Угрозы безопасности информации

Угроза информационной безопасности — это совокупность явлений, условий и факторов, создающих опасность нарушения статуса информации и сервисов информационной безопасности.

Угрозы могут классифицироваться по различным признакам:

По аспекту информационной безопасности, на который направлены угрозы:

· Угрозы конфиденциальности (неправомерный доступ к информации).

· Угрозы целостности (неправомочное изменение данных).

· Угрозы доступности (осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы).

По степени преднамеренности действий:

· Случайные (неумышленные действия, например, сбои в работе систем, стихийные бедствия).

· Преднамеренные (умышленные действия, например, шпионаж и диверсии).

По расположению источника угроз:

· Внутренние (источники угроз располагаются внутри системы).

· Внешние (источники угроз находятся вне системы).

По размерам наносимого ущерба:

· Общие (нанесение ущерба объекту безопасности в целом, причинение значительного ущерба).

· Локальные (причинение вреда отдельным частям объекта безопасности).

· Частные (причинение вреда отдельным свойствам элементов объекта безопасности).

По степени воздействия на информационную систему:

· Пассивные (структура и содержание системы не изменяются).

· Активные (структура и содержание системы подвергается изменениям).

У УЦ ГБУ АО «Инфраструктурный центр электронного правительства» нет конкурентов, так как она является единственным в области учреждением предоставляющем услуги по внедрению и использованию электронной подписи, из чего следует что угрозы со стороны конкурентов не рентабельны. Однако так как сотрудники центра работают с высоко технологичной техникой, их непреднамеренные действия могут причинить вред системе и информации в системе. Так же возможны, преднамеренные действия со стороны сотрудников отдела по работе с клиентами, так как эти сотрудники работают по доверительной системе, что позволяет им сделать копию закрытого ключа электронной подписи и использовать его для извлечения личной выгоды.

Одной из угроз может быть компрометация закрытого ключа удостоверяющего центра, что поставит под удар все выпученные сертификаты открытых ключей электронной подписи, это существенно навредит деятельности учреждения. Для этого необходимо попасть в серверное помещение, что возможно при наличии у злоумышленника полномочий на доступ в помещение или при несанкционированном доступе в помещение.

С подключением удостоверяющего центра к сети Интернет появляется угроза удалённого взлома и хищения информации хранящейся в УЦ, так же, возникает угроза перехвата информации при её передачи между УЦ и клиентом по каналам связи.

Следовательно, основные угрозы безопасности — это:

· случайные действия персонала, повлекшие порчу или утрату информации;

· потеря важной информации в связи со случайными сбоями в работе оборудования;

· преднамеренные действия персонала (снятие копии закрытого ключа клиента, завладение и компрометация закрытого ключа удостоверяющего центра);

· несанкционированный доступ в серверное помещение;

· перехват информации при передаче по каналу связи;

· удаленный взлом и хищение информации (закрытый ключ удостоверяющего центра).

 

Существующая СЗИ

Существующая система защиты представляет собой комплекс физических и технических мер противодействия вторжения и организационно-нормативные акты регламентирующие деятельность и ответственность сотрудников, а именно:

· система сигнализации вторжения, которая при обнаружении нарушителя отправляет сигнал на пульт частного охранного предприятия «Наш город»;

· система противопожарной сигнализации;

· физические барьеры, а именно решетки на окнах, двери 3-го и 5-го класса защищенности;

· использование системы идентификации и аутентификации для доступа к рабочим станциям;

· должностные инструкции, описывающие порядок хранения, обработки, передачи информации и ответственность сотрудников при её порче, потере или при ее использовании в личных целях (как следствие, уменьшение риска реализации таких угроз, как снятие копий с закрытого ключа электронной подписи клиента и завладение закрытым ключом удостоверяющего центра в силу введения наказания за подобные нарушения).

Отдельно надо рассмотреть защиту серверной комнаты. Она реализована с использованием систем противопожарной сигнализации и сигнализации несанкционированного доступа в помещение, и ещё при помощи двери 5-го класса защищенности с установленным электронным замком открываемым парой магнитных ключей и вводом пароля. Это уменьшает возможность осуществления угроз несанкционированного проникновения в серверное помещение и случайных негативных действий персонала, так как право доступа в помещение имеют только специалисты отдела по работе с клиентами специально обученные для работы с удостоверяющим центром. Так же, в серверном помещении установлены система кондиционирования и источники бесперебойного питания, позволяющие корректно завершить работу оборудования при проблемах с электропитанием.

Недостатки существующей СЗИ

 

К недостаткам СЗИ можно отнести отсутствие собственной системы видеонаблюдения в помещениях и на территории здания. Так же существенным недостатком является отсутствие планового резервного копирования, что может привести к утере информации, при технических или программных неисправностях сервера и удостоверяющего центра.

 

Так же, существующая система не сможет обеспечить необходимую защиту от угроз, появившихся вследствие подключения удостоверяющего центра к сети Интернет. Это угрозы: перехвата информации при передаче по каналу связи, и удаленный взлом и хищение информации.

 

Выводы

Существующая система защиты практически полностью отвечает интересам начальства ГБУ АО «Инфраструктурный центр электронного правительства» на данный момент, однако есть некоторые недостатки, такие как отсутствие планового резервного копирования. Что увеличивает риск потери важной информации при возникновении неисправностях и сбоях в работе оборудования.

Однако при реализации проекта подключения удостоверяющего центра к сети Интернет, данная система защиты будет уязвима для таких угроз как перехват информации по каналам связи, и удаленный взлом и хищение информации. Для минимизации реализации таких угроз необходимо модернизировать систему защиты согласно проекту, представленному во второй главе данной работы.

 

 

 

Теоритическая часть

 

В предыдущей главе был составлен список актуальных угроз для информации на предприятии, была описана существующая система защиты информации и ее недостатки. Исходя из недостатков, можно выделить угрозы риск реализации, которых невозможно уменьшить в силу функциональной недостаточности системы защиты.

Это угрозы:

· перехват информации по каналам связи;

· удаленный взлом и хищение информации;

· потеря важной информации в связи со случайными сбоями в работе оборудования;

Для решения данных проблем необходимо внедрить новые средства защиты информации. Для решения проблемы перехвата информации по каналам связи, и удаленного взлома, и хищения информации возможно использование таких средств защиты как межсетевой экран и программный комплекс позволяющий организовать зашифрованный канал передачи данных между удостоверяющим центром и клиентом.

Для решения проблемы потери важной информации в связи со случайными сбоями в работе оборудования можно пользоваться стандартными приложениями входящие в комплект поставки операционной системы, для того чтобы наладить процесс резервного копирования необходимо назначить ответственного за выполнение данной процедуры и составить должностную инструкцию для данного сотрудника, в которой описать какую информацию копировать, с каким временным интервалом и его ответственность за не выполнение(Приложение А).

Межсетевой экран

Для решения проблемы удаленного взлома и хищения информации лучше всего использовать межсетевой экран. После внедрения межсетевого экрана в сеть предприятия удостоверяющий центр будет расположены в так называемой демилитаризованной зоне (DMZ). DMZ - сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных. Это будет сделано для того чтобы добавить еще один уровень защиты, если злоумышленник сможет удаленно получить доступ к удостоверяющему центру, то он не сможет получить доступ к локальной сети учреждения.

Целесообразно использовать только один межсетевой экран (Рис. 3.), это объясняется тем, что в локальной сети учреждения нет конфиденциальной информации как таковой, вся конфиденциальная информация содержится в удостоверяющем центре. Так что даже если будет произведен взлом и злоумышленник проникнет в локальную сеть, он не сможет нанести крупного ущерба.

Рисунок 2.1. Конфигурация с одним межсетевым экраном

 

Для создания DMZ необходим межсетевой экран, имеющий как минимум три сетевых интерфейса: один – для соединения с провайдером(WAN), второй – с внутренней сетью, третий – с DMZ.

Так как количество рабочих станций мало, то слишком высокой пропускной способности у межсетевого экрана не нужно. Следовательно, подойдёт модель для небольшого офиса.

Были выбраны 4 межсетевых экрана ведущих производителей NETGEAR, Cisco, ZyXEL, D-Link в одной ценовой категории 22-24тыс. рублей. Основные параметры — это:

· поддержка DMZ;

· производительность;

· количество интерфейсов;

· функции межсетевого экрана;

· количество одновременных подключений.

Оценка происходила по пяти бальной шкале, где 1-нет, 2 - плохо, 3-удовлетворительно, 4 - хорошо, 5 – отлично.

 

 

Таблица 2.1. Сравнение межсетевых экранов.

Название	Cisco ASA 5505-50-BUN-K8	D-Link DFL-260E/A1N	NETGEAR SRX5308-100RUS	ZyXEL ZyWALL USG 50
Производительность
Количество интерфейсов
Функции межсетевого экрана
Количество одновременных подключений
Поддержка DMZ
Средний бал	3, 4	3, 8	4, 6	3, 4

 

Исходя из сравнения межсетевых экранов был выбран межсетевой экран NETGEAR SRX5308-100RUS стоимостью 24тыс. рублей. Но покупка и установка межсетевого экрана не может быть полностью устранить риск угрозы, вместе с ним необходимо ввести организационно-нормативные акты, регламентирующие процесс обслуживания, замены, настройки и назначить ответственное лицо из числа сотрудников и провести его обучение для работы с устройствами данного рода.

Рисунок 2.2. Схема сети после добавления межсетевого экрана

 

ПК «МагПро КриптоСервер»

Программный комплекс «МагПро КриптоСервер» предназначен для защиты различных интернет-сервисов от несанкционированного доступа и перехвата данных, передающихся между сервисом и клиентом. МагПро КриптоСервер представляет собой сертифицированное криптографическое средство. Защита обеспечивается с помощью протокола SSL/TLS, в рамках которого осуществляется аутентификации клиента по сертификату X.509 и шифрование трафика между клиентом и сервером.

Таким образом, «МагПро КриптоСервер»:

• позволяет произвольному Web-серверу (IIS, Apache, nginx и т.д.) защищать сайты по протоколу HTTPS;
• обеспечивает безопасный доступ на терминальный сервер по протоколу RDP;
• обеспечивает защиту почтовых серверов и серверов баз данных и т.д.

Этот комплекс имеет сертификат ФСБ России по классу КС2, что позволяет его использовать в системе удостоверяющего центра. Этот программный комплекс является надстройкой для Web-сервера создающий зашифрованный канал связи между сервером и клиентом для передачи информации.

Преимущества комплекса:

· не требует установки на терминале клиента;

· использование ГОСТ 28147: 2009;

· наличие позитивных отзывов от Госспецсвязи реализации криптографических преобразований;

· низкие системные аппаратные требования.

Стоимость данного продукта 33тыс рублей. Стоимость технической поддержки составляет 3, 3тыс рублей.

Для полного функционирования необходим Web-сервер, это условие можно выполнить путем установки на удостоверяющий центр надстройки Web-сервера. Тем самым можно избежать лишних затрат на покупку нового сервера.

 

Выводы

Во второй главе было предложены решения позволяющие уменьшить риск реализации угроз изложенных в первой главе.

Было предложено:

· установка и настройка межсетевого экрана и разработка организационно-нормативных актов для межсетевого экрана(Приложение Б);

· перенос удостоверяющего центра в DMZ;

· установка Web-сервера и ПК «МагПро КриптоСервер» как надстройки для удостоверяющего центра

· разработка организационно-нормативного акта о резервном копировании и восстановлении.

Стоимость внедрения всего проекта составляет 60тыс рублей в первый год, и 3, 3тыс рублей ежегодно за лицензию на использование ПК «МагПро КриптоСервер».

 

 

Список литературы

Книги

1. Учебно-методическое пособие. Правовое обеспечение защиты информации Часть 1. Таганрог 2007.

Интернет-ресурсы

1. Информационная безопасность. Обеспечение безопасности Web-сервисов. URL: http: //www.itsec.ru/articles2/Oborandteh/obespe4_bezopasn_web_servisov (дата обращения 5.11.2014)

 

2. Инсотел - Поставки сетевого и серверного оборудования. Межсетевые экраны. URL: http: //www.insotel.ru/series.php? sid=267(дата обращения 4.11.2014)

 

3. Криптоком. Программный комплекс «МагПро КриптоСервер» URL: http: //www.cryptocom.ru/products/cryptoserver.html (дата обращения 4.11.2014)

 

Приложение А

 

 

Инструкция

⇐ Предыдущая12

Поделиться:

Популярное:

1. I. ПОЛОЖЕНИЯ И НОРМЫ ДЕЙСТВУЮЩЕГО ЗАКОНОДАТЕЛЬСТВА, В ОБЛАСТИ ОРГАНИЗАЦИИ ПРОТИВОПОЖАРНОЙ ПРОПАГАНДЫ И ОБУЧЕНИЯ НАСЕЛЕНИЯ МЕРАМ ПОЖАРНОЙ БЕЗОПАСНОСТИ
2. IV. Проверка знаний правил пожарной безопасности
3. Авторское видение роли специалиста по ОРМ в обеспечении социальной безопасности молодежи: итоги авторских исследований, проектов, модели.
4. Администрирование средств безопасности
5. БЖД как наука о безопасности. Предмет, цель, задача БЖД.
6. В случае угрозы жизни и здоровью участников, зрителей, организатор вправе приостановить либо совсем прекратить мероприятие.
7. В сопровождении оперативного персонала, обслуживающего данную электроустановку, с группой по электробезопасности не ниже III или работника, имеющего право единоличного осмотра
8. Важность и сложность проблемы информационной безопасности
9. Вводный инструктаж по безопасности труда, противопожарной безопасности
10. Водители и пассажиры каких транспортных средств при движении должны быть пристегнуты ремнями безопасности?
11. ГЛАВА 1. СПЕЦИФИКА ОБЕСПЕЧЕНИЯ ПРОФЕССИОНАЛЬНОЙ БЕЗОПАСНОСТИ РАЗЛИЧНЫХ КАТЕГОРИЙ СОТРУДНИКОВ ОВД
12. Глава 1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ БЕЗОПАСНОСТИ ЖИЗНЕДЕЯТЕЛЬНОСТИ