- •Введение
- •1 Общие сведения о физической защите информации
- •1.1 Определение активов, угроз и уязвимостей
- •1.2 Угрозы физической безопасности
- •1.3 Физическая безопасность в информационной безопасности
- •1.4 Нормативно-правовая основа создания системы физической защиты информации
- •Выводы раздела 1
- •2 Характеристика угроз физической безопасности объекта информатизации
- •2.1 Описание объекта информатизации
- •2.2 Анализ уязвимости объекта информатизации
- •2.3 Описание существующих технологий физической защиты информации объекта информатизации
- •2.4 Разработка модели нарушителя информационной безопасности
- •2.5 Разработка модели угроз информационной безопасности
- •Выводы раздела 2
- •3 Разработка системы физической защиты информации объекта информатизации
- •3.1 Комплекс средств и сил физической защиты информации. Организационные мероприятия и локальные нормативные акты
- •3.2 Комплекс средств контроля доступа для физической защиты информации объекта информатизации
- •3.3 Комплекс средств наблюдения для физической защиты информации объекта информатизации
- •3.4 Оценка защищенности объекта информатизации с учетом разработанных предложений
- •3.5 Расчет экономической эффективности внедрения системы физической защиты информации
- •Выводы раздела 3
- •Заключение
- •Список использованных источников
- •Список сокращений
- •Приложение а Планы этажей корпуса IV Университета СевГу
- •Приложение б Звукоизоляция конструкций
- •Приложение в Взаимосвязь видов и способов дестабилизирующего воздействия на защищаемую информацию с его источниками
2.5 Разработка модели угроз информационной безопасности
Угроза физической безопасности может исходить от человеческого фактора, стихийных бедствий и самих информационных технологий. Поэтому для предотвращения угроз нужны правильные инструменты для контроля текущей деятельности, оценки потенциального воздействия и составления соответствующих планов, чтобы бизнес-процессы Университета не пострадали [24].
Для эффективности физической защиты безопасности необходимо описать модель угроз информационной безопасности.
Моделирование угроз представляет собой набор процедур, с помощью которых илиорганизации оптимизируют сеть
безопасности путем определения целей и уязвимостей в сети, а затем выявления и реализациимент
стратегии смягчения для предотвращения или смягчения воздействия угроз наон система.Подходы к угрозе
Моделирование фокусируется на определении областей, которые требуют наибольшей эффективностифорт для защиты системы. Кроме
процесс носит итеративный характер и включает в себя набор активов, функционалies, профили безопасности и
предпринятые действия.
Моделирование угроз представляет собой набор процедур, с помощью которых илиорганизации оптимизируют сеть
безопасности путем определения целей и уязвимостей в сети, а затем выявления и реализациимент
стратегии смягчения для предотвращения или смягчения воздействия угроз наон система.Подходы к угрозе
Моделирование фокусируется на определении областей, которые требуют наибольшей эффективностифорт для защиты системы. Кроме
процесс носит итеративный характер и включает в себя набор активов, функционалies, профили безопасности и
предпринятые действия.
Моделирование угроз представляет собой набор процедур, с помощью которых организация оптимизируем сеть мер безопасности путем определения целей и уязвимостей информационным активам, а затем выявления и реализации стратегии для предотвращения или смягчения воздействия угроз на информационные активы организации. Моделирование фокусируется на определении областей, которые требуют наибольшей эффективности для защиты системы информационных активов организации.
Модели угроз программных систем обычно не учитывают физический доступ или включают в себя строгие предположения о защите физической безопасности. Напротив, субъект угрозы может физически получить доступ к компонентам информационных активов и повредить компьютерную систему или ее устройства, используя различные аппаратные интерфейсы или доступ к сетевым каналам, поскольку вся система может быть расположена в разных местах без надлежащих мер физической защиты
Следовательно, помимо логических средств контроля, физические средства контроля являются важными факторами, определяющими определение границ доверия. В литературе подробно не показано, как определяются границы в свете допущений логической и физической безопасности информационных активов. Это особенно важно для проведения исследований по моделированию угроз в рамках общепринятых рамок и стандартов. Более того, взаимодействие между кибер- и физической сферами требует более тщательного рассмотрения, поскольку некоторые из кибератак могут иметь некоторые предпосылки, связанные с физической безопасностью.
Прежде чем внедрять меры физической безопасности в Университете, важно определить потенциальные риски и слабые места в текущей системе безопасности. Обнаружение имеет первостепенное значение для обеспечения физической безопасности. Хотя невозможно предотвратить все вторжения или нарушения физической безопасности, наличие правильных инструментов для обнаружения и устранения вторжений сводит к минимуму сбои в работе Университета в долгосрочной перспективе.
Реестр информационных активов представляет собой каталог информации, которую Университет хранит и обрабатывает. Он записывает, где хранятся информационные активы, как данные перемещаются в Университет и из него и кому они передаются, чтобы понять их ценность и обеспечить их надлежащую защиту.
Управление информацией использует Реестр информационных активов для проведения оценки рисков с точки зрения законодательства об информационной безопасности и защите данных, а также консультирует сотрудников о наилучшем подходе к обеспечению защиты информации в отношении ее конфиденциальности, целостности и доступности, а также для проверки того, что персональные данные обрабатываются на законных основаниях. Основные информационные активы Университета представлены в таблице 2.4.
Таблица 2.4 — Информационные активы Университета
Наименование актива |
Форма представления |
Качественная оценка |
База данных Университета |
электронная |
критическое значение |
Записи, относящиеся к управлению электронной дверной системой с картами доступа, настроенными для обеспечения доступа в одну или несколько областей |
электронная |
критическое значение |
Продолжение таблицы 2.4
Информация, касающаяся управления потенциальными и нынешними учащимися |
электронная |
высокая |
Информация, касающаяся управления персоналом Университета |
электронная |
высокая |
Должностные инструкции, стандарты, правила, законодательные акты |
электронная |
средняя |
Бумажная корреспонденция |
бумажная |
высокая |
Электронная корреспонденция |
электронная |
высокая |
Записи обмена сообщениями и совместной работы персонала и студентов, относящиеся к управлению электронной почтой, календарями, мгновенными сообщениями |
электронная |
Очень высокая |
Информация об управлении идентификацией для пользователей |
электронная |
критическое значение |
Финансовая информация |
электронная/ бумажная |
критическое значение |
Основные учебные ресурсы для Университета. |
электронная |
критическое значение |
Информация о безопасности информационной системы |
электронная |
высокая |
Библиотечные ресурсы |
электронная |
критическое значение |
Академические исследования и научная деятельность Университета |
электронная |
критическое значение |
Информация об интеллектуальной собственности |
электронная |
критическое значение |
Портал университета |
электронная |
высокая |
Информация об учебной деятельности студентов |
электронная |
критическое значение |
Выделим основные категории активов для дальнейшего анализа их защиты (таблица 2.5).
Таблица 2.5 — Информационные активы Университета
Номер актива |
Наименование актива |
1 |
База данных Университета |
2 |
Информация о финансовой деятельности |
3 |
Информация об учебной деятельности |
4 |
Информация о доступе к информационным ресурсам и о безопасности данных на портале Университета |
5 |
Корреспонденция Университета |
6 |
Академические исследования, научная деятельность, интеллектуальная собственность Университета |
Определяющим признаком угрозы является ее направленность, результат, который может привести к дестабилизирующему воздействию (ДВ) на информацию — нарушению ее статуса.
Таким образом, угроза защищаемой информации представляет собой совокупность явлений, факторов и условий, создающих опасность нарушения статуса информации.
В таблице В.1 приложения В отражена взаимосвязь видов и способов ДВ на защищаемую информацию с источниками ДВ.
Согласно этой таблице определены угрозы для информационных активов, проведен их анализ для выработки политики безопасности.
Оценку проводили специалисты IT-отдела на основе бесед и анализа документации Университета: электронных и бумажных документов.
Рассмотрим модель угроз физической безопасности для Университета [25].
Угроза 1: Стихийные бедствия
Университет расположен в г. Севастополь на Южном берегу Крыма, подверженном стихийным бедствиям, таким как землетрясения и наводнения. В случае землетрясения г. Севастополь угрожают не столько наводнения или высокие волны, сколько активизация оползней и обвалов. Наибольшую опасность представляют «спящие» обвалы и оползни, поскольку они могут привести к еще большим разрушениям, чем само землетрясение.
В районе г. Севастополь есть крутые склоны, осыпные склоны, есть склоны, подверженные оползневым процессам. Большая часть Южного Берега покрыта стабилизированными оползнями, на которых построены здания, дороги, коммуникации и так далее. Эти оползни не двигаются — они зафиксированы. Но сейсмическое событие может быть оползневым, и оползневые процессы должны активизироваться. От них можно ожидать много негативных процессов в частности, потому, что они находится ближе всего к эпицентру возможных толчков.
Эти стихийные бедствия могут разрушить целые здания и нарушить работу на недели или даже месяцы.
Когда Университет уязвим из-за стихийного бедствия, угрозы безопасности со стороны людей, которые хотят воспользоваться ситуацией (мародерство, вандализм и т. д.), становятся более серьезной проблемой.
Угроза 2: Внутренняя кража
Внутреннее воровство — еще одна угроза безопасности для Университета.
Внутренние субъекты могут быть высококвалифицированными специалистами в области разработки и эксплуатации программного обеспечения и аппаратных средств, знать специфику задач, структуру и функции, принципы работы программного обеспечения и аппаратных средств защиты информации, иметь возможность использовать стандартное и сетевое оборудование.
Квалификация антропогенных источников информации играет роль для оценки их давления и учитывается при определении ранга источников угроз.
Будь то кража денег, инвентаря или информации об Университете, сотрудники могут нанести большой ущерб, если они не будут должным образом контролироваться.
Сотрудники, имеющие доступ к конфиденциальной информации Университета, могут продать ее конкурентам или преступникам, что может поставить под угрозу всю работу Университета.
Опасным каналом утечки конфиденциальной информации является персонал. Конкуренты могут получать информацию в ходе беседы после выступлений и на специально организованных переговорах. При подготовке недоброжелатели могут рационально применять современные психотехнологии, эксплуатировать желание субъекта показать себя влиятельным, осведомлённым, компетентным, применять вредные привычки и скрытые потребности.
В первую очередь объектом давления становятся высококвалифицированные специалисты, так как именно они осведомлены в наибольшей степени.
Полезными для недобросовестных конкурентов может стать уволенный персонал, а также персонал, который получил приглашение, в том числе мнимое, на работу. Находящиеся в штате сотрудники не всегда могут следовать интересам Университета.
Традиционной проблемой, которая связана с IT-сотрудниками является контроль и оценка итогов деятельности. К примеру, в IТ-подразделениях часто отсутствуют должностные инструкции и не проводятся аттестации. Иногда IТ-специалистов рассматривают как обслуживающий персонал, пытаются нагрузить дополнительной работой, не определённой должностной инструкцией. Это снижает выполнение прямых обязанностей, вызывает недовольство, негативно сказывается на лояльности, приводит к текучке кадров.
Угроза 3: Вандализм
Другой распространенной угрозой безопасности для бизнеса является вандализм.
Это также может нанести значительный финансовый ущерб предприятиям, а также ущерб имуществу и оборудованию. Кроме того, вандализм может создать чувство незащищенности у сотрудников и клиентов. Вандалы часто нападают на предприятия, чтобы послать сообщение, нанести ущерб имуществу назло или получить доступ к ценностям внутри предприятия.
Наиболее уязвимыми областями предприятий для вандализма обычно являются окна, двери, камеры видеонаблюдения и наружные вывески.
Угроза 4: Кража и взлом
Воровство по-прежнему остается одной из самых больших угроз безопасности.
Кража со взломом может привести к значительным финансовым потерям, а также к повреждению имущества и оборудования. Воры всегда будут использовать возможности для кражи, поэтому важно принимать меры для сдерживания грабителей.
В кабинетах Университета, скорее всего, бумаги и документы лежат во многих местах, от столов до принтеров. Конфиденциальные документы могут легко пропасть без вести и попасть не в те руки. Даже если их не заберут из кабинета, посетитель может увидеть информацию, которая для него не предназначена.
Угроза 5: Неучтенные посетители
В Университете обычно неизвестно, кто находится или находился на рабочем месте в определенное время, невозможно поддерживать высокий уровень физической безопасности. Неучтенные посетители Университета представляют серьезную опасность, так как нельзя узнать, присутствовали ли они, если произойдет инцидент.
Также большинство рабочих мест Университета защищены каким-либо типом контроля доступа, будь то запертая дверь или точка доступа с картой считывания. Эти меры физической безопасности могут легко преодолеваться решительным злоумышленником.
Когда неуполномоченное лицо следует за уполномоченным лицом в безопасную зону, в Университете это происходит естественным образом, когда несколько человек проходят через двери, и только передний должен предъявить удостоверение личности или карту считывания. Люди, идущие сзади, просто пройдут мимо, что позволит любому неавторизованному лицу войти без каких-либо затруднений.
Угроза 6: Украденное удостоверение личности
При входе в Университет система контроля доступа работает только в том случае, если каждый использует свою собственную идентификацию. В настоящее время люди, которые входят и выходят из Университета, могут использовать чужую идентификацию, поэтому можно сказать, что в университете вообще нет контроля доступа.
Угроза 7: Социальная инженерия
Атаки социальной инженерии могут принимать самые разные формы. Это одна из причин, почему с ним так трудно бороться. Атаки социальной инженерии основаны на манипулировании сотрудниками, часто используя информацию, которую им удалось получить, чтобы выдать себя за кого-то другого, или злоупотребляя элементарным человеческим сочувствием, чтобы получить доступ к безопасным областям и сетям.
Например, одной из самых распространенных атак социальной инженерии является «кофейный трюк». Этот метод, по сути, представляет собой более изощренную версию «заднего хода»: в нем человек, держащий в каждой руке чашку кофе, идет к двери офиса. Ничего не подозревающий сотрудник, проходящий через дверь или находящийся поблизости, из вежливости придержит дверь открытой, тем самым пропустив в помещение постороннего человека.
Некоторые из факторов, которые приводят к внутренним уязвимостям и сбоям физической безопасности, включают:
Сотрудники делятся своими учетными данными с другими.
Случайное раскрытие или обмен конфиденциальными данными и информацией.
Отслеживание инцидентов с неуполномоченными лицами.
Легко взламываемые процессы аутентификации.
Медленная и ограниченная реакция на инциденты безопасности.
Угроза 8. Технократическая деятельность
Источником уязвимостей могут являться сбои в аппаратном обеспечении, к примеру, выход из строя жестких дисков.
Программное обеспечение может иметь уязвимость — нестабильная работа.
Локальная сеть Университета может иметь уязвимости: нерегулируемое применение прав пользователей, которое может привести к нерегулируемому доступу к действиям над информацией — модификации, удалению, копированию, просмотру.
Документооборот может иметь уязвимости, такие, как потеря данных и их порча.
Часто к возникновению ущерба приводят злонамеренные или ошибочные действия общества, а техногенные источники могут выступать в качестве предпосылки [23].
Несмотря на то, что для защиты Университета необходимы соответствующие физические меры, в конце концов, безопасность обеспечат не барьеры безопасности или двери.
Повышение осведомленности о физической безопасности среди сотрудников и поощрение их к активной защите своего рабочего места — наиболее эффективный способ борьбы со всем спектром угроз физической безопасности.