2020-06-08
2806
Оценка уязвимости активов проведена на основании требований стандарта ГОСТ Р ИСО/МЭК 27005-2010.
Уязвимость – это событие, которое возникает как результат некоторого стечения обстоятельств, когда в силу каких-то причин используемые в системах обработки данных средства защиты информации не в состоянии оказать достаточного сопротивления различным дестабилизирующим факторам и нежелательного их воздействия на информацию, подлежащую защите [14, стр. 65].
В информационной безопасности, термин уязвимость используется для обозначения такого недостатка в информационной системе, используя который, можно нарушить её целостность и обусловить неправильную работу. Уязвимость может стать результатом ошибок разработки программного обеспечения, недостатков, допущенных при проектировании информационной системы, ненадежных паролей, вредоносных программ. Можно сказать – уязвимость – это возможное место проявления угрозы безопасности информационного ресурса.
Уязвимости информационной системы организации можно выявить несколькими способами. Их может описать сотрудник компании (инженер, системный администратор или специалист службы информационной безопасности) на основании собственного опыта. Кроме того, могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей [16, стр. 55].
Чаще всего именно приглашенные специалисты могут независимым взглядом «посмотреть» на существующую систему защиты информации и выявить все (или большинство) существующие уязвимости.
Показателем уязвимости некоторого актива является степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая).
Перечень уязвимостей, с указанием оценки степени вероятности возможной реализации отмеченных уязвимостей, сведены в таблицу 4.
Таблица 4 – Оценка уязвимости активов
| Группа уязвимостей | внутр. переписка | Цены на товары | Инвентаризационная ведомость | Приходные накладные | Заказы клиентов | Расходные накладные | Наряд на выполнение работ | Бух. и налоговая отчетность | Инф-я о продукции | ПО |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 1. Среда и инфраструктура | ||||||||||
| Нестабильная работа электросети | низкая | |||||||||
| 2. Аппаратное обеспечение | ||||||||||
| Недостаточное обслуживание/неправильная инсталляция | высокая | средняя | средняя | средняя | средняя | средняя | средняя | средняя | низкая | средняя |
| Отсутствие контроля изменения конфигурации | высокая | высокая | высокая | высокая | высокая | высокая | высокая | низкая | низкая | высокая |
| 3. Программное обеспечение | ||||||||||
| Отсутствие механизмов идентификации и аутентификации | высокая | высокая | высокая | высокая | высокая | высокая | высокая | низкая | низкая | высокая |
| Незащищенные таблицы паролей | высокая | высокая | высокая | высокая | низкая | высокая | низкая | низкая | низкая | высокая |
| Плохое управление паролями | высокая | высокая | высокая | высокая | высокая | высокая | низкая | низкая | низкая | высокая |
| Неправильное присвоение прав доступа | высокая | высокая | средняя | средняя | низкая | средняя | низкая | низкая | низкая | средняя |
| Отсутствие регистрации конца сеанса при выходе | высокая | высокая | высокая | высокая | низкая | высокая | низкая | низкая | низкая | средняя |
| Отсутствие эффективного контроля внесения изменений | высокая | высокая | средняя | средняя | средняя | средняя | низкая | низкая | низкая | высокая |
| Отсутствие резервных копий | высокая | высокая | средняя | средняя | высокая | средняя | средняя | низкая | низкая | средняя |
| 4. Коммуникации | ||||||||||
| Неадекватное управление сетью | высокая | низкая | низкая | низкая | низкая | низкая | низкая | низкая | низкая | низкая |
| Незащищенные подключения к сетям | высокая | средняя | средняя | средняя | средняя | средняя | средняя | средняя | средняя | средняя |
| 5. Документы (документооборот) | ||||||||||
| Хранение в незащищенных местах | низкая | высокая | высокая | высокая | высокая | высокая | средняя | низкая | низкая | |
| Недостаточная внимательность при уничтожении | низкая | высокая | высокая | высокая | высокая | высокая | средняя | низкая | низкая | |
| Бесконтрольное копирование | низкая | высокая | высокая | высокая | высокая | высокая | средняя | низкая | низкая | |
Продолжение таблицы 4
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 6.Персонал | ||||||||||
| Неправильное использование программно-аппаратного обеспечения | высокая | средняя | средняя | средняя | средняя | средняя | средняя | низкая | средняя | средняя |
| 7. Общие уязвимые места | ||||||||||
| Неадекватные результаты проведения тех. обслуживания | высокая | низкая | низкая | низкая | низкая | низкая | низкая | низкая | низкая | низкая |
На основе представленных в таблице данных можно выявить, как наименее защищенные активы (внутреняя переписка, цены на товары, инвентаризационная ведомость), а также наиболее реализуемые угрозы для большинства активов (отсутствие контроля изменения конфигурации, плохое управление паролями, отсутствие механизмов идентификации и аутентификации).
Оценка угроз активам
Угроза – это потенциальная причина инцидента, который может нанести ущерб системе или организации. Инцидент информационной безопасности – это любое непредвиденное или нежелательное событие, которое может нарушить деятельность организации или информационную безопасность.
Существуют пассивные и активные угрозы. Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов информационной системы, не оказывая при этом влияния на саму информацию, не вызывая искажений и нарушений информации. К пассивной угрозе можно, например, отнести прослушивание каналов связи, просмотр данных из базы данных [10, стр. 50].
Цель активных угроз – нарушение нормальной работы информационной системы путем целенаправленного воздействия на ее составляющие. Активные угрозы портят информацию, воздействуют на саму информационную систему. Так, к активным угрозам можно отнести искажение информации, вывод из строя компьютерной техники, воздействие вирусов.
Умышленные угрозы бывают также двух видов: внутренние (возникающие внутри управляемой организации) и внешние (вызванные воздействием внешней среды). Внутренние угрозы чаще всего определяются недовольством сотрудников, неблагоприятным климатом внутри коллектива. Также внутренние угрозы могут быть вызваны непрофессионализмом работником или экономией на средствах защиты информации. Внешние угрозы часто осуществляются конкурентами, зависят от экономических условий и других причин [9, стр. 56].
По данным зарубежных источников, получил широкое распространение промышленный шпионаж – это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.
Оценка угроз активам проведена на основании требований стандарта ГОСТ Р ИСО/МЭК 27005-2010. Перечень угроз, с указанием оценки, сведены в таблицу 5.
Таблица 5 – Оценка угроз активам
| Группа уязвимостей | внутр. переписка | Цены на товары и материалы | Инвентари-зационная ведомость | Приходные накладные | Заказы клиентов | Расходные накладные | Наряд на выполнение работ | Бухгалтерская и налоговая отчетность | Информация о продукции | ПО |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 1. Угрозы, обусловленные преднамеренными действиями | ||||||||||
| Вредоносное программное обеспечение | высокая | низкая | низкая | низкая | низкая | низкая | низкая | низкая | низкая | низкая |
| Доступ несанкционированных пользователей к сети | высокая | средняя | средняя | средняя | средняя | средняя | средняя | средняя | средняя | средняя |
Продолжение таблицы 5
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| Использование ПО несанкционированными пользователями | высокая | высокая | высокая | высокая | высокая | высокая | высокая | низкая | высокая | высокая |
| 2. Угрозы, обусловленные случайными действиями | ||||||||||
| Ошибка операторов | высокая | высокая | высокая | высокая | высокая | высокая | высокая | средняя | средняя | низкая |
| Ненадлежащее использование ресурсов | средняя | высокая | высокая | высокая | средняя | высокая | средняя | низкая | средняя | высокая |
| Ошибка при обслуживании | высокая | средняя | средняя | средняя | низкая | средняя | средняя | средняя | средняя | средняя |
| 3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы) | ||||||||||
| Ухудшение состояния носителей данных | низкая | высокая | высокая | высокая | средняя | высокая | высокая | средняя | средняя | высокая |
| Колебания напряжения | низкая | высокая | высокая | высокая | высокая | высокая | низкая | средняя | средняя | высокая |
Таким образом, наиболее актуальными угрозами являются следующие:
– доступ несанкционированных пользователей к сети;
– ошибка операторов;
– ненадлежащее использование ресурсов;
– колебания напряжения.
Наиболее уязвимые активы:
– внутреняя переписка;
– цены на товары и материалы;
– инвентари-зационная ведомость.
С внедрением политики безопасности в ООО «Домашний компьютер» должны решаться следующие задачи:
1. Создание общедоступных баз данных;
2. Совместная работа над информацией пользователями фирмы;
3. Проведение централизованного резервного копирования всей информации;
4. Осуществление контроля над доступом к данным;
5. Совместное применение аппаратных средств и программного обеспечения.
