Разработка модели угроз ИБ и модели нарушителей ИБ выбранного объекта
Зарегистрируйся в два клика и получи неограниченный доступ к материалам,а также
промокод
на новый заказ в Автор24. Это бесплатно.
Введение
В качестве вступления приведу цитату из Доктрины информационной безопасности Российской Федерации от 5 декабря 2016 года №646: «Возрастают масштабы компьютерной преступности, прежде всего в кредитно-финансовой сфере, увеличивается число преступлений, связанных с нарушением конституционных прав и свобод человека и гражданина, в том числе в части, касающейся неприкосновенности частной жизни, личной и семейной тайны, при обработке персональных данных с использованием информационных технологий. При этом методы, способы и средства совершения таких преступлений становятся все изощреннее». Для подтверждения этой информации приведу официальную статистику, размещенную на сайте Генеральной Прокуратуры РФ : За январь-август 2018 года правоохранительными органами Российской Федерации зарегистрировано 107 980 преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации. Ущерб от преступлений составил 399 482 866 тысяч рублей, что на 43,6% больше аналогичного показателя прошлого года. Актуальность данной курсовой работы обусловлена ростом количества преступлений в сфере компьютерной информации. Финансовый ущерб от кибератак увеличивается с каждым годом. Для противодействия угрозам информационной безопасности организации должны принимать ряд технических и организационных мер. Фундаментальными мерами является разработка модели угроз и модели нарушителя. Модель угроз разрабатывается с целью формирования перечня актуальных угроз для организации. На основе актуальных угроз формируется стратегия защиты предприятия от преступлений в сфере компьютерной информации. Целью курсовой работы является формирование модели угроз и модели нарушителя на основании банка данных угроз ФСТЭК и нормативной документации в сфере защиты информации. В соответствии с целью курсовой работы необходимо решение следующих задач: Проанализировать нормативные документы в области разработки модели нарушителя; Проанализировать Банк Данных угроз ФСТЭК и нормативные документы в области разработки модели угроз; По результатам анализа определить типы нарушителей и актуальные угрозы, которые могут быть реализованы представленными типами нарушителей; Рассчитать количественные критерии актуальных угроз; Проанализировать средства защиты информации, внедрение которых необходимо для противодействия определенным угрозам; В качестве источников были использованы Федеральный закон «О персональных данных» [1] от 27.07.2006 №152-ФЗ, который регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации или без использования таких средств, Постановление Правительства от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [2], в котором установлены требования к защите персональных данных при их обработке в информационных системах персональных данных и уровни защищенности таких данных, Приказ ФСТЭК от 18.02.2013 №21 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [3], устанавливающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных для каждого из уровней защищенности персональных данных, ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения» [4], где указаны стандартизированные термины в области защиты информации, Проект методического документа ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» [5], Банк данных угроз ФСТЭК [6], используемый для формирования модели угроз. Структура данной работы включает введение, основные определения, три главы, заключение, список источников и литературы. Во введении отражается актуальность темы исследования, определяется цель, ставятся задачи. В первой главе разрабатывается модель нарушителя на основании нормативных документов в области защиты информации. Рассматриваются виды и типы нарушителей. Во второй главе для каждого типа нарушителей формируется модель актуальных угроз безопасности для защищаемых корпоративных сетевых сервисов, рассматриваемых в 1-й главе. Для определенных угроз рассчитываются количественные показатели. В третьей главе рассматриваются требования по обеспечению безопасности персональных данных. На основании ПП-1119 [2] производится категорирование уровня защищенности для информационной системы персональных данных. На основании Приказа ФСТЭК №21 [3] определяется перечень мер, необходимых для обеспечения безопасности персональных данных. Заключение содержит выводы по работе в целом. Объектом исследования является проблема обеспечения безопасности конфиденциальной информации, обрабатываемой в информационных системах предприятия. Предметом исследования является разработка организационных и технических мер для обеспечения безопасности конфиденциальной информации (в т.ч. и персональных данных). Разработка организационных и технических мер включает в себя формирование модели угроз и модели нарушителя для рассматриваемых информационных активов. Целью исследования является моделирование системы информационной безопасности. В условиях множества угроз информационной безопасности ни одна организация в мире не имеет какой-либо возможности защититься ото всех видов атак и уязвимостей. Некоторые угрозы информационной безопасности для конкретной организации будут критическими, а некоторые абсолютно неактуальными. Для определения, какие системы безопасности необходимо рассматривать для внедрения, а какие нет, составляется модель угроз и модель нарушителя для конкретной организации. Также производится оценка рисков информационной безопасности на основе модели угроз и определяется величина ущерба. Моделирование систем информационной безопасности производится с целью выбора оптимальных средств защиты информации с экономической точки зрения. Основной целью грамотного моделирования систем информационной безопасности является выбор оптимального комплекса контрмер, позволяющих снизить риски информационной безопасности в организации до приемлемых значений. При этом стоимость внедрения контрмер не должна превышать величину потенциального ущерба, нанесенного организации в результате реализации угроз безопасности. На определение оптимальных контрмер в конкретной организации влияет множество факторов, например: Средняя величина ущерба в результате реализации угроз безопасности Вероятность реализации угроз безопасности Финансовое состояние организации Требования законодательства в сфере защиты информации Количество сотрудников в организации Сфера деятельности предприятия Особенности ИТ-инфраструктуры Уровень автоматизации бизнес-процессов Защищаемые ресурсы В качестве исследуемой организации выберем крупную организацию общей численностью сотрудников более 20 тысяч человек. В корпорацию входит 8 крупных промышленных предприятий в разных регионах Российской Федерации. В организации реализована единая сеть с доменной аутентификацией, с единым адресным пространством. Основной центр обработки данных расположен в головной компании. В организации реализована единая Политика в области информационной безопасности. Общее количество сетевых компьютеров – 8000, по 1000 на каждое предприятие. Общее количество серверов – 80, по 10 на каждое предприятие. К защищаемым ресурсам организации относятся: Сервер приложений на базе Citrix, доступный, в том числе и из сети Интернет Сервер корпоративной электронной почты, доступный, в том числе и из сети Интернет Внутренний файловый сервер организации Иные функциональные серверы организации Конфиденциальные документы на бумажных носителях информации Для построения системы информационной безопасности в выбранной организации, прежде всего, составим модель нарушителя.
Актуальные угрозы безопасности для внутренних нарушителей
По результатам проведенного внутреннего аудита и на основании банка данных угроз ФСТЭК [6] - https://bdu.fstec.ru/threat, определены следующие актуальные угрозы информационной безопасности защищаемых ресурсов со стороны внутренних нарушителей: ID угр...
Актуальные угрозы безопасности для внешних нарушителей
По результатам проведенного внутреннего аудита определены следующие актуальные угрозы информационной безопасности защищаемых ресурсов со стороны внешних нарушителей: Получение несанкционированного доступа к серверу приложений Citrix с последующим коп...
Открыть главуМатематическая модель общего уровня угроз безопасности корпоративных ресурсов
Экспертной оценкой определены следующие показатели: Уровень угрозы уязвимости, Th = P(v) * P(r) * K(r) Уровень угрозы по всем уязвимостям для защищаемых объектов, UUh = 1-i=1n(1-Th) Данные по расчетам вышеуказанных показателей определены в следующей...
Открыть главуЗаключение
На основе определенных моделей угроз безопасности, а также во исполнение требований нормативно-правовых актов государственных регуляторов в области защиты персональных данных в корпоративной сети организации внедрены следующие средства защиты информации: Антивирусное программное обеспечение Kaspersky Endpoint Security на всех рабочих станциях и серверах организации Антивирусное программное обеспечение Symantec контролирующее почтовые сообщения на предмет сторонних ссылок и вредоносных программ Автоматическое резервное копирование защищаемых объектов Система обнаружения и предотвращения вторжений IBM Security Network Intrusion Prevention System Система предотвращения утечек конфиденциальной информации InfoWatch Traffic Monitor Система защищенного доступа к сети Интернет на базе Check Point По результатам проводимых мероприятий реализована полноценная система защиты информации, обеспечивающая надежную защиту, как персональных данных, так и коммерческой тайны организации.
Список литературы
Федеральный закон от 27.07.2006 №152-ФЗ (ред. 31.12.2017) «О персональных данных» [Электронный ресурс] Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения : 16.01.2020) Постановление Правительства от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс] Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_137356/ (дата обращения : 16.01.2020) Приказ ФСТЭК от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс] Режим доступа: URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691 (дата обращения : 18.01.2020) ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения» [Электронный ресурс] Режим доступа: URL: http://docs.cntd.ru/document/1200075565 (дата обращения: 11.01.2020) Проект методического документа ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» [Электронный ресурс] Режим доступа : URL: https://fstec.ru/component/attachments/download/812 (дата обращения : 13.01.2020) Банк данных угроз ФСТЭК России [Электронный ресурс] Режим доступа: URL : https://bdu.fstec.ru/threat (дата обращения : 15.01.2020).
