Логотип Автор24реферат
Задать вопрос
Реферат на тему: Моделирование действий нарушителя для строительной организации
93%
Уникальность
Аа
32397 символов
Категория
Информационная безопасность
Реферат

Моделирование действий нарушителя для строительной организации

Моделирование действий нарушителя для строительной организации .doc

Зарегистрируйся в два клика и получи неограниченный доступ к материалам,а также промокод Эмоджи на новый заказ в Автор24. Это бесплатно.

Введение

Большинство специалистов по информационной безопасности, работающих на предприятиях в любой отрасли, в какой-то момент обязательно сталкивались с проблемой обеспечения защиты персональных данных (далее - ПДн).
Необходимым и одним из важнейших этапов данного процесса является создание модели угроз и модели нарушителя безопасности ПДн при их обработке в информационных системах персональных данных (далее - ИСПДн).
Результатом создания модели нарушителя является описание возможностей потенциальных нарушителей безопасности и заключение о классе используемых криптосредств.
У российских регуляторов в области обеспечения информационной безопасности - ФСБ и ФСТЭК, - трактовка понятия модели нарушителя, а также методика определения нарушителя заметно отличается. Так, ФСТЭК трактует модель нарушителя как перечень внешних и внутренних нарушителей. Внутренние нарушители подразделяются на 8 категорий - от лиц, имеющих доступ в контролируемую зону, но не имеющих доступа у ИСПДн, до персонала, обслуживающего аппаратное обеспечение ИСПДн. По формулировке ФСБ, модель нарушителя - это описание обобщенных и уточненных возможностей нарушителя, которые тот может реализовать в данной ИСПДн. Она позволяет понять актуальность угроз безопасности ПДн, основанных на возможностях нарушителя, а также получить ответ на то, какой класс криптосредств должен использоваться в защищаемой ИСПДн.
Поскольку организации обязаны соблюдать требования обоих регуляторов в области обеспечения информационной безопасности, возникает проблема - каким образом объединить две модели нарушителя в одной. Данная проблема остается нерешённой в современном правовом поле. Процесс создания модели нарушителя по требованиям ФСТЭК объединен с созданием частной модели угроз, поскольку актуальные угрозы определяются для каждого конкретного актуального типа нарушителя. Работа производится в соответствии с базовой моделью угроз.
Для создания модели нарушителя по требованиям ФСБ на данный момент используются два документа - это приказ ФСБ России №378 и методические рекомендации ФСБ России от 31 марта 2015 года. Приказ ФСБ определяет требования к криптографическим средствам защиты информации, требования к защищаемым помещениям, в которых производится обработка ПДн с использованием средств криптографической защиты информации (далее - СКЗИ), требования к хранению и использованию носителей информации, организационные меры по обеспечению криптографической защиты информации для каждого из уровней защищенности, определение требуемого класса криптосредства исходя из уровня защищенности и типа актуальных угроз.


1. Описание предметной области

Направленность исследования мошеннических действий на примере строительной отрасли обусловлена несколькими причинами:
- высокий спрос на строительные объекты различного назначения;
- острая социальная проблема обеспечения российского населения жильем. Приоритетами государственной политики в сферах технического регулирования строительной отрасли, жилищного строительства и жилищно-коммунального хозяйства являются обеспечение высокого качества жизни людей и создания комфортной среды обитания и жизнедеятельности человека;
- предоставление вакансий для специалистов разных уровней квалификаций в разных областях знаний;
- экологическая проблема, связанная с техногенными и антропогенными воздействиями на окружающую среду при строительстве;
- внедрение результатов инновационных разработок при проектировании и строительстве.
Специфика строительной деятельности создает условия для возможных мошеннических действий недобросовестных участников инвестиционно-строительного процесса. С точки зрения участия в создании совокупного общественного продукта и национального дохода, строительство является сферой материального производства и составляет 6 % или 3 964,5 млрд руб. в ВВП Российской Федерации, согласно данным Росстата представленным на рисунке 1. Объем работ, выполненный по строительной деятельности, составил 6 307,2 млрд руб. за 2016 год. Данное положение является одной из причин актуальности исследования мошеннических действий на примере быстроразвивающейся отрасли экономики – строительство.

Рисунок 1. Валовый внутренний продукт Российской Федерации в 2016 г.


2. Модель угроз и нарушителя безопасности персональных данных

В соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее – Базовая модель) классификация нарушителя информационной безопасности (далее - нарушитель) приводится относительно возможности доступа к активам информационной системы и делится на 2 типа [1]:
1. Внешний:
− разведывательные службы государств;
− криминальные структуры;
− конкуренты (конкурирующие организации);
− недобросовестные партнеры;
− внешние субъекты (физические лица).
2. Внутренний: − лица, имеющие санкционированный доступ к информационной системе персональных данных(далее – ИСПДн), но не имеющие доступа к персональным данным (далее – ПДн);
− зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места;
− зарегистрированные пользователи, осуществляющие удаленный доступ к ПДн по локальным и (или)распределенным информационным системам;
− зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента;
− системный администратор;
− администратор безопасности;
− программисты-разработчики;
− разработчики, лица, осуществляющие аутсорсинг.
Данная градация противоречит используемой Банком данных угроз безопасности информации, который в свою очередь, применяет планируемую к утверждению методику определения угроз безопасности информации в информационных система. Проект методики опубликован на сайте ФСТЭК России, но на данный момент изъят из общего доступа. Согласно методике, нарушитель аналогично Базовой модели делится на 2 типа [2]:
1. Внешний:
− специальные службы иностранных государств (блоков государств);
− террористические, экстремистские группировки;
− преступные группы (криминальные структуры);
− внешние субъекты (физические лица);
− конкурирующие организации;
− разработчики, производители, поставщики программных, технических и программно-технических средств;
− бывшие работники (пользователи).
2. Внутренний:
− лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики т.д.);
− пользователи информационной системы;
− администраторы информационной системы и администраторы безопасности.
В дополнение к описанным аналогично Базовой модели угроз возможностям, нарушитель имеет характеристику «потенциал» (со следующими значениями «низкий», «средний», «высокий»).
При определении угроз информационной безопасности упразднены следующие категории нарушителей:
− Недобросовестные партнеры;
− Зарегистрированные пользователи с ограниченным доступом;
− Зарегистрированные пользователи с удаленным доступом.
Также, категории «Системный администратор» и «Администратор безопасности» объединены, что приведет к объединению возможных угроз, реализуемых данными категориями нарушителей. Категория «Должностные лица, обеспечивающие нормальное функционирование ИСПДн» разделена на категории «Лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ» и «Лица, обеспечивающие функционирование ИСПДн или обслуживающие инфраструктуру оператора», а также перенесена из «внутреннего» типа нарушителя во «внешний», что приводит к изменению угроз информационной безопасности, реализуемых данной категорией. В результате, при использовании Банка данных угроз безопасности информации ФСТЭК России, на первом этапе необходимо выявить категории нарушителей согласно Базовой модели.
Далее, сопоставить выработанный перечень нарушителей, для актуализации выявленных категорий нарушителя. И на заключительном этапе, актуализированные категории нарушителей, сопоставить с потенциалом.
Таким образом,Введение

в эксплуатацию банка данных угроз безопасности информации ФСТЭК России без утверждения обновленной методики значительно увеличивает количество итераций в алгоритме определения нарушителя

Зарегистрируйся, чтобы продолжить изучение работы

. Что, существенно влияет на определение перечня угроз информационной безопасности активов ИСПДн.

3. Модель нарушителя ИБ на примере строительной организации "Строй.Ка"

Модель наруштителя информационной безопасности строительной организации "Строй.Ка" будем строить на основе данных:
во-первых, ожидаемые потери при нарушении защищенности информации;
во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.
Для определения уровня затрат Ri обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать:
во-первых, полный перечень угроз информации;
во-вторых, потенциальную опасность для информации для каждой из угроз;
в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.
Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. Сведем имеющиеся данные в таблицу.


Таблица 1
Величины потерь (рисков) для критичных информационных ресурсов до внедрения/модернизации системы защиты информации
Актив Угроза Величина потерь (тыс.руб.)
Утрата конфиденциальности Персональные данные клиентов 50
Утрата конфиденциальности Данные об завершенных строительных объектах 100
Утрата доступности, целостности Документы строительной организации "Строй.Ка" (Устав, Положения, Локальные акты) 20
Утрата доступности, целостности Перечень дополнительных строительных услуг 10
Утрата доступности, целостности Данные о стройматериалах 250
Утрата целостности Бухгалтерская и налоговая отчетность 500
Нарушение целостности Программное обеспечение 300
Утрата доступности Компьютерные средства 450
Итого: =SUM(ABOVE) 1680

Таким образом, общий прогнозируемый объем потерь от реализации угроз информационной безопасности составляет 1680 тыс. руб.
Рассчитаем затраты на внедрение системы защиты. Не все мероприятия по защите требуют вложений, так как часть их входит в обязанности работников предприятия. Служба безопасности, отдел автоматизации и технического обеспечения выполнят такие работы как:
- подключение к системе камер видеонаблюдения;
- разграничение прав пользователей;
- разработка политику доступа в интернет;
- разработка правила работы с конфиденциальной информацией.
Риск владельца информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, определяется ресурсами системы.
Ресурс может быть определен в виде количества людей, привлекаемых к защите информации, в виде инженерных конструкций и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительства, разработки и покупки технических средств, их эксплуатации и других расходов.
Наиболее общей формой представления ресурса является денежная мера.
Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.
Разовый ресурс расходуется на закупку, установку и наладку дорогостоящей техники.
Постоянный ресурс — на заработную плату сотрудникам службы безопасности и поддержание определенного уровня безопасности, прежде всего, путем эксплуатации технических средств и контроля эффективности защиты.
Таким образом, для определения экономической эффективности системы защиты информации предприятия необходимы следующие данные (показатели):
расходы (выделенные ресурсы) на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;
величины потерь (рисков), обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации;
Таблица 2
Содержание и объем разового ресурса, выделяемого на защиту информации
Организационные мероприятия
№ п\п Выполняемые действия Среднечасовая зарплата специалиста (руб.) Трудоемкость операции (чел.час) Стоимость, всего (тыс.руб.)
1 Доставка технических средств 120 10 1,2
2 Установка технических средств 130 120 15,6
Стоимость проведения организационных мероприятий, всего 16,8
Мероприятия инженерно-технической защиты
№ п/п Номенклатура ПиАСИБ, расходных материалов Стоимость, единицы (тыс.руб) Кол-во (ед.измерения) Стоимость, всего (тыс.руб.)
1 ЖК-монитор 5,64 2 11,28
2 Видеокамера AS-1 2,15 7 15,05
3 Видеокамера AS-4 2,74 2 5,48
4 Видеокамера KPC-500 1,36 4 5,44
5 Видеоглазок KPC-190DV 1,539 2 3,078
6 Видеокамера KPC-S20 1,49 21 31,29
7 Коаксиальный кабель (м) 0,02 400 8
Стоимость проведения мероприятий 79,618
Объем разового ресурса, выделяемого на защиту информации 96,418

Постоянный ресурс на внедрение новых средств защиты информации не требуется, т.к. в компании уже имеются сотрудники, обеспечивающие информационную безопасность, поэтому выделения дополнительных средств не требуется.
Суммарное значение ресурса выделяемого на защиту информации составляет 96418 руб.
Внедряемая система защита экономически эффективна, т.к. затраты на ее внедрение существенно ниже, чем потери от угроз информационной безопасности. Расчет прогнозируемых данных о величине потерь (рисков) для критичных информационных ресурсов после модернизации системы защиты информации приведены в таблице 3.3.
Таблица 3
Величины потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации
Актив Угроза Величина потерь (тыс.руб.)
Утрата конфиденциальности Персональные данные клиентов 40
Утрата конфиденциальности Данные об завершенных строительных объектах 85
Утрата доступности, целостности Документы строительной организации "Строй.Ка" (Устав, Положения, Локальные акты) 5
Утрата доступности, целостности Перечень дополнительных строительных услуг 5
Утрата доступности, целостности Данные о стройматериалах 210
Утрата целостности Бухгалтерская и налоговая отчетность 450
Нарушение целостности Программное обеспечение 250
Утрата доступности Компьютерные средства 410
Итого: =SUM(ABOVE) 1455

После принятия обязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежности созданной системы защиты информации возможно определить срок окупаемости системы (Ток). Это выполняется аналитическим способом, с использованием формулы:
Ток = R∑ / (Rср – Rпрогн)
Tок=96418(1680000 – 1455000)=0,43 года=5 мес.
Модель действий нарушителя в строительной компании представлена в таблице 4.
Тип нарушителя Степень подготовки Вероятность совершения угрозы
Внешний нарушитель
конкурирующие организации средняя 30%
бывшие работники (пользователи) высокая 35%
внешние субъекты (физические лица) низкая 10%
Внутренний нарушитель
пользователи информационной системы низкая 2%
администраторы информационной системы и администраторы безопасности высокая 70%
лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики т.д.) низкая 1%


4. Моделирование оценки угроз безопасности ИС персональных данных

В настоящее время достаточно актуальной является задача оценки угроз информационной безопасности для различных информационных систем строительной организации. Проведение качественной оценки становится основой для применения необходимых методов и средств защиты информации и позволяет решать данную проблему наиболее эффективно.
Традиционно определение требований как по защите информации, так и по оценке угроз безопасности информации осуществляется на основе правового и нормативно-методического обеспечения. Например, Законом №152-ФЗ «О персональных данных» для операторов, использующих в своей деятельности информационные системы персональных данных, установлена обязанность принимать необходимые меры по обеспечению их безопасности. В свою очередь обеспечение безопасности персональных данных (ПДн) достигается, в частности, определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ИС ПДн) [3]. Для решения задач построения моделей угроз операторам ПДн предлагается перечень нормативно-методических документов, в общем обеспечивающий процесс построения частных моделей угроз информационной безопасности в ИС ПДн [4,5]. При этом сохраняются определенные ограничения на моделирование, связанные с разнообразием ИС ПДн, разновидностями факторов воздействия на информацию, что не всегда позволяет адекватно и всесторонне произвести оценку той или иной угрозы

50% реферата недоступно для прочтения

Закажи написание реферата по выбранной теме всего за пару кликов. Персональная работа в кратчайшее время!

Промокод действует 7 дней 🔥
Больше рефератов по информационной безопасности:

Основные аспекты обеспечения информационной безопасности Ирландии

13013 символов
Информационная безопасность
Реферат
Уникальность

Защита смартфонов от утечки информации

16400 символов
Информационная безопасность
Реферат
Уникальность

Классификация и формы реализации угроз информационной безопасности организации

13293 символов
Информационная безопасность
Реферат
Уникальность
Все Рефераты по информационной безопасности
Получи помощь с рефератом от ИИ-шки
ИИ ответит за 2 минуты