Оценка уровня защищённости объектов информатизации в органах внутренних дел

По результатам исследования сформулируем задачу кейса. На основе вышеприведенного условия и данных из открытых источников:Определить наиболее актуальное направление защиты информации в ОВД.Предложить инструкцию для проведения оценки защищенности данных в рамках выбранного направления.3.2 Решение кейсаДля начала определим наиболее актуальное направление защиты информации в ОВД. Проведенный анализ показал, что таковым является защита информации на АРМ от несанкционированного доступа со стороны собственных сотрудников. Аргументы в пользу этого вывода:Не подлежит сомнению тот факт, что проблема несанкционированного доступа к информации, обрабатывающейся на АРМ, при клиент-серверном способе организации работы остается актуальной. Примеры сценариев угроз: Сотрудник вышел за дверь, оставив незаблокированным компьютер, на котором был открыт конфиденциальный документ. Другой сотрудник, являющийся подкупленным инсайдером, сфотографировал экран на телефон.Сотрудник, являющийся подкупленным инсайдером, сделал скриншоты экранаcоткрытым конфиденциальным документом и сохранил изображения на USB-флэшку.Реальное положение дел в ОВД. Единственное, что удалось найти касательно проектов по информационной безопасности в ОВД, – это краткие сведения о том, что за создание единого информационного пространства и инфраструктуры ИБ ОВД РФ в части защиты конфиденциальной информации и информации, содержащей государственную тайну, отвечал системный интегратор «Сириус».Однако, в скупых на детали публикациях о проведенных им в органах внутренних дел проектах по информатизации ни слова о том, что было сделано в плане защиты от несанкционированного доступа информации, хранящейся на АРМ. Следовательно, разработанная нами инструкция может быть актуальна в реальных условиях, при условии, что она будет протестирована для ИТ-инфраструктур конкретных ОВД и будет доказана ее применимость.Необходимо опираться на руководящие документы – на что органам внутренних дел стоит обратить внимание в сфере информационной безопасности. Доктрина информационной безопасности Российской Федерации рекомендует обратить внимание на обеспечение устойчивого и бесперебойного функционирования информационной инфраструктуры РФ. В частности, сюда можно отнести деятельность органов внутренних дел по обеспечению функционирования собственной инфраструктуры и защите служебной информации. Авторы статьи, посвященной деятельности органов внутренних дел по осуществлению информационной безопасности, отмечают, что в данном случае угрозу представляет не только деятельность иностранных спецслужб и международных преступных сообществ, но и деятельность различных российских структур, стремящихся к получению закрытой информации с целью удовлетворения собственных интересов.Не секрет, к примеру, что сотрудники ОВД могут иметь дела с преступными организациями. Так, в СМИ просочился инцидент с оперативником из Новосибирска Станиславом Кульковым. Он сфотографировал предполагаемых членов организованного преступного сообщества, встречавшихся с сотрудниками МВД и ФСБ, после чего на Кулькова завели два уголовных дела и уволили. На наш взгляд, подобные инциденты наносят ущерб репутации ОВД, что может вести к дестабилизации общества и к снижению правовой активности и правосознания граждан. Поэтому важнейшей задачей по организации мер информационной безопасности является не допустить возможности злоупотребления служебной информацией в корыстных целях.Таким образом, очевидно, что защищать конфиденциальную информацию нужно не только от злоумышленников извне, которые могут получить доступ к банкам данных на серверах, но и от своих собственных сотрудников, легально работающих с информацией на своих АРМ. Поэтому, отвечая на первый вопрос кейса, выберем направление защиты информации на АРМ от несанкционированного доступа со стороны собственных сотрудников ОВД.Далее необходимо разработать инструкцию для проведения оценки защищенности данных в рамках выбранного направления.Выше была подробно разобрана методика анализа рисков OCTAVEи проверена на соответствие стандартам линейки ИСО. Поскольку она бесплатна, хорошо документирована и соответствует стандартам ГОСТ ИСО Р, возьмем ее в качестве опорной методологии при разработке инструкции.Напомним вкратце перечень шагов данной методики.На шаге 1 определяются критерии оценки рисков ИБ.На этом шаге выделяются наиболее приоритетные для организации критерии. Критерии устанавливают диапазон последствий реализации риска: низкие, средние и высокие.Шаг 2 заключается в инвентаризации информационных активов и определения их профиля. Профилирование облегчает задачуочерчивания границ актива и унифицирует требования безопасности к нему. Профиль актива является основой для следующих шагов, в частности, для выявления угроз и рисков.На шаге3необходимо определить все места, где хранится, передается и обрабатывается информация, а также находятся ли эти места в зоне прямого управления организацией. На шаге 4 выявляются проблемные области в ИБ организации. Целью шага 4 является не составление полного перечня всех возможных угроз, а оперативное определение тех угроз, которые сразу очевидны для аналитика.На шаге 5 аналитики составляют сценарии угроз, которые могут реализоваться в найденных проблемных областях. Используют три уровня вероятности реализации угрозы: высокая, средняя и низкая.Шаг 6 позволяет определить риски ИБ. Для этого используются сценарии (для каждого профиля), оценивается критичность риска для организации или самого объекта информатизации. Для каждого риска определяется не менее одного последствия.На шаге 7 определяется количественная мера ущерба, который будет нанесен организации при реализации угрозы. Это относительная оценка, которая позволяет расставить риски по их приоритету. На шаге 8 выбираются меры обработки определенных рисков с учетом их приоритета для организации.Таким образом, мы получаем 8 шагов, часть из которых были проделаны при выполнении первой части кейса (шаги 1-4 позволили теоретически определить наиболее проблемную область – внутреннюю безопасность информации):1) Определение критериев оценки рисков ИБ2) Инвентаризация информационных активов и определения их профиля3) Определение мест, где хранится, передается и обрабатывается информация4) Выявление проблемных областей в ИБ организации5) Составление сценариев угроз, которые могут реализоваться в найденных проблемных областях6) Определение рисков ИБ и их последствий7) Ранжирование рисков по количественной оценке8) Выработка мер с учетом приоритетизации рисковСледовательно, составление инструкции можно начинать с пункта 5, предварительно озаглавив ее как «Инструкция по проведению оценки защищенности объектов ИТ (АРМ) от внутренних угроз ИБ».Из перечня работ на шагах 1-4 методики OCTAVEнам понадобится пункт 2: хоть мы и определили, что разрабатываем инструкцию только для аудита АРМ, то есть, инвентаризация активов сводится к подсчету АРМ, нам необходимо выделить различные профили рабочих мест сотрудников.Итак, общая пошаговая последовательность, основанная на методологии OCTAVE, которую далее распишем в инструкции, следующая:Инвентаризация активов (шаг 2 OCTAVE). Разработка сценариев угроз (шаг 5OCTAVE). Проиграть в теории последовательность шагов, в результате которой произойдет нарушение информационной безопасности. Идентификация уязвимостей и определение рисков (шаг 6 OCTAVE).Нужно понять, в окружении каких активов имеются уязвимости, которые стоит защитить. Ранжирование рисков(шаг 7OCTAVE). Проверка сценариев, сбор статистики.Почему, вместо выработки контрмер, мы предложили проверитьсценарии?Используя специализированное ПО, можно собрать статистику, какие инциденты имеют место, насколько часто, где и каким образом.Это позволит выработать адекватные меры защиты, в том числе, сэкономить бюджет на том, чтобы не перестраховываться, покупая лишние СЗИ.В то же время, на базе полученной информации и документов, содержащих политику информационной безопасности ОВД, выработку комплекса мер противодействия можно осуществить без особых сложностей –как своими силами, так и силами сторонних консультантов. Результат кейса«Инструкция по проведению оценки защищенности объектов ИТ (АРМ) ОВД от внутренних угроз ИБ»Создать проектную команду, которая будет проводить аудит. Важно, чтобы в нее входили следующие роли: ИТ-администратор (с навыками сетевого и программного администрирования) и специалист по ИБ (с навыком работы со специализированным ПО в сфере информационной безопасности). Эти роли может объединять и один специалист, если он обладает всеми необходимыми навыками и знаниями.Выбрать ответственное за результат аудита лицо (руководителя проекта).Провести инвентаризацию АРМ с помощью специальных программных средств, например, Total Network Inventory (TNI). Данная программа устанавливается на один ПК (например, сервер) и позволяет удаленно сканировать все компьютеры сети по заданным параметрам. Как вариант использования параметров поиска: можно просканировать все ПК, заведенные в Active Directory.Можно использовать полнофункциональный триал программы TNI в течение 60 дней.На базе отчета по инвентаризации сформировать типовые конфигурации ПК в соответствии с имеющимися в организации профилями. Например, профиль «компьютер бухгалтерии» включает в себя один набор программного обеспечения, а «компьютер руководителя отдела» – другой. Все зависит от потребностей и задач пользователей этих АРМ.Определить сценарии угроз, которые могут реализоваться на каждом из профилей. Для облегчения задачи генерации сценариев воспользоватьсяопросниками, которые необходимо попросить заполнить представителей групп пользователей, отраженных в профиле.Например, «компьютер руководителя отдела»: просим заполнить анкету 3-4 руководителей различных отделов. Лучше всего обращаться к сотрудникам, работающим с разными информационными банками, – для повышения релевантности выборки с целью охватить все возможные сценарии работы с информацией. Скачать опросники можно с сайта с документацией по методике OCTAVEAllegro.Идентифицировать уязвимости и определить риски, исходя из собранной на предыдущем шаге информации. Произвести ранжирование рисков внутренней безопасности. Риски следует выстроить по частоте, возможности возникновения, величине потенциального ущерба.Проверить сценарии путем сбора статистики, при необходимости скорректировать модель угроз и выявленные риски. Полагаем, что в решении данной задачи может помочь специализированное программное обеспечение для наблюдения за ПК сотрудников – например, StaffCop.Отчеты программы позволяют увидеть, как курсирует информация в компании и в каком направлении уходит за ее пределы. Следует понимать, что утечка информации возникает тогда, когда конфиденциальные документы покинули защищаемый периметр компании. Это может происходить через множество каналов: личная почта сотрудников, форумы других сайтов, облачные хранилища, мессенджеры, USB-носители и т. п. Во многих компаниях имеются правила безопасности, которые определяют, какими каналами можно пользоваться, а какие под запретом. Соблюдают ли работники эти правила? Кроме того, у службы безопасности всегда есть информация, на каких сотрудников следует обратить повышенное внимание: они замечены в неблаговидном поведении или нарушении трудовой дисциплины. На них можно собрать полное досье: с какими документами работают, с кем контактируют, какими программами и сайтами пользуются, с какими сотрудниками и третьими лицами общаются. Наблюдение за сотрудниками в группе риска также возможно с помощью StaffCop.Какие события отображаются в программе? Операции с файлами, снимок экрана, время активности, посещение сайтов, использование мессенджеров, видео рабочего стола, заполнение веб-форм, подключения к FTP-серверам, поисковые запросы, печать документов и др.После окончания разработки перечня рисков необходимо выработать рекомендации по минимизации рисков и, после согласования бюджета на СЗИ, – внедрить рекомендации в ИТ-инфраструктуру.Поскольку выработка рекомендаций остается за рамками инструкции, остановимся лишь на самой главной рекомендации, без выполнения которой вся работа по аудиту со временем сойдет на нет. Это периодическая проверка компьютеров средствами наблюдения за сотрудниками вроде StaffCop.В идеале – постоянный мониторинг. Только при системном подходе можно успешно противостоять угрозам и проактивно решать проблемы с ИБ.Выводы по главе III:1) По результатам исследования, на основе вышеприведенного условия и данных из открытых источников, были сформулированы задачи кейса:1.Определить наиболее актуальное направление защиты информации в ОВД.2.Предложить инструкцию для проведения оценки защищенности данных в рамках выбранного направления.Разработанная нами инструкция может быть актуальна в реальных условиях, при условии, что она будет протестирована для ИТ-инфраструктур конкретных ОВД и будет доказана ее применимость.2) Инциденты, связанные со внутренней безопасностью, наносят ущерб репутации ОВД, что может вести к дестабилизации общества и к снижению правовой активности и правосознания граждан. Поэтому важнейшей задачей по организации мер информационной безопасности является не допустить возможности злоупотребления служебной информацией в корыстных целях.Поэтому наиболее актуальным видится направление защиты информации на АРМ от несанкционированного доступа со стороны собственных сотрудников ОВД.3) В главе 2 была подробно разобрана методика анализа рисков OCTAVE и проверена на соответствие стандартам линейки ИСО. Поскольку она бесплатна, хорошо документирована и соответствует стандартам ГОСТ ИСО Р, возьмем ее в качестве опорной методологии при разработке инструкции.Общая пошаговая последовательность, основанная на методологии OCTAVE, которую мы подробно расписали в инструкции, следующая:1.Инвентаризация активов (шаг 2 OCTAVE). 2.Разработка сценариев угроз (шаг 5 OCTAVE). Проиграть в теории последовательность шагов, в результате которой произойдет нарушение информационной безопасности. 3.Идентификация уязвимостей и определение рисков (шаг 6 OCTAVE). Нужно понять, в окружении каких активов имеются уязвимости, которые стоит защитить. 4.Ранжирование рисков (шаг 7 OCTAVE). 5.Проверка сценариев, сбор статистики.4) Поскольку выработка рекомендаций по мерам противодействия остается за рамками инструкции, остановимся лишь на самой главной рекомендации, без выполнения которой вся работа по аудиту со временем сойдет на нет. Это периодическая проверка компьютеров средствами наблюдения за сотрудниками вроде StaffCop. В идеале – постоянный мониторинг. При должном профилактическом подходе можно успешно противостоять угрозам и проактивно выявлять проблемы с ИБ.ЗаключениеАвтор провел исследование и всесторонне изучил вопросы, связанные с процедурой оценки защищенности в органах внутренних дел. Были решены все задачи исследования:Изучены общие сведения об аудите информационной безопасности в организации: понятие «оценка защищенности», цели и устраняемые риски, а также нормативные акты и стандарты ИБ, регулирующие проведение аудита, порядок его проведения и сопровождающие документы.Рассмотрены различные подходы к оценке защищенности объектов ИТ и зарекомендовавшие себя методы в рамках этих подходов.Полученные знания успешно реализованы на практике в процессе решения кейса.В качестве кейса была взята учебная ситуация, предполагающая решение следующих задач:1. Определить наиболее актуальное направление защиты информации в ОВД.2.Предложить инструкцию для проведения оценки защищенности данных в рамках выбранного направления.Наиболее актуальным видится направление защиты информации на АРМ от несанкционированного доступа со стороны собственных сотрудников ОВД, поскольку реализация инсайдерской угрозы может повлечь за собой ущерб репутации ОВД, что может вести к дестабилизации общества и к снижению правовой активности и правосознания граждан.Автором была разработана инструкция по проведению оценки защищенности объектов ИТ (АРМ) ОВД от внутренних угроз ИБ, опирающаяся на методику анализа рисков OCTAVE. Данная методологияпроверена на соответствие стандартам линейки ГОСТ ИСО Р. Также она бесплатна и хорошо документирована.В завершение хочется остановиться на самой главной рекомендации, без выполнения которой вся работа по оценке защищенности ИБ со временем сойдет на нет. Это комплексный мониторинг объектов информатизации различными программными продуктами для противодействия выявленным в процессе аудита рискам. При должном профилактическом подходе можно успешно противостоять угрозам и проактивно выявлять проблемы с ИБ.Список использованных источниковАверченков, В.И. Аудит информационной безопасности: учебное пособие / В. И. Аверченков. – Брянск: БГТУ, 2005. – 269 с.Воронов В. В. Педагогика школы: новый стандарт / В. В. Воронов. – М.: ПО России, 2012. – 288 c.Аудит информационной безопасности органов исполнительной власти: учебное пособие для высшего образования / В. Т. Еременко [и др.]. – Орел: ФГБОУ ВО «Орловский государственный университет имени И. С. Тургенева», 2016. – 93 с. Alberts C. OCTAVE threat profiles / C. Alberts, A. Dorofee.Электронные источники:Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» [Электронный ресурс]. – Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_61801/Федеральный закон РФ от 21 июля 1993 г. N 5485-I «О государственной тайне» [Электронный ресурс]. – Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_2481/Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [Электронный ресурс]. – Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_61798/Федеральный закон N 184-ФЗ «О техническом регулировании» [Электронный ресурс]. – Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_40241/ Доктрина информационной безопасности Российской Федерации [Электронный ресурс]. – Режим доступа: URL: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=208191&fld=134&dst=100012,0&rnd=0.6340586438499338#049786221453128054Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера» [Электронный ресурс]. – Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_13532/Приказ МВД России от 9 ноября 2018 г. № 755 «О некоторых вопросах обращения со служебной информацией ограниченного распространения в системе МВД России» [Электронный ресурс]. – Режим доступа: URL: https://mvd.consultant.ru/documents/1056600?items=1&page=1«Положение по аттестации объектов информатизации по требованиям безопасности информации (утв. Гостехкомиссией РФ 25.11.1994)» [Электронный ресурс]. – Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_111428/Национальные стандарты ГОСТ Р [Электронный ресурс]. – Режим доступа: URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/113-gosudarstvennye-standarty/377-ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» [Электронный ресурс]. – Режим доступа: URL: http://docs.cntd.ru/document/1200084141ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» [Электронный ресурс]. – Режим доступа: URL: http://docs.cntd.ru/document/1200058320 ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения» [Электронный ресурс]. – Режим доступа: URL: http://docs.cntd.ru/document/1200075565ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности» [Электронный ресурс]. – Режим доступа: URL: http://docs.cntd.ru/document/1200103619 ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» [Электронный ресурс]. – Режим доступа: URL: http://docs.cntd.ru/document/1200058325/ISO/IEC 27005:2018 «Information technology — Security techniques — Information security risk management» [Электронныйресурс]. – Режимдоступа: URL: https://www.iso.org/ru/standard/75281.htmlISO/IEC 27001-2014 «Information technology - Security techniques - Information security management systems - Requirements (ISO/IEC 27001-2014:2013)» [Электронныйресурс]. – Режимдоступа: URL: http://docs.cntd.ru/document/440182321Стандарт Банка России СТО БР ИББС-1.0-2014 [Электронный ресурс]. – Режим доступа: URL: https://cbr.ru/content/document/file/46921/st-10-14.pdf«Код безопасности» определил ключевые факторы расходов на ИБ в 2019 г. [Электронный ресурс]. – Режим доступа: URL: https://www.itweek.ru/security/news-company/detail.php?ID=206250 Нырков А. П., Рудакова С. А. Методика аудита объектов информатизации по требованиям информационной безопасности [Электронный ресурс]. – Режим доступа: URL: https://cyberleninka.ru/article/n/metodika-audita-obektov-informatizatsii-po-trebovaniyam-informatsionnoy-bezopasnostiКозьминых С. И., Козьминых П. С. Аудит информационной безопасности [Электронный ресурс]. – Режим доступа: URL: https://cyberleninka.ru/article/n/audit-informatsionnoy-bezopasnosti Муханмеджанова А. М. Методика оценки рисков информационной безопасности // Молодой ученый. — 2017. — №22. — С. 136-139. [Электронный ресурс]. – Режим доступа: URL: https://moluch.ru/archive/156/44193Егоров М. А. Методика аудита информационной безопасности в современных условиях [Электронный ресурс]. – Режим доступа: URL: https://cyberleninka.ru/article/n/metodika-audita-informatsionnoy-bezopasnosti-v-sovremennyh-usloviyahХлестова Д. Р., Байрушин Ф. Т. Аудит информационной безопасности в организации [Электронный ресурс]. – Режим доступа: URL: https://cyberleninka.ru/article/n/audit-informatsionnoy-bezopasnosti-v-organizatsiiБаранова Е. К., Забродский А. С. Процедура применения методологии анализа рисков OCTAVE в соответствии со стандартами серии ИСО/МЭК 27000-27005 [Электронный ресурс]. – Режим доступа: URL: https://cyberleninka.ru/article/n/protsedura-primeneniya-metodologii-analiza-riskov-octave-v-sootvetstvii-so-standartami-serii-iso-mek-27000-27005Зачем проводить аудит безопасности? [Электронный ресурс]. – Режим доступа: URL: https://clck.ru/JiJRb Методики управления рисками информационной безопасности и их оценки (часть 1) [Электронный ресурс]. – Режим доступа: URL: https://safe-surf.ru/specialists/article/5193/587932/Гнедаш Е. В. Метод CRAMM – комплексный подход к оценке рисков [Электронный ресурс]. – Режим доступа: URL: https://clck.ru/JmnPD Методика CRAMM [Электронный ресурс]. – Режим доступа: URL: https://www.intuit.ru/studies/courses/952/387/lecture/8996Методика OCTAVE [Электронный ресурс]. – Режим доступа: URL: https://www.intuit.ru/studies/courses/531/387/lecture/8996?page=2 Документация по OCTAVE Allegro [Электронный ресурс]. – Режим доступа: URL: https://resources.sei.cmu.edu/asset_files/TechnicalReport/2007_005_001_14885.pdfМетод кейсов (case study) [Электронный ресурс]. – Режим доступа: URL:http://pycode.ru/2012/05/case-study/ 4-й раздел ЕИТКС ОВД — ПТК-С [Электронный ресурс]. – Режим доступа: URL: http://www.itsirius.ru/index.php/solutions-and-services/info-security?id=155 5-й раздел ЕИТКС ОВД —ПТК-ГТ [Электронный ресурс]. – Режим доступа: URL: http://www.itsirius.ru/index.php/solutions-and-services/info-security?id=154 Лукьянов Н. Е., Пилипушка С. В. Деятельность органов внутренних дел по осуществлению информационной безопасности // Научное сообщество студентов XXI столетия. Общественные науки: сб. ст. по мат. LXI междунар. студ. науч.-практ. конф. № 1(60) [Электронный ресурс]. – Режим доступа: URL: https://sibac.info/archive/social/1(60).pdf Расследовавший вымогательства новосибирский оперативник заснял предполагаемых членов ОПС с сотрудниками МВД и ФСБ. Его арестовали и уволили [Электронный ресурс]. – Режим доступа: URL: https://tayga.info/149754Total Network Inventory 4 [Электронный ресурс]. – Режим доступа: URL: https://www.total-network-inventory.ru/StaffCop [Электронный ресурс]. – Режим доступа: URL: https://www.staffcop.ru/efficiencyПроведение аудита внутренней информационной безопасности c помощью StaffCop Enterprise [Электронный ресурс]. – Режим доступа: URL: https://www.anti-malware.ru/practice/methods/information-security-audit-staffcop#part21