Оценка существующих и планируемых средств защиты

На момент проведения данной работы в организации уже применятся некоторые средства защиты информации и имеется структурное подразделение, на которое возложены функции по защите информации, таким подразделением является отдел информационных технологий в состав, которого входят начальник данного отдела и один подчиненный.
На начальника отдела возложена ответственность за защиту информации в организации. Кроме того, поскольку основным видом защищаемой в сети компании информации являются персональные данные, то на начальник отдела является ответственным и за защиту персональных данных.
Сотрудник выполняет функции по поддержке работы программного и аппаратного обеспечения (серверного, клиентского, сетевого, периферийного оборудования и линий связи), по оказанию методической помощи работникам с компьютерной техникой.
В части касающихся информационной безопасности функций сотрудника можно выделить техническое обслуживание оборудования и мониторинг за его работой (важно с точки зрения аспекта доступности) и работу с пользователями на предмет повышения их компьютерной грамотности и осведомлённости об информационной безопасности.
Начальник отдела осуществляет следующие функции по защите информации:
- анализ имеющейся нормативно-правовой базы в части защиты информации и разработка или доработка документов в части защиты информации по мере необходимости (политик, инструкций, положений, регламентов);
- проведение анализа угроз;
- внесение предложений руководству о необходимости внедрения тех или иных средств и мер защиты информации с учетом проведенного анализа угроз и изменений в нормативной базе;
- настройка средств защиты и мониторинг за их работой;
- реагирование на инциденты информационной безопасности.
На рис. 3 представлена архитектура компьютерной сети компании «Медсервис», имеющей филиальную структуру.
Рис. 3 Архитектура компьютерной сети компании «Медсервис»
Компьютеры локальной сети имеют 4 типовых конфигурации: мобильная (ноутбук директора), серверная (файловый сервер), высокопроизводительные компьютеры (заместители директора, ПК начальника отдела информационных технологий и регистратора), компьютеры рядового персонала. В качестве модемов в филиалах используются 4G-модемы с USB-интерфейсом для подключения к компьютеру. Компьютеры объединены в сеть с использованием технологии Ethernet, в качестве соединительных линий используется 8-ми жильная витая пара категории 5e.
В таблице 7 подробно раскрыты технические характеристики используемых средств.
Таблица 7
Технические характеристики аппаратных средств
Наименование Описание Состав и характеристики
Компьютер директора Ноутбук HP Монитор 15.6", процессор AMD A9-9420 с тактовой частотой 3 ГГц двух ядерный, объем оперативной памяти 8 Гб DDR4, жесткий диск SATA 500 Гб, видеокарта Radeon 520 с объемом видеопамяти 2 Гб.
Сервер Файловый сервер вертикальный Процессор Intel® Xeon E5-2407v2 на сокете LGA 1356; частота процессора 2,4 Ггц; количество процессоров 2; объем установленной оперативной памяти 12 Gb DDR3; тип жестких дисков SAS; количество жестких дисков 8; объем одного диска 1 Тб; суммарный объем места 4 Тб (RAID1).
Высоко производительные ПК Монитор, системный блок,
мышь, клавиатура Монитор 22", процессор Intel Core i5 с тактовой частотой не менее 2.93 ГГц и числом ядер не менее двух, оперативная память объемом не менее 8Gb, жесткий диск SATA объемом не менее 500 Gb.
Компьютеры рядовых пользователей Монитор, системный блок,
мышь, клавиатура Монитор 19", процессор Intel Core i3 с тактовой частотой не менее 2.00 ГГц и числом ядер не менее двух, оперативная память объемом не менее 4Gb, жесткий диск SATA объемом не менее 320Gb.
Роутер Роутер 3COM ADSL, 4xLAN Ethernet, Wireless 11g
Коммутатор TP-Link T1600G-52TS 48 портов, до 1000 Мбит/с
Модем Huawei E3372 USB ,4G
МФУ EPSON L566 Струйное черно-белое, формат A4, интерфейсы RJ-45, USB
На рис. 4 приведена программная архитектура компьютерной сети компании «Медсервис».
Файловый сервер
Протокол SMB
Рабочие станции
Windows 2008
Windows 7, MS office 2007
Браузер
Протоколы Http/Https
Протоколы Http/Https
Рабочие станции
Филиала1
 
Windows 7, MS office 2007
 
Браузер (только на ПК заместителя)
Протоколы Http/Https
Рабочие станции
Филиала 2
 
Windows 7, MS office 2007
 
Браузер (только на ПК регистратора)
Файловый сервер
Протокол SMB
Рабочие станции
Windows 2008
Windows 7, MS office 2007
Браузер
Протоколы Http/Https
Протоколы Http/Https
Рабочие станции
Филиала1
 
Windows 7, MS office 2007
 
Браузер (только на ПК заместителя)
Протоколы Http/Https
Рабочие станции
Филиала 2
 
Windows 7, MS office 2007
 
Браузер (только на ПК регистратора)
Рис. 4 Программная архитектура компьютерной сети компании «Медсервис»
В компании «Медсервис» используется достаточно простая архитектура, построенная на использовании текстового редактора и средств файлового обмена, предоставляемыми операционной системой Windows и браузерами, при обмене информацией между филиалами. При этом можно отметить, что доступ к файловому серверу на момент проведения работы возможен только из сегмента локальной сети центрального офиса. А обмен информацией между филиалами осуществляется по незащищенному каналу, поэтому уже на данном этапе видна необходимость создания защищённого информационного обмена между филиалами с организацией общего доступа к файловому серверу.
В качестве программных средств защиты в компании «Медсервис» используется только антивирус «Kaspersky 10», который установлен на всех компьютерах.
С точки зрения инженерно-технической защиты наибольшей интерес представляет собой серверная комната, где располагается не только серверное, но коммутационное оборудование (рис. 5).
Рис. 5 Серверная комната на общем плане главного офиса
С точки зрения защиты информации в инженерно-техническом плане уязвимыми местами серверной комнаты являются отсутствие кондиционера и ненадежная деревянная входная дверь.
В таблице 8 представлена комплексная оценка существующей на данный момент системы защиты информации.
Таблица 7
Анализ выполнения основных задач
по обеспечению информационной безопасности в компании «Медсервис»
Основные задачи по обеспечению информационной безопасности Степень выполнения
Обеспечение охраны территории, зданий и помещений, с защищаемой информацией, (обеспечение защиты информации на физическом уровне) Средняя
(защита организована, офис сдается на охрану в нерабочее время, имеются некоторые недостатки: ненадежные двери и отсутствие кондиционирования в серверной)
Предотвращение несанкционированного доступа к информации в компьютерной сети (обеспечение защиты информации на программно-аппаратном уровне) Низкая
(не используются средства защиты от несанкционированного доступа, средства криптографической защиты, средства защиты от сетевых атак)
Выполненные требований законодательства по защите информации Низкая
(не выполняются требования по защите информации персональных данных в части технической защиты)
Организация специального делопроизводства, исключающего несанкционированное получение сведений, конфиденциального характера Средняя
(имеются металлические хранилища для конфиденциальных документов, грифы на документах не проставляются)
Выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях Средняя
(имеется отдел, который ведет данную работу, однако технических средств для поиска каналов возможных утечек недостаточно)
Обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие подобные мероприятия

. Низкая
(нет выделенного помещения для подобных целей, что многом обусловлено отсутствием надобности проведения таких встреч)
Из результатов анализа системы защиты в целом следует, что в первую очередь необходимо обеспечить защиту информации в компьютерной сети, особенно циркулирующих в ней персональных данных. Далее проводится детальная оценка риска для конкретных угроз, с учетом затрагиваемых ими активов и используемых уязвимостей.
1.2.5 Оценка рисков
Для оценки рисков по согласованию с руководством компании и сотрудником, ответственным за защиту информации в компании «Медсервис», выбрана методика оценки рисков, основания на ранжировании угроз мерами рисков, так как она позволяет наглядно сформировать приоритеты по защите от угроз информационной безопасности, выставив им ранги в зависимости от просчитанной меры риска[10].
При этом мера риска определяется ценностью затрагиваемых угрозой активов и вероятностью реализации этой угрозы (в данной методике эти характеристики перемножаются для определения меры риска).
Проведении оценки рисков проведено при участии начальника отдела информационных технологий «Медсервис».
Ценность активов определена по пяти бальной шкале, соответствующей проведенному ранее ранжированию наиболее важных информационных активов в компании:
- сервера (ценность 5);
- реестры на оплату(4)
- коммутационное оборудование(3);
- карта пациента(2);
- операционная система (1).
Для оценки вероятности реализации угроз используется качественная шкала от 1 до 3 с шагом три. Единица соответствует минимальному значению возможности реализации угрозы по данной шкале, а максимальному - 3. При этом используются результаты проведённой ранее оценки угроз.
Если та или иная угроза затрагивает несколько активов, то чтобы учесть масштабы ущерба (а не просто самый дорогой затронутый объект) используется суммарная мера риска по всем затрагиваемым активам.
В таблицах 8-17 приведен расчет мер риска для каждой из ранее выявленных угроз.
Таблица 8
Расчет меры риска для «Перехвата информации»
Оценка воздействия (ценности актива) Вероятность возникновения угрозы Мера риска
4 3 12
2 3 6
Суммарная мера по угрозе: 18
Таблица 9
Расчет меры риска для «Изменения смысла переданной информации»
Оценка воздействия (ценности актива) Вероятность возникновения угрозы Мера риска
4 2 8
2 2 4
Суммарная мера по угрозе: 12
Таблица 10
Расчет меры риска для «НСД к сети и ее ресурсам»
Оценка воздействия (ценности актива) Вероятность возникновения угрозы Мера риска
5 1 5
4 2 8
3 1 3
2 2 4
1 2 2
Суммарная мера по угрозе: 22
Таблица 11
Расчет меры риска для «Кражи»
Оценка воздействия (ценности актива) Вероятность возникновения угрозы Мера риска
5 1 5
2 1 2
Суммарная мера по угрозе: 7
Таблица 12
Расчет меры риска для «Неисправности в системе электроснабжения»
Оценка воздействия (ценности актива) Вероятность возникновения угрозы Мера риска
5 1 5
3 1 3
Суммарная мера по угрозе: 8
Таблица 13
Расчет меры риска для «Аппаратных отказов»
Оценка воздействия (ценности актива) Вероятность возникновения угрозы Мера риска
5 1 5
3 1 3
Суммарная мера по угрозе: 8
Таблица 14
Расчет меры риска для «Ошибок пользователей»
Оценка воздействия (ценности актива) Вероятность возникновения угрозы Мера риска
4 2 8
2 1 2
Суммарная мера по угрозе: 10
Таблица 15
Расчет меры риска для «Вредоносного программного обеспечения»
Оценка воздействия (ценности актива) Вероятность возникновения угрозы Мера риска
4 1 4
2 1 2
1 1 1
Суммарная мера по угрозе: 7
Таблица 16
Расчет меры риска для «Воздействия пыли»
Оценка воздействия (ценности актива) Вероятность возникновения угрозы Мера риска
5 1 5
Суммарная мера по угрозе: 5
Таблица 17
Расчет меры риска для «Экстремальных значений температуры и влажности»
Оценка воздействия (ценности актива) Вероятность возникновения угрозы Мера риска
5 2 10
3 1 3
Суммарная мера по угрозе: 13
Таблица 18
Расчет меры риска для «Ухудшения носителей, данных»
Оценка воздействия (ценности актива) Вероятность возникновения угрозы Мера риска
5 2 10
4 1 4
2 1 2
Суммарная мера по угрозе: 16
Далее риски про ранжированы в соответствии со своими мерами и сведены в таблицу 19, где 1 соответствует наивысшему рангу угрозы, а 11 соответствует минимальному.
Таблица 19
Результаты оценки рисков в компании «Медсервис»
Риск Активы, подверженные данному риску Ранг риска
НСД к сети и ее ресурсам Все 1
Перехвата информации Реестры, карты пациентов