- клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты, прочие типы);
- сети различных типов (соединения «точка-точка», сети NovellNetWare, сети с ОС UNIX и Windows, разнородные сети);
- элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и т.д.);
- телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы);
- стандартное ПО;
- базы данных;
· каталоги угроз безопасности и контрмер (около 600 наименований в каждом каталоге).
При этом все каталоги структурированы следующим образом. Угрозы по классам:
· форс-мажорные обстоятельства;
· недостатки организационных мер;
· ошибки человека;
· технические неисправности;
· преднамеренные действия.
Контрмеры по классам:
· улучшение инфраструктуры;
· административные контрмеры;
· процедурные контрмеры;
· программно-технические контрмеры;
· уменьшение уязвимости коммуникаций;
· планирование действий в чрезвычайных ситуациях.
Все компоненты рассматриваются по такому плану: общее описание, возможные сценарии угроз безопасности (перечисляются применимые к данному компоненту угрозы из каталога угроз безопасности), возможные контрмеры (перечисляются возможные контрмеры из каталога контрмер). Фактически сделана попытка описать с точки зрения ИБ наиболее распространенные компоненты информационных технологий и максимально учесть их специфику. Стандарт оперативно пополняется и обновляется по мере появления новых компонентов. Каталоги угроз безопасности и контрмер, содержащие по 600 позиций, являются наиболее подробными из общедоступных. Ими можно пользоваться самостоятельно - при разработке методик анализа рисков, управления рисками и при аудите информационной безопасности. Мы также ссылаемся на этот стандарт для определения базовых угроз безопасности. В соответствие с тем, что наша оценка защищенности дается в сетевом аспекте угрозы из стандарта выбирались из двух подклассов: технические неисправности и преднамеренные действия.
Угрозы которым подвержена корпоративная сеть в области сетевой защиты следующие [9]:
· Неэффективный мониторинг событий безопасности в КИС.
· Неавторизованное использование прав (маскарадинг)
· Неконтролируемое использование ресурсов
· Недоступность данных
· Манипуляция данных и ПО.
· Потеря конфиденциальности важных данных в UNIX системах
· Неавторизованное использование ИТ системы
· Прослушивание сети
· Нарушение конфиденциальности данных
· Злоупотребление правами пользователей и администраторов
· Троянские кони
· Вирусы
· DoS и DDoS атаки
· Макровирусы
· Уязвимости ПО или ошибки
· Подбор паролей
· IPSpoofing
· DNS Spoofing
· WEB Spoofing
· Захват сетевых подключений
· Различные виды сканирования сети
· Атаки на протоколы
· Вредоносное ПО :spyware, adware
· Переполнение буфера
· Монополизация канала
· Уязвимости протоколов аутентификации
4.3 Оценка стоимости информационных ресурсов
Следующим пунктом методики является оценка информационных ресурсов компании и оценка ущерба в результате реализации угроз. Этот пункт является важным звеном методики. Он позволяет ранжировать информационные ресурсы компаний по степени их критичности для ведения нормальной деятельности предприятия. На этом этапе становится понятно какие ресурсы требуют защиты в первую очередь и какие средства на это могут быть потрачены. То есть этот пункт позволяет нам определить в первую очередь стоимость информационных ресурсов, а во-вторых, задает предел стоимости СЗИ.
Для оценки уровня ущерба выраженного в денежном эквиваленте мы используем пессимистический подход и будем считать что убытки будут максимальны при реализации хотя бы одной из угроз. В частном случае, как правило, каждая из угроз представляет для информации определенное воздействие, которое не может характеризоваться полным разрушением информации либо ее непригодностью. К тому же практика и данные статистики защиты КИС показывают, что реализации хотя бы одной из угроз может привести к компрометации и нарушении целостности всей системы. А злоумышленники, как правило, начинают свое вторжение с мельчайших угроз и ошибок в деятельности персонала, последовательно увеличивая свои привилегии в системе. В нашем случае для простоты примера мы воспользуемся именно пессимистическим способом оценки стоимости информации. При этом угрозы классифицируем по способу воздействия на информацию. Разделим их на две группы: в первую включим угрозы, приводящие к недоступности информационного ресурса, во вторую угрозы, приводящие к нарушению целостности и конфиденциальности. Размер ущерба в денежном эквиваленте для двух видов воздействия составляет 1000 грн/час и 50000 грн соответственно. То есть компания несет убытки 1000 грн/час если ее сотрудники не могут получить своевременный доступ к информационному ресурсу (удаленные пользователи) и 50000 грн. если информация станет общедоступной или станет нечитаемой в результате искажений. В качестве основного источника защищаемой информации определен файл сервер находящийся внутри КИС.
4.4 Оценка уровня защищенности КИС и обоснование эффективности
выбранных средств защиты
Для оценки вероятности отражения угроз каждым из средств защиты использовался метод экспертной оценки. В качестве экспертов выступали сотрудники кафедры БИТ. Результат экспертной оценки вероятностей отражения угроз СЗИ приведен в таблице 4.1.
Общий уровень защищенности обеспечиваемый СЗИ будем считать по формуле (3.5) при этом будем использовать первый способ оптимистически-пессимистического подхода. При использовании этого способа предполагаем, что "li = a , a = const, что интенсивности угроз равные и равны константе. Таким образом, подставляя значения вероятностей pi и сумму потерь Сi в формулу (3.3) получаем общий уровень защищенности системы равный:
D = 0.903932*100% = 90 %.
Таблица 4.1. Таблица вероятностей отражения угроз безопасности СЗИ, полученная экспертным методом оценки.
Вероятность отражения угрозы с учетом средств защиты | Общая вероятность | Ci | Ci*(1-pi) | ||||||
Вид уязвимости | Средство защиты | Межсетевой экран/NAT | VPN шлюз | Сервер обновлений | IDS | Антивирус | Ущерб, грн | ||
Троянские кони | 0,95 | 0,95 | 30000 | 1500 | |||||
Вирусы | 0,90 | 0,9 | 10000 | 1000 | |||||
DoS | 0,80 | 0,99 | 0,99 | 0,99998 | 5000 | 0,1 | |||
DDoS | 0,60 | 0,80 | 0,95 | 0,996 | 5000 | 20 | |||
Макро вирусы | 0,60 | 0,6 | 30000 | 12000 | |||||
Уязвимости ПО или ошибки | 0,90 | 0,9 | 25000 | 2500 | |||||
IP Spoofing | 0,70 | 0,99 | 0,93 | 0,99979 | 20000 | 4,2 | |||
DNS Spoofing | 0,90 | 0,9 | 25000 | 2500 | |||||
WEB Spoofing | 0,50 | 0,5 | 10000 | 5000 | |||||
Захват сетевых подключений | 0,50 | 0,99 | 0,90 | 0,9995 | 25000 | 12,5 | |||
Различные виды сканирования сети | 0,60 | 0,90 | 0,96 | 5000 | 200 | ||||
Недоступность данных | 0,85 | 0,85 | 5000 | 750 | |||||
Нарушение конфиденциальности данных | 0,95 | 0,30 | 0,965 | 45000 | 1575 | ||||
Некорректные параметры заголовков пакетов и запросов | 0,7 | 0,5 | 0,8 | 0,97 | 9000 | 270 | |||
Автоматический подбор паролей (login) | 0,75 | 0,9 | 0,975 | 35000 | 875 | ||||
Атаки на протоколы | 0,5 | 0,8 | 0,875 | 10000 | 1250 | ||||
Неэффективный мониторинг событий безопасности в КИС | 0,3 | 0,7 | 0,79 | 25000 | 5250 | ||||
Монополизация канала | 0,6 | 0,9 | 0,96 | 4000 | 160 | ||||
Неавторизованное использование прав(маскарадинг) | 0,3 | 0,9 | 0,93 | 30000 | 2100 | ||||
Манипуляция данных и ПО | 0,5 | 0,6 | 0,3 | 0,6 | 0,944 | 25000 | 1400 | ||
Неконтролируемое использование ресурсов | 0,5 | 0,6 | 0,3 | 0,8 | 0,6 | 0,9888 | 30000 | 336 | |
Потеря конфиденциальности важных данных в UNIX системах | 0,7 | 0,8 | 0,5 | 0,97 | 31000 | 930 | |||
Неавторизованное использование ИТ системы | 0,6 | 0,7 | 0,3 | 0,8 | 0,66 | 0,99429 | 40000 | 228,48 | |
Прослушивание сети | 0,9 | 0,9 | 40000 | 4000 | |||||
Злоупотребление правами пользователей и администраторов | 0,1 | 0,1 | 0,19 | 10000 | 8100 | ||||
Вредоносное ПО :spyware, adware | 0,5 | 0,95 | 0,975 | 38000 | 950 | ||||
Переполнение буфера | 0,8 | 0,8 | 15000 | 3000 | |||||
582000 | 55911,28 | ||||||||
Уровень защищенности | 0,90393251 |
В данном случае была произведена оценка защищенности уже существующей реальной системы с необходимым набором средств защиты. В практике чаще возникают ситуации когда необходимо выбрать из набора средств только те, которые в большей степени соответствуют нуждам компании, в данном случае обеспечивают наибольший уровень защиты, при этом система должна иметь минимальную стоимость и оказывать минимальное воздействие на производительность всей системы в целом.
Применим методику для выбора оптимальной системы защиты для той же системы. При этом введем ограничения на стоимость такой системы защиты. Предположим, что система защиты должна составлять от 10 до 20 процентов от общей стоимости КИС. Именно такой подход предлагают многие современные эксперты при оценке стоимости СЗИ. Допустим, что общая стоимость нашей КИС согласно данных ее владельца составляет 150 000 грн.. В этом случае целесообразно на систему защиты потратить 20000 грн.. В общем случае ограничения на стоимость СЗИ ограничиваются сверху стоимостью информации.