Файл: Построение модели угроз малого предприятия розничной торговли продуктами питания.pdf
Добавлен: 11.03.2024
Просмотров: 42
Скачиваний: 0
СОДЕРЖАНИЕ
1. Система безопасности предприятия
1.1 Общая характеристика предметной области
1.2 Источники угроз и оценка уязвимостей на предприятии
1.3 Система безопасности магазина розничной торговли ООО «Едок»
2. Основные направления защиты информационной безопасности ООО «Едок»
2.1 Источники угроз информационной безопасности ООО «Едок»
2.2 Организация системы информационной безопасности ООО «Едок»
2.3 Инструменты и механизмы обеспечения информационной безопасности
Как показано на Рисунке 2, относительное количество сотрудников, работающих в области обеспечения информационной безопасности ООО «Едок» в период 2014-2019 г.г. возрастает, что связано с ростом количества задач, требующих привлечения специалистов данного профиля (внедрение систем электронного документооборота, работы с торговыми площадками, внедрение систем защиты персональных данных, развёртывание систем видеонаблюдения, охранной и пожарной сигнализации).
На Рисунке 3 приведена динамика средств, затрачиваемых на приобретение программных и аппаратных средств информационной безопасности.
Рисунок 3. Динамика средств, затрачиваемых на приобретение программных и аппаратных средств информационной безопасности
Как показано на рисунке 3, в период 2014-2019 г.г. наблюдается рост вложений в инфраструктуру информационной безопасности, что связано с модернизацией физической защиты, обновлениями программного обеспечения.
На Рисунке 4 приведена динамика количества инцидентов информационной безопасности, на Рисунке 5 – динамика ущерба, вызванного инцидентами информационной безопасности.
Рисунок 4. Динамика количества инцидентов информационной безопасности
Рисунок 5. Динамика ущерба от инцидентов информационной безопасности ООО «Едок»
Вычисление коэффициента корреляции между относительной штатной численностью специалистов по информационной безопасности и размера ущерба от инцидентов показало наличие сильной обратной корреляции. Таким образом, с ростом штатной численности сотрудников, работающих в области информационной безопасности, сокращается ущерб от инцидентов.
В рамках рассмотрения индикаторов защищенности информационной системы ООО «Едок» проводится анализ показателей:
- порядок назначения пользовательских ролей при доступе к информационным ресурсам компании;
- порядок обеспечения информационной безопасности на стадиях жизненного цикла информационных систем;
- решение задач защиты информации в процессе управления доступом и регистрацией;
- оценка архитектуры антивирусной защиты;
- регламентация использования средств Интернета;
- регламентация работы с криптографическим средствами;
- регламентация обеспечения защищенности персональных данных.
Рассмотрим режим управления доступом пользователей на уровне приложения на примере ПО «1С: Предприятие». К основным задачам администратора базы данных с использованием конфигуратора «1С: Предприятие» относят:
- работу с пользовательскими учетными записями (введение новых учетных записей), изменение уровня доступа к системе, удаление пользователя из системы;
- создание групповых политик (назначение групповых прав доступа);
- операции с информационными базами (установка обновлений, тестирование БД, реорганизация, сжатие и др.);
- резервное копирование базы данных;
- восстановление баз данных;
- организация хранения копий баз данных;
- разработка нормативных документов в области функционала администратора БД.
Эффективность управления базами данных определяет уровень надежности системы, снижение вероятности пользовательских ошибок, возникающих вследствие влияния человеческого фактора, позволяет реализовать протоколирование действий пользователей.
Проведем анализ организации процесса администрирования указанных информационных ресурсов в условиях ООО «Едок». Основные методы администрирования ПО «1С: Предприятие» связаны с управлением на уровне программного обеспечения (управление доступом осуществляется через режимы работы ПО), а также управление на уровне Active Directory (управление доступом к ресурсам файловой системы).
Функции администрирования ПО «1С: Предприятие», как правило, возлагаются на специалистов в области информационных технологий или защиты информации. На Рисунке 6 приведена схема документооборота в управлении пользовательским доступом к ПО «1С:Предприятие» в условиях ООО «Едок».
Рисунок 6. Схема документооборота в процессе администрирования баз данных «1С: Предприятие»
Из схемы видно, что процесс предоставления доступа пользователям к базам данных ПО «1С: Предприятие» предполагает выполнение следующих работ:
1. Начальником профильного отдела подается формализованная заявка на предоставление прав доступа к базам данных ПО «1С: Предприятие» на имя администратора базы данных. Заявка включает следующие позиции:
- тип действия: предоставление, изменение, закрытие прав доступа;
- доменное имя специалиста;
- ФИО и должность специалиста;
- уровень доступа;
- срок исполнения заявки.
Заявка визируется руководителем организации.
2. Администратор базы данных проводит изменения в документах: «Таблицы разграничения доступа к информационным ресурсам», «Профиль разграничения доступа к информационным ресурсам».
3. При необходимости администратором проводится формирование парольной карточки доступа к базе данных для выдачи пользователям и выдача ее под роспись с отметкой в соответствующем журнале. В некоторых случаях пользователи меняют пароли самостоятельно.
4. Администратор базы данных информирует руководителя подразделения предприятия об исполнении заявки.
Рассмотрим примеры доступа к базам данных специалистов к базам данных ПО «1С: Предприятие» (Таблица 2).
Таблица 2
Режимы доступа к ПО «1С: Управление продажами»
|
Должность специалиста |
Интерфейс |
Описание функционала |
|
Генеральный директор |
Отчеты |
Управленческий учет – формирование сводных данных о деятельности организации, финансовых показателях, связанных с осуществлением продаж |
|
Руководитель коммерческого отдела |
Полный |
Ввод документов, формирование аналитической отчетности, просмотр журналов, сторнирование документов |
|
Специалист отдела сбыта |
Отдел сбыта |
Оформление продаж с использованием кредитных ресурсов |
|
Специалист отдела бухгалтерского учета |
Бухгалтерский учет |
Ввод и проведение платежных документов |
|
Администратор базы данных |
Администратор |
Администрирование ПО |
По результатам анализа индикаторов информационной безопасности ООО «Едок» было показано, что в существующей технологии работы компании существует регламент определения пользовательских ролей при работе с приложениями. Разработаны регламенты оборота криптографических средств, внедрены корпоративные версии антивирусных программ, позволяющие централизовано управлять системой антивирусной защиты.
2. Основные направления защиты информационной безопасности ООО «Едок»
2.1 Источники угроз информационной безопасности ООО «Едок»
В условиях ООО «Едок» объектами защиты информации являются:
- элементы коммерческой тайны (данные о финансовом состоянии компании, клиентская база, данные о поставщиках и др.);
- персональные данные сотрудников;
- информация, содержащаяся в базах данных информационных систем ООО «Едок», утеря которой может привести к затратам компании на восстановление данных и возврат к штатному режиму работы;
- криптографические ключи (ключи электронной подписи).
Угрозы конфиденциальности информации ООО «Едок»:
- внутренние (связанными с нарушениями требований информационной безопасности при обработке персональных данных);
- внешние, когда источник угроз находится вне пределов информационной системы организации.
Реализация угроз возможна через физическое проникновение в помещения, несанкционированное копирование персональных данных в информационной системе, потерю данных вследствие сбоя в информационной системе, перехват информации через различные физические каналы (электромагнитный, визуально-оптический, параметрический, акустический и др.) [18].
Виды угроз для объектов защиты в условиях ООО «Едок» могут быть разнообразными. Далее приведены примеры некоторых видов угроз, каждой из которых сопоставляются технологические решения (Таблица 3):
Таблица 3
Типовые опасности безопасности информации в условиях ООО «Едок»
|
Опасности |
Технологии защиты |
Документационное обеспечение |
Категория |
|
Осуществление визуального съёма отображаемых данных (в присутствии посторонних лиц в процессе обработки данных) |
Блокирование экрана с использованием электронных ключей |
Список выделенных помещений |
Внешняя |
|
Активность вредоносного ПО |
Установка АВЗ |
«Инструкция по обеспечению антивирусной защиты» |
Внешняя |
|
Сетевые атаки |
Криптографическая защита |
Журнал настроек криптографического ПО |
Внешняя |
|
Аппаратные закладки |
Тестирование аппаратных систем |
«Акт тестирования устройств на наличие закладок» |
Внешняя |
|
Программные закладки |
Тестирование программных систем |
«Акт тестирования программ на наличие закладок» |
Внешняя |
|
Несанкционированное копирование баз данных |
Внедрение системы разграничения доступа |
Матрицы доступа |
Внешняя |
|
Накопление пользовательских данных |
Периодическая очистка временных файлов |
Инструкция по работе с ПО |
Внутренняя |
|
Ошибки в ПО |
Подготовка данных для разработчиков |
«Акт об устранении ошибок» |
Внутренняя |
|
Ошибочные действия работников |
Комплекс защитных мер |
«Лист ознакомления пользователей с инструкциями» |
Внутренняя |
|
Чрезвычайные ситуации |
Резервное копирование |
«Порядок эвакуации носителей информации при возникновении ЧС» |
Внутренняя |
|
Компрометация электронной подписи |
Вывод из строя скомпрометированных ключей |
«Инструкция по генерации ключей электронной подписи» |
Внутренняя |
|
Компрометация паролей |
Смена паролей |
«Инструкция по обеспечению парольной защиты» |
Внутренняя |
В условиях ООО «Едок» разработан пакет нормативных документов, регламентирующих правила работы с конфиденциальной информацией. За нарушение требований защиты информации предусматривается дисциплинарная ответственность, работает комиссия по анализу инцидентов информационной безопасности, в компетенцию которой входят вопросы анализа соблюдения требований по защите информации и принятия управленческих решении относительно нарушителей.
На Рисунке 7 приведена схема взаимодействия опасностей, угроз и рисков информационной безопасности ООО «Едок».
Рисунок 7. Схема взаимодействия опасностей, угроз и рисков информационной безопасности ООО «Едок»
Анализ рисков информационной безопасности в комплексе возможен с использованием программных систем специального класса таких, как RiskWatch, Risk Manager, COBRA и др.
Рассмотрев существующую систему организации защиты информации ООО "Едок", были сделаны выводы:
- в условиях рассматриваемого предприятия принимается ряд организационных, инженерно-технических и программных мер по обеспечению защиты информации;
- отсутствуют системы защиты от утечек по физическим каналам;
- в организации системы антивирусной защиты отмечен ряд недостатков, связанных с доступностью USB-портов для всех сотрудников, отсутствием модуля проверки электронной почты, возможностью пользовательского управления системой антивирусной защиты (не отключена возможность удаления, отключения компонент антивирусной защиты);
- отсутствуют средства, позволяющие осуществлять мониторинг состояния локальной вычислительной сети (активность пользователей, программного обеспечения, анализ сетевого трафика);
- в части организации системы защиты информации отсутствует единая номенклатура дел по защите информации, отсутствуют листы ознакомления сотрудников с требованиями защиты информации, отсутствуют регламенты резервного копирования и хранения резервных копий, не определен список выделенных помещений с ограниченным доступом.
Совершенствование защищенности системы защиты информации в условиях ООО «ЕДОК» предполагает:
- необходимость ограничения прав пользователей на конечных рабочих станциях;
- блокировку пользовательских учетных записей на период их отсутствия;
- разработку приказа об эвакуации носителей резервных копий при наступлении ЧС.
