Пояснительная записка (1210153), страница 5
Текст из файла (страница 5)
– расположение серверного помещения, а также способы и средства доступа
к информации, хранимой на серверах;
– возможность удаленного управления серверами и рабочими станциями,
их настройка и техническое обслуживание, заведение в домен новых пользователей, рабочих станций и серверов.
На основании вышеизложенного, делаем вывод, что данная информация не может и не должна быть в свободном доступе, необходимо обеспечить надлежащий контроль за доступом к информации.
Данная информация содержит сведения конфиденциального характера (коммерческая и служебная тайна), ввиду того, что хранимая информация имеет ряд особенностей:
-
данная информация не для всех сотрудников компании;
-
сотрудники компании имеют доступ лишь к той информации, которая
-
разрешена им для служебной деятельности, согласно различным уровням доступа к ней и выдана с соблюдением правил и требований по защите информации, согласно РД [1];
-
в информации содержатся данные о процессах предприятия только для служебного пользования, так как если данная информации попадет третьим лица, будет нанесен финансовый вред компании;
-
каждый сотрудник допускается на территорию только по специальному удостоверению (прокси карта).
3.1.1 Исследование ИС отдела информационных технологий
ИС отдела информационных технологий предназначена для обработки и хранения информации конфиденциального характера.
Кроме того основное направление ИС ИТ. – обработка сведений о работе сотрудников, отслеживание их передвижения по сети предприятия, контроль за доступом к различным сетевым ресурсам компании, а также за соблюдением прав, выданных пользователю.
Структура сети – распределенная.
Работа в ИС ИТ ведется в многопользовательском режиме с разграничением прав доступа. Пользователями ИС ИТ являются сотрудники предприятия.
В таблице 3.1 указан перечень используемых в ИС «ИТ» технических средств.
Таблица 3.1 – Перечень технических средств, используемых в ИС «ИТ»
| Наименование ТС |
| Серверы, обрабатывающие информацию ограниченного доступа |
| Рабочие станции пользователей |
| Сетевое оборудование, участвующее в передаче информации ограниченного доступа |
| Кабели питания серверов и рабочих станций, обрабатывающих информацию ограниченного доступа |
| Линии вспомогательных средств и систем, размещенных в помещениях с техническими средствами, обрабатывающими информацию ограниченного доступа |
| Принтеры (локальные и сетевые) и прочие печатающие устройства |
| Система резервного питания (ИБП) |
В таблице 3.2 указан перечень используемого в ИС «ИТ» программного обеспечения.
Таблица 3.2 – Перечень используемого в ИС «ИТ» ПО
| Наименование | |
| ОС для серверов | Windows Server 2008/2012 R2 SP2 |
| ОС для рабочих станций | Microsoft Windows 7 Professional |
| Прикладное ПО | 1С «Предприятие» версия 8.2 Set Crystal v5 (служба + модуль визуализации) Crystal Analysis (ОЛАП технология) MSSQL Server 2008 (в том числе, MySQL, консоль управления EMS for SQL) |
| Офисные программы | Microsoft Office 2007/2010 |
| Браузеры | Microsoft Internet Explorer 8.0 |
| Антивирусное ПО | ESET NOD 32 Smart Security v6.0.52 |
3.1.2 Определение класса защищенности
Результаты оценки рисков и анализа возможных нарушителей определяют целевой уровень безопасности зоны. Жестких требований по выбору целевого уровня стандарт (Модель угроз безопасности информации) не предъявляет, т. е. имеются широкие возможности для адаптации под любой объект защиты в зависимости от выявленных угроз и рисков. Однако стандарт недвусмысленно регламентирует необходимость при проектировании определить меры, превышающие целевой уровень защищенности. Это связано с тем, что любая мера защиты с течением времени теряет свою эффективность (появление новых угроз и методов их реализации, выявление новых уязвимостей, устаревание технологий защиты и т. п.).
Таким образом, обеспечивается эффективность защитных мер на всем жизненном цикле системы.
Согласно полученного результата проведенного исследования и РД [1], класс защищенности объекта информатизации – АС, присваивается 1Г, так как ИС обрабатывает информацию, содержащую сведения конфиденциального характера(коммерческая и служебная тайна).
3.1.3 Определение актуальных угроз
В результате проведенных исследований объекта информатизации – ИС предприятия ООО «Контур будущего», выявлены следующие актуальные угрозы безопасности:
-
информация на носителях не шифруется, то есть хранится в свободном
доступе, любой сотрудник, имеющий определенные права или злоумышленник, получивший доступ к любому рабочему компьютеру, может беспрепятственно получить доступ к любой «желаемой информации»;
-
каждый сотрудник может отправить на печать конфиденциальный документ, получить бумажный носитель и беспрепятственно вынести его за пределы объекта, кроме того, нигде не будет зафиксировано, что была выполнена распечатка конфиденциального документа (однако «инсайдерство» в компании не зафиксировано);
-
оборудование, которое выносится с территории Предприятия, не проходит никаких проверок, кроме разрешения на вынос, никакие документы не заполняются;
-
доступ к серверам баз данных или файловому хранилищу, также ничем и
никем не контролируется, только авторизацией на сервере (логин и пароль);
-
помещение серверной не охраняется, единственная защита стандартный замок и металлическая одинарная дверь, толщиной 5 мм.
-
входящий и исходящий трафик никак не контролируется, то есть имеется отличная возможность для атаки через сниффинг или IP – спуфинг;
-
кроме того используется коммутаторы, которые не имеют функции обучения, которые необходимо каждый раз настраивать и вручную перекрывать нежелательные порты доступа в сеть (DOS–атаки, сайты с потенциально опасным или опасным содержимым (черви, трояны, низкоуровневые вирусы;
-
защита от НСД по сетям питания и виброакустическим каналам
отсутствует.
3.2 Рекомендации по менеджменту технических уязвимостей
Целью менеджмента является снижение рисков, являющихся результатом использования опубликованных технических уязвимостей.
Менеджмент технических уязвимостей следует осуществлять эффективным, систематическим и повторяемым способом, с проведением измерений с целью подтверждения его эффективности. Эти соображения должны касаться эксплуатируемых систем и любых других используемых прикладных программ.
Необходимо получать своевременную информацию о технических уязвимостях используемых информационных систем, оценивать опасность таких уязвимостей и принимать соответствующие меры по устранению связанного с ними риска.
Постоянно обновляемая и полная опись активов является предпосылкой эффективного менеджмента технических уязвимостей. Специальная информация, необходимая для поддержки менеджмента технических уязвимостей, включает в себя информацию о поставщике программного обеспечения, номерах версий, текущем состоянии развертывания (например какое программное обеспечение установлено на каких системах) и специалисте(ах), отвечающем(их) в организации за программное обеспечение.
Аналогично, своевременное действие должно предприниматься в ответ на выявление потенциальных технических уязвимостей. Для создания эффективного процесса менеджмента в отношении технических уязвимостей необходимо выполнять следующие рекомендации:
-
в организации необходимо определять и устанавливать роли и обязанности, связанные с менеджментом технических уязвимостей, включая мониторинг уязвимостей, оценку риска проявления уязвимостей, исправление программ (патчинг), слежение за активами и любые другие координирующие функции;
-
информационные ресурсы, которые будут использоваться для выявления значимых технических уязвимостей и обеспечения осведомленности о них, следует определять для программного обеспечения и другой технологии на основе списка инвентаризации активов; эти информационные ресурсы должны обновляться вслед за изменениями, вносимыми в опись, или когда найдены другие новые или полезные ресурсы;
-
необходимо определить временные параметры реагирования на уведомления о потенциально значимых технических уязвимостях;
-
после выявления потенциальной технической уязвимости организация должна определить связанные с ней риски и действия, которые необходимо предпринять; такие действия могут включать внесение исправлений в уязвимые системы и (или) применение других мер и средств контроля и управления;
-
в зависимости от того, насколько срочно необходимо рассмотреть техническую уязвимость, предпринимаемое действие следует осуществлять в соответствии с мерами и средствами контроля и управления, связанными с менеджментом изменений, или следуя процедурам реагирования на инциденты информационной безопасности;
-
если имеется возможность установки патча, следует оценить риски, связанные с его установкой (риски, создаваемые уязвимостью, необходимо сравнить с риском установки патча);
-
перед установкой патчи следует тестировать и оценивать для обеспечения уверенности в том, что они являются эффективными и не приводят к побочным эффектам, которые нельзя допускать; если нет возможности установить патч, следует рассмотреть другие меры и средства контроля и управления, например:
-
отключение сервисов, связанных с уязвимостью;
-
адаптацию или добавление средств управления доступом, например межсетевых экранов на сетевых границах;
-
усиленный мониторинг для обнаружения или предотвращения реальных атак;
-
повышение осведомленности об уязвимостях;
-
в контрольный журнал следует вносить информацию о всех предпринятых процедурах;
-
следует регулярно проводить мониторинг и оценку процесса менеджмента технических уязвимостей в целях обеспечения уверенности в его эффективности и действенности;
-
в первую очередь следует обращать внимание на системы с высоким уровнем риска.
Правильное функционирование процесса менеджмента технических уязвимостей играет важную роль для многих организаций, поэтому процесс должен подвергаться регулярному мониторингу. Для обеспечения уверенности в том, что потенциально значимые технические уязвимости выявлены, важна точная инвентаризация.
Менеджмент технических уязвимостей может рассматриваться как подфункция менеджмента изменений и в качестве таковой может воспользоваться процессами и процедурами менеджмента изменений.
Поставщики часто испытывают на себе значительное давление, заключающееся в требовании выпускать патчи в кратчайшие сроки. Поэтому патч не может решить проблему адекватно и может иметь побочные эффекты. К тому же, в некоторых случаях, если патч был однажды применен, деинсталлировать его может быть нелегко. Если адекватное тестирование патчей провести не удается, например по причине затрат или отсутствия ресурсов, можно рассмотреть задержку в осуществлении внесения изменений, чтобы оценить связанные с этим риски, основанные на опыте других пользователей.
3.2 Рекомендации по внедрению программного продукта ХSpider
XSpider 7.8 может быть установлен на ОС Windows Server 2012 R2. Он проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов: начиная от рабочих станций под Windows и заканчивая сетевыми устройствами Cisco, в том числе, *nix, Solaris, Novell, AS400 и так далее. Сам процесс установки XSpider полностью автоматизирован. После запуска инсталлятора нужно согласиться с условиями лицензионного соглашения, выбрать папку, куда будет установлена программа и ввести имя папки в меню Пуск. После этого файлы XSpider будут скопированы и по окончании копирования XSpider может быть сразу запущен, без перезагрузки компьютера.
В главном здании рекомендуется установить отдельный сервер на OC Windows Server 2012 R2 с аппаратными средствами, указанными в рекомендации к программному продукту (рисунок А.1). В филиалах, так как количество АРМ в несколько раз меньше, чем в главном офисе достаточно будет установить ПО XSpider на АРМ системного администратора, либо локального администратора безопасности (рисунок А.2).
После установки и запуска XSpider на экран будет выведено главное окно программы, которое показано на рисунке 3.2.1.
Завершив установку администратору безопасности необходимо будет в список сканируемых хостов добавить адреса для сканирования. Можно добавить сразу диапазон адресов. После того, как список хостов сформирован, нужно выбрать профиль проверки либо из существующих, либо создать новый профиль исходя из собственных предпочтений.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
