Обеспечение информационной безопасности предприятия ОАО ОХК «Уралхим»

 

Анализ выполнения задач  по обеспечению информационной безопасности:

Задачи по обеспечению  информационной безопасности	Текущий уровень безопасности
Обеспечение безопасности производственной деятельности, защита информации и  сведений, являющихся коммерческой тайной;	средний
Организация работ по правовой, организационной и инженерно-технической (физической, аппаратной, программной) мерам защиты коммерческой тайны;	высокий
Организация делопроизводства, исключающего несанкционированное  получение сведений, являющихся коммерческой тайной;	высокий
Предотвращение несанкционированного допуска и открытого доступа  к сведениям и работам, составляющим коммерческую тайну;	средний
Выявление и исключение каналов  утечки конфиденциальной информации в  процессе повседневной производственной деятельности и в экстренных (авария, пожар и др.) случаях;	высокий
Обеспечение режима безопасности при осуществлении и проведении: деловых встреч, переговоров, совещаний, заседаний и иных мероприятий, связанных  с функциональной и производственной деятельностью;	средний
Обеспечение режима охраны территории предприятия, безопасности зданий и помещений, с хранимой информацией.	средний

 

3. Оценка существующих рисков и пути их минимизации.

Обеспечение информационной безопасности связано с рисками  для информационных ресурсов. Под  рисками понимается возможность  нанесения ущерба информационным ресурсам и снижения уровня их защищенности. Риски информационной безопасности могут иметь различную природу  и характеристики, их можно классифицировать на:

- системные риски –  это неуправляемые риски, связанные  с той средой и ИТ- инфраструктурой,  в которой функционируют информационные  системы; 

- операционные риски –  это управляемые риски, связанные  с особенностями использования  определенных информационных систем, их технической реализацией, применяемыми  алгоритмами, аппаратными средствами  и др.

Процесс управления рисками  организуется на административном уровне, поскольку только руководство организации  способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ улучшения  информационной безопасности.

Процесс управления рисками  и разработка политики безопасности, необходима для организаций, с развитым уровнем информационных системам. Организацию  с низким уровнем зрелости информационных технологий устроит типовой набор защитных мер, выбранный на основе базового представления типичных рисков, без проведения детального анализа.

Эксплуатация информационных систем связана с определенной совокупностью  рисков. В случаях, когда возможный  экономический ущерб велик, необходимо принимать оправданные меры защиты. Периодическая оценка рисков и проведение аудитов информационной безопасности необходимы для контроля эффективности  деятельности направленной на обеспечение  информационной безопасности.

В количественном выражении  уровень риска является функцией вероятности реализации угрозы, с  учетом величины возможного ущерба.

Суть мероприятий в  рамках процесса управления рисками  состоит в том, чтобы оценить  их размер, выработать эффективные  и экономически оправданные меры снижения рисков, проконтролировать, что  риски снижены до приемлемого  уровня (и не повышаются).

По отношению к выявленным рискам возможны следующие действия:

- полная ликвидация риска  (например, за счет устранения  причины);

- снижение вероятности  возникновения риска (например, за  счет внедрения дополнительных  средств защиты);

- принятие риска (и  выработка плана действий в  соответствующих условиях).

Процесс управления рисками  можно разделить на следующие  мероприятия:

1. Выбор анализируемых  объектов и определение уровня  детализации. 

2. Выбор методологии оценки  рисков.

3. Идентификация активов. 

4. Анализ угроз и их  последствий, выявление уязвимых  мест в защите.

5. Оценка рисков.

6. Выбор защитных мер. 

7. Реализация и проверка  выбранных мер. 

8. Оценка остаточного  риска. 

Риски необходимо контролировать постоянно, периодически проводя их переоценку.

Процесс управления рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный  цикл информационных систем организации, тогда меры будут наиболее эффективными, а затраты - минимальными. Ранее мы определили пять этапов жизненного цикла. Управление рисками на этапах жизненного цикла информационной системы:

- На этапе закупки (разработки) точное определение рисков будет  способствовать корректному выбору  соответствующего архитектурного  решения, которое играет ключевую  роль в обеспечении безопасности.

- На этапе установки  выявленные риски следует учитывать  при конфигурировании, тестировании  и проверке ранее сформулированных  требований, а полный цикл управления  рисками должен предшествовать  внедрению системы в эксплуатацию.

- Выбор анализируемых  объектов и уровня детализации  их рассмотрения - первый шаг в  оценке рисков. Для небольшой  организации допустимо рассматривать  всю информационную инфраструктуру, однако в нашем случае, всеобъемлющая  оценка может потребовать неприемлемых  затрат времени и сил. Исходя  из этого, следует сосредоточиться  на наиболее важных сервисах, заранее соглашаясь с приближенностью  итоговой оценки. Если важных  сервисов все еще много, выбираются  те из них, риски для которых  заведомо велики или неизвестны.

При идентификации активов (ресурсов и ценностей, которые организация  пытается защитить) следует, учитывать  не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал и нематериальные ценности (например репутация организации). Отправной  точкой здесь является представление  о миссии организации, то есть об основных направлениях деятельности, которые  необходимо сохранить в любом  случае.

Методика оценки рисков применяется  на основании ценовой шкалы оценки, где каждому риску, для каждого  актива сопоставляется появление различных  угроз.

Методика оценки рисков применяется  на основании ценовой шкалы оценки, где каждому риску, для каждого  актива сопоставляется появление различных  угроз.

Для базовой оценки рисков достаточно трехуровневой шкалы  оценки критичности - низкий, средний  и высокий.

Пример трехуровневой  шкалы с оценкой в денежных единицах:

Название уровня	Оценка уровня, у.е.
Низкий	до 100 тыс.
Средний	от 100 тыс. до 3 млн.
Высокий	свыше 3 млн.

 

Принципы оценки критичности  активов:

1. Информационные активы (или виды информации) оцениваются  с точки зрения нанесения компании  ущерба от их раскрытия, модификации  или недоступности в течение  определенного времени; 

2. Программное обеспечение,  материальные ресурсы и сервисы  оцениваются, как правило, с  точки зрения их доступности  или работоспособности. Т.е. требуется  определить, какой ущерб понесет  компания при нарушении функционирования  данных активов. Например, нарушение  системы кондиционирования в  течение шести часов приведет  к отказу серверного оборудования  и вследствие этого компания  понесет убытки;

3. Сотрудники компании  с точки зрения конфиденциальности  и целостности оцениваются, учитывая  их доступ к информационным  ресурсам с наличием прав на  чтение и модификацию данных. Доступность сотрудников оценивается  с точки зрения их отсутствия  на рабочем месте. Т.е. оценивается,  какой ущерб понесет компания  при отсутствии сотрудника в  течение определенного периода времени. Важно учесть опыт сотрудника, его квалификацию, выполнение им каких-либо специфичных операций;

4. Репутация компании  – оценивается, какой ущерб  репутации компании будет нанесен  в случае нарушения информационной  безопасности и разглашения закрытых  данных.

Оценка риска представляет собой оценку соотношения потенциальных  негативных воздействий на деловую  деятельность в случае нежелательных  инцидентов и уровня возможных угроз  и уязвимых мест. Риск является мерой  незащищенности системы и связанной  с ней организации. Величина риска  зависит от:

- ценности активов; 

- угроз и связанной  с ними вероятности возникновения  опасного для активов события; 

- легкости реализации  угроз в уязвимых местах с  оказанием нежелательного воздействия; 

- существующих или планируемых  средств защиты, снижающих степень  уязвимости, угроз и нежелательных  воздействий. 

Ценность активов определяется на основе оценок их владельцев.

Оценка рисков будет производиться  экспертным путем на основе анализа  ценности активов, возможности реализации угроз и использования уязвимостей, определенных в предыдущих пунктах.

Для оценки предлагается таблица  с заранее предопределенными  «штрафными баллами» для каждой комбинации ценности активов, уровня угроз и  уязвимостей:

 

С учетом определения уровня уязвимости из результатов проведенного анализа для различных процессов  получим меру риска ИБ для каждого  процесса. Результаты оценки рисков для  информационных активов организации:

Риск	Актив	Ранг риска
Кража	Серверное оборудование	6
Несанкционированный доступ	Бухгалтерская база данных	6
Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц	Бухгалтерская база данных	6
Сбои / ошибки	Бухгалтерская база данных	6
Несанкционированный доступ	Серверное оборудование	5
Сбои / ошибки	Серверное оборудование	5
Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц	Серверное оборудование	5
Сбои / ошибки	Бизнес-приложения	5
Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц	USB-концентратор	5
Кража	Рабочие места пользователей	5
Несанкционированный доступ	Рабочие места пользователей	5
Сбои / ошибки	Рабочие места пользователей	5
Несанкционированный доступ	Бизнес-приложения	4
Несанкционированный доступ	USB-концентратор	4
Сбои / ошибки	USB-концентратор	4

 

Характеристика комплекса  задач, задачи и обоснование необходимости  совершенствования системы обеспечения  информационной безопасности и защиты информации на предприятии.

На предприятии, самые  значимые уязвимости связаны:

- С недостаточным надзором  за серверным помещением;

- С получением несанкционированного  доступа к базам данных и  серверному оборудованию;

- С низким уровнем контроля  над третьими лицами, работающими  в непосредственной близости  с серверным оборудованием и  хранимой информацией.

Рассмотрим детально выявленные риски и определим пути полного  устранения или минимизации.

1. Серверное помещение  находится в корпусе 163, расположенного  в пределах периметральной зоны предприятия, куда существует возможность прохода и проезда на личном транспорте сотрудников иных организаций, территориально расположенных внутри периметра предприятия, так же помещения обслуживаются (уборщицами, электриками и другим сторонним персоналом).

Первой задачей повышения  уровня информационной безопасности на основе проведенного исследования является обеспечение безопасности в помещениях. Для этого предлагается выполнить ряд организационно-технических мер:

- Минимизация физического  доступа в корпус, где находятся  ИТ-активы, для этого двери будут  оборудованы автоматическими магнитными  замками;

- Установка системы управления  и контроля доступа, на дверь  в серверную и на вход в  корпус. Вход в здание и серверную  будет разрешен только явно  заданному перечню сотрудников.  Все проходы через систему  будут сохраняться в базе данных  системы;

- Установка системы охраны  периметра, с выводом сигнала  на пульт начальника караула;

- Установка системы видеонаблюдения  на этажах здания, фасадах здания  и в помещении серверной.

2. Для того что бы  похитить критичные для бизнеса  данные, либо внести несанкционированные  изменения в бухгалтерскую базу  данных 1С: Клевер, нет необходимости  физически пробираться в помещение,  где расположено серверное оборудование, для этого можно воспользоваться  иными способами доступа к  данным. В связи с отсутствием  автоматизированной системы распределения  прав, имеется негативное влияние  человеческого фактора при настройке  прав доступа в информационные  системы предприятия, так же  отсутствует прозрачность операций  при распределении ролей и  нет средств хранения и создания  отчетов по данным событиям. На  рисунке 1. представлена существующая  схема назначения прав и ролей.