Научная статья на тему 'Некоторые аспекты менеджмента информационной безопасности промышленных комплексов'

Некоторые аспекты менеджмента информационной безопасности промышленных комплексов Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
221
28
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / INFORMATION SECURITY / МЕНЕДЖМЕНТ / MANAGEMENT / ИНФОРМАЦИОННЫЕ ПОТОКИ / INFORMATION FLOWS / ДИФФЕРЕНЦИРОВАННЫЙ ДОСТУП / DIFFERENTIAL ACCESS / WEB-ПОРТАЛ / WEB PORTAL / ЦИФРОВЫЕ СЕРТИФИКАТЫ / DIGITAL CERTIFICATES / УДОСТОВЕРЯЮЩИЙ ЦЕНТР / CERTIFICATION AUTHORITY

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Глухова Л. В., Губанова С. Е.

Сегодня вопросам информационной безопасности уделяется недостаточно внимания. Одной из проблем является слабая подготовка персонала к использованию требований государственных стандартов и других нормативных документов сферы информационных технологий и цифровых каналов связи, хотя менеджмент промышленных предприятий и имеет практические навыки своей деятельности в сфере информационно-коммуникационного сервиса, например, при организации работы торгово-дилерской сети. В статье авторы рассматривают особенности построения WEB-порталов крупных промышленных комплексов и оценивают возможные риски потери информации из-за некачественной подготовки кадров менеджмента производственных служб.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

SOME ASPECTS OF INFORMATION SECURITY MANAGEMENT OF INDUSTRIAL COMPLEXES

Today, information security is not paid enough attention. One problem is the poor training of the personnel to the use of state standards and other regulatory documents of information technology and digital communication channels, although the management of industrial enterprises has the practical skills of its activities in the field of information and communication services, such as the organization of the trade and dealer network. In this article the authors examine the features of construction of WEB portals of large industrial complexes and evaluate the possible risks of loss of information due to the poor quality of training of production management services.

Текст научной работы на тему «Некоторые аспекты менеджмента информационной безопасности промышленных комплексов»

УДК: 065.33 ББК: У65

Глухова Л.В., Губанова С.Е.

НЕКОТОРЫЕ АСПЕКТЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРОМЫШЛЕННЫХ КОМПЛЕКСОВ

Glukhova L. V., Gubanova S.E.

SOME ASPECTS OF INFORMATION SECURITY MANAGEMENT OF INDUSTRIAL COMPLEXES

Ключевые слова: информационная безопасность, менеджмент, информационные потоки, дифференцированный доступ, WEB-портал, цифровые сертификаты, удостоверяющий центр.

Keywords: information security , management, information flows , differential access, WEB -portal, digital certificates, the Certification Authority .

Аннотация: сегодня вопросам информационной безопасности уделяется недостаточно внимания. Одной из проблем является слабая подготовка персонала к использованию требований государственных стандартов и других нормативных документов сферы информационных технологий и цифровых каналов связи, хотя менеджмент промышленных предприятий и имеет практические навыки своей деятельности в сфере информационно-коммуникационного сервиса, например, при организации работы торгово -дилерской сети.

В статье авторы рассматривают особенности построения WEB-порталов крупных промышленных комплексов и оценивают возможные риски потери информации из -за некачественной подготовки кадров менеджмента производственных служб.

Abstract: today, information security is not paid enough attention. One prob lem is the poor training of the personnel to the use of state standards and other regulatory documents of information technology and digital communication channels, although the management of industrial enterprises has the practical skills of its activities in the field of information and communication services , such as the organization of the trade and dealer network.

In this article the authors ex amine the features of construction of WEB - portals of large industrial complexes and evaluate the possible risks of loss of information due to the poor quality of training of production management services.

Основополагающими документами при подготовке данной статьи явились: «Доктрина информационной безопасности Российской Федерации» (утв. Президентом РФ 09.09.2000 № Пр-1895) и Указ Президента РФ от 12.05.2009 № 537 «О Стратегии национальной безопасности Российской Федерации до 2020 года», в которых особое внимание уделяется обеспечению информационной безопасности [1].

В связи с чем, большую значимость принимает знание нормативных документов, обеспечивающих не только защиту персональных данных или передаваемой информации по коммуникационным каналам связи [2-8] или практическое усвоение требований ГОСТ по менеджменту инфор-

мационной безопасности [9-11], но и обязательное условие выполнения требований по построению электронно-цифровой подписи [12].

Информационная безопасность является комплексным понятием, состоящим в обеспечении для любой организации трех взаимосвязанных аспектов: конфиденциальность и целостность данных, доступность информации для всех авторизирован-ных пользователей. Это актуально для всех без исключений хозяйствующих субъектов на рынке, связанных между собой каналами передачи информации.

Глобализация и открытость нашего времени кардинальным образом поменяли механизмы функционирования современ-

ных предприятий и организаций. Средства связи, телекоммуникационные возможности, Интернет - казалось бы, это всего лишь инструменты для обычных экономических процессов. Но их взрывной рост оказал настолько мощное и всеобъемлющее влияние на все субъекты экономики, что схемы их работы, модели поведения, фокус внимания сместились существенным образом. Появились новые возможности, но и новые риски. Информационный век диктует свои правила. Несмотря на защиту интеллектуальной собственности, патенты, лицензии и прочее - нововведения не удаётся сколько-нибудь долго удерживать от распространения. И по факту сегодня ситуация такова, что практически все ведущие предприятия, выпускающие одну и ту же продукцию, (например, автомобили), используют те же самые материалы, те же самые технологии, те же самые best practice, что и их конкуренты.

За счёт чего же можно выиграть нынешнюю конкурентную борьбу?

Эксперты выдают согласованный ответ: за счёт качества менеджмента, качества управления.

Грамотный, оперативный, ответственный менеджмент представляет собой ключевой фактор конкурентоспособности компании. Отличительная особенность и насущная необходимость качественного современного менеджмента - умение работать с информацией, с информационно-коммуникационными технологиями. Владение текущей информацией о положении дел в своей компании, у конкурентов, ситуации на рынке, в государственно-правовой сфере и т.д. - только так можно принимать быстрые и адекватные решения в сложном, многофакторном, постоянно меняющемся мире.

Квалифицированная работа с информацией включает в себя отбор, верификацию, сортировку, хранение, защиту, контроль данных, предоставление доступа к информационным ресурсам предприятия строго регламентировано и дифференцировано - каждому пользователю свой набор и объём сведений.

Объектом исследования в данной статье является крупное промышленное предприятие с большим количеством сотрудников, в том числе мобильных, со сложной

разветвлённой сетью партнёров, поставщиков, дистрибьюторов, с собственной дилерской сетью. Предприятие конкурирует на открытом рынке с ведущими мировыми компаниями, поэтому для нее жизненно необходимо создавать единое, криптографически защищённое информационное пространство компании, обеспечивающее как удобство и бесперебойность работы в нём, так и надёжные барьеры для несанкционированного доступа. Критичной и секретной информации в серьёзной организации всегда хватает, защита и организация работы с ней должна строиться на самых передовых технологиях, система должна быть гибкой, надёжной, масштабируемой, отказоустойчивой. Поэтому требования ГОСТ (ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство», ГОСТ Р ИСО/МЭК 13335-1-2006 «Национальный стандарт Российской Федерации/ Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий», ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования») по предотвращению рисковых ситуаций является одним из самых существенных [7-9].

Рассмотрим, что можно предложить в данном случае. Сначала рассмотрим возможности построения WEB-портала, а затем выполним оценку рисков, возникших при мониторинге стандартной ситуации работы с дилерской сетью предприятия. При этом, будем опираться на требования стандартов [10-12].

Считаем, что корпоративный WEB-портал должен обеспечивать единую точку входа в информационное пространство. Это, по сути, большой сложный сайт с набором сервисов [13]. Должна быть корпоративная сеть со всеми необходимыми атрибутами -межсетевыми экранами, сетями VPN, системами обнаружения вторжений, антивирусной защитой, системой фильтрации спа-ма и т.д. Целесообразно иметь корпоративный удостоверяющий центр, достаточно мощный, на базе технологии Pub lic Key

Infrastructure (PKI), с разными режимами доступа и выдачи сертификатов, желательно с разной криптографией - западной и отечественной, с различной длиной ключа и т.д. - все эти критерии самым прямым образом влияют на безопасность данных - что-то надо скрывать более тщательно (и затратно в смысле ресурсов), что-то - менее (и, соответственно, дешевле).

Посмотрим внимательнее на первый пункт из этого списка. Признано, что наиболее эффективным способом организовать работу с информационными потоками компании для самого широкого и разнообразного круга пользователей является создание корпоративного web-портала как единой точки входа в информационное пространство предприятия с набором сервисов, в том числе интерактивных, информационных систем, баз данных, разнообразного контента и т.д. с единой системой аутентификации, дифференцированным и регламентированным входом, администрированием, технической поддержкой, обучением [14].

Пользователи работают на портале с помощью одного только браузера, никаких дополнительных программ чаще всего не требуется. Обновление и синхронизация данных проходят быстро, упорядоченно, прозрачно для пользователей, и они могут не беспокоиться об актуальности и досто-

Стек технологий, применяющихся сегодня для построения сайтов-порталов, включает SSO (Single Sign-On) - единый вход для пользователя без необходимости дополнительной аутентификации в разных разделах, VPN (Virtual Private Network) -виртуальная частная сеть для мобильных сотрудников, AD (Active Directory), LDAP и многое другое. Собственно говоря, этот список устаревает каждый день, поскольку постоянно появляются новые мощные инструменты и новшества. Актуальных технологий много, что позволяет разработчикам подбирать и комбинировать их в соответствии с конкретными условиями и техническим заданием. Соответственно и вариантов создания порталов предостаточно, но при этом цель их одна и та же - через повышение эффективности информационно-коммуникационных процессов повысить эффективность самой компании [15].

Портал может и должен содержать множество полезных сервисов. Некоторые из них перечислены в таблице 1.

верности полученной информации. Необходимые коммуникации реализуются оперативно и надёжно. Таким образом, корпоративный портал облегчает и выводит на новый качественный уровень работу с информацией. Он является фактически интерфейсом для доступа сотрудников, клиентов,

Таблица 1 - Сервисы, доступные из корпоративного web-портала

Сервис Назначение Формат доступа Методика стандартных требований

Нормативно-справочная информация (НСИ) Предоставление достоверной и актуальной служебной информации Дифференцированный [1-3], [8], [11]

Лента новостей Новостной контент компании Общий [11]

Электронный документооборот Обмен официальными электронными данными и документами Дифференцированный [9-11], [12]

Телефонный и e-mail справочник сотрудников Публикация рабочих телефонов и адресов для обращения и взаимодействия Дифференцированный [1-8]

Системы совместной работы Программные решения для организации удалённой работы Дифференцированный [4-8], [9-12]

партнёров к корпоративным базам и приложениям. Само собой, что сотрудники видят один набор сведений при входе на портал, поставщики, например - другой, обычная публика - третий. И даже от пользователя к пользователю представляемая информация различается - в зависимости от уровня, роли, функций пользователя. Методы подобной дифференциации могут быть разными -например, системы управления привилегиями баз данных, как, например, Oracle. Либо использование цифровых сертификатов стандарта X.509, содержащих много свободных полей именно для гибкого их применения по любым критериям. Конечно, для крупной организации, работающей в международном бизнесе, необходима не только русскоязычная, но ещё и, как минимум, ан глоязычная версия.

Таким образом, портал обеспечивает и организовывает не только доступ к информации, но и существенно облегчает, ускоряет, удешевляет коммуникации. Всем уже знакомы термины B2B, B2C, B2G, описывающие сегменты взаимодействия компании с другими компаниями, с частными лицами, с государственными органами. Но надо особо отметить, что корпоративный портал чрезвычайно облегчает B2E (Business-to-employees) коммуникации, формируя новый стиль взаимодействия бизнеса с персоналом. Воедино связываются базы данных, сервисы, разного рода служебная информация, упрощается общение, в том числе с руководством, разнородный коллектив превращается в команду, которая может действовать как единый механизм в условиях жёсткой конкурентной борьбы и открытых рынков современной глобальной экономики.

В статье предлагается следующая типичная схема относительно дифференцированного доступа.

Во-первых - обычная публика. Они могут беспрепятственно заходить на этот сайт (портал) и просматривать сведения, находящиеся в свободном доступе.

Во-вторых, это сотрудники предприятия, являющиеся пользователями портала, находящиеся внутри корпоративной сети. Для них достаточно логина и пароля. Конечно, парольная защита внимательно кон-

тролируется системой - слабые пароли не допускаются, каждые 3 месяца осуществляется принудительная смена пароля.

В-третьих, мобильные сотрудники предприятия (допустим, находящиеся в командировке) и доверенные партнёры компании, имеющие определённые права доступа к закрытой информации на портале, но находящиеся вне корпоративной сети - для них логина и пароля уже недостаточно, для них дополнительно нужен сертификат доступа. Сертификат этот выдаётся корпоративным УЦ и имеет невысокую степень защиты [13].

В-четвёртых, сотрудники дилерских центров, у которых должна быть возможность не просто доступа на корпоративный портал, но и подписания электронной подписью товарных и любых других документов в удалённом режиме. У них есть и логин-пароль, и сертификат доступа (с небольшой защитой), и ещё и сертификат электронной подписи - с максимальной защитой.

В-пятых - высший менеджмент организации, для которых формируют сертификаты непосредственно внутри специальных отчуждаемых носителей с неизвлекаемым закрытым ключом.

Это очень приблизительная схема, её можно дополнять, расширять и детализировать в зависимости от задач, масштабов и рисков конкретного предприятия. Но в целом корпоративный портал - безусловно, чрезвычайно удобный и гибкий инструмент.

Конечно, имеются и минусы у данного решения. Например, для его реализации необходимы грамотные специалисты в штате компании. (Если, конечно, не использовать аутсорсинг). Кроме того - существует уязвимость. Для бесперебойной работы серверов необходимо использовать кластерные решения, системы распределённых вычислений, blade-системы, другие отказоустойчивые инструменты.

Актуальна также и защита информации, антивирусная защита, межсетевые экраны, системы обнаружения вторжений и прочие элементы защиты корпоративной сети также должны присутствовать в обязательном порядке. Опционально также иметь собственный удостоверяющий центр на базе

технологии асимметричной криптографии, или PKI [13 - 15]. Сертификаты, созданные по этой технологии, обеспечивают гораздо более серьёзную защиту и дают целый ряд дополнительных преимуществ - не только аутентификацию, но и целостность, достоверность и авторство передаваемой информации. Сертификаты можно варьировать по целому ряду критериев - длина ключа, отечественная либо западная криптография, проверка статуса сертификата и т.д. Кроме того, в них можно поместить любую дополнительно необходимую и уточняющую информацию для каждой конкретной организации. Опять же можно рассматривать вариант аутсорсинга и покупать сертификаты у стороннего удостоверяющего центра. Но расчёты показывают, что для действительно крупной организации собственный удостоверяющий центр предпочтительней как более гибкий, управляемый и гораздо более приемлемый по цене. Хотя, конечно, это сложнее и требует высокой квалификации сотрудников центра. Интересным решением также представляется использование атрибутных сертификатов, это технология Privilege Management Infrastructure(PMI), привязанных к набору полномочий или привилегий.

В целом использование корпоративного портала не просто упрощает работу сотрудников, но и напрямую влияет на качество управленческих решений менеджмента. Чем больше качественной информации, чем она более релевантна, достоверна и актуальна, тем меньше рисков в принятии решений, тем они грамотней и эффективней. Только компетентное, основанное на проверенной и оперативной информации управление способно вывести компанию на высокий уровень и удерживать её в условиях жёсткой конкурентной борьбы.

Информационные технологии развиваются очень быстро, и портальные инструменты развиваются вместе с ними. Останавливаться и почивать на лаврах нельзя. Хороший корпоративный портал, как и любой инструмент, хорош только тогда, когда он развивается и постоянно внедряет лучшие наработки и технологии современной науки.

Используя описанные методики оцен-

ки рисков и учитывая требования ГОСТ к менеджменту рисков [8-10], проанализировав типовой функционал web-приложений и угроз, которые характерны для данного функционала, сделаем количественную оценку необходимости защиты информации (см. табл. 2,3).

Используя методику оценки риска, предложенную ГОСТ (ИСО/МЭК 31010 Менеджмент риска. Методы оценки риска), построим модель нарушителя. Для данного web-приложения характерна следующая модель нарушителя: внешний легальный пользователь и внешний хакер.

Первого обозначим как A1, а второго -

A2.

Таким образом, категории A1 свойственны следующие черты нарушителя:

достаточная квалификация для эксплуатации возможностей Web-приложения;

отсутствие цели нанести ущерб компании.

Для категории А2 характерны следующие черты нарушителя:

необходимые технические познания для эксплуатации возможностей Internet-магазина;

навыки и опыт использования уязви-мостей и недекларированных возможностей ОС, распространенного прикладного ПО; опыт взлома подобных систем; намерение нанести ущерб компании. В отношении баз данных могут быть идентифицирована угроза утечки информация.

В отношении Web-сервера могут быть идентифицированы следующие угрозы безопасности:

нарушение целостности информации, хранящейся в БД Web-приложения;

нарушение доступности сервера Web; нарушение конфиденциальности информации, хранящейся в БД Web-приложения.

Как было сказано выше, для данного типа web-приложений характерны следующие web-угрозы: угрозы аутентификация, угрозы авторизации, атаки на клиентов, выполнение кода логические атаки.

Угроза нарушения целостности может возникнуть в результате реализации следующих механизмов:

проведение атаки внедрение операторов SQL (SQL Injection);

проведение атаки межсайтовое выполнение сценариев (XSS);

проведение атаки подделка межсай-товых запросов (XSRF); PHP- инъекция;

Угроза нарушения доступности возникнет, если будут реализованы следующие механизмы:

эскалация привилегий прав злоумышленника в системе в результате переполнения буфера ОС или СУБД;

создание шторма сетевых пакетов против сервера Web;

формирование некорректных пакетов, направленных на сервер Web и влекущих за собой крах службы.

Таким образом идентифицированы следующие механизмы реализации угроз: проведение атаки SQL Injection; проведение атаки Cross-Site Scripting; проведение атаки XSRF; PHP- инъекция;

эскалация привилегий прав злоумышленника в системе в результате переполнения буфера ОС или СУБД;

создание шторма сетевых пакетов, направленных на сервер Web;

формирование некорректных пакетов, направленных на сервер Web и влекущих за собой крах службы.

Атака наподобие SQL Injection может быть намеренно осуществлена злоумышленником категории A2, но не может быть проведена ни при каких обстоятельствах злоумышленником категории A1.

Атака Cross-Site Scripting также может быть предпринята злоумышленником категории A2, но ни в коем случае не злоумышленником категории A1.

Эскалация привилегий прав злоумышленника в системе может произойти в результате намеренных действий злоумышленника категории A2 и ненамеренных действий злоумышленника категории А1.

Создание шторма сетевых пакетов, направленных на сервер Web, может стать следствием намеренных действий злоумышленника категории A2 и ненамеренных действий злоумышленника категории А1 (например, вследствие частого нажатия

кнопки «Обновить» обозревателя Internet).

Формирование некорректных пакетов, направленных на сервер Web, влекущих за собой крах службы, может произойти в результате намеренных действий злоумышленника категории A2, но ни при каких обстоятельствах не случится в результате действий злоумышленника категории A1.

Ресурс сервера Web является критичным для функционирования компании, поэтому ему присвоено значение AV = 3. Мере уязвимости ресурса к угрозе нарушения целостности (EF) тоже назначено максимальное значение (3), так как нарушение целостности хранимых в СУБД данных влечет за собой срыв поставок, если, например, удалены данные об оформленных, но еще не проведенных заказах. Вероятность реализации угрозы нарушения целостности оценена как средняя ввиду того, что не исключается эксплуатация широко известных уязвимостей и недостатков программирования (SQL Injection, Cross-Site Scripting). Параметры EF и ARO в отношении угроз нарушения конфиденциальности и доступности рассчитывались аналогично. Большинство параметров (кроме AV), как можно видеть, принимались исходя из экспертного мнения аудитора. Все идентифицированные риски являются высокими, поскольку реализация порождающих эти риски угроз неизбежно нанесет существенный ущерб компании. Таким образом, дальнейшие меры подразумевают снижение идентифицированных рисков. Что касается эскалации привилегий злоумышленника, то на этот случай могут быть приняты такие меры, как установка недавно вышедших обновлений безопасности службы сервера Web, а также постоянный аудит и периодический пересмотр учетных записей пользователей и прав доступа на системном уровне.

Риск нарушения доступности понижается путем установки обновлений безопасности, размещения межсетевого экрана перед сервером Web с учетом топологии сети и ограничения количества одновременных соединений со службой сервера Web с одного IP-адреса. После идентификации перечисленных мер произведем расчет остаточных рисков и сведем их в таблицу, аналогичную предыдущей (таблица 3). На ее ос-

нове можно сформировать таблицу сниже- снижен на величину от 66 до 83%, что явля-ния рисков (таблица 4). Как видим, риск ется приемлемым уровнем.

Таблица 2 - Модель нарушителя

Идентификатор Наименование Описание возможностей

А1 Внешний легальный пользователь Web-приложения Отсутствие достаточной квалификацией для обнаружения и эксплуатации уязвимостей. Знание, по крайней мере, одного легального имени доступа в систему

А2 Внешний квалифицированный хакер Присутствие необходимых технические познаний для эксплуатации уязвимости web-приложения; Навыки и опыт использования уязвимостей и не-декларированных возможностей ОС, распространенного прикладного ПО; Опыт взлома подобных систем; Намерение нанести ущерб компании

На основе модели нарушителя меры ное значение исходных рисков для каждого уязвимости ресурса к угрозе и оценки веро- ресурса. ятности события рассчитаем количествен-

Таблица 3 - Виды web-сервиса и необходимость мер защиты

Тип web-сервиса Угрозы Необходимость защиты (0-9)

Дилерская сеть Аутентификация 8

Авторизации

Атаки на клиентов

Выполнение кода

Логических атак

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Корпоративные сайт Аутентификация 6

Авторизации

Выполнение кода

Атаки на клиентов

Интернет-магазин Аутентификация 7

Авторизации

Выполнение кода

Атаки на клиентов

Промо-сайт Выполнение кода 2

Сайт визитка Выполнение кода 3

Интернет-портал Аутентификация 7

Авторизации

Выполнение кода

Атаки на клиентов

В таблице 4 рассмотрена стоимостная оценка имеющихся рисков, рассчитанная на основе методики, предлагаемой в ГОСТ 27005-2010. Угрозы аутентификация могут исходить из-за уязвимостей функционала интеграция с 1С, интеграцией с платежными, личными кабинетом и загрузкой файлов на сервер. Причинами угроз авторизации могут служить: реализованный функционал интеграции с 1С, интеграцией с платежны-

ми, личными кабинетом и загрузкой файлов на сервер. Проведения атаки на клиентов возможно при помощи WYSIWYG редактор и загрузка файлов на сервер. Угрозы выполнения кода возможны при помощи Web форм, WYSIWYG редактора, интеграции с платежными системами, личным кабинетом, загрузка файлов на сервер. Логические атаки допустимы из функциональных особенностей WYSIWYG редактора, интеграция с

ИС, интеграция с платежными системами и личного кабинета.

Ресурс сервера Web является критичным для функционирования компании, поэтому ему присвоено значение AV = 3. Мере уязвимости ресурса к угрозе нарушения целостности (EF) тоже назначено максимальное значение (3), так как нарушение целостности хранимых в СУБД данных влечет за собой срыв поставок, если, например, удалены данные об оформленных, но еще не проведенных заказах. Вероятность реализации угрозы нарушения целостности оценена как средняя ввиду того, что не исключается эксплуатация широко известных

уязвимостей и недостатков программирования (SQL Injection, Cross-Site Scripting). Параметры EF и ARO в отношении угроз нарушения конфиденциальности и доступности рассчитывались аналогично. Большинство параметров (кроме AV), как можно видеть, принимались исходя из экспертного мнения аудитора. Все идентифицированные риски являются высокими, поскольку реализация порождающих эти риски угроз неизбежно нанесет существенный ущерб компании. Таким образом, дальнейшие меры подразумевают снижение идентифицированных рисков.

Таблица 4 - Расчет качественного значения исходных рисков типового Web - сервиса

Ресурс Цен- Угроза Модель Оценка ме- Оценка ве- Оценка воз- Величина

ность наруши- ры уязвимо- роятности можного риска

ресурса теля сти ресурса реализации ущерба от (ALE)

(AV) к угрозе да угрозы (ARO) реализации угрозы (SLE)

БД 5 Выполнение кода A2 0,43 5,16 52 155 269119,8

Web- 3 Аутен- A2, A1 0,25 3 15 555 46665

прило- тифика-

жения ция

Автори- A2, A1 0,15 1,8 7125 12825

зации

Атаки на А2 0,64 7,68 7951 61063,68

клиентов

Выпол- А2 0,65 7,8 18124 141367,2

нение

кода

Логиче- А2 0,33 3,96 15 000 59400

ских атак

Итого: 590 440,7

По этой же методике выполним расчет количественных значений остаточных рисков. Для снижения меры уязвимости (EF) в части реализации угрозы нарушения доступности рекомендуется пересмотреть исходный код сценариев Web-приложения и добавить в него функции фильтрации запросов SQL с целью предотвращения внедрения запросов SQL в запросы HTTP GET. Сходные меры могут быть предприняты в отношении атаки Cross-Site Scripting.

Что касается эскалации привилегий злоумышленника, то на этот случай могут быть приняты такие меры, как установка недавно вышедших обновлений безопасно-

сти службы сервера Web, а также постоянный аудит и периодический пересмотр учетных записей пользователей и прав доступа на системном уровне.

Риск нарушения доступности понижается путем установки обновлений безопасности, размещения межсетевого экрана перед сервером Web с учетом топологии сети и ограничения количества одновременных соединений со службой сервера Web с одного IP-адреса.

После идентификации перечисленных угроз произведен расчет остаточных рисков, результаты оценки рисков отобразим в таблице 5.

В таблице отражены ресурсы, их ценность для организации, в соответствии с классификацией, существующая угроза, возможная модель нарушителя, оценка ме-

ры уязвимости ресурса к угрозе, оценка возможного ущерба от реализации угрозы. А также величина остаточного риска в денежном выражении.

Таблица 5 - Расчет количественного значения остаточных рисков в отношении типового Web-приложения

Ресурс Ценность Угроза Модель Оценка Оценка Оценка воз- Величина

ресурса нару- меры уяз- вероятно- можного остаточно-

(AV) шителя вимости ресурса к угрозе (EF) сти реализации угрозы (ARO) ущерба от реализации угрозы (SLE) го риска (ALE)

БД 3 Выполнение кода (Кража БД) A2, Б1 0,03 5,16 52 155 18775,8

Web- 3 Аутентифи- A2, A1 0,09 3 15 555 16799,4

прило- кация

жения Авторизации A2, A1 0,09 1,8 7125 7695

Атаки на кли- А2. Б1, 0,14 7,68 7951 13357,68

ентов В1

Выполнение А2 0,1 7,8 18124 21748,8

кода

Логических А2, В1 0,13 3,96 15 000 23400

атак

Итого: 101776,68

В таблице 6 показаны угрозы, которые типового функционала. могут возникнуть в WEB-приложениях для

Таблица 6 - Угрозы web-приложений для типового функционала

Функционал Угрозы аутентификация Угрозы авторизация Атаки на клиентов Выполнение кода Логические атаки

Web форма - - - + -

WYSIWYG редактор - - + + +

Интеграция с ИС + + - - +

Интеграция с платежными системами + + - + +

Личный кабинет + + - + +

Загрузка файлов на сервер + + + + -

Таким образом, можно сделать вывод о наиважнейшей необходимости подготовки сотрудников промышленных комплексов к изучению обязательных нормативных до-

кументов, сведения которых направлены на предотвращение рисков деятельности компании в едином информационном пространстве предприятия.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Доктрина информационной безопасности РФ» (утв. Президентом РФ 09.09.2000 № Пр-1895) и Указ Президента РФ от 12.05.2009 № 537 «О Стратегии национальной безопасности РФ до 2020 года».

2. Федеральный закон РФ от 27.07.2006 г. № 152-ФЗ (ред. от 23.07.2013 г.) «О персо-

Вестник Волжского университета имени В.Н. Татищева № 3 (34) 2015

нальных данных» // Справочно-правовая информационная система «Консультант+».

3. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 г. Москва "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" // Российская газета - Федеральный выпуск №5929 от 7 ноября 2012 г.

4. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. № 21 г. Москва "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" // Российская газета. - Федеральный выпуск №6083 от 22 мая 2013 г.

5. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 г. Москва "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" // Российская газета. - Федеральный выпуск №6112 от 26 июня 2013 г.

6. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 г. Москва "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" // Российская газета. - Федеральный выпуск №6112 от 26 июня 2013 г.

7. ГОСТ Р ИСО/МЭК 13335-1-2006 «Национальный стандарт РФ / Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».

8. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

9. ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство».

10. ФЗ «Об информации, информационных технологиях и защите информации» [Электронный ресурс]. - Режим доступа: кйр://Ьа8е.сошикап1;.ги/соп8/с§Ь/опНпе.с§1?гед=ёос; Дата обращения: 30.08.15.

11. ФЗ «О персональных данных» [Электронный ресурс]. - Режим доступа: http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=144649 Дата обращения: 30.08.15.

12. ФЗ «Об электронной подписи» [Электронный ресурс]. - Режим доступа: http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=144685 Дата обращения: 20.08.15.

13. Глухова, Л.В., Губанова, С.Е. Корпоративный web-портал как инструмент менеджмента информационной безопасности современных промышленных комплексов.

14. Нижегородцев, Р.М. Информационная экономика. Книга 1. Информационная Вселенная: Информационные основы экономического роста. - М. - Кострома, 2002. - 163 с.

15. Губанова, С.Е. Особенности работы корпоративного удостоверяющего центра крупного промышленного предприятия // Информационные системы и технологии: управление и безопасность. Сборник статей II Международной заочной научно-практической конференции / Поволжский гос. ун-т сервиса - Тольятти-Русе: Изд-во ПВГУС, 2013. № 2. - С. 185-191.

16. Егорова Г.В., Федосеева О.Ю. Управление информационными рисками предприятия // Вестник Волжского университета имени В.Н. Татищева. №2(24) 2015. - Тольятти: ВУиТ, 2015.

17. Федосеева, О.Ю., Катьянов А.Ю. Эффективное управление предприятием на основе информационной системы // Материалы XII Международной научно-практической конференции «Татищевские чтения: актуальные проблемы науки и практики» // Актуальные проблемы информатизации науки и производства. Актуальные проблемы экологии и охраны окружающей среды. В 4-х томах. Том 1. - Тольятти: Волжский университет им. В.Н. Татищева, 2015.

i Надоели баннеры? Вы всегда можете отключить рекламу.