Система информационной безопасности предприятия

Введение

С распространением электронно-вычислительных машин нетрудно предсказать рост в потребности передачи данных. На сегодняшний день в мире существует более 130 миллионов компьютеров и более 80 процентов из них объединены в различные информационно-вычислительные сети от малых локальных сетей в офисах до глобальных сетей типа Internet. Само собой разумеется, такая информация может быть интересна для конкурирующих организаций, а значит, появляется проблема ее защиты.
Выделяют три основных вида угроз безопасности - это угрозы раскрытия, целостности и отказа в обслуживании.
Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Угроза целостности включает в себя любое умышленное изменение (модификацию или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности - деловые или коммерческие.
Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.
При построении системы обеспечения информационной безопасности мы сталкиваемся с проблемой определения необходимого уровня защиты информации в рассматриваемой системе. С одной стороны, в соответствии с определением системы информационной безопасности, необходимо обеспечить конфиденциальность, целостность и доступность информации. C другой стороны, слишком большие затраты на поддержание излишне высокого уровня защиты информации не всегда являются практичными и оправданными. Для поиска «границ» безопасности информационной системы можно использовать определенные стандарты и регламенты в сфере информационной безопасности, однако они не всегда там четко определяются. Поэтому используются определенные методики управления информационной безопасностью.
Все вышеизложенное объясняет актуальность темы данной работы и устанавливает определенные критерии к рассматриваемому кругу вопросов в рассмотрении и изучении системы управления информационной безопасностью предприятия.
Актуальность реферата определили ее цель и задачи.
Целью исследования является комплексное исследование понятия «информационная безопасность предприятия».
Цель достигается путем описания и сравнения основных методик оценки и анализа информационной безопасности.
В соответствии с поставленной целью, определены следующие основополагающие задачи исследования:
– раскрыть понятие информационной безопасности;
– рассмотреть общий механизм управления информационной безопасностью;
– определить особенности управления рисками информационной безопасности;
– описать систему российских стандартов в области обеспечения информационной безопасности.
1 ТЕОРЕТИЧЕСКИЕ ОСНОВЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ПРЕДПРИЯТИЯ

1.1 Понятие рисков информационной безопасности. Анализ возможных угроз безопасности

Анализ информационной безопасности предприятия начинается с рассмотрения всех возможных потенциальных угроз. Риски информационной безопасности бывают следующих типов:
– физические источники;
– нецелесообразное пользование компьютерной сетью и Интернет;
– утечка из закрытых источников;
– утечка техническими путями;
– несанкционированное вторжение;
– нарушение целостности модификации данных;
– правовые нарушения.
Все риски для информационной безопасности можно классифицировать на различные группы: на основании нескольких критериев:
1. Внутренние и внешние;
2. Преднамеренные и непреднамеренные;
3. Прямые или косвенные;
4. По результату – нарушение достоверности информации, нарушение актуальности информации, нарушение полноты информации, нарушение конфиденциальности и др.
5. По механизму воздействия: стихийные бедствия, аварии, ошибки специалистов и др.
Информационная безопасность любой автоматизированной системы обработки информации (в том числе и рабочих станций под управлением любой ОС) - это состояние, в котором она:
способна противостоять угрозам (как внешним, так и внутренним) на обрабатываемую информацию;
не является источником угроз для собственных элементов и окружающей среды.
Угрозой информационной безопасности считается возможность реализации воздействия на информацию, обрабатываемую в компьютерной системе, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также возможность воздействия на компоненты системы, приводящего к утрате, уничтожению или сбою функционирования носителя информации.
Можно выделить три группы угроз информационной безопасности:
Угроза нарушения конфиденциальности. Заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Иногда, в связи с угрозой нарушения конфиденциальности, используется термин "утечка".
Угроза нарушения целостности. Предполагает любое незапланированное и несанкционированное изменение информации, хранящейся в системе или передаваемой из одной системы в другую. Целостность может быть нарушена в результате преднамеренных действий человека, в результате возникновения случайной ошибки программного или аппаратного обеспечения.
Угроза нарушения доступности (или угроза отказа служб). Возникает всякий раз, когда в результате некоторых событий блокируется доступ к некоторому ресурсу вычислительной системы. Блокирование может быть постоянным - запрашиваемый ресурс никогда не будет получен.
Причины возникновения угроз безопасности:
целенаправленные действия злоумышленника;
объективные воздействия со стороны среды эксплуатации, например, перепады напряжения в сети электропитания, природные явления и т.п.;
стихийные бедствия и чрезвычайные ситуации;
ошибки человека:
разработчика - ошибки в реализации алгоритмов функционирования программного и аппаратного обеспечения;
администратора - ошибки в настройке системы;
пользователя - неквалифицированнее действия.
Разрушающие программные воздействия:
Компьютерные вирусы (computer virus) - деструктивные программы, которые способны в определенном окружении (например, под управлением конкретной ОС или другого ПО) создавать свои копии и внедрять их в объекты информационной системы, например файлы программ или документов

.
Вирусы обычно классифицируются по управляющей среде. Выделяют следующие типы:
загрузочные вирусы - вирусы, поражающие загрузочные области дисков (например, MBR) и работающие под управлением BIOS; как правило, функциональность таких вирусов определяется системой команд микропроцессора;
файловые вирусы - вирусы, заражающие исполняемые файлы ОС и работающие под управлением ОС; функциональность этих вирусов также определяется системой команд микропроцессора и зависит от структуры исполняемых файлов ОС;
макровирусы, скрипт-вирусы и т.п. - вирусы, написанные на макроязыках или скрипт-языках и управляемые пользовательскими приложениями (например, Microsoft Word); функциональность вирусов этого типа вирусов определяется мощностью макроязыка (скрипт-языка) и не зависит от ОС.
Программы типа "червь" (worm) - программы, которые используют для своего распространения сеть. В отличие от вируса, классический "червь" не сохраняет своих копий на носителях и не внедряет их в такие объекты, как программы, документы или почтовые сообщения, копии передаются на удаленный компьютер и сразу исполняются в памяти. Программы типа "троянский конь" (trojan) - программы, которые наряду с объявленными (документированные) разработчиками функциями выполняют недокументированные.
Удаленные атаки на компьютерную сеть можно условно разделить на следующие виды:
Анализ сетевого трафика. Анализ сетевого трафика путем его перехвата (сниффинга) является внутрисегментной атакой и направлен на перехват и анализ информации, предназначенной для любого ПК, расположенного в том же сегменте сети, что и злоумышленник. Злоумышленник может захватить все проходящие через себя пакеты путем перевода своей сетевой платы в смешанный режим (promiscuous mode).
Реализация данной атаки позволяет злоумышленнику изучить логику работы сети либо перехватить конфиденциальную информацию.
Для защиты от анализа сетевого трафика с использованием снифферов известны следующие подходы:
1. диагностика перевода сетевой платы удаленного ПК в смешанный режим путем установки различных средств мониторинга;
2. сегментация сетей – чем больше сегментов, тем меньше вероятность и последствия реализации внутрисегментной атаки;
3. шифрование сетевого трафика и использование безопасных протоколов удаленной аутентификации пользователей (S/KEY, CHAP и т.д.);
Подмена доверенного субъекта. Подмена доверенного субъекта и передача сообщений по каналам связи от его имени позволяет получить злоумышленнику доступ к удаленной системе от имени этого доверенного субъекта. Подобные атаки эффективны для систем, использующих аутентификацию источника по его IP адресу, для злоумышленника в этом случае нетрудно формировать пакеты с IP адресами, которым «доверяет» удаленный узел.Введение

ложного объекта компьютерной сети. Реализация данной атаки позволяет навязать ложный маршрут потока информации так, чтобы этот маршрут лежал через компьютер злоумышленника, позволяет «заманить» легального пользователя на ПК злоумышленника (например, подменив WEB-сайт) с целью получения конфиденциальной информации. Для защиты от данных атак необходимо использовать более стойкие протоколы идентификации и аутентификации хостов и устройств.
Отказ в обслуживании (DoS). Реализация данной атаки направлена на нарушение работоспособности некоторой службы удаленного хоста, либо всей системы. Как правило, реализация предполагает посылку направленного «шторма запросов», переполнение очереди запросов, в силу чего удаленный ПК либо перезагружается, либо неспособен заниматься ничем, кроме обработки запросов. Примерами данных атак является SYN-Flooding, Ping of Death и пр. Для защиты от данных атак необходимо использовать стойкие протоколы аутентификации, ограничивать доступа в сеть с использованием межсетевых экранов, применять системы обнаружения вторжений, разрабатывать адекватные политики безопасности.
Сканирование компьютерных сетей. Сетевое сканирование осуществляется злоумышленником на предварительной стадии атаки и позволяет получить следующую информацию: типы установленных ОС, открытые порты и связанные с ними сервисы, существующие уязвимости.
1.2 Общий механизм управления информационной безопасностью

Четкое определение задач очень важно при организации службы управления информационно безопасностью предприятия, а также при согласованной деятельности ее звеньев.
Функции, цели и задачи управления рисками информационной безопасности представлены в табл. 1.
Процедура управления информационной безопасностью в организации подразумевает определение области, выявление риска в данной области, его анализ и оценка, обработка и мониторинг уровня риска для информационно безопасности. При этом, целью реализации этого процесса является предупредить ситуации, негативно влияющие на достижение целей организации, снизить потери, связанные с возникновением риска и ликвидацией последствий.
Таблица 1 – Функции, цели и задачи управления рисками
Функции Цели Задачи
Планирование Обозначить порядок, последователь-ность и сроки выполнения мероприя-тий по управлению рисками Разработать план управления рисками.
Определить потребность в обучении пер-сонала
Идентификация рисков Получить описание рисков Выявить 5-15 реальных ситуаций, кото-рые могут в будущем оказать негативное воздействие на деятельность предприятия
Документировать характеристики этих ситуаций
Оценка рисков Оценить вероятные потери Определить вероятность возникновения рисков
Определить величину потерь в случае появления рисков
Установить уровень каждого идентифи-цированного риска
Обработка рисков Снизить степень воздействия рисков до приемлемого уровня Разработать детальные мероприятия в рамках стратегии обработки рисков: опреде-лить сроки завершения, распределить ответ-ственность, выделить необходимые ресурсы
Осуществить мероприятия по обработке рисков
Контроль Поддержать установленный поря-док действий по обработке рисков Определить эффективность обработки рисков
Корректировать мероприятия по обра-ботке рисков в случае их неэффективности
Документирование Сохранить основные решения и ре-зультаты осуществляемых действий в процессе управления рисками Заполнить по каждому идентифициро-ванному риску форму «Риск-регистр».
Сохранить всю информацию по рискам в базе данных рисков
Сформировать рейтинг рисков.

В целом, весь процесс управления рисками отражается на рис. 2.


Постановка целей управления рисками


Анализ риска


Качественный анализ


Количественный анализ


Выбор методов воздействия на риск


Анализ эффективности принятых решений и корректура целей управления рисками


Рисунок 2 – Процесс управления рисками

Методы управления рисками
делятся на две большие группы:
Методы минимизации потерь: упреждения; уклонения; локализации; диссипации риска.
2) Методы возмещения потерь