых червей и т. п.). В ООО «МТЦ» применяется только одна антивирусная программа «Norton Antivirus 2010» (лучшая практика — наличие нескольких антивирусных программ), антивирусные базы обновляются регулярно, антивирусная программа включена в режиме монитора (постоянное слежение).

      И при всем при этом рабочие места (компьютеры) сотрудников Отдела автоматизации и программирования (которые производят администрировании баз данных, создают утилиты для выполнения задач с данными), Отдела технического обслуживания (которые производят администрирование локальной компьютерной сети), рабочие места иных сотрудников МТЦ имеют выход в глобальную сеть Internet.

      Угрозы  аппаратным ресурсам

      Угрозами  аппаратным ресурсам являются:

      1. Поджог помещения  серверной или  смежных помещений. ООО «МТЦ». 2. Залитие помещения серверной водой. Реализация этой угрозы возможно вследствие того, что в помещении серверной находятся трубы системы отопления. Эта же угроза может возникнуть при тушении пожаров на верхних этажах или в смежных помещениях.

      2.3. Оценка рисков

      Оценка  рисков осуществляется с использованием методологии «Risk Matrix» (см. табл. 2.1). В данной методологии используется экспертная оценка рисков возникновения наиболее опасных угроз, выявленных на этапе ранжирования. Оценка риска производится по 2 факторам – вероятность происшествия и ущербу, причиняемому объекту защиты, в следствии возникновения данного происшествия:

      Риск = Вероятность происшествия * Цена потерь (ущерб).

      Определение шкалы:

1. Субъективная шкала вероятности событий (вероятность происшествия):

      1|A – событие практически никогда не происходит;

      2|B – случается редко;

      3|С – вероятность события за рассматриваемый период около 0,5;

      4|D – событие скорее всего произойдет;

      5|E – событие почти обязательно произойдет.

2. Субъективная шкала серьезности происшествия (ущерб):

      0,1|N – (Negligible) – воздействием можно пренебречь;

      0,3|Mi – (Minor) – незначительное происшествие (последствия легко устранимы, затраты на ликвидацию невелики, воздействия на ИТ незначительны);

      0,5|Mo – (Moderate) – происшествие с умеренными результатами (ликвидация последствий не связана с крупными затратами, воздействие на ИТ невелико, не затрагивает критически важные задачи);

      0,7|S – (Serious) – происшествие с серьезными последствиями (ликвидация последствий связана со значительными затратами, воздействие на ИТ ощутимо, воздействует на выполнение критически важных задач);

      0,9|C – (Critical) – происшествие приводит к невозможности решения критически важных задач.

      Таблица 2.1

      Оценка  рисков