Антиплагиат Самойлов Д.С. 24Б (1209226), страница 3
Текст из файла (страница 3)
N 21 “ 56 Об утвержденииСостава и содержания организационных и технических мер по обеспечениюбезопасности персональных данных при их обработке в информационныхсистемах персональных данных”;– 63 Приказ ФСТЭК России от 11 февраля 2013 г.
15 No 17 “ Об утвержденииТребований о защите информации, не составляющей государственную тайну,содержащейся в государственных информационных системах”;– 34 Методический документ. Утвержден ФСТЭК России 11 февраля 2014 г.“Меры защиты информации в государственных информационных системах”;– 56 Методика определения актуальных угроз безопасности персональныхданных при их обработке в информационных системах персональныхданных. ФСТЭК России, 2008 год;– “ 11 Инструкция об организации и обеспечении безопасности храненияобработки и передачи по каналам связи с использованием СКЗИ информациис ограниченным доступом, не содержащей сведений, составляющихгосударственную тайну” ( 63 Приложение к Приказу Федерального агентстваправительственной связи и информации при Президенте РоссийскойФедерации от 13 июня 2001 г.
9 No 152);– Постановление Правительства РФ от 01.11.2012 44 No1119 “ Обутверждении требований к защите персональных данных при их обработке винформационных системах персональных данных”. 56Основу нормативной базы составляют в нашей стране руководящие8документы и приказы ФСТЭК России в области защиты от НСД кинформации.Например, в приказе ФСТЭК России No 17, указывается то, что объектамизащиты в ИС является информация, технические средства, а также СЗИ.
Всеорганизационные и технические меры ЗИ, которые реализуются в рамкахСЗИ ИС, должны быть на обеспечение конфиденциальности, целостности идоступности информации. И для обеспечения защиты этой информации,проводятся мероприятия:– формирование требований к ЗИ ИС;– разработка СЗИ ИС;– внедрение СЗИ ИС;– аттестация ИС по требованиям и ввод ее в действие;– обеспечение 8 ЗИ в ходе эксплуатации аттестованной 8 ИС;– обеспечение ЗИ при выводе из эксплуатации аттестованной 8 ИС илипосле принятия решения об окончании обработки информации. 8Таким образом, исходя из данного приказа, можно сказать, чтозащищенность ИС является важным этапом всего цикла жизни ИС, котораядолжна обеспечиваться на каждом мероприятий начиная от формированиятребований к ЗИ ИС и до самого вывода из эксплуатации ИС.Согласно постановлению Правительства РФ No1119, безопасность илизащищенность информации достигается при помощи системы защитыинформации ИС, нейтрализующей актуальные угрозы.
Сама система защитыинформации объединяет в себе технические и организационные меры,которые определены по актуальным угрозам безопасности информации в ИС.Защищенность ИС обеспечивает оператор ИС, для которого определенконтроль по выполнению требований по защите информации (определениетипа ИС, актуальных угроз, уровня защищенности ИС).После выполнения всех этих требований идет проверка правильнойработы механизмов защиты информации по существующим уязвимостям,угрозам и рискам – анализ защищенности ИС.
Проведение анализа9защищенности ИС позволит узнать актуальную информацию поиспользуемым техническим мерам и средствам защиты информации, а такжепо итогам выяснить недостатки и повысить уровень безопасности ИС. Но длятого, чтобы это сделать, необходимо начать с анализа ИС на уязвимости,которые могут привести к различным угрозам.1.2 Уязвимости в информационной системеВ настоящее время происходит бурное развитие всех процессовавтоматизации и информатизации.
Соответственно вместе с этим появляютсяи входят в состав уязвимости информационных систем и программногообеспечения, используемого в них.По данным исследования компании Positive Technologies, занимающая напротяжении 10 лет лидирующие места в мире в области защиты крупных ИСот кибер-угроз, даже неопытный хакер может нарушить работоспособностьИС восьми из 10 крупных компаний. Таким образом, любая ИС предприятияежедневно подвергается опасности, которые могут повлечь за собой опасныепоследствия.Классификация уязвимостей довольно обширна (рисунок 1.1).
Болееподробно и точно они указаны в ГОСТ Р 56546-2015 “Защита информации.Уязвимости информационных систем. Классификация уязвимостейинформационных систем”, 27 но так как развитие ИС происходит с каждымднем, то соответственно список уязвимостей нужно дополнять постоянно.В Доктрине ИБ упоминается о том, что немаловажной проблемой ИСорганизаций в нашей стране является зависимость отечественнойпромышленности от использования иностранного ПО. Таким образом, дляустранения этой проблемы были приняты:– статья 12.1 25 Федерального закона от 27 июля 2006 г. 34 No 149- 51 ФЗ «Обинформации, информационных технологиях и о защите информации» (в 42редакции Федерального закона от 29 34 июня 2015 г.
No 188- ФЗ); 710– постановление Правительства Российской Федерации от 16 ноября 2015г. 7 No1236 « Об установлении запрета на допуск программного обеспечения,происходящего из иностранных государств, для целей осуществления закупокдля обеспечения государственных и муниципальных нужд». 63Рисунок 1.1 – Классификация уязвимостей в ИСОднако выполнение всех требований не уменьшает количествоуязвимостей, из-за которых возникают проблемы с безопасностьюинформации и остаются такие, как:11а) Наличие НДВ:1) неспособность полной проверки и государственной сертификациирешения на отсутствие НДВ и защиты от НСД к информации.б) Зависимость организаций от иностранного поставщика ПО:1) возможность ограничения поставки из-за санкций;2) дополнительные затраты на обновление и сервис;3) изменение условий использования ПО в одностороннем порядке(например, скачивание обновлений без ведома пользователя).Также в соответствии с указом Президента РФ No 351 сказано, чтоподключение ИС к сети Интернет у государственных органов не допускается.В связи с этим возникает угроза появления новых уязвимостей, например приобновлении системного ПО или установки драйвера устройства.
Такжеможно отметить человеческий фактор, где пользователь может совершатьдействия, нарушающие политику безопасности предприятия.1.3 Взаимосвязь уязвимостей и угрозПри проведении анализа защищенности информационной системы,наряду, в том числе, с мероприятиями анализа защищенности информации,что является основой анализа защищенности, определяются уязвимости. Онизаставляют уделять себе особое внимание, из-за использования за счетреализации угрозы, которые могут исходить от преднамеренных илислучайных источников.
То есть, для каждой угрозы определяется списокуязвимостей (таблица 1.1).Таблица 1.1 – Взаимосвязь уязвимостей и угрозУязвимость Угроза, использующая уязвимостьНекорректно документированноепрограммное обеспечениеОшибка персонала техническойподдержкиОтсутствие проверки Искажение информации12обрабатываемых данныхНеполные спецификации дляразработчиковСбой программного обеспеченияНедостаточная защитакриптографических ключейРаскрытие информацииНеконтролируемое использованиебесплатного программногообеспечения в корпоративныхприложенияхЮридическая ответственностьНеправильный выбор тестовыхданныхНесанкционированный доступ кперсональным данным 9ФСТЭК России были классифицированы угрозы в документе “Базоваямодель угроз безопасности персональных данных при их обработке винформационных системах персональных данных”, а 55 также 31 на официальномсайте этой организации, в разделе техническая защита, существует банкданных угроз, где представлены на сегодняшний день 194 угрозыбезопасности информации.
Используя всю эту информацию, каждаяорганизация создает свою модель угроз безопасности информации, котораянеобходима для определения требований к системе защиты информации.Существует классификация угроз безопасности информации.1 38 По виду защищаемой от 38 УБИ:– угрозы РИ;– угрозы 1 ВИ;– 1 угрозы информации, обрабатываемой в ТСОИ;– 7 угрозы информации, обрабатываемой в АС.2 1 По видам возможных источников УБИ:а) создаваемые нарушителем (физическим лицом):1) 1 создаваемые внутренним нарушителем;2) создаваемые внешним нарушителем;б) создаваемые аппаратной закладкой:1) создаваемые встроенной закладкой;2) создаваемые автономной закладкой; 113в) создаваемые вредоносными программами:1) программной закладкой, программой типа “Троянский конь”;2) программным вирусом;3) вредоносной программой, распространяющейся по сети (сетевымчервем);4) другими вредоносными программами, предназначенными дляосуществления НСД (подбора паролей, удаленного доступа и др.).3 1 По виду нарушаемого свойства информации:– 7 угрозы конфиденциальности (утечки, перехвата, съема, копирования,хищения, разглашения) информации;– угрозы целостности (утраты, уничтожения, модификации) информации;– угрозы доступности (блокирования) информации.4 По типу 8 ИС, на которые направлена реализация 8 УБИ:– УБИ, обрабатываемых в ИС на базе АРМ (с подключением и безподключения к вычислительной сети);– 7 УБИ, обрабатываемые в ИС на базе локальной вычислительной сети (сподключением и без подключения к распределенной вычислительной сети);– 1 УБИ, обрабатываемые в ИС на базе распределенных информационныхсистем (с подключением, без подключения к сети общего пользования).5 По 8 способам реализации 7 УБИ:а) угрозы специальных воздействий на 7 ИС:1) механического воздействия;2) химического воздействия;3) акустического воздействия;4) биологического воздействия;5) радиационного воздействия;6) термического воздействия;7) электромагнитного воздействия;б) 1 угрозы НСД в ИС:1) угрозы, реализуемые с применением программных средств 714операционной системы;2) угрозы, реализуемые с применением специально разработанного ПО;3) угрозы, реализуемые с применением вредоносных 7 программ;в) 38 угрозы утечки информации по техническим каналам:1) по радиоканалу;2) по электрическому каналу;3) по оптическому каналу;4) по акустическому (вибрационному) каналу;5) по смешанным (параметрическим) каналам;6) угрозы утечки РИ;7) 7 угрозы утечки ВИ;8) угрозы утечки информации по каналам ПЭМИН.6 1 По используемой уязвимости:– с использованием уязвимости системного ПО;– с использованием уязвимости прикладного ПО;– с 7 использованием уязвимости, вызванной наличием в АС аппаратнойзакладки;– с использованием уязвимостей протоколов сетевого взаимодействия иканалов передачи данных;– с использованием уязвимости, вызванной недостатками организацииТЗИ от НСД;– с использованием уязвимостей, 1 обусловливающих наличие техническихканалов утечки информации;– с 1 использованием уязвимостей СЗИ.7 По объекту воздействия:а) 44 УБИ, обрабатываемые на АРМ:1) на отчуждаемых носителях информации;2) на встроенных носителях долговременного хранения информации;3) в средствах обработки и хранения оперативной информации;4) в средствах (портах) ввода (вывода) информации; 715б) 7 УБИ, обрабатываемые в выделенных технических средствах обработки:1) на принтера, плоттерах, графопостроителях и т.п.;2) на выносных терминалах, мониторах, видеопроекторах;3) в средствах звукоусиления, звуковоспроизведения;в) 1 УБИ, передаваемые по сетям связи:1) 1 УБИ при передаче сигналов по линиям связи;2) 7 УБИ при обработке пакетов в коммуникационных элементах 7информационно-телекоммуникационных систем;г) угрозы прикладным программам, предназначенным для работы с 1информацией;д) угрозы системному ПО, обеспечивающему функционирование 1 ИС.Используя классификацию угроз безопасности информации можноустранить определенными мероприятиями уязвимости, которые могутслужить толчком нежелательного инцидента (рисунок 1.2), где по итогам,возможно, будет причинен ущерб организации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
